La seguridad del software está en el salvaje oeste (y va a hacer que nos maten)
La seguridad del software está en el salvaje oeste (y va a hacer que nos maten)
Publicado originalmente en CSO Online
Como hacker ético (semiretirado), profesional de la seguridad y friki informático en general, podría decirse que me importa mucho la tecnología. Me interesa saber cómo se creó, qué hace y cómo va a mejorar o hacer más eficiente algún aspecto de nuestras vidas. Siempre miro "bajo el capó" de los dispositivos y veo algunos de los mejores (y peores) ejemplos de código que existen. Hace poco, miré cómo mi sistema de aire acondicionado podía controlarse de forma remota con una aplicación de Android (imagina mi sorpresa cuando descubrí que cualquiera en la red WiFi podía controlar esa cosa sin ningún tipo de autenticación).
La seguridad de los programas informáticos es siempre una prioridad para mí, al igual que el peligro real que supone nuestro estilo de vida, cada vez más digital y de intercambio de información personal. Al fin y al cabo, nos encontramos en un territorio en gran medida no regulado, no supervisado y felizmente ignorado. Estamos en el Salvaje Oeste.
Como sociedad colectiva, no miramos bajo el capó de la tecnología que usamos cada día. Aunque series de televisión tan populares y aclamadas como Mr. Robot ayudan a la concienciación general, no somos conscientes de la seguridad... de hecho, la mayoría de nosotros no tiene ni idea de lo seguro que es el software dentro de la miríada de aplicaciones, servicios y cosas cada vez más conectadas que compramos y utilizamos. Ni siquiera es que confiemos intrínsecamente en ellos: simplemente no pensamos en ellos en absoluto.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo, Facebook, Target: todas y cada una de estas empresas de uso generalizado han sido víctimas de una filtración de datos. Sus vulnerabilidades de software fueron explotadas y millones y millones de registros de clientes quedaron expuestos. Estos ejemplos representan una fracción de las violaciones globales que han tenido lugar en los últimos diez años. Son una costosa consecuencia de la escasa seguridad del software, que permite a los malos robar nuestra valiosa información.
Cuando la mayoría de la gente piensa en violaciones de datos, piensa en violaciones de la seguridad de la información, se entiende que son una pesadilla para la empresa violada y un inconveniente para aquellos cuyos datos personales se han visto afectados, pero en serio, ¿cuál es el problema? Si se sigue ignorando la seguridad, ¿son realmente tan grandes las consecuencias? Hasta ahora no ha ocurrido nada tan importante: las violaciones de datos tienen graves repercusiones para las empresas responsables de ellas, pero es su problema, ¿no? Pierden negocio, pierden la confianza de los consumidores; en última instancia, es su trabajo resolverlo y pagar los daños.
La seguridad del software debería ser la prioridad de toda organización.
Hay una razón bastante sencilla para explicar por qué la seguridad del software no es la preocupación número uno de todas las organizaciones con un equipo de desarrollo: todavía no han perdido la vida suficientes personas y no hay suficiente conocimiento sobre los riesgos.
¿Morbo? Tal vez. Pero es la pura verdad. La reglamentación, las normas de construcción y la atención que se presta a la ley (como la de, por ejemplo, los organismos gubernamentales) se produce cuando hay un coste humano real.
Por ejemplo, un puente. Los ingenieros civiles (una profesión con cientos de años de antigüedad) consideran que la seguridad es una parte fundamental de la construcción de un puente. Su enfoque va mucho más allá de la estética y la funcionalidad básica. Todos los puentes que se construyen deben cumplir estrictas normas de seguridad, y tanto la profesión de ingeniero civil como la sociedad en su conjunto han aprendido con el tiempo a esperar un alto nivel de seguridad. Hoy en día, un puente que no cumple los requisitos de seguridad se considera peligroso e inutilizable. Esta es una evolución a la que tenemos que llegar dentro de la ingeniería de software.
