ensayo
Páginas: 5 (1089 palabras)
Publicado: 19 de junio de 2013
INTEGRANDO LA SEGURIDAD COMO UN ELEMENTO DE LA INGENIERÍA DE SOFTWARE
El concepto de la seguridad en los sistemas de software es un área de investigación que ha pasado a ser vital dentro de la Ingeniería de Software. Con el crecimiento de Internet, y otras aplicaciones sobre redes, como el comercio electrónico, correo electrónico, etc., la posibilidad de ataques se ha incrementadonotablemente, como también lo han hecho las consecuencias negativas de estos ataques.
En la actualidad prácticamente todo sistema debe incorporar cuestiones de seguridad para defenderse de ataques maliciosos. El desarrollador ya no sólo debe concentrarse únicamente en los usuarios y sus requerimientos, sino también en los posibles atacantes. Esto ha motivado cambios importantes en el proceso de diseño ydesarrollo de software para incorporar a la seguridad dentro de los requerimientos críticos del sistema.
Estos cambios son los primeros pasos en la concientización de los ingenieros de software acerca de la importancia de obtener un software seguro. Como todo gran cambio, no se logra de un día para otro, sino que es un proceso gradual que requiere tiempo y maduración. Todavía la Ingeniería deSoftware no ha dado una respuesta eficaz, coherente y aplicable que satisfaga plenamente a la comunidad informática, sino que las aproximaciones actuales están plagadas de fallas y debilidades fruto de que todavía es un proceso que se encuentra en su infancia.
Los puntos débiles más importantes de la Ingeniería de Software con respecto a la seguridad pueden ser clasificados en dos grandescategorías:
i) Fallas para implementar software seguro.
ii) Fallas para implementar seguridad en el software.
Lamentablemente, la mayoría de las herramientas que tiene disponible un desarrollador de software sufren de fallas propias de seguridad. Una de las debilidades más trascendentes al momento de implementar software seguro surge del estado de los lenguajes de programación desde el punto de vistade la seguridad. Son escasos los lenguajes que proveen primitivas “seguras” que ayuden al programador a escribir un mejor código.
Dos de los lenguajes de programación más usados en la actualidad, C y C++, presentan graves problemas de seguridad. Esto se debe a que al utilizar muchos de sus servicios provistos por sus librerías estándar se introducen fallas de seguridad que pasarán inadvertidasal programador debido a que éste las considera libre de errores.
Como ejemplo, podemos citar el problema de “buffer overflow”, fallas en la rutina malloc(a,b) y en la rutina rand() . También, en un trabajo de John Viega y su equipo, se identifican numerosas fallas en el lenguaje C: en la rutina gets, donde también se explota el “overflow” de buffers, en las rutinas para manejar de stringsstrcat, strcpy, sprintf, en las rutinas system y popen, para correr programas desde la línea de comandos, que son generalmente usadas de manera incorrecta, y otras fallas más sutiles, que se pueden introducir al considerar cuestiones de sincronización.
También lenguajes con arquitecturas de seguridad mucho más complejas, como Java, dejan mucho que desear. En se establece que un alto porcentaje deaplicaciones tiene problemas de seguridad que están presenten desde la fase de diseño y que permanecen hasta la implementación, independientemente del lenguaje de programación usado.
Las razones por las cuales estas fallas “internas” permanecen en la actualidad son varias: mal entendimiento de los protocolos de seguridad, una visión ingenua respecto a lo que un sistema debiera considerar comoseguro, aproximaciones no serias a la seguridad como “corregir luego” o “no se van a dar cuenta”, o directamente desconocimiento, ya que lamentablemente estas fallas no son conocidas universalmente, y existen pocas fuentes de información para escribir código seguro.
Otro tipo falla en esta categoría, que se establece en, nace del hecho de que la seguridad es un tema complejo y requiere un...
El concepto de la seguridad en los sistemas de software es un área de investigación que ha pasado a ser vital dentro de la Ingeniería de Software. Con el crecimiento de Internet, y otras aplicaciones sobre redes, como el comercio electrónico, correo electrónico, etc., la posibilidad de ataques se ha incrementadonotablemente, como también lo han hecho las consecuencias negativas de estos ataques.
En la actualidad prácticamente todo sistema debe incorporar cuestiones de seguridad para defenderse de ataques maliciosos. El desarrollador ya no sólo debe concentrarse únicamente en los usuarios y sus requerimientos, sino también en los posibles atacantes. Esto ha motivado cambios importantes en el proceso de diseño ydesarrollo de software para incorporar a la seguridad dentro de los requerimientos críticos del sistema.
Estos cambios son los primeros pasos en la concientización de los ingenieros de software acerca de la importancia de obtener un software seguro. Como todo gran cambio, no se logra de un día para otro, sino que es un proceso gradual que requiere tiempo y maduración. Todavía la Ingeniería deSoftware no ha dado una respuesta eficaz, coherente y aplicable que satisfaga plenamente a la comunidad informática, sino que las aproximaciones actuales están plagadas de fallas y debilidades fruto de que todavía es un proceso que se encuentra en su infancia.
Los puntos débiles más importantes de la Ingeniería de Software con respecto a la seguridad pueden ser clasificados en dos grandescategorías:
i) Fallas para implementar software seguro.
ii) Fallas para implementar seguridad en el software.
Lamentablemente, la mayoría de las herramientas que tiene disponible un desarrollador de software sufren de fallas propias de seguridad. Una de las debilidades más trascendentes al momento de implementar software seguro surge del estado de los lenguajes de programación desde el punto de vistade la seguridad. Son escasos los lenguajes que proveen primitivas “seguras” que ayuden al programador a escribir un mejor código.
Dos de los lenguajes de programación más usados en la actualidad, C y C++, presentan graves problemas de seguridad. Esto se debe a que al utilizar muchos de sus servicios provistos por sus librerías estándar se introducen fallas de seguridad que pasarán inadvertidasal programador debido a que éste las considera libre de errores.
Como ejemplo, podemos citar el problema de “buffer overflow”, fallas en la rutina malloc(a,b) y en la rutina rand() . También, en un trabajo de John Viega y su equipo, se identifican numerosas fallas en el lenguaje C: en la rutina gets, donde también se explota el “overflow” de buffers, en las rutinas para manejar de stringsstrcat, strcpy, sprintf, en las rutinas system y popen, para correr programas desde la línea de comandos, que son generalmente usadas de manera incorrecta, y otras fallas más sutiles, que se pueden introducir al considerar cuestiones de sincronización.
También lenguajes con arquitecturas de seguridad mucho más complejas, como Java, dejan mucho que desear. En se establece que un alto porcentaje deaplicaciones tiene problemas de seguridad que están presenten desde la fase de diseño y que permanecen hasta la implementación, independientemente del lenguaje de programación usado.
Las razones por las cuales estas fallas “internas” permanecen en la actualidad son varias: mal entendimiento de los protocolos de seguridad, una visión ingenua respecto a lo que un sistema debiera considerar comoseguro, aproximaciones no serias a la seguridad como “corregir luego” o “no se van a dar cuenta”, o directamente desconocimiento, ya que lamentablemente estas fallas no son conocidas universalmente, y existen pocas fuentes de información para escribir código seguro.
Otro tipo falla en esta categoría, que se establece en, nace del hecho de que la seguridad es un tema complejo y requiere un...
Leer documento completo
Regístrate para leer el documento completo.