normatividad
SEGURIDAD COMO UNA LLAMADA A LA ACCIÓN PARA DESARROLLADORES
Si estos caracteres se interpretan como valores ASCII (texto) , tenemos el siguiente
cadena:
Si estos caracteres son una parte de una imagen , un archivo de audio , un ejecutable , o un dato archivos, estos valores pueden serinterpretados como casi cualquier cosa. La razón por la que nuestros datos no es inmediatamente reconocible como algo que es lo que es depende del contexto en el que se interpreta . Sin el conocimiento exacto de los aportes esperados de una aplicación, un servidor de seguridad no puede determinar si esta entrada se intencionales o no , malicioso o benigno. Si las propias aplicaciones no pueden determinarcorrecto desde entrada incorrecta en algunos casos , ¿cómo puede un aparato externo?
En un contexto, nuestro código es bastante malicioso. Cuando se suministra en exactamente el lugar adecuado , en el marco de una cadena larga que se pasa a un búfer sin comprobar en la pila, que se puede interpretar como instrucciones de máquina que causan un cuadro de mensaje de Windows para que aparezca en laaplicación afectada ( véase la Figura 1.1). Tal vez un cuadro de mensaje no es tan malicioso. Sin embargo, los fragmentos de tamaño similar de código de máquina se pueden hacer algunas cosas muy maliciosos , incluyendo el formato de la unidad de disco o bootstrapping funcionalidad adicional.
Sin el conocimiento específico de la vulnerabilidad de desbordamiento de búfer y en profundidad elconocimiento del estado de la aplicación de lectura de estos datos, un servidor de seguridad no tiene esperanza de proteger el sistema vulnerable. Lo mismo puede decirse de muchos otros add-on de protección de software que tienen la tarea casi imposible de remendar genéricamente contra fallas de software.
Nuestra única esperanza es, entonces, para hacer frente a las vulnerabilidades en su raíz: enel software. seguridad es un problema que necesita ser abordado de todo corazón por los desarrolladores de software y probadores y que es un problema que debe ser abordado por el desarrollo organización y no sólo empujó a las operaciones. Pero, existen obstáculos. El software comunidad de desarrollo ha sido testigo de una ola de nuevos paradigmas de programación, metodologías y entornos dedesarrollo, y aún así el número de fallos de seguridad en el software se ha incrementado sustancialmente en los últimos años. La Figura 1.2 muestra el número de nuevas vulnerabilidades reportadas al CERT 1999-2003.
La gráfica de la figura 1.2 muestra el número de nuevas vulnerabilidades reportadas en software duplicando anualmente de 1999 a 2002, y las vulnerabilidades de software fueron...
Regístrate para leer el documento completo.