“Application Security” con Microsoft SDL

El otro día estaba en una entrevista de trabajo en el que me preguntaban si tenía experiencia en metodologías de desarrollo seguro de software. Tras salir de allí pensé que nunca había escrito por aquí sobre ese tema y es algo que me costó encontrar cuando me quise enfrentar al reto de asimilarlo. Es por eso que os traigo la primera de varias entradas, ¡espero que os gusten!

Cuando trabajas como responsable de seguridad, participar en los procesos de desarrollo de software es una de las tareas en las que tienes que dar lo máximo.

Como es lógico, las aplicaciones estarán expuestas a todo tipo de usuario. Puede que sean para uso interno (limitando un poco la exposición) o pueden estar abiertas al mundo, pero siempre serán un objetivo para los fallos “espontáneos” o “buscados” de seguridad.

En la forma de trabajo que hemos tenido hasta “hace cuatro días”, se desarrollaba siguiendo un modelo Waterfall, el que se daba (se sigue dando?) en la Universidad en la que todo tenía una secuencia inalterable basada en:

  • Toma de requisitos
  • Diseño
  • Desarrollo
  • Pruebas
  • Mantenimiento (tras lanzamiento)

Todo muy encorsetado, siendo complicado arreglar ciertos problemas o añadir nuevos requisitos sobre la marcha. Es cierto que se logra una mejora al añadir la implementación de prototipos, lo que podría verse como un leve precursor del modelo agile.

En cualquier caso, utilizar este modelo ha llevado en muchas ocasiones a algo parecido al extreme programming donde se termina por lanzar a la papelera el diseño y los requisitos para realizar desarrollos inmersos en un éxtasis de locura, infinidad de horas y mucho café.

El problema de este tipo de forma de trabajar es que da lugar a todo tipo de fallos de seguridad, sobre todo en viejos modelos de pruebas de seguridad “binarios”, lo que se traduce en “si da tiempo hago alguna prueba y si no…, pues no”.

Como podrás entender, en un mundo en el que cada vez hay más tecnología, en el que todo está conectado y en el que los problemas de seguridad pueden arruinar literalmente negocios y grandes empresas, esa forma de desarrollar ya no es viable.

Microsoft y la seguridad

La multinacional de Redmond archiconocida por el sistema operativo Windows, desde hace años colabora de forma sistemática con gobiernos y organizaciones en la búsqueda de las mejores prácticas en materia de ciberseguridad.

Una muestra de esto es su definición del ciclo de vida de desarrollo seguro, más conocido como Microsoft SDL, que se estableció internamente para todos los desarrollos desde el año 2.004.

Como ejemplo, podemos ver cómo los productos Microsoft han mejorado sustancialmente con respecto a los fallos graves de seguridad detectados antes y después de la puesta en práctica del modelo.

Figura 1 – Boletines de seguridad importantes y críticos de Windows antes y después del SDL

Figura 2 – Boletines de seguridad de SQL Server 2000 antes y después del SDL

Figura 3 – Boletines de seguridad para Exchange Server 2000 antes y después del SDL

Introducción a Microsoft SDL

La metodología que nos presenta Microsoft SDL se basa en tres conceptos principales que tendremos que tener siempre en cuenta:

Formación: todos los roles tanto técnicos como de gestión dentro de un proyecto deben estar debidamente formados en seguridad. Puesto que cada día aparecen nuevas vulnerabilidades y nuevos ataques, la formación debe ser continua en el tiempo y de la mejor calidad posible.

Mejora continua: es importante comprender la causa y el efecto de cada vulnerabilidad para evaluar de forma periódica todos los procesos, así podremos implementar los cambios que sean necesarios.

Responsabilidad: será muy importante archivar toda la información necesaria para realizar el mantenimiento de una aplicación cuando aparezcan los problemas. Tener un plan de detección y respuesta ante incidentes de seguridad nos permitirá poner en movimiento a todas las partes implicadas en el mismo.

Es por eso que el modelo de Microsoft SDL se estructura en cinco áreas de capacidades alineadas con las fases clásicas de desarrollo de software:

  • Formación, directivas y capacidades organizativas
  • Requisitos y diseño
  • Implementación
  • Comprobación
  • Lanzamiento y respuesta

Con el paso del tiempo y la creciente utilización de metodologías ágiles, Microsoft ha implementado una versión especial del SDL para este tipo de forma de desarrollar. Dicho modelo lo iremos viendo en las próximas entradas.

