seguridad informatica
Páginas: 9 (2021 palabras)
Publicado: 29 de agosto de 2013
Inseguridad en las
aplicaciones
Gerente Consultoría
Índice de la presentación
• Introducción, Mitos, Antecedentes
• Fallas mas conocidas
• Herramientas para buscar fallas en las
aplicaciones
• Métricas
• Conclusiones
• Bibliografía
Introducción
Mitos
• 1) Nuestros productos en software son libres de
errores y seguros desde el diseño!
• 2) Los clientes pagamos por lafuncionalidad no
por la seguridad!
• 3) la seguridad es algo que esta implícito en el
desarrollo de software!
• 4) La seguridad debe ser explícitamente
requerida por el cliente!
Introducción
• Uno de los primeros estudios (1976) en
seguridad de aplicaciones y privacidad de
la información en sistemas operativos se
denomino el proyecto RISOS del inglés
“Research Into Secure OperatingSystems” [1].
Proyecto RISOS (2/3)
1. Validación incompleta de parámetros
2. Validación inconsistente de parámetros
3. Exceso de confianza al compartir
privilegios y datos confidenciales en
forma implícita
4. Validación asincrónica e Inadecuada
serialización de datos
Proyecto RISOS (3/3)
5. Inadecuada Identificación, Autenticación y
Autorización
6. Pocas prohibiciones a lasviolaciones y
bajos controles en límites de recursos
7. Posibilidad de aprovechamiento de
errores de lógica en el código
Introducción
• Hoy encontramos una clasificación
sistemática de la “seguridad de las
aplicaciones” mucho más compleja por la
evolución del web, algunas fuentes
interesantes son:
Taxonomía Fortify (1/4):
• Taxonomía Fortify [2] que la clasifica en
las siguientescategorías:
• Validación de entrada y de
representación de datos
• Abuso de los API
Taxonomía Fortify (2/4):
• Características de Seguridad:
Autenticación, control de acceso,
criptografía, confidencialidad y control de
privilegios.
Taxonomía Fortify (3/4):
• Tiempo y el Estado: Tiene que ver con el
orden en que se comunican los entes en
la computación distribuida
• Errores: Unaaplicación que muestra
muchos errores a los posibles atacantes
Taxonomía Fortify (4/4):
• Calidad del código: Un atacante pondrá a
prueba rápidamente a una aplicación con
baja calidad
• Encapsulamiento: Diferentes aplicaciones
en un explorador no podrán compartir los
datos, es decir deben existir límites entre
los datos entre diferentes aplicaciones.
Estadísticas y
Antecedentes Algunas estadísticas
• El 92% de las vulnerabilidades están en el
software según NIST (Según: El Instituto
nacional de estándares y tecnología).
• En los últimos diez años se ha encontrado
que hay un crecimiento anual del 43% de
vulnerabilidades en las aplicaciones más
importantes según CERT.
Antecedentes
• Se dice según Lee Babin en “Beginning
Ajax with PHP” [3] que la superficiede
ataque en las aplicaciones se forma por
todos los puntos de entrada a la
aplicación.
Superficie de ataque
• Es decir cada punto de entrada a una
aplicación podría permitir que una
amenaza se aproveche de una
vulnerabilidad y así se materialice un
riesgo.
Soluciones (1/3)
• Es por esto que hay un alto crecimiento de
estándares y normas como la ISO27002:2005 donde se le dedica ala
seguridad de las aplicaciones todo un
dominio
Soluciones (2/3)
• Ahora la aparición de estándares
implementados en frameworks como el
OWASP generan madurez alrededor de la
seguridad de las aplicaciones.
Soluciones (3/3)
• OWASP (www.owasp.org), Open Web
Application Security Project
• OWASP es un proyecto abierto de
seguridad en aplicaciones Web
compuesto por una comunidadabierta a
nivel mundial enfocada en mejorar la
seguridad de las aplicaciones de software
Posible solución?
