Una versión de este artículo apareció en Revista Infosecurity. Se ha actualizado y distribuido aquí.

‍

UN hace unos años, hablamos mucho sobre cómo la ciberseguridad es el Lejano Oeste y había una necesidad desesperada de que más personas se preocuparan por ella en general, sin mencionar el riesgo muy real para la vida que podían representar muchos ciberataques.

Si avanzamos rápidamente hasta 2023, es agradable ver que se han logrado algunos avances, especialmente a nivel gubernamental de muchas naciones influyentes. Sin embargo, para nosotros, el camino hacia un código verdaderamente seguro y un software más seguro no tiene fin. La llegada de la tecnología digital favorita del momento, el metaverso, añade una nueva y enorme superficie de ataque, tanto para las vulnerabilidades a nivel de código como para la ingeniería social.

Y simplemente no estamos preparados para la batalla en este nuevo campo de juego que se nutre del humo y los espejos.

La realidad mixta conlleva un riesgo intensificado

A pesar de su estatus actual como Sabor del Mes, el concepto de metaverso existe desde hace mucho tiempo. La plataforma online Second Life existe desde 2003, sirviendo a un nicho leal con un universo en línea totalmente personalizable en el que los avatares de los usuarios interactúan a través del chat de voz y texto, se pueden jugar juegos y compañías como Adidas ofrecen tiendas virtuales oficiales. Desde el punto de vista puramente lúdico, los juegos multijugador masivos en línea (MMO), como Fortnite y World of Warcraft, ofrecen a sus jugadores mundos expansivos y dependen cada vez más de las microtransacciones o del desembolso de dinero real para comprar objetos virtuales. Fortnite fue creado por sí solo 4.300 millones de dólares en ingresos por microtransacciones en sus dos primeros años en el mercado.

Está muy claro que el concepto de metaverso no solo llegó para quedarse, sino que también está a punto de tener un tamaño similar al de Mark Zuckerberg entrar en la corriente principal. Se trata de una evolución emocionante de Internet (o al menos de las redes sociales y parte del comercio electrónico) tal como la conocemos, pero la oportunidad de que se produzcan ciberataques y exploits dañinos es alucinante.

La superficie de ataque del metaverso es de gran alcance y se extiende mucho más allá del software basado en la web, las API y las pasarelas de pago. Los elementos periféricos de los cascos y accesorios de realidad virtual también representan una amenaza para los datos básicos, ya que el software integrado en esos dispositivos es una alfombra roja muy práctica para pagar si son vulnerables.

Investigadores de seguridad de la Universidad de Rutgers revelaron»Micrófono facial» a principios de este año, el primer estudio de este tipo que examina cómo las funciones de comando de voz de los cascos de realidad virtual podrían provocar graves violaciones de la privacidad, conocidas como «ataques de escucha clandestina». El trabajo es fascinante, pues demuestra que los atacantes podrían utilizar unos cascos de realidad virtual (AR/VR) con sensores de movimiento integrados para grabar gestos faciales relacionados con el habla, lo que podría provocar el robo de información confidencial comunicada mediante controles activados por voz, como la información de las tarjetas de crédito y las contraseñas. La causa principal del problema parece ser la falta de autenticación de los usuarios. Dado que no se requiere ningún permiso para acceder al acelerómetro y al giroscopio, se pueden registrar los movimientos faciales intrincados, las vibraciones transmitidas por los huesos y las vibraciones transportadas por el aire y utilizarlos para deducir todo tipo de datos, desde números PIN bancarios hasta historiales médicos altamente restringidos, según los patrones del usuario.

En el metaverso, cada movimiento que realizas es un punto de datos, y si es posible acceder a él gracias a una seguridad de software laxa, el incentivo para que los atacantes prueben suerte es enorme.

Los contratos inteligentes se enfrentan a adversarios (más) inteligentes

La metaeconomía exige descentralización, desmaterialización, flexibilidad y, por supuesto, seguridad sin concesiones. En este momento, hay microeconomías metaversas en crecimiento en varias comunidades de criptomonedas, como Shiba Inu. Para comprar bienes inmuebles virtuales y otros productos intangibles, contratos inteligentes se utilizan los almacenados en la cadena de bloques.

Menciona la «cadena de bloques» y la mayoría de la gente común (con un poco de conocimiento de la tecnología) la entiende como un sistema seguro y anónimo para lo que se considera el futuro de la moneda digital. Sin embargo, hay un pequeño problema con eso: ninguna fortaleza en línea es impenetrable, y esos contratos inteligentes no son la excepción. Son esencialmente pequeños programas y pueden ser pirateados.