A modo de ejemplo más moderno, echemos un vistazo a la industria del juguete. En la década de 1950 se produjo un gran aumento de la producción y las ventas de juguetes gracias al baby boom de la posguerra. Curiosamente, también se informó de que el número de visitas a las salas de urgencias por incidentes relacionados con los juguetes había aumentado durante esta época. Las flechas de los juguetes provocaban lesiones en los ojos, los juguetes pequeños (y las piezas desmontables de los juguetes más grandes) se ingerían, y los hornos de juguete comercializados para las niñas eran capaces de calentarse a temperaturas más altas que los hornos domésticos normales.
Era una especie de "salvaje oeste", con poca regulación, salvo algunas prohibiciones aisladas y retiradas de productos en las circunstancias más graves. Los fabricantes de juguetes eran básicamente libres de producir los juguetes que quisieran, y cualquier preocupación por la seguridad solía señalarse cuando ya se habían producido varios incidentes. No fue hasta que se aprobaron proyectos de ley como la Ley de Seguridad de los Juguetes de Richard Nixon de 1969, que las pruebas y la posterior prohibición de los juguetes peligrosos se convirtieron en una norma, tanto en Estados Unidos como en el resto del mundo. Aunque siguen ocurriendo accidentes, hoy en día el proceso general de fabricación de juguetes adopta una política de "seguridad ante todo", y nuestros hijos corren mucho menos peligro potencial.
En la seguridad del software, ahora mismo estamos en el salvaje oeste. Aparte de las leyes y reglamentos obvios en relación con la privacidad (especialmente recientemente con el GDPR) y la protección de los datos de los clientes, así como la legislación obligatoria de notificación de infracciones en algunos países, se dice y se hace muy poco en la corriente principal de las empresas o la comunidad sobre el nivel de seguridad incorporado en el software. Incluso esas leyes se relacionan más con la responsabilidad de la empresa que con el software real que se regula, o con el hecho de tener un estándar de seguridad obligatorio que cumplir.
Llegaremos allí, pero puede que primero haya que recorrer un camino de destrucción.
Gartner estima que habrá 8.400 millones de dispositivos conectados a Internet en uso en 2020; una cifra que representa un aumento del 31% desde 2016. Esto incluye la electrónica de consumo, así como cosas como dispositivos médicos y equipos específicos de la industria. Eso es un montón de oportunidades para un hacker.
Imagina que el software que ejecuta el marcapasos de alguien es inseguro. Un hacker podría entrar y potencialmente detener el corazón de su víctima (¿crees que es ridículo? Los médicos deshabilitaron el WiFi del marcapasos de Dick Cheney para impedir un posible asesinato mediante piratería informática). Un microondas o un hervidor de agua conectados podrían explotarse a distancia (junto con todo tipo de dispositivos de la Internet de las Cosas de los que disfrutamos en nuestros hogares), o se podrían desactivar los frenos de un coche eléctrico conectado. Puede parecer una película de acción de Hollywood, pero si el software de cualquiera de estas piezas avanzadas de tecnología conectada puede ser violado, realmente tenemos un desastre potencial en nuestras manos, al igual que las amenazas que ya hemos cubierto con las ramificaciones explosivas de los ciberataques en la industria del petróleo y el gas.
Podemos adelantarnos a las nefastas consecuencias de la piratería informática a medida que nuestras vidas se vuelven cada vez más dependientes de lo digital. Todo empieza por conseguir que los desarrolladores se entusiasmen con la codificación segura y se tomen en serio el desarrollo de una mentalidad y una cultura de seguridad sólidas en los equipos de desarrollo.
La revolución del software empieza aquí. El sector bancario está liderando la adopción de la formación gamificada en la lucha contra el código malicioso, en un enfoque verdaderamente innovador que da la vuelta a la formación tradicional (léase: aburrida). De hecho, cada uno de los seis principales bancos de Australia está involucrando a sus desarrolladores de esta manera, encendiendo su mentalidad de seguridad. Vea lo que nuestro cliente, IAG Group, hizo con su siguiente nivel tournament.
Pieter Danhieux
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Artículos relacionados que recomendamos
Artículos relacionados que recomendamos
Sumérjase en nuestras últimas ideas sobre codificación segura en el blog.
Nuestra amplia biblioteca de recursos tiene como objetivo potenciar el enfoque humano de la mejora de la codificación segura.