Fallas mas conocidas
Un resumen:
Validación de campos de
entradas de usuarios (1/8)
• Este es el error más frecuente en la
programación de las aplicaciones, el no
validar los caracteres especiales o meta
caracteres cuando el usuario esta
capturando datos en un formulario...
aplicaciones
Gerente Consultoría
Índice de la presentación
• Introducción, Mitos, Antecedentes
• Fallas mas conocidas
• Herramientas para buscar fallas en las
aplicaciones
• Métricas
• Conclusiones
• Bibliografía
Introducción
Mitos
• 1) Nuestros productos en software son libres de
errores y seguros desde el diseño!
• 2) Los clientes pagamos por lafuncionalidad no
por la seguridad!
• 3) la seguridad es algo que esta implícito en el
desarrollo de software!
• 4) La seguridad debe ser explícitamente
requerida por el cliente!
Introducción
• Uno de los primeros estudios (1976) en
seguridad de aplicaciones y privacidad de
la información en sistemas operativos se
denomino el proyecto RISOS del inglés
“Research Into Secure OperatingSystems” [1].
Proyecto RISOS (2/3)
1. Validación incompleta de parámetros
2. Validación inconsistente de parámetros
3. Exceso de confianza al compartir
privilegios y datos confidenciales en
forma implícita
4. Validación asincrónica e Inadecuada
serialización de datos
Proyecto RISOS (3/3)
5. Inadecuada Identificación, Autenticación y
Autorización
6. Pocas prohibiciones a lasviolaciones y
bajos controles en límites de recursos
7. Posibilidad de aprovechamiento de
errores de lógica en el código
Introducción
• Hoy encontramos una clasificación
sistemática de la “seguridad de las
aplicaciones” mucho más compleja por la
evolución del web, algunas fuentes
interesantes son:
Taxonomía Fortify (1/4):
• Taxonomía Fortify [2] que la clasifica en
las siguientescategorías:
• Validación de entrada y de
representación de datos
• Abuso de los API
Taxonomía Fortify (2/4):
• Características de Seguridad:
Autenticación, control de acceso,
criptografía, confidencialidad y control de
privilegios.
Taxonomía Fortify (3/4):
• Tiempo y el Estado: Tiene que ver con el
orden en que se comunican los entes en
la computación distribuida
• Errores: Unaaplicación que muestra
muchos errores a los posibles atacantes
Taxonomía Fortify (4/4):
• Calidad del código: Un atacante pondrá a
prueba rápidamente a una aplicación con
baja calidad
• Encapsulamiento: Diferentes aplicaciones
en un explorador no podrán compartir los
datos, es decir deben existir límites entre
los datos entre diferentes aplicaciones.
Estadísticas y
Antecedentes Algunas estadísticas
• El 92% de las vulnerabilidades están en el
software según NIST (Según: El Instituto
nacional de estándares y tecnología).
• En los últimos diez años se ha encontrado
que hay un crecimiento anual del 43% de
vulnerabilidades en las aplicaciones más
importantes según CERT.
Antecedentes
• Se dice según Lee Babin en “Beginning
Ajax with PHP” [3] que la superficiede
ataque en las aplicaciones se forma por
todos los puntos de entrada a la
aplicación.
Superficie de ataque
• Es decir cada punto de entrada a una
aplicación podría permitir que una
amenaza se aproveche de una
vulnerabilidad y así se materialice un
riesgo.
Soluciones (1/3)
• Es por esto que hay un alto crecimiento de
estándares y normas como la ISO27002:2005 donde se le dedica ala
seguridad de las aplicaciones todo un
dominio
Soluciones (2/3)
• Ahora la aparición de estándares
implementados en frameworks como el
OWASP generan madurez alrededor de la
seguridad de las aplicaciones.
Soluciones (3/3)
• OWASP (www.owasp.org), Open Web
Application Security Project
• OWASP es un proyecto abierto de
seguridad en aplicaciones Web
compuesto por una comunidadabierta a
nivel mundial enfocada en mejorar la
seguridad de las aplicaciones de software
Posible solución?
Fallas mas conocidas
Un resumen:
Validación de campos de
entradas de usuarios (1/8)
• Este es el error más frecuente en la
programación de las aplicaciones, el no
validar los caracteres especiales o meta
caracteres cuando el usuario esta
capturando datos en un formulario...
Leer documento completo
Regístrate para leer el documento completo.