Los contratos inteligentes son susceptibles de explotación gracias a algunas vulnerabilidades bastante comunes, a saber, el desbordamiento y subdesbordamiento de enteros, los ataques de repetición y el (muy perjudicial) error centrado en la cadena de bloques que provoca ataques de reentrada, estos últimos de los cuales pueden provocar que un usuario se quede sin el saldo criptográfico almacenado. Todos estos ataques son posibles gracias a unos patrones de codificación deficientes, que conducen a vulnerabilidades que pueden explotarse, y a unos fundamentos de diseño poco seguros.

Esta tecnología solo se utilizará más ampliamente, pero, tal como está hoy, nos esforzaremos por encontrar suficientes desarrolladores conscientes de la seguridad para garantizar un metaverso seguro y a prueba de fallos. Las organizaciones deben comprender la magnitud de su participación en el metaverso, especialmente si están en juego los datos y la moneda... y es difícil imaginar un escenario en el que este no sea el caso.

Es un entorno no regulado y tú eres (sigues siendo) el producto

Como hemos visto en las películas, la televisión, Second Life, y videojuegos, un entorno metaverso nos permite ser quienes queramos. En un mundo virtual, las posibilidades solo están limitadas por la imaginación, y esa flexibilidad es un gran atractivo para los usuarios. Sin embargo, la desventaja es que, en la escala planificada de algo como Meta, es simplemente demasiado vasto y descentralizado para controlarlo de una manera que lo haría hermético desde el punto de vista de la seguridad. Las estafas serán inevitables, y los delincuentes expertos tendrán aún más con qué trabajar desde el punto de vista de la ingeniería social.

Los datos confidenciales de los usuarios son el nuevo oro, y el metaverso tiene el potencial de ser la fuente de datos más rica y completa que hemos visto hasta la fecha, proporcionando adopción proyectada va según lo planeado. Si bien se puede suponer que las compilaciones de software relacionadas con el metaverso cumplirán con los estándares regulatorios y las medidas de cumplimiento actuales, estas necesitarán actualizaciones que sean adecuadas para respaldar un universo digital en rápida expansión y su economía. Para ello, será fundamental que las organizaciones asuman la responsabilidad de la seguridad de sus contribuciones al metaverso, con un nivel de seguridad interno que garantice que todas las personas que trabajan en el software tengan en cuenta la seguridad e implementen la seguridad en cada paso de su proceso, especialmente en la fase de desarrollo.

Por qué la codificación segura será crucial para el éxito del metaverso

Por muy divertido que sea recorrer una dimensión digital sin ley, representada por un avatar que es todo lo que te gustaría ser en el mundo real, nunca debemos olvidar que detrás de cada «personaje» hay un ser humano. Y cuando los datos y las finanzas de personas reales están en juego, está muy lejos de ser un juego.

En ciberseguridad, somos muy conscientes de que los errores tienen consecuencias que pueden ser realmente devastadoras, y la integridad de cada componente del metaverso no puede ser una idea de último momento si queremos que la adopción generalizada y la confianza de los consumidores lleguen a buen puerto.

Las organizaciones pueden empezar a planificar ahora realizando una evaluación realista de su madurez en materia de seguridad, haciendo hincapié en mejorar las habilidades de seguridad de los desarrolladores que trabajan activamente en el software. Como se desprende del estudio de la Universidad de Rutgers, el control de acceso es solo una potente vulnerabilidad que puede provocar una filtración generalizada de datos, y los desarrolladores preocupados por la seguridad estarían en mejores condiciones de resolver estos problemas mientras se escribe el código y mucho antes de introducir código comprometido.

Confiar en la escasez de habilidades de ciberseguridad no va a desaparecer después de una importante violación de datos en el metaverso, y tenemos las herramientas ante nosotros no solo para hacer lo mejor que podamos, sino también para mejorar activamente los estándares de seguridad del software para siempre. Ha llegado el momento de invertir en la formación de los arquitectos del metaverso y aprovechar los beneficios de una reinvención virtual de los productos y servicios tal y como los conocemos.

En este momento, solo el 15% de los desarrolladores está de acuerdo en que las prácticas de código seguro deben ser responsabilidad de todos. En un mundo en el que aumentan las amenazas a la seguridad, eso simplemente no es suficiente. Hay que hacer algo. Una clave para crear una cultura de AppSec saludable es comprender las principales influencias (¡y a las personas influyentes!) en juego. Por eso, en 2020, Secure Code Warrior contrató a Evans Data Corp. para llevar a cabo una investigación* primaria sobre las actitudes de los desarrolladores y gerentes hacia la codificación segura, las prácticas de código seguro y las operaciones de seguridad.

