Un año más, se celebró el OWASP Spain Chapter, y ya van 9! Este año las jornadas se han centrado en la seguridad en el ciclo de vida del software. Se ha hecho hincapié en concienciar al público de que es insuficiente realizar una auditoría de seguridad antes de sacar el producto al mercado y que la metodología y automatización de las pruebas de seguridad en cada uno de los ciclos del desarrollo del software debe ser un requisito imprescindible.
También remarcó en esta edición el gran número de vulnerabilidades detectadas en el periodo 2014-2015. Estas vulnerabilidades han afectado a todo tipo de software de diferentes áreas. Esta cantidad de problemas detectados ha puesto en relieve lo expuestos que podemos estar sino estamos al día de las vulnerabilidades publicadas y de las mitigaciones que debemos aplicar periódicamente.
A continuación se detallan las distintas ponencias de esta última OWASP.
Presentación de las jornadas
Aunque lamentablemente este año Vicente Aguilera, líder del Capítulo español, no pudo acudir a las jornadas Joan Figueres y Jaume Abella tomaron el relevo y se encargaron de hacer la introducción a las ponencias y a los ponentes.
Cat-and-Mouse Game with Sucuri's Web Application Firewall
En esta conferencia Ashar Javed explica las investigaciones que ha realizado sobre dos firewalls de aplicación. Se ha centrado principalmente en evaluar el filtrado de ataques de tipo XSS (cross-site scripting) complejos. Utilizó varias técnicas de ofuscación como codificar en utf8 o utilizar tags HTML5, así consigue evadir los firewalls de aplicación, ya que estos se basan en expresiones regulares muy simples.
Ashar nos sorprendió con sus métodos de inyección de cross-site, esperamos poder descargar su presentación en breve y poder replicar sus experiencias.
Estableciendo las tres líneas de defensa en proyectos web
Marc Muntañá muestra los problemas que surgen en una compañía en el momento de evaluar su plan de seguridad, los roles de los departamentos, como también el de los jefes, donde presenta un modelo en 3 capas.
En su presentación explicaba el origen de un nuevo perfil de profesional, un profesional que debe conocer tanto de calidad como de seguridad. La idea de que la seguridad forme parte dentro del ciclo de vida del desarrollo no es un concepto nuevo, sin embargo la seguridad debe ganar su espacio dentro del ciclo de vida como lo ganó la calidad hace 10 años.
También se habló del uso de herramientas para poder llevar a cabo las auditorias, GAUNTLET, Owasp ZAP + jenkis plugins, Zap Junit.
Desarrollo Rápido y Seguro de Aplicaciones. ¿Es posible tener las dos cosas?
Fabio Cerullo explica cómo implementar seguridad en las nuevas metodologías de desarrollo de software como AGILE, que están actualmente tan de moda, y como añadir pruebas de seguridad en los Sprints del desarrollo. Para finalizar explicó las herramientas para automatizar la pruebas de seguridad en cada etapa del desarrollo.
También comentó que los nuevos fronts para los compiladores, los cuales añadirán la característica de validar los campos de entradas y si estos no están validados no dejaran compilar el código.
Pruebas de seguridad continuas para DevOps
Stephen De Vries en su ponencia describe que el proceso de seguridad no debe ir a parte del desarrollo del software y que los DevOps han de formarse para ser SecDevOps y así integrar la seguridad en los diferentes ciclos tanto de la parte de sistemas como del desarrollo del software. Posteriormente se explican diversas herramientas para automatizar estas tareas, tales como Sonar Qube, Jenkis y el OWASP Dependency Test.
Abuse Cases - From Scratch to the hack
Miguel Ángel Hernández muestra varios errores en aplicaciones debidos las validaciones que se hacen a nivel de javascript en el cliente y posteriormente el servidor no tiene métodos para validar estos datos, por lo que un atacante puede modificar las peticiones. Al final se hace una demostración en la página web de una conocida empresa de ropa, donde se cambia el precio de los productos del carro de la compra y estos son enviados a la pasarela de pago con el precio total modificado.
APT, Ataque y defensa en entorno hostil
Marc Rivero resume los últimos ataques APT publicados por Kaspersky (Duqu 2.0 infección de firmware del disco duro). Desde un punto de vista de ataque y de cómo deberíamos proteger una empresa para prevenir futuros ataques.
Mesa redonda (ponente e invitada)
Para empezar la mesa redonda se hizo un resumen de la jornada y se continuó tratando temas variados, se habló de la moda de añadir la palabra “ciber” a cualquier cosa relacionada con la seguridad informática. También se comentó las últimas vulnerabilidades del año y la publicación de información confidencial de la NSA por parte de Edward Snowden.
A día de hoy no están publicadas las presentaciones de las ponencias, este material se publicará en breve en el capítulo Español de la web de la OWASP.
https://www.owasp.org/index.php/Spain/Chapter_Meeting
Autores: Tomás Velázquez - CEH. Luis E. Benítez
Departamento de Auditoría.
