Desarrollo de aplicaciones COBOL Seguridad | Secure Code Warrior

Parece casi cómico que en 2019 estemos hablando de trabajar con un lenguaje informático que se inventó en 1959. Hoy en día no hay demasiados seminarios o convenciones dedicados al arte de volver a enhebrar máquinas de coser Singer clásicas, o a cambiar el cárter de aceite de una Chevrolet Parkwood o una Triumph Herald. La mayoría de esas viejas herramientas hace tiempo que se jubilaron y se actualizaron con modelos nuevos y más eficientes. Sin embargo, aquí, en el país de la tecnología, que se supone que está a la vanguardia en comparación con otras industrias, seguimos trabajando con lenguajes como el COBOL, que salió al mercado por la misma época.

Por supuesto, hay muy buenas razones para ello. Puede que el Lenguaje Común Orientado a los Negocios (COBOL) tenga 60 años, pero estaba tan bien construido que sigue siendo relevante y de uso generalizado en la actualidad.

COBOL se creó como una forma relativamente sencilla, utilizando un lenguaje sencillo agrupado en frases y sintaxis específicas, de programar sistemas de fondo para realizar tareas matemáticas y fórmulas. ¿Por qué sigue existiendo hoy en día? Sencillamente, porque es muy bueno en su trabajo. En cierto sentido, se ha convertido en parte del tejido informático de muchos sistemas mainframe y core en industrias tan diversas como el sector financiero y la fabricación.

A lo largo de los años se han producido actualizaciones graduales de COBOL, sobre todo en 2002, cuando se convirtió en un lenguaje orientado a objetos para que la programación de nuevas aplicaciones fuera un poco más fluida. Pero, en su mayor parte, COBOL sigue siendo lo que era entonces: un héroe olvidado y un lenguaje de programación que funciona en el back-end para sustentar muchas aplicaciones modernas a nivel de mainframe.

¿Cómo de seguro es COBOL?

Desafortunadamente, no había mucho en el camino de las consideraciones de seguridad cuando COBOL fue creado por primera vez. Por ejemplo, muchas aplicaciones COBOL tienen un programa de contraseñas que las protege, pero casi nunca están reforzadas contra cosas como la protección de fuerza bruta para evitar el cracking. Si unimos esto al hecho de que muchas herramientas de seguridad modernas que supervisan el tráfico de la red no saben cómo tratar o evaluar las funciones que se producen dentro de los programas escritos en lenguajes empresariales como COBOL, tenemos un verdadero problema a punto de producirse. Un buen número de infracciones modernas han tenido éxito debido a la falta de supervisión de la seguridad de los sistemas que ejecutan lenguajes informáticos clásicos. En 2015, los datos de más de cuatro millones de empleados federales estadounidenses quedaron expuestos cuando la Oficina de Gestión de Personal (OPM) fue hackeada, y la culpa recayó en su uso de COBOL, citando la incapacidad de implementar medidas de seguridad modernas en un sistema tan arcaico.

Hace años, la seguridad corría a cargo de un ejército de programadores que conocían COBOL y otros lenguajes de moda de la época. En los años sesenta, COBOL era como el Java o el .Net de hoy, y los que lo conocían eran las estrellas del rock de sus departamentos. En 2019, es probable que esas personas se hayan retirado hace tiempo, aunque los sistemas que protegían no lo hayan hecho.

Ampliación de la primera línea de defensa de COBOL

Algunos de los llamados "barbas grises" volvieron a sus organizaciones como contratistas para defender los mismos mainframes en los que trabajaban antes. En más de un lugar, existían como una especie de anomalía: una cábala secreta de hechiceros envejecidos en algún rincón de la oficina, con su extraña vestimenta (corbatas anchas y trajes de tres piezas) y sus modales extrañamente educados que no encajaban con todos los modernos hipsters que lucían vaqueros ajustados y moños. Sin embargo, eran absolutamente necesarios, porque pocos programadores modernos escriben código en COBOL y otros lenguajes antiguos. Lamentablemente, incluso estos últimos centinelas de la magia se están desvaneciendo, y finalmente han renunciado al fantasma y se han trasladado a Boca Ratón, disfrutando de una verdadera jubilación.

Por lo tanto, hay una gran necesidad de personas que entiendan los lenguajes antiguos y las vulnerabilidades de seguridad que contienen. Incluso si los más jóvenes no saben escribir código en lenguajes clásicos, deberían al menos entender cómo funcionan y sus posibles vulnerabilidades. Porque mientras el desarrollo de COBOL ha permanecido relativamente estático, las amenazas que se ciernen sobre las redes han seguido evolucionando. Tratar de utilizar antiguas técnicas de ciberseguridad programadas hace sesenta años, como la mencionada aplicación de contraseñas COBOL, para defender un mainframe contra los atacantes modernos es como desplegar una falange de lanceros para luchar contra un pelotón de marines espaciales: si no se produce un milagro al estilo de Hollywood, la cosa acabará mal para los tipos de las lanzas.

No importa si es viejo o nuevo, también debe ser seguro.

Por eso creemos en la importancia de un sistema de formación avanzado que cubra una amplia gama de lenguajes y marcos de programación. Verás, uno de los problemas más evidentes de muchas opciones de formación en seguridad es que la información es simplemente demasiado genérica, o peor, completamente irrelevante en el trabajo diario del desarrollador que participa en ella. Pasar medio día aprendiendo sobre vulnerabilidades que sólo se aplican a Java no va a ayudar a un desarrollador de COBOL a fortificar su sistema, y sólo perpetúa la idea de la "seguridad" como un ejercicio de marcar la casilla para olvidarse de ella una vez que se ha completado el curso obligatorio. Podría añadir que formar a alguien en los fallos de seguridad de Java no siempre es aplicable para un desarrollador de Java Spring. La codificación segura es simplemente diferente en cada lenguaje, incluso hasta el nivel de framework.

En nuestra misión de capacitar a todos los desarrolladores para que se conviertan en superhéroes de la seguridad, no vamos a pasar por alto un lenguaje informático válido que todavía se utiliza en algunas de las instalaciones más específicas y críticas del mundo. Al explorar nuestra plataforma, encontrará retos y formación modernos y prácticos relacionados con COBOL que se ofrecen junto con algunas de las herramientas de programación más modernas disponibles en la actualidad, como Googles Golang. Esta flexibilidad garantiza que la formación sea relevante para un individuo y contextual, imitando su entorno de trabajo para lograr el máximo compromiso y eficacia. Después de todo, la creación de una cultura de seguridad sólida es primordial en la lucha contra las ciberamenazas, por lo que la formación debe ser práctica (y divertida, por supuesto).

Queremos que nuestro sector llegue a la fase en la que no importe si las amenazas a la seguridad se producen contra sistemas que ejecutan lenguajes antiguos o contra las aplicaciones de movilidad más modernas. Queremos que todos los desarrolladores estén armados con la mejor información sobre esas vulnerabilidades, las herramientas y técnicas que utilizan los atacantes para explotarlas y cómo detenerlas en frío. Nunca nos rendiremos ni claudicaremos ante las amenazas de ciberseguridad. No importa lo modernas que sean las amenazas o las vulnerabilidades, siempre se puede recurrir a Secure Code Warrior para aprender a derrotarlas, siempre.

PD: ¿Cree que un lenguaje antiguo escapa a la susceptibilidad de la inyección SQL? Piénselo de nuevo. Vea si puede localizar y arreglar una en COBOL ahora mismo.