Cuando se trata de la adopción vital de prácticas de codificación seguras, ciertos roles tienen una influencia y una voz crecientes, lo que puede ayudar a obligar a otros a aprender y adoptar las mejores prácticas.

El primero de ellos es el director de desarrollo, que engaña a los desarrolladores reacios a AppSec para que adopten una mentalidad de codificación segura. Los directores de desarrollo son conscientes de que ellos y sus equipos necesitan aumentar y mejorar sus habilidades de programación segura. El 42% de los gerentes encuestados lamenta la falta de habilidades de codificación segura entre los nuevos empleados.

El segundo es el «campeón de la seguridad». Si bien la mayoría de los desarrolladores siguen considerando que la seguridad es responsabilidad de otra persona, hay un grupo pequeño, pero cada vez mayor, que apuesta por la codificación segura y la defiende entre sus compañeros programadores. El 25% de los desarrolladores encuestados coincide en que hay personas a las que acudir que lideran el cambio hacia la codificación segura.

Si bien es posible que estos campeones solo sean desarrolladores o desarrolladores sénior, pueden tener un impacto enorme en el avance de una organización hacia una postura de seguridad proactiva.

Pero primero, veamos el papel del gerente de desarrollo en este contexto.

El 83% de los gerentes encuestados dicen que piden a los desarrolladores que aprendan o adopten prácticas de codificación seguras. Aproximadamente las tres cuartas partes de los directivos encuestados afirman que ofrecen incentivos a los desarrolladores para que se dediquen a la formación sobre código seguro.

• El 67% ofrece a los desarrolladores la posibilidad de asumir una mayor responsabilidad como reconocimiento por aprender prácticas de codificación seguras.
• El 47% dice que ofrecen la posibilidad de un salario más alto.

Muchos gerentes valoran las habilidades de codificación segura cuando contratan a nuevos desarrolladores y valoran la experiencia en codificación segura entre los desarrolladores que ya forman parte de sus equipos.

Está claro que, a nivel organizacional, los gerentes de desarrollo son los impulsores fundamentales de la adopción de prácticas de codificación seguras y son fundamentales para identificar a los campeones de la seguridad en las filas de sus desarrolladores.

Identificación de los campeones de la seguridad

Una de las claves para mejorar la participación de los desarrolladores en los programas de formación y sensibilización sobre el código seguro es identificar a los defensores o defensores de la seguridad dentro de las filas de su cohorte de desarrolladores actual.

Algunos directores de desarrollo ya lo hacen: el 55% de los encuestados dice que reconoce a los desarrolladores que tienen un buen desempeño en los eventos especiales.

Como defensores del cambio en la codificación segura, Secure Code Warrior comprende el poder de los eventos y competencias especiales para sacar lo mejor de la base de desarrolladores de una organización. Por eso, hemos hecho de los torneos un elemento central de nuestra plataforma de aprendizaje.

Aumentar la conciencia y la propiedad de la seguridad‍

Con una variedad de desafíos, límites de tiempo, tablas de clasificación y premios, los torneos generan un revuelo que hace que la programación segura sea genial y promueve la conciencia y la propiedad de la seguridad.

Cuando se trata de medir el efecto de la capacitación en código seguro, el 65% de los gerentes de desarrollo encuestados afirman que las evaluaciones periódicas de habilidades impulsan el enfoque organizacional en la codificación segura. Los torneos se pueden utilizar para medir las habilidades de seguridad de los programadores en un entorno activo pero seguro y establecer rápidamente una base para el desarrollo futuro de sus habilidades. Esta formación gamificada ofrece experiencias contextuales y prácticas en los lenguajes y marcos de programación pertinentes, con desafíos similares a los que se enfrentan los desarrolladores en el mundo real.

A lo largo del torneo, los desarrolladores ganan puntos y ven cómo suben a lo más alto de la clasificación. Observar la clasificación ayuda a la dirección a identificar a los posibles campeones de la seguridad dentro de su equipo de desarrollo.

‍
Si quieres obtener más información sobre cómo desarrollar habilidades y crear conciencia sobre el código seguro con una formación gamificada que involucre a los desarrolladores e identifique a los campeones de la seguridad, reserve una demostración ahora.

‍

*Pasar de la reacción a la prevención: la cara cambiante de la seguridad de las aplicaciones. Secure Code Warrior y Evans Data Corp. 2020

Las fiestas de fraternidad y la programación no suelen ser una comparación orgánica, pero eso fue antes de la llegada de lo que se ha denominado «codificación de vibraciones»: básicamente, el proceso mediante el cual tanto los desarrolladores como los no desarrolladores pueden avanzar rápidamente en el desarrollo de software utilizando herramientas de codificación de IA de agencia. Si bien este enfoque seguramente impulsará la producción de código, en manos de un novato sin experiencia ni habilidades en seguridad, gran parte del «pensamiento» se subcontrata a la IA, lo que deja espacio más que suficiente para que los errores de seguridad graves, la mala configuración y el código roto penetren en la base de código si no se controlan.

