Seguridad en iOS según OWASP

Recomiendo con cierta frecuencia las chuletas del OWASP (OWASP Cheatsheets). Las hay de más nivel y menos, algunas que no se actualizan lo que deberían y no siempre está todo tan bien explicado como debería. Pero es una iniciativa muy interesante en la que normalmente contribuyen expertos que saben bastante de los temas de los que tratan y puede ser una puerta de entrada a más información.

En esta ocasión recomendamos: IOS Developer Cheat Sheet.
Por si alguna vez nos tenemos que acerca a un proyecto con estas tecnologías.

Actualización (2014-02-25): veo en Guía de Desarrollo Seguro de Apple un enlace justamente a eso: [pdf] Apple Secure Coding Guide y también Secure Coding Guide.

Anuncios

Plone y el OWASP Top 10

Me gustó Security overview of Plone porque da una panorámica rápida de como se supone que trata el conocido gestor de contenidos Plone cada una de las categorías de fallos de seguridad que manejaba el OWASP en ese momento.

Pistas sobre criptografía y otros

Como decíamos el otro día en Pistas sobre autentificación en aplicaciones web la serie de Cheat Sheets es muy interesante, y va acompañada de algunas explicaciones en los OWASP Podcast que todavía las hace más valiosas.

Por no poner entradas separadas para cada una de ellas me permito recomendar algunas más:

Cryptographic Storage Cheat Sheet con algunas cuestiones que a veces se olvidan en la gestión de datos cifrados (el podcast correspondiente sería el 68, [mp3] Kevin Kenan (Cryptographic Storage).

Transport Layer Protection Cheat Sheet sobre protocolos de transporte (y el podcast sería el 70, [mp3] Michael Coates (TLS).

SQL Injection Prevention Cheat Sheet (y un podcast sobre el tema sería el 29, OWASP Interview with Justin Clarke.

Todos son recomendables, pero marco aquí los que he ido escuchando hace menos tiempo y he encontrando interesantes.

Pistas sobre autentificación en aplicaciones web

Ya hemos hablado de algunas hojas de pistas sobre diversos temas: Las claves y ‘Chuleta’ para la prevención de ‘Cross Site Scripting’.

Otra recomendación: Authentication Cheat Sheet, sobre los temas de autentificación.

En general la serie de Cheat Sheets es muy interesante, y va acompañada de algunas explicaciones en los OWASP Podcast que todavía las hace más valiosas.

AppSec: sofware con sensores defensivos

Ya habíamos hablado del proyecto AppSensor, de OWASP (en Sensores en aplicaciones: detección de problemas y respuestas) así que cuando vi el artículo [PDF] Creating Attack-Aware Software Applications with Real-Time Defenses pensé que a lo mejor había algo de código para entender mejor el proyecto. No es así, pero sí que es un artículo más explicando las ideas que hay detrás de esta aproximación a la seguridad en aplicaciones.

El OWASP Top 10 de 2010 en diez párrafos

Empezamos la vuelta al cole suavecito, con un par de informes. No por su
interés (que puede que lo tengan y puede que no), sino por sus valores
‘laterales’.

En White Paper: SecureSphere and OWASP 2010 Top Ten Most Critical Web Application Security Risks (requiere registro) un informe sobre un producto, Securesphere, al que conforme iba echando un vistazo ayer iba pensando que tenía valo por los parrafitos en ls que se comenta cada uno de los fallos del OWASP Top 10 2010. A veces, las buenas explicaciones sobre otras cosas vienen cuando uno necesita explicar algo más sofisticado, porque se esmera en simplicar la explicación de lo que necesita como paso previo.

Otro infome que también me viene bastante bien en un sentido similar es el de White Paper: Next Generation Web Application Firewalls (NG-WAF), porque aparece una cronología de las regulaciones que han ido apareciendo a lo largo del tiempo en reacción a determinados incidentes y problemas de seguridad. Lamentablemente, no consigo encontrarla de manera individual por la web, así que hay que bajarse el informe para echarle un ojo. También requiere registro.

Algunas ideas sobre ESAPI

Ya hemos hablado en vidas anteriores de ESAPI: Bibliotecas para evitar problemas en PHP, Dos grandes errores en las aplicaciones web y doce consejos para evitarlos y ‘Chuleta’ para la prevención de ‘Cross Site Scripting’.

Hace algunas semanas Jack Kowalsky publicaba un resumen de funcionalidades e ideas:

OWASP ¿hasta dónde?

Mark Curphey es uno de los creadores del proyecto OWASP. En OWASP – Has it Reached a Tipping Point ? hace un repaso de lo sucedido y por dónde cree que deberían ir los tiros en el futuro.

He seleccionado un par de parrafitos:

Ask your average OWASP member how to federate identity across the Internet
and reckon you will be met with a blank stare but ask them how to check for
XSS and I bet you would be greeted with a smile. Thats a problem. That is
not to say that people who live and breath HTTP security isn’t incredibly
valuable but it wasn’t what I wanted or what I really care about.

Que se preocupa, en definitiva, de si los conocimientos están llegando a
los lugares adecuados: no se trata de saber mucho de un tema, sino de que
las personas adecuadas se preocupen de ello.
Y la siguiente, en la misma línea:

We can’t have security people who know development. We must have developers who know security. There is a fundamental difference and it is important.

Es decir, la gente de seguridad ya conoce los problemas, pero es necesario
que los conozcan y se aproximen a ellos las personas adecuadas, los
desarrolladores:

  1. Gestionar el porfolio de proyectos
  2. Conseguir el interés de la industria y comunicar adecuadamente
  3. Ética/Código de conducta
  4. Atraer a los desarrolladores

Sobre el primer punto, ya ha conseguido que el promotor de uno de los proyectos lo cerrara.

Desarrollar una metodología de diseño de programas seguros

Cuando hablamos de desarrollar software seguro, puede ser de utilidad observar buenas prácticas de otras empresas, metodologías y otros sistemas que hay propuestos por ahí. En OpenSAMM shows a way Jim Bird hace un repaso a algunas de las diferentes propuestas existentes, señalando las virtudes y defectos que encontraron en cada una de ellas y su elección (que no tiene que ser la de todos).
Interesante.

Actualización del OWASP Top 10

Tenía pendiente comentarlo desde hace unos días y la gente de Hispasec me da la ocasión: OWASP: Los diez riesgos más importantes en aplicaciones web (2010).

En OWASP Top 10 for 2010 hay más detalles y puede ser una lista de los fallos que sí o sí debería conocer cualquier desarrollador web:

* A1: Injection
* A2: Cross-Site Scripting (XSS)
* A3: Broken Authentication and Session Management
* A4: Insecure Direct Object References
* A5: Cross-Site Request Forgery (CSRF)
* A6: Security Misconfiguration
* A7: Insecure Cryptographic Storage
* A8: Failure to Restrict URL Access
* A9: Insufficient Transport Layer Protection
* A10: Unvalidated Redirects and Forwards

También se puede descargar de OWASP Top 10 2010 – PDF