normatividad
Páginas: 61 (15154 palabras)
Publicado: 30 de mayo de 2014
A medida que la popularidad de Internet ha crecido, también lo ha hecho el número de individuos que lo utilizan para atacar a otros. Ataques más dirigidos , los virus y los gusanos tienen sido posible gracias a las vulnerabilidades de software que leen datos no es de confianza de la red . Durante años , los consumidores han ignorado la existencia de software defectos, y la respuesta a suexistencia por la industria de TI ha sido la creación de las defensas en el perímetro de la red . Estas defensas han tomado la forma de firewalls , routers, software antivirus , aplicaciones de actualización de parches , filtros de correo electrónico, y otras aplicaciones que tratan de proteger al usuario de los atacantes externos. La práctica habitual ha sido la de trazar una línea en la arena, con loschicos malos de un lado y los activos de información críticos , por otro. Este es el paradigma que ha impulsado el mercado de seguridad de redes desde hace años, pero hace una suposición fatal : que podemos detectar y prevenir actos maliciosos a nivel de red . A pesar de la avalancha de nuevos productos y literatura de marketing de los proveedores de seguridad de red , sin embargo , la seguridadno es un problema que puede ser resuelto por completo con mejores firewalls y software antivirus.
SEGURIDAD COMO UNA LLAMADA A LA ACCIÓN PARA DESARROLLADORES
Si estos caracteres se interpretan como valores ASCII (texto) , tenemos el siguiente
cadena:
Si estos caracteres son una parte de una imagen , un archivo de audio , un ejecutable , o un dato archivos, estos valores pueden serinterpretados como casi cualquier cosa. La razón por la que nuestros datos no es inmediatamente reconocible como algo que es lo que es depende del contexto en el que se interpreta . Sin el conocimiento exacto de los aportes esperados de una aplicación, un servidor de seguridad no puede determinar si esta entrada se intencionales o no , malicioso o benigno. Si las propias aplicaciones no pueden determinarcorrecto desde entrada incorrecta en algunos casos , ¿cómo puede un aparato externo?
En un contexto, nuestro código es bastante malicioso. Cuando se suministra en exactamente el lugar adecuado , en el marco de una cadena larga que se pasa a un búfer sin comprobar en la pila, que se puede interpretar como instrucciones de máquina que causan un cuadro de mensaje de Windows para que aparezca en laaplicación afectada ( véase la Figura 1.1). Tal vez un cuadro de mensaje no es tan malicioso. Sin embargo, los fragmentos de tamaño similar de código de máquina se pueden hacer algunas cosas muy maliciosos , incluyendo el formato de la unidad de disco o bootstrapping funcionalidad adicional.
Sin el conocimiento específico de la vulnerabilidad de desbordamiento de búfer y en profundidad elconocimiento del estado de la aplicación de lectura de estos datos, un servidor de seguridad no tiene esperanza de proteger el sistema vulnerable. Lo mismo puede decirse de muchos otros add-on de protección de software que tienen la tarea casi imposible de remendar genéricamente contra fallas de software.
Nuestra única esperanza es, entonces, para hacer frente a las vulnerabilidades en su raíz: enel software. seguridad es un problema que necesita ser abordado de todo corazón por los desarrolladores de software y probadores y que es un problema que debe ser abordado por el desarrollo organización y no sólo empujó a las operaciones. Pero, existen obstáculos. El software comunidad de desarrollo ha sido testigo de una ola de nuevos paradigmas de programación, metodologías y entornos dedesarrollo, y aún así el número de fallos de seguridad en el software se ha incrementado sustancialmente en los últimos años. La Figura 1.2 muestra el número de nuevas vulnerabilidades reportadas al CERT 1999-2003.
La gráfica de la figura 1.2 muestra el número de nuevas vulnerabilidades reportadas en software duplicando anualmente de 1999 a 2002, y las vulnerabilidades de software fueron...
SEGURIDAD COMO UNA LLAMADA A LA ACCIÓN PARA DESARROLLADORES
Si estos caracteres se interpretan como valores ASCII (texto) , tenemos el siguiente
cadena:
Si estos caracteres son una parte de una imagen , un archivo de audio , un ejecutable , o un dato archivos, estos valores pueden serinterpretados como casi cualquier cosa. La razón por la que nuestros datos no es inmediatamente reconocible como algo que es lo que es depende del contexto en el que se interpreta . Sin el conocimiento exacto de los aportes esperados de una aplicación, un servidor de seguridad no puede determinar si esta entrada se intencionales o no , malicioso o benigno. Si las propias aplicaciones no pueden determinarcorrecto desde entrada incorrecta en algunos casos , ¿cómo puede un aparato externo?
En un contexto, nuestro código es bastante malicioso. Cuando se suministra en exactamente el lugar adecuado , en el marco de una cadena larga que se pasa a un búfer sin comprobar en la pila, que se puede interpretar como instrucciones de máquina que causan un cuadro de mensaje de Windows para que aparezca en laaplicación afectada ( véase la Figura 1.1). Tal vez un cuadro de mensaje no es tan malicioso. Sin embargo, los fragmentos de tamaño similar de código de máquina se pueden hacer algunas cosas muy maliciosos , incluyendo el formato de la unidad de disco o bootstrapping funcionalidad adicional.
Sin el conocimiento específico de la vulnerabilidad de desbordamiento de búfer y en profundidad elconocimiento del estado de la aplicación de lectura de estos datos, un servidor de seguridad no tiene esperanza de proteger el sistema vulnerable. Lo mismo puede decirse de muchos otros add-on de protección de software que tienen la tarea casi imposible de remendar genéricamente contra fallas de software.
Nuestra única esperanza es, entonces, para hacer frente a las vulnerabilidades en su raíz: enel software. seguridad es un problema que necesita ser abordado de todo corazón por los desarrolladores de software y probadores y que es un problema que debe ser abordado por el desarrollo organización y no sólo empujó a las operaciones. Pero, existen obstáculos. El software comunidad de desarrollo ha sido testigo de una ola de nuevos paradigmas de programación, metodologías y entornos dedesarrollo, y aún así el número de fallos de seguridad en el software se ha incrementado sustancialmente en los últimos años. La Figura 1.2 muestra el número de nuevas vulnerabilidades reportadas al CERT 1999-2003.
La gráfica de la figura 1.2 muestra el número de nuevas vulnerabilidades reportadas en software duplicando anualmente de 1999 a 2002, y las vulnerabilidades de software fueron...
Leer documento completo
Regístrate para leer el documento completo.