Piénsalo así: la programación de Vibe es como una fiesta de fraternidad universitaria, y la IA es la pieza central de todas las festividades, el barril. Es muy divertido dar rienda suelta, dar rienda suelta a la creatividad y ver adónde puede llevarte la imaginación, pero después de unos cuantos barriles de piedra, beber (o usar la IA) con moderación es, sin duda, la solución más segura a largo plazo.

Sin embargo, el software tal como lo conocemos está siendo disruptivo y la próxima generación de desarrolladores, con herramientas de inteligencia artificial en su gama tecnológica, ha llegado para quedarse. De hecho, aproximadamente el 76% de los desarrolladores utilizan, o tienen previsto utilizar, herramientas de IA en el proceso de desarrollo de software. Ahora corresponde a los líderes de seguridad gestionar el uso de esta tecnología, incluida la reducción de los riesgos de seguridad asociados a los desarrolladores.

Entonces, ¿cómo pueden los profesionales de la seguridad aprovechar de forma segura las prometedoras ganancias de productividad asociadas con la codificación de IA? Prohibir rotundamente las herramientas no es la solución, ni tampoco es viable que los equipos de seguridad supervisen manualmente cada línea de código que producen. La respuesta está en convertir a los desarrolladores en el centro del programa de seguridad empresarial, proporcionándoles los conocimientos y las herramientas que necesitan para comprender los riesgos, tener en cuenta la seguridad y formar parte de la solución.

¿Qué pasa con los agentes de IA agenciales?

Los desarrolladores tienen muchos problemas que hacer en el transcurso de su trabajo, y sus responsabilidades tienden a sufrir un poco de «aumento de alcance». Es natural que cuando se les ofrece una mano amiga en forma de herramientas de IA que prometen capacidades de codificación autónomas y de alto rendimiento, las reciban con los brazos abiertos. Las herramientas gratuitas como DeepSeek suponen un riesgo inaceptable para la empresa debido a la inseguridad de la salida de código y a la facilidad de creación de malware, entre otras cosas, pero los agentes de codificación propietarios más potentes tampoco carecen de un perfil de riesgo significativo.

Nuestro vicepresidente de ingeniería, John Cranney, completó recientemente algunas pruebas de herramientas de inteligencia artificial para agencias, y los resultados fueron bastante alarmantes desde el punto de vista de la seguridad. A pesar de que existen algunas barreras, los problemas de seguridad prevalecen y, en manos de un novato que no posee las habilidades necesarias para diferenciar entre código bueno y código malo (léase: explotable), es una pésima idea que ese código se propague de forma desenfrenada en los repositorios empresariales.

Dando forma a la próxima generación de desarrolladores para el futuro de la seguridad del software

La codificación de vibraciones, la codificación de IA con agencias y lo que sea que sea la próxima iteración del desarrollo de software impulsado por la IA no van a desaparecer, y ya han cambiado la forma en que muchos desarrolladores abordan su trabajo. La solución no es prohibir rotundamente las herramientas y, posiblemente, crear un monstruo en forma de herramientas sin control».IA en la sombra» en el equipo, pero ignora los riesgos que representan un riesgo para tu empresa.

Los desarrolladores de próxima generación son cruciales, y ahora es el momento de preparar a la cohorte de desarrollo para aprovechar la IA de forma eficaz y segura. Hay que dejar muy claro por qué y cómo las herramientas de IA y LLM generan un riesgo aceptable, mediante itinerarios de aprendizaje prácticos y prácticos que proporcionen los conocimientos necesarios para gestionar y mitigar ese riesgo tal y como se presenta en la jornada laboral. Si no lo hacen, no se darán cuenta del peligro que representan sus acciones ni se podrán evitar.

Secure Code Warrior se asocia con más de 600 clientes empresariales para ayudarlos a mejorar las habilidades de seguridad de sus grupos de desarrollo, y los resultados hablan por sí solos. Tenemos un gama de vías de aprendizaje relevantes para la IA, misiones y herramientas para garantizar que sus equipos puedan prosperar y aprovechar los beneficios de las herramientas de IA, al tiempo que reducen los riesgos asociados con su uso descontrolado.

Un desarrollador bueno y experto en seguridad que utilice IA verá un aumento considerable en la producción significativa, mientras que un desarrollador con pocos conocimientos y habilidades de seguridad simplemente envenenará rápidamente la base de código con código vulnerable. Ponte en contacto y fortalezca a su equipo hoy mismo.

