A què et recorda aquesta història? Treballes com a developer en un projecte de disseny i implementació de software. Els terminis d’entrega són ajustats i, en conseqüència, es preveu un període curt per crear l’aplicació, en el que s’implica a un equip de gran dimensió; i un temps llarg de manteniment, en el que només dues o tres persones es dedicaran a solucionar els problemes que sorgeixin a posteriori. Per descomptat, amb unes dates límit tan draconianes, perquè el projecte tiri endavant es va podant tot el superflu. Les conseqüències? Adéu a les pràctiques de desenvolupament segur de software, i hola a un futur en el qual el nou software serà carn de canyó dels ciberatacs.
Descuidar la seguretat informàtica en aquests processos no és cap ximpleria. L’informe Cost of a Data Breach Report 2019 del Ponemon Institute para IBM, subratlla que posar coto a un biaix de dades infligeix una feria de 3,9 milions de dòlars de mitja a les finances de l’empresa que la pateix. A més a més, l’estudi quantifica en 279 el nombre de dies necessaris per identificar i solucionar aquest error de seguretat.
Per evitar escenaris com aquest existeixen les tècniques de desenvolupament segur de software.
Què és el desenvolupament segur de software?
El desenvolupament segur de software és un model de treball que es basa en la realització de revisions de seguretat continuades del projecte en construcció, inclús des de les seves fases inicials i abans que s’escrigui una sola línia de codi. Aquestes proves se centren a descobrir i corregir qualsevol error en una etapa primerenca, i comprenen tests d’autentificació, autorització, confidencialitat, no repudi, integritat, estabilitat, disponibilitat o resiliència.
L’objectiu és, al cap i a la fi, assegurar-nos que impedirem l’accés al programa i a les dades emmagatzemades per part dels usuaris mancats de permisos.
Amenaces a tenir en compte de cara al desenvolupament segur de software
El desenvolupament segur de software es du a terme prenent mesures per combatre les amenaces informàtiques. Aquest tipus d’atacs maliciosos tenen com a finalitat comprometre l’activitat digital d’un conjunt de persones, causar un dany o robar, bé siguin diners o bé informació reservada.
La llista de ciberamanaces és llarga i es nodreix constantment de nous perills. Virus, troians, phishing, malware, bombes lògiques, screen scraping, amenaces avançades persistents (APT), ransomware, spyware... i seguint. Serveix en donar un cop d’ull a la web del projecte OWSAP, que actualitza contínuament el seu top 10 dels problemes de seguretat crítics per les aplicacions web.
Per part nostra, a BETWEEN volem posar l’accent a tres tipus d’atacs informàtics tremendament nocius que es puguin minimitzar mitjançant el desenvolupament segur de software:
- SQL Injection. Passa quan una tercera part insereix fragments de codi intrús en, per exemple, el camp d’entrada d’un formulari. Això li franquejarà l’accés a la base de dades de la víctima.
- XSS (Cross Site Scripting). Es basa en la injecció d’scripts dins d’una web fent servir HTML, JavaScript o un altre llenguatge de codificació. L’script s’executarà en el navegador del client amb la finalitat d’espiar les seves sessions, redirigint a llocs web corrosius, sostreure la seva informació personal o manipular la seva activitat.
- Atacs de denegació de serveis (DDoS). Tenen lloc quan una xarxa de dispositius llança un atac simultani, realitzant una sol·licitud massiva de peticions que el servei es veu incapaç d’atendre.
Metodologies pel desenvolupament segur de software
Les metodologies de desenvolupament segur de software situen la seguretat al centre del procés. Existeixen diferents models, concebuts per grans companyies, organitzacions nacionals i sota paradigmes de codi obert. A BETWEEN et parlem d’alguns dels més destacats:
- S-SDLC (Secure Software Development Life Cycle). Es basa a verificar els requisits de seguretat al llarg de les diferents fases de construcció del software: anàlisis, disseny, desenvolupament, proves i manteniment. Sobretot, durant les dues primeres, ja que gran part de les debilitats dels sistemes es generen fins i tot abans de començar les tasques de programació. Les claus del S-SDLC són l’atenció al detall, per afavorir la identificació immediata de les vulnerabilitats; i la millora continua.
- CLASP (Comprehensive Lightweight Application Security Process). Projecte de l’OWASP que estableix una sèrie d’activitats, rols i bones pràctiques dirigides a coordinar els processos de desenvolupament segur de software. L’organització OWASP CLASP s’assenta en cinc perspectives o vistes que aborden els conceptes generals d’aquesta metodologia, la distribució de funcions, la valoració de les activitats aplicables, la implementació d’aquestes activitats, i el llistat dels problemes que puguin donar lloc a l’aparició de vulnerabilitats.
- SSDF (Secure Software Development Framework). Iniciativa del NIST (National Institute of Standards and Technology de Estados Unidos), que proveeix indicacions per evangelitzar a l’organització sobre la importància de la seguretat informàtica; protegeix el software d’ús habitual davant hipotètics atacs; orquestrar un desenvolupament segur de software; i detectar i solucionar amb rapidesa qualsevol vulnerabilitat.
Qualsevol pas en fals pot desvelar dades personals o deixar un software a mercè de ments malintencionades. Per això, és imprescindible tenir presents les tècniques de desenvolupament segur de software en tot moment i en projectes de tota classe (desenvolupament WordPress, programes d’administració i comptabilitat, controladors de maquinària, banca online, etc.). Si et dediques professionalment a això, a BETWEEN tenim un lloc per tu! A la nostra llista de vacants hi ha la teva pròxima oportunitat laboral, no la deixis escapar!
