viernes, 12 de marzo de 2010

Bitácora de PSI.: Cuidado con la avispa (ver 2.0)

Entre otras muchas cosas, se presenta el proyecto de seguridad en aplicaciones web OWASP. También se pregunta por la mascota de dicho proyecto. Hormigas!!!, más bien avispa (-:

Recomiendo la lectura de OWASP TOP 10-2010 (the ten most critical web application security risks) (son 20 páginas). Puedes ampliar mucha de esta información en otros recursos OWASP o en diversas fuentes.

También se incluye una referencia a la ofuscación de URLs como complemento a una entrada de "security art work" dedicada al XSS.

Hemos visto las típicas fases de una intrusión, y las principales características de cada una de ellas. Como en la vida misma, la ocultación es el fenómeno que predomina en todas ellas.

Se introducen y definen las medidas básicas de seguridad (técnicas de ocultación, parcheo a todos los niveles, “firewalls”, tcp-wrappers, IDSs, honeys, herramientas de auditoría, de integridad, analizadores de vulnerabilidades, pen test, etc.).

En cuanto a la formación que todo profesional debe seguir a lo largo de la totalidad de su existencia, es bastante lamentable asistir a cursos de empresa, repletos de profesionales, y comprobar la forma en la que muchos de ellos se enfrentan a sus complejos; o se limitan a callar, y por lo tanto pierden la característica natural de la curiosidad, del aprendizaje, o por el contrario, se dedican a hacer intervenciones orientadas a tratar de demostrar lo guapos, altos y superdotados que son.

Afortunadamente también existen profesionales con una constante curiosidad por la tecnología, con ganas de "saber" y "saber hacer", que se enfrentan a los problemas con una gran naturalidad y sentido común. Sin duda alguna, nuestro objetivo principal debe ser el llegar a ser uno de ellos. Aunque viendo el comportamiento de muchos de los alumnos de PSI, cada día tengo más claro que han llegado a este nivel. Cuando decidí plantear pruebas-propuestas optativas en máquina no me imaginaba una respuesta como la que estoy teniendo. Es de agradecer. ¿En qué momento perdemos esas ganas de saber?. Tal vez cuando nos percatamos que ascender en nuestros entornos profesionales depende mucho más de otros factores, que de las habilidades-capacidades técnicas-profesionales. Y recuerda que este camino no es fácil, y aunque en algún momento nos podamos desviar de la senda hacia el "lado oscuro", no dudar nunca en volver a ella lo antes posible. Siempre hay muchos caminos, y el más corto suele ser el más aburrido.

Para terminar, se ha hablado de un informe de seguridad remitido por John Isiman, colaborador de la asignatura, en el que analiza la problemática existente en muchas redes de comunicaciones. Como ejercicio, plantead mecanismos de seguridad para la problemática propuesta por John.

--
Los mecanismos de seguridad son como las telarañas, que atrapan a los mosquitos y dejan pasar a las avispas