Una versión de este artículo apareció en Forbes. Se ha actualizado y distribuido aquí.


‍El Plan Estratégico de Ciberseguridad impulsa cambios importantes en la forma en que la mayoría de las organizaciones abordan la ciberseguridad, y los desarrolladores se encuentran en una posición única para ayudar a lograr esos nuevos objetivos.

‍

La Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) no solo ha desempeñado un papel decisivo en la protección de la infraestructura crítica y las redes informáticas de los Estados Unidos desde su creación en 2018, sino que su influencia y experiencia también han repercutido en todo el mundo. El asesoramiento integral, las advertencias de seguridad, los informes de vulnerabilidad y programas de ciberseguridad han establecido un punto de referencia mundial para las mejores prácticas procesables, lo que subraya la importancia del Plan Estratégico 2023-2025 de la CISA publicado recientemente en el ámbito de la ciberseguridad global.

La influencia y los logros de la CISA también se han extendido mucho más allá de lo que la mayoría de las agencias gubernamentales han podido lograr, especialmente teniendo en cuenta que solo existe desde hace unos pocos años. Esto se debe en gran parte a la crecimiento exponencial del panorama de las amenazas y del hecho de que los agresores son cada vez más hábiles en sus intentos de violación y explotación. La CISA ha asumido un papel de liderazgo en la lucha contra los ciberdelincuentes y otros denominados actores de amenazas, rastreando metódicamente las tendencias y asesorando sobre las mejores prácticas en materia de ciberseguridad.

Sin embargo, a pesar de todos los útiles consejos y directrices de la agencia, nunca antes había publicado un plan estratégico general diseñado para establecer la dirección general de los esfuerzos de ciberseguridad en los próximos años. Este no es solo otro plan, pero un hito que muchas organizaciones querrán estudiar y, en última instancia, implementar. El hecho de que el plan prevea cambios importantes en la forma en que se aborda la ciberseguridad puede dificultar el seguimiento de esa orientación, aunque la comunidad de desarrollo se encuentra en una posición única para ayudar se le proporcionan el apoyo, las herramientas y las vías de mejora de las habilidades adecuadas.

Se avecina un cambio en las mejores prácticas de ciberseguridad a nivel mundial

A primera vista, sería fácil percibir cierto nivel de frustración en el Plan Estratégico de la CISA, pero la CISA simplemente reconoce el hecho de que si seguimos haciendo las mismas cosas que hacemos ahora, seguiremos obteniendo los mismos resultados. Para que la ciberseguridad mejore, se requerirán cambios importantes en todos los ámbitos, incluso por parte de las empresas que fabrican el software y las aplicaciones que se utilizan en la actualidad.

Apuntar con el dedo al software, al menos parcialmente, es un concepto que se ha introducido anteriormente. De hecho, el National security strategy de los Estados Unidos afirma específicamente que «la mala seguridad del software aumenta considerablemente el riesgo sistémico en todo el ecosistema digital». El Plan Estratégico de la CISA establece una nueva estrategia para abordar y resolver esa situación.

El mayor cambio en la ciberseguridad que promueve la CISA es desafiar a quienes fabrican software a enviar productos seguros. Si se establecen e implementan las mejores prácticas de codificación segura, habrá muchas menos vulnerabilidades, especialmente las más importantes, ocultas en el software para que los atacantes las exploten. Sí, hay algo que podría pasarse por alto aquí y allá y que sería necesario encontrar y corregir con diligencia, pero esa es una propuesta manejable en comparación con el status quo actual: cada día se detectan cientos de vulnerabilidades que sobrecargan a los defensores de la ciberseguridad. La CISA afirma muy claramente en su plan que quienes fabrican software y otras tecnologías deben ser responsables de la seguridad de sus propios productos.

«Como sociedad, ya no podemos aceptar un modelo en el que todos los productos tecnológicos sean vulnerables en el momento de su lanzamiento y en el que la abrumadora carga de la seguridad recaiga en las organizaciones y los usuarios individuales», afirma el Plan Estratégico de la CISA. «La tecnología debe diseñarse, desarrollarse y probarse para minimizar la cantidad de defectos que puedan explotarse antes de introducirla en el mercado».

El plan continúa sugiriendo que, con el tiempo, este nuevo enfoque podría resultar más que sugerente, y afirma que la CISA utilizará «todas las palancas disponibles para influir en las decisiones de riesgo de los líderes de la organización». También sugiere que leyes como la Ley de notificación de ciberincidentes para infraestructuras críticas de 2022 (CIRCIA), que actualmente rige la notificación de ciberincidentes, podría servir de modelo para, con el tiempo, hacer que el cumplimiento voluntario de estas nuevas normas sea más obligatorio. En cualquier caso, sería beneficioso para la mayoría de las empresas que fabrican software y otras tecnologías en la actualidad intentar respaldar esta nueva guía.