¿Te lo vas a perder?

IDGSecurity

SecurityInside Live: IDGSecurity 2018

El proceso de transformación digital que están abordando las empresas y la sociedad, de forma generalizada, obliga a operar en un entorno diferente y, aunque es cierta la gran oportunidad que se abre tanto en el mundo de los negocios como en la sociedad, hay que ser conscientes de los riesgos. La Ciberseguridad se ha posicionado como el eje de cualquier proyecto de transformación y en la mayor preocupación tanto de CEO, como de CIO y CISO. Ya no se trata solo de proteger sino de ser proactivos y ser capaces de detectar y responder a los ataques de la forma más inmediata posible.

Leer más

SecurityInside Live: CyberCamp 2017

CyberCamp es el gran evento de ciberseguridad que INCIBE organiza anualmente con el objetivo de identificar, atraer, gestionar y en definitiva, ayudar a la generación de talento en ciberseguridad que sea trasladable al sector privado, en sintonía con sus demandas. Esta iniciativa es uno de los cometidos que el Plan de Confianza en el ámbito Digital, englobado dentro de la Agenda Digital de España, encomienda a INCIBE.

CyberCamp 2017 se celebra en el Palacio de Exposiciones y Congresos de Santander, del 30 de noviembre al 3 de diciembre de 2017. El principal objetivo de CyberCamp es identificar, atraer e impulsar a todos aquellos que tengan talento en materia de ciberseguridad:

  • Identificar trayectorias profesionales de los jóvenes talentos.
  • Llegar a las familias, a través de actividades técnicas, de concienciación y difusión de la ciberseguridad para todos.
  • Despertar e impulsar el talento en ciberseguridad mediante talleres y retos técnicos.

Si no puedes asistir, no te preocupes ya que emiten los Talleres y Conferencias en directo a través de videostreaming:

 

Leer más

Ransomware (¿seguro que tu empresa no está en peligro?)

Lamentablemente, nos estamos acostumbrando a ver noticias constantes de ciberataques desde hace ya demasiado tiempo. Parece que la gente tomó conciencia del problema tras el ataque hace unos meses del ransomware WannaCry gracias a su alta repercusión sobre Telefónica, los centros NHS del Reino Unido y otras organizaciones de todo el mundo (de hecho, las ofertas de empleo se triplicaron en la bandeja de entrada de LinkedIn…).

Es evidente que la amenaza planteada por los ciberdelincuentes está en constante evolución, ya que casi a diario se lanzan nuevos tipos de malware cada vez más inteligentes. De hecho, desde entonces hemos visto múltiples ataques a gran escala en Europa, paralizando los sistemas de información sin discreción.

Todo el espectro de pymes y grandes empresas han sido víctimas de los brotes de WannaCry, de hecho hemos visto como empresas de toda Europa fueron atacadas por un ataque ransomware conocido como “Bad Rabbit”.

¿Pero esto pasa mucho?

Es habitual pensar que son las empresas más grandes con marcas conocidas las que están más expuestas a estos ataques, ya que poseen una gran cantidad de datos, lo que podría ser un objetivo claro para los ciberdelincuentes. Pero en realidad las empresas más pequeñas son más vulnerables a los ciberataques, ya que no cuentan con los recursos, tecnología y formación necesarios para prevenirlos.

El informe sobre el estado global de seguridad de la información de PwC indica que las empresas tienen que desembolsar un promedio de 980.000 € cada año como resultado de violaciones de seguridad cibernética.

Con menos recursos, muchas PYMES corren el riesgo de fracasar si no hacen más para protegerse.

Para hacernos una idea, una encuesta de violaciones de seguridad de la empresa EY indicaba que una cuarta parte de las empresas se ven afectadas por una violación de la seguridad cibernética cada mes. No debemos tomarlo como un dato exacto, pero debería servir como una señal de advertencia para las empresas tanto grandes como pequeñas.

¿Cómo me protejo?

A las PYMES no les queda más remedio que aumentar el presupuesto de defensa de seguridad cibernética, pero mientras eso ocurre, al menos deberían pensar en:

  • Asegurarse de haber instalado software antivirus y antimalware en todos los dispositivos de la organización.
  • Adquirir software de forma legal y, por supuesto, asegurarse de instalar regularmente cada actualización.
  • Teniendo en cuenta que la gran mayoría de los ciberataques son el resultado de un error humano, asegurarse de capacitar a su personal sobre cómo evitar que el negocio sea vulnerable a los ataques.
  • Echar un vistazo a los consejos de SecurityInside.info para PYMES sin dinero.