Obtenga las últimas investigaciones sobre la seguridad impulsada por los desarrolladores
Nuestra amplia biblioteca de recursos está repleta de recursos útiles, desde libros blancos hasta seminarios web, que le ayudarán a iniciarse en la codificación segura orientada a los desarrolladores. Explórela ahora.
La seguridad del software está en el salvaje oeste (y va a hacer que nos maten)
Publicado originalmente en CSO Online
Como hacker ético (semiretirado), profesional de la seguridad y friki informático en general, podría decirse que me importa mucho la tecnología. Me interesa saber cómo se creó, qué hace y cómo va a mejorar o hacer más eficiente algún aspecto de nuestras vidas. Siempre miro "bajo el capó" de los dispositivos y veo algunos de los mejores (y peores) ejemplos de código que existen. Hace poco, miré cómo mi sistema de aire acondicionado podía controlarse de forma remota con una aplicación de Android (imagina mi sorpresa cuando descubrí que cualquiera en la red WiFi podía controlar esa cosa sin ningún tipo de autenticación).
La seguridad de los programas informáticos es siempre una prioridad para mí, al igual que el peligro real que supone nuestro estilo de vida, cada vez más digital y de intercambio de información personal. Al fin y al cabo, nos encontramos en un territorio en gran medida no regulado, no supervisado y felizmente ignorado. Estamos en el Salvaje Oeste.
Como sociedad colectiva, no miramos bajo el capó de la tecnología que usamos cada día. Aunque series de televisión tan populares y aclamadas como Mr. Robot ayudan a la concienciación general, no somos conscientes de la seguridad... de hecho, la mayoría de nosotros no tiene ni idea de lo seguro que es el software dentro de la miríada de aplicaciones, servicios y cosas cada vez más conectadas que compramos y utilizamos. Ni siquiera es que confiemos intrínsecamente en ellos: simplemente no pensamos en ellos en absoluto.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo, Facebook, Target: todas y cada una de estas empresas de uso generalizado han sido víctimas de una filtración de datos. Sus vulnerabilidades de software fueron explotadas y millones y millones de registros de clientes quedaron expuestos. Estos ejemplos representan una fracción de las violaciones globales que han tenido lugar en los últimos diez años. Son una costosa consecuencia de la escasa seguridad del software, que permite a los malos robar nuestra valiosa información.
Cuando la mayoría de la gente piensa en violaciones de datos, piensa en violaciones de la seguridad de la información, se entiende que son una pesadilla para la empresa violada y un inconveniente para aquellos cuyos datos personales se han visto afectados, pero en serio, ¿cuál es el problema? Si se sigue ignorando la seguridad, ¿son realmente tan grandes las consecuencias? Hasta ahora no ha ocurrido nada tan importante: las violaciones de datos tienen graves repercusiones para las empresas responsables de ellas, pero es su problema, ¿no? Pierden negocio, pierden la confianza de los consumidores; en última instancia, es su trabajo resolverlo y pagar los daños.
La seguridad del software debería ser la prioridad de toda organización.
Hay una razón bastante sencilla para explicar por qué la seguridad del software no es la preocupación número uno de todas las organizaciones con un equipo de desarrollo: todavía no han perdido la vida suficientes personas y no hay suficiente conocimiento sobre los riesgos.
¿Morbo? Tal vez. Pero es la pura verdad. La reglamentación, las normas de construcción y la atención que se presta a la ley (como la de, por ejemplo, los organismos gubernamentales) se produce cuando hay un coste humano real.
Por ejemplo, un puente. Los ingenieros civiles (una profesión con cientos de años de antigüedad) consideran que la seguridad es una parte fundamental de la construcción de un puente. Su enfoque va mucho más allá de la estética y la funcionalidad básica. Todos los puentes que se construyen deben cumplir estrictas normas de seguridad, y tanto la profesión de ingeniero civil como la sociedad en su conjunto han aprendido con el tiempo a esperar un alto nivel de seguridad. Hoy en día, un puente que no cumple los requisitos de seguridad se considera peligroso e inutilizable. Esta es una evolución a la que tenemos que llegar dentro de la ingeniería de software.