La orientación de la CISA representa una oportunidad clave

En lugar de sentir aprendizaje ante la perspectiva de más posibles regulaciones, las organizaciones deberían aprovechar la oportunidad de utilizar el Plan Estratégico de la CISA para esforzarse por lograr un software mejor y de mayor calidad. No se trata solo de un llamado al cumplimiento, sino de una oportunidad para que los desarrolladores perfeccionen sus habilidades y contribuyan a un panorama digital más seguro. En última instancia, la producción de software seguro ayuda a todos, incluida la empresa que lo fabrica, los usuarios que pasan a depender de él y las personas a cuyos datos se acceden o se almacenan mediante ese software o aplicación. Solo los atacantes se quedan con las manos vacías si el código que compone la mayoría del software y las aplicaciones es lo más seguro posible antes de pasar a un entorno de producción.

Dada esta nueva dirección, tiene sentido que los desarrolladores de una organización, que escriben o obtienen todo el código, sean el punto de partida perfecto para implementar una codificación más segura y esforzarse por cumplir con el plan de la CISA. Sin embargo, los desarrolladores no pueden hacerlo solos sin el apoyo del resto de la organización, especialmente de la alta dirección. Contar con desarrolladores que comprendan las vulnerabilidades, sepan escribir código seguro y sepan reconocer los problemas mucho antes de que lleguen a un entorno de producción será la clave para que las organizaciones asuman, en última instancia, la responsabilidad de distribuir el código y, como dice CISA, «garantizar que las vulnerabilidades se descubran y solucionen antes de que los adversarios puedan utilizarlas para causar daño».

Una cosa clave a tener en cuenta es que la formación que necesitan los desarrolladores es bastante avanzada. Es difícil para alguien llegar a ser competente para escribir código seguro de manera consistente, y las medidas de cumplimiento que se marcan todas las casillas simplemente no están a la altura de esa tarea. Los desarrolladores necesitarán métodos de aprendizaje ágiles y de alto nivel que ofrezcan resultados de aprendizaje prácticos, asimilables y continuos como parte de un programa general de sensibilización sobre seguridad, a fin de garantizar que cuentan con las habilidades necesarias para mantener el nivel de seguridad requerido por el nuevo plan de la CISA.

Idealmente, la mejora de las habilidades para prepararse para el plan CISA también debería incorporar muchos de los métodos y programas avanzados que los desarrolladores utilizan todos los días, como los principios del desarrollo ágil. Por ejemplo, en el desarrollo ágil, el trabajo se divide en partes manejables, superponiendo los sprints unos sobre otros en un ciclo continuo. Un buen programa educativo que incorpora Agile las prácticas pueden ayudar a los desarrolladores a ponerse al día rápidamente con las habilidades necesarias para respaldar el plan CISA, lo que les permite empezar a ver los beneficios y empezar a programar de forma más segura casi de inmediato.

La buena noticia es que la mayoría de los desarrolladores apoyan las prácticas de codificación seguras y están deseosos de ayudar a sus organizaciones a cumplir con la nueva directiva CISA. En un encuesta De los más de 1200 desarrolladores profesionales que trabajan activamente en todo el mundo, la inmensa mayoría dijo que apoyaba el concepto de crear código seguro y establecer una mejor cultura de seguridad en sus organizaciones.

Los desarrolladores necesitan itinerarios educativos precisos y un apoyo adecuado. Si las organizaciones pueden proporcionarlo, su código no solo será más seguro, sino que también estarán a la vanguardia en sus esfuerzos por cumplir o superar las directrices establecidas en el nuevo Plan Estratégico de Ciberseguridad de la CISA.

Este cambio propuesto en la cultura de la seguridad será un desafío, pero también es una oportunidad increíble para cambiar la naturaleza de la ciberseguridad y crear un mundo en el que la tecnología que mejora nuestras vidas no esté plagada de ataques que traten constantemente de explotarla para sus propios fines nefastos. Tenemos el poder de detenerlos, y el plan de la CISA muestra un camino prometedor hacia ese objetivo notable y, en última instancia, alcanzable.

Sea un desarrollador de Java más productivo

Con 9 millones de desarrolladores en todo el mundo*, Java (Oracle Corporation) es uno de los lenguajes de programación más populares del mundo. Muchos marcos de aplicaciones se han desarrollado en Java porque es un lenguaje muy versátil que puede ejecutar programas en muchos dispositivos diferentes compatibles con el Java Runtime Environment (JRE), un entorno en el que se ejecutan todos los programas de Java. Las comunidades lideradas por desarrolladores son muy activas y el amplio apoyo disponible para los nuevos programadores contribuye a su popularidad cada vez mayor.