La mejor opción es emplear expertos

Las empresas que no lo tengan, deberían considerar la contratación de profesionales que tengan la experiencia para defenderse de estos ataques. Hay un número creciente de empresas a las que pueden subcontratar, en caso de que no tengan los fondos para contratar a un Responsable de Seguridad.

En cualquier caso, está claro que el problema está ahí y ha venido para quedarse. Como empresa o PYME no puedes quedarte esperando, el momento de actuar es ahora.

La webcam no deja de mirarme… ¿la tapo?

A pesar de que a día de hoy existe todavía gente que no cree en estas cosas, el espionaje vía webcam es un hecho que ocurre a diario. Atrás quedaron las películas de suspense o los mitos urbanos donde se asustaba a los usuarios de pc para que hicieran un uso responsable de éstos. La webcam no es sólo una herramienta de la que tú dispones, sino que puede ser interceptada, robada o controlada por alguien que accede ilegalmente a tu ordenador. Y, casi aún más importante, también en tu móvil.

Y es que el espionaje no existe sólo en las teorías conspiratorias que hablan sobre Gobiernos que observan a su población. Hace años ya conocimos la noticia de que se usaba el espionaje por webcam para recabar información sobre los usuarios del portal Yahoo en el Reino Unido.

El espionaje va mucho más allá en la actualidad. Ahora, cualquier persona que quiera sacar información puede tener una razón más que suficiente para intentar hacerse con el control de tu cámara. Podrá ser una persona de tu entorno que busca chantajearte, un acosador que quiere observarte o sencillamente un personaje anónimo de internet que pretende conseguir dinero a cambio de información confidencial.

Todo esto toma especial relevancia cuando hablamos de chantaje a menores. Yo soy padre, me preocupa mucho este problema y quiero poner las medidas necesarias para cuando mi enana mayor quiera ser parte activa de las redes sociales.

Pero, ¿cómo sé si me están espiando por mi webcam?

Aunque no es la única manera, puedes poner atención a estos consejos:

  • Luz webcam encendida. No hace falta ser un genio con ésta: si la webcam tiene la luz encendida y tú no estás usándola, ya sabes que hay alguien más que sí lo está haciendo. Pero ojo, algunos ciberdelincuentes saben saltarse ese paso y podrán espiarte por tu webcam sin que la luz se encienda.
  • Mensajes sospechosos, aunque existe la posibilidad de que te espíen sin más, lo normal es que quien lo hace intente sacar algo a cambio. Si no la conoces, te invito a leer la historia de Taylor Cooper a quien chantajearon a través de Facebook, engañándole para que mostrara imágenes íntimas por la webcam. Poco después, se encontró con que dichas imágenes circulaban por Youtube y le pedían mucho dinero si no quería que llegaran a su familia.

La privacidad en internet es un tema complicado, todos tenemos que tener cuidado con las cosas que mostramos en una conversación privada, porque algún día podrían dejar de serlo.

Entonces, ¿cómo evito que me espíen por la Webcam?

  • Escoge un buen antivirus. La exploración que suelen ofrecer para buscar software sospechoso podría advertirte de que alguien está entrando en tu ordenador para espiarte por la webcam, para espiar tu actividad, …
  • Desconecta la webcam. Evidentemente, si está integrada en tu ordenador esta opción no es la más adecuada, y si no lo está podrás pensar que es un fastidio tener que desconectarla cada vez que la usas. El que debe valorar el riesgo es el propio usuario, y por tanto, la elección también es suya. Algunas aplicaciones te permitirán bloquear tu webcam si está integrada en tu ordenador.
  • Tapa la webcam. Ésta es la forma más sencilla de protegerte. Si usas una webcam externa, gírala hacia la pared o tápala con algún objeto, y si está integrada en tu ordenador una simple pegatina bastará para taparla. Así, en caso de que alguien finalmente acceda remotamente a tu ordenador, sólo conseguirá ver una buena pantalla en negro.

Que los ciberdelincuentes están ahí es algo que deberíamos aceptar como inevitable y por tanto deberíamos encarar nuestras acciones a que no nos conviertan en víctimas de chantajes o robos de información. De esta forma, conseguiremos hacer un uso responsable de nuestra webcam, navegando por internet con la tranquilidad de quien se sabe en puerto seguro.