A modo de ejemplo más moderno, echemos un vistazo a la industria del juguete. En la década de 1950 se produjo un gran aumento de la producción y las ventas de juguetes gracias al baby boom de la posguerra. Curiosamente, también se informó de que el número de visitas a las salas de urgencias por incidentes relacionados con los juguetes había aumentado durante esta época. Las flechas de los juguetes provocaban lesiones en los ojos, los juguetes pequeños (y las piezas desmontables de los juguetes más grandes) se ingerían, y los hornos de juguete comercializados para las niñas eran capaces de calentarse a temperaturas más altas que los hornos domésticos normales.
Era una especie de "salvaje oeste", con poca regulación, salvo algunas prohibiciones aisladas y retiradas de productos en las circunstancias más graves. Los fabricantes de juguetes eran básicamente libres de producir los juguetes que quisieran, y cualquier preocupación por la seguridad solía señalarse cuando ya se habían producido varios incidentes. No fue hasta que se aprobaron proyectos de ley como la Ley de Seguridad de los Juguetes de Richard Nixon de 1969, que las pruebas y la posterior prohibición de los juguetes peligrosos se convirtieron en una norma, tanto en Estados Unidos como en el resto del mundo. Aunque siguen ocurriendo accidentes, hoy en día el proceso general de fabricación de juguetes adopta una política de "seguridad ante todo", y nuestros hijos corren mucho menos peligro potencial.
En la seguridad del software, ahora mismo estamos en el salvaje oeste. Aparte de las leyes y reglamentos obvios en relación con la privacidad (especialmente recientemente con el GDPR) y la protección de los datos de los clientes, así como la legislación obligatoria de notificación de infracciones en algunos países, se dice y se hace muy poco en la corriente principal de las empresas o la comunidad sobre el nivel de seguridad incorporado en el software. Incluso esas leyes se relacionan más con la responsabilidad de la empresa que con el software real que se regula, o con el hecho de tener un estándar de seguridad obligatorio que cumplir.
Llegaremos allí, pero puede que primero haya que recorrer un camino de destrucción.
Gartner estima que habrá 8.400 millones de dispositivos conectados a Internet en uso en 2020; una cifra que representa un aumento del 31% desde 2016. Esto incluye la electrónica de consumo, así como cosas como dispositivos médicos y equipos específicos de la industria. Eso es un montón de oportunidades para un hacker.
Imagina que el software que ejecuta el marcapasos de alguien es inseguro. Un hacker podría entrar y potencialmente detener el corazón de su víctima (¿crees que es ridículo? Los médicos deshabilitaron el WiFi del marcapasos de Dick Cheney para impedir un posible asesinato mediante piratería informática). Un microondas o un hervidor de agua conectados podrían explotarse a distancia (junto con todo tipo de dispositivos de la Internet de las Cosas de los que disfrutamos en nuestros hogares), o se podrían desactivar los frenos de un coche eléctrico conectado. Puede parecer una película de acción de Hollywood, pero si el software de cualquiera de estas piezas avanzadas de tecnología conectada puede ser violado, realmente tenemos un desastre potencial en nuestras manos, al igual que las amenazas que ya hemos cubierto con las ramificaciones explosivas de los ciberataques en la industria del petróleo y el gas.
Podemos adelantarnos a las nefastas consecuencias de la piratería informática a medida que nuestras vidas se vuelven cada vez más dependientes de lo digital. Todo empieza por conseguir que los desarrolladores se entusiasmen con la codificación segura y se tomen en serio el desarrollo de una mentalidad y una cultura de seguridad sólidas en los equipos de desarrollo.
La revolución del software empieza aquí. El sector bancario está liderando la adopción de la formación gamificada en la lucha contra el código malicioso, en un enfoque verdaderamente innovador que da la vuelta a la formación tradicional (léase: aburrida). De hecho, cada uno de los seis principales bancos de Australia está involucrando a sus desarrolladores de esta manera, encendiendo su mentalidad de seguridad. Vea lo que nuestro cliente, IAG Group, hizo con su siguiente nivel tournament.
