El projecte ideahamster ha publicat un manual amb una metodologia per a la programa segura d'aplicacions per a Internet. A més, anuncia la celebració d'un workshop a Barcelona sobre la metodologia de seguretat OSSTMM.
La metodologia per a la programació segura és un suplement de la metodologia de seguretat OSSTMM (Open Source Security Testing Methodology Manual) que facilita una sèrie d'estàndards per al desenvolupament de codi que haurà de ser publicat a Internet. Per tant des d'un principi es planteja la idea que aquest codi haurà d'estar preparat per a viure a un entorn altament hostil.
El manual desenvolupa les idees que hauran de considerar els programadors i dissenyadors d'aplicacions durant les fases de disseny i desenvolupament de les aplicacions.
Aquests conceptes es plantegen de forma universal per que puguin ser aplicats als diversos processos de desenvolupament, ja siguin manuals o automàtics i l'objectiu es poder assolits uns requeriments de seguretat que tinguin presents alhora la màxima productivitat del codi evitant-ne qualsevol possible mal ús que pugui provocar forats a la seguretat dels sistemes o les aplicacions.
Els aspectes sobre els que es fa èmfasi dins d'aquest manual són:
- Comprovació de les dades d'entrada.
- Protecció del procés.
- Control de les dades de sortida.
D'altra banda es fa una anàlisi dels diversos errors de programació que poden provocar forats de seguretat: desbordament de memòria intermèdia ("buffer overflow"), absència de control a les cadenes de caràcters, compromís remot i retenció de recursos.
Aquest manual ha estat publicat en anglès i castellà.
Workshop sobre la metodologia OSSTMM
El proper 22 de novembre es celebrarà a Barcelona un workshop sobre la metodologia de seguretat OSSTMM. Aquest workshop serà presentat per Pete Herzog (creador de la metodologia OSSTMM) i impartit en castellà per tres dels principals participants en el desenvolupament de la metodologia: Ángel Uruñuela, Jordi Martínez
i Miguel Ángel Domínguez.
L'objectiu d'aquest workshop és facilitar informació sobre la metodologia OSSTMM, la seva estructura i utilització en la realització de verificacions en profunditat de la seguretat, no només dels sistemes informàtics sinó d'altres elements clau com són les àrees de marketing, els recursos humans i la direcció.
En aquest sentit, el workshop oferirà una visió pràctica de la metodologia OSSTMM i la seva utilització en les valoracions de seguretat corporativa. Gràcies a la participació del creador de la metodologia i de destacats participants en el seu desenvolupament, els participants rebran una gran quantitat d'informació sobre la utilització real de la metodologia.
L'assistència al workshop és gratuïta i és d'especial interès no només per aquells que treballen directament en la realització de proves o auditories de seguretat sinó també per aquells que tenen interès en els aspectes organitzatius i estan preocupats per la implicació de la seguretat. La durada prevista és de mig dia.
Els interessats a participar al workshop cal que enviïn un missatge a workshop@ideahamster.org per tal de fer la reserva. Més endavant es facilitaran els detalls del lloc de celebració.
Més informació
Hispasec 27/04/01: Publicada una metodologia per a la verificació de la seguretat
http://www.quands.com/unaperdia/arxiu/20010427.html
Estàndard de programació segura
Versió en castellà
http://www.ideahamster.org/spsmmall-es.htm
Versió en anglès
http://www.ideahamster.org/spsmm.htm
Metodologia OSSTMM (Open Source Security Testing Methodology Manual)
http://www.ideahamster.org/osstmm-description.htm
Informació sobre el workshop
http://www.ideahamster.org/workshop.htm
Xavier Caballé
xavi@hispasec.com
|
