Desde que empecé a escribir código para aplicaciones de escritorio, sentí fascinación por los mecanismos de seguridad, siempre me interesan los temas relacionados con Hackers; porque me resulta muy interesante saber que hicieron, aun que pocas veces se conocen los detalles de cómo lo hicieron.
Cuando descubrí el Internet y el desarrollo en ese entorno (que fue usando ASP y Cold Fusion) he sabido de toda clase de ataques que se implementan sobre sitios Web que se supone deberían ser seguros.
Que paso? Donde estuvo el error?
Aun que es triste reconocerlo, el descuido fue de nuestro lado. Es muy común creer que si estamos detrás de un Firewall o si nuestra aplicación no expone los recursos como la Base de datos, o si esta encriptado entonces no corremos ningún riesgo.Y es precisamente este tipo de creencias las que nos llevan a ser víctimas de un ataque. En internet más que en ningún lugar es necesario crear una cultura de seguridad entre nuestros programadores.
Pregúntense:
1. En mi proyecto actual hay algún requerimiento de seguridad?2. El diseño contempla la seguridad en alguna etapa?
3. Sabes lo que es modelado de amenazas?
4. Realizas revisiones de código en busca de fallas en la seguridad?
5. En los testeos hay pruebas de acceso indebido?
Es mucho más caro descubrir que hay problemas en la seguridad después de escribir el código y liberar la aplicación que dedicarle un tiempo durante el análisis, diseño y desarrollo a implementar mecanismos que refuercen esta área.
En este post, no pretendo aparentar que dómino el tema, soy tan ignorante como la mayoría de nosotros, solo pretendo despertar la curiosidad o la preocupación en quienes nos dedicamos a escribir código; para que lo tomemos en cuenta.
Los riesgos están latentes todo el tiempo, siempre puede ser el momento ideal para que nos ataquen, así que lo mejor es estar preparados.
Si nunca antes habías sentido curiosidad por el tema, y si respondiste negativamente a las preguntas que presente previamente, puedes empezar por visitar un sitio donde la seguridad es su razón de ser: OWASP
En futuros post, hablare de algunas formas de ataque que afectan a las WebForms y al MVC de ASP.NET.
La confianza es madre del descuido.
No hay comentarios:
Publicar un comentario