Dado que Java existe desde hace mucho tiempo, las comunidades han dedicado años a desarrollar estándares, herramientas y patrones de codificación y a mitigar los errores comunes a los que se enfrentan los desarrolladores una y otra vez. Todas estas iniciativas lideradas por la comunidad tienen un objetivo común: ayudar a los desarrolladores a ser lo más productivos posible cuando desarrollan aplicaciones con Java. Pero cuando se trata de aplicar las mejores prácticas o patrones en el código de la aplicación, la responsabilidad recae en el desarrollador. La aplicación de las buenas prácticas es muy variada y, por lo tanto, dificulta tener un enfoque estándar para la práctica de codificación cuando las opiniones difieren mucho dentro de las comunidades. Los desarrolladores recurren a buscar ayuda en las comunidades en línea, que a veces pueden, sin darse cuenta, ofrecerte soluciones poco seguras a tus problemas de codificación.

Para ayudar a los desarrolladores a implementar soluciones seguras para los problemas comunes de codificación de Java, creamos Sensei, un complemento de IntelliJ para corregir patrones de codificación incorrectos según la receta (o reglas) definida por usted o su organización en un entorno profesional. Sensei permite a los desarrolladores identificar y corregir los errores más comunes de Java con un solo clic.

Continúe leyendo para saber cómo Sensei aumenta la productividad de los desarrolladores al resolver algunos errores comunes de codificación en Java.

Un error recurrente que frustra a los desarrolladores

Un ejemplo de esos errores comunes es la comprobación de igualdad incorrecta de los valores del contenedor. Los valores de las primitivas encuadradas deben compararse utilizando el método de igualdad en lugar del operador de comparación de referencias (= =) para evitar resultados inesperados.

Por ejemplo, el uso del operador de comparación de referencias para valores enteros en el rango de -128 a 127 tendrá (normalmente) el mismo comportamiento que el método equals. Sin embargo, si realizamos la misma comparación con valores fuera de este rango, los resultados serán diferentes. Esto se debe a que Java mantiene un conjunto constante para el rango mencionado de valores enteros. El uso del método de igualdad siempre arrojará los resultados esperados y, por lo tanto, es la forma correcta de comparar.

En este ejemplo, utilizamos incorrectamente el operador (==) para comprobar la igualdad.

Lo que da como resultado el siguiente resultado:

cierto

falso

falso

cierto

La forma correcta de comparar es usar el método de iguales.

Y, a continuación, la salida sería:

cierto

falso

cierto

falso

Esta conocida práctica recomendada existe desde hace bastante tiempo y, sin embargo, a menudo se implementa incorrectamente en el código heredado, esperando a que surja su fea cabeza en el momento más inoportuno. Por eso, hemos creado recetas (o reglas) que nos ayudan a identificar localmente esos patrones de codificación indeseables y a aplicar una solución con un solo clic con Sensei.

Sensei es un complemento IDE altamente personalizable para escanear y corregir código no deseado mientras escribes, con cientos de transformaciones de código descargables y recetas de migración (reglas), así como la capacidad incorporada para crear las tuyas propias. Con Sensei, los desarrolladores pueden corregir los patrones de código incorrectos mientras escriben para poder entregar código de calidad más rápido y, en última instancia, escribirlo de manera uniforme y estándar en todos los equipos y proyectos.

Cómo soluciona Sensei estos problemas comunes de Java

Como Sensei te permite crear tus propias recetas, hemos creado una receta para corregir el error mencionado anteriormente.

Para este ejemplo, queremos saber dónde estamos usando el operador de comparación (==) en el tipo primitivo en caja.

Una receta de Sensei tiene este aspecto (en YAML):

Lo anterior puede buscar el patrón incorrecto recurrente mientras escribes o todo el archivo, el ámbito configurado e incluso la base de código completa. Una vez que se encuentra el patrón, el siguiente paso natural es poder solucionarlo al instante sin tener que buscar en línea. Sensei le permite crear correcciones que pueden agregar/editar/eliminar código según lo especificado. Incluso puede proporcionar varias correcciones como mejor le parezca, lo que permite a los desarrolladores elegir la solución más adecuada como mejor les parezca.

En nuestro ejemplo, queremos reescribir la comparación utilizando el método equals en lugar del operador (==).

