• Tweet

Construir aplicaciones seguras significa entender a los intrusos.

La mejor forma para desarrollar software o aplicaciones es poder defenderse de sí mismos en contra de ataques maliciosos, es tal y como piensa un intruso.

Más que sólo llegar a estar enterado de las vulnerabilidades en las aplicaciones, las cuales a menudo los intrusos explotan, un análisis de seguridad debería estribar en el entendimiento de los ataques actuales --el motivo, los métodos, las herramientas utilizadas, los resultados deseados--- y alimentar de esta información a los desarrolladores de aplicaciones para que así puedan defenderse y construir una aplicación robusta durante la fase de diseño, menciona Sean Barnum, consultor de la firma de aplicaciones de seguridad Cigital.

Barnum habló en la conferencia Black Hat DC 2007 realizada este martes sobre patrones de ataques, los cuales son descripciones detalladas de ataques específicos.

Menciona Barnum que “Los patrones de ataque son grandes guías para la implementación de código seguro y la validación del mismo”, “Uno necesita una buena una buena vista de la perspectiva del intruso para construir mejores defensas”.

Otra cosa que menciona Barnum, es que, cómo muchos diseños de patrones – las herramientas utilizadas por los desarrolladores para ayudar a resolver problemas recurrentes cuando escriben software – ayudan a los desarrolladores a comprobar que su código es seguro. Estas herramientas, más una combinación de diagramas y descripciones del código, ayudan a describir las técnicas que los intrusos podrían utilizar para romper las aplicaciones.

Mientras la información recolectada en un patrón de ataque es la más usada por los desarrolladores de aplicaciones, analistas de seguridad y otros profesionales de la seguridad están mejor equipados para crear un patrón.

Actualmente en el departamento de seguridad Homeland de los Estados Unidos (DHS) se esta iniciando un proyecto llamado “Clasificación y enumeración de patrones de ataque” (CAPEC, por sus siglas en Ingles), que tiene como objetivo, el recolectar y clasificar los patrones de ataque además de hacerlos disponibles para la comunidad de desarrolladores de software.

Barnum, quién está trabajando con el DHS sobre el proyecto, mencionó en un sitio de internet que próximamente habrá información acerca de la CAPEC en las siguientes semanas.