Una solución disponible se describe de la siguiente manera:

Cómo funciona:

Implementar las directrices de codificación estándar de forma sencilla

Java Gotchas Cookbook contiene 22 recetas que te ayudarán a evitar errores comunes y a mantener tu código limpio y seguro. Detecta el uso incorrecto o inseguro de varias funciones y API del lenguaje Java, como la igualdad de objetos, el manejo de excepciones, las expresiones regulares y las colecciones. Al adoptar Sensei y este recetario, puedes empezar a escribir mejor código desde el principio e incluso crear tus propias recetas que se adapten a tu equipo, proyecto u organización específicos.

Este es solo un ejemplo de las muchas maneras en las que se puede usar Sensei para estandarizar sus proyectos. Siempre puedes estar atento a los antipatrones o a ciertas transformaciones manuales de código que aparecen con frecuencia en las solicitudes de cambios o mientras codificas tú mismo. Si tienes un conjunto de directrices de programación que los desarrolladores suelen pasar por alto, puedes convertirlas en recetas que permitan a los desarrolladores aplicar las transformaciones de código aprobadas con confianza.

Instale Sensei ahora y habilite Java Gotchas Cookbook para disfrutar de una experiencia de desarrollo productiva. https://sensei.securecodewarrior.com/cookbooks/scw:java

*2021, Estado de la nación desarrolladora, https://www.developernation.net/developer-reports/de20

‍

La frase «se necesita un pueblo» es antiguo proverbio africano, que abarca muchas culturas, dialectos y lugares geográficos africanos diversos. Si bien el lenguaje utilizado para transmitir esta perla de sabiduría puede ser diferente, el sentimiento es el mismo: se necesitan las aportaciones de toda la comunidad para crear un entorno seguro, positivo e iluminador que permita a las generaciones futuras convertirse en adultos íntegros.

Puede parecer una reverencia larga, pero la verdad es que la comunidad de desarrolladores ha prosperado durante décadas gracias a este mismo principio. La idea del antisocial fanático del «lobo solitario» detrás de un ordenador es, como la mayoría de los estereotipos, exagerada y no es la mejor manera de aprender cómo operamos. Hay desarrolladores de todo tipo, de todos los ámbitos de la vida, y siempre ha habido un sentido de comunidad en todo lo que hacemos.

Mucho antes de que Internet se convirtiera en la norma, estábamos en los tablones de anuncios compartiendo consejos, resolviendo los problemas de los demás y discutiendo sobre las mejores prácticas (y, desde luego, de mi lado de la valla, trabajando duro para romper cosas). Este sentimiento no ha cambiado. Internet es ahora una bestia diferente, con más trolls bajo el puente y mucho más ruido, pero con un salto rápido a lugares como Reddit y Stack Overflow le dará una sensación inmediata de voluntad de ayuda, camaradería y una gran cantidad de información.

Sin embargo, una cosa que todos podríamos ayudar a apoyar son esas conexiones en el mundo real con personas que están pasando por lo mismo. Cuando interactúas en el mundo real hay una nueva capa de significado, y crear una comunidad «en la vida real» puede acelerar el intercambio de conocimientos, la clarificación y ampliar horizontes de maneras maravillosas.

¿Cómo apoya la comunidad de desarrolladores la seguridad?

Organisations like AVISPA están realizando un trabajo increíble en la comunidad de seguridad, con abundantes recursos gratuitos sobre vulnerabilidades, noticias y alertas críticas. Sin conexión a Internet, hay capítulos de OWASP en ciudades de todo el mundo que organizan eventos con regularidad para que las personas se reúnan, hablen sobre seguridad y compartan consejos para hacer que nuestro software sea más seguro. Es realmente impresionante y, para mí, eso es lo que importa a la comunidad de desarrolladores.

Una cosa que estas comunidades, ya sean en línea o presenciales, ayudan a abordar es la brecha de habilidades y conocimientos entre los desarrolladores. Muchos desarrolladores experimentados están encantados de compartir información, ayudar a alguien a empezar o indicarle la dirección correcta (cualquier buen Jedi sabe que necesita ayudar a un padawan de vez en cuando).

Por lo tanto, siempre es un verdadero placer cuando nos asociamos con ellos para organizar eventos como torneos de programación seguros. Hasta ahora, hemos apoyado las reuniones en Australia, Inglaterra, India y EE. UU. EE. UU., y espero que haya muchas más por venir.

How is a union of a OWASP tournament? Mira este vídeo de un torneo de OWASP celebrado en Londres en los icónicos estudios de la BBC:

Sin duda, estos eventos ayudan a crear conciencia, y este impulso puede aprovecharse en las organizaciones cuando apoyan estas iniciativas de base, introducen una formación completa de codificación segura y se comprometen a operar con una cultura de seguridad positiva.

How do gamification ¿Y los torneos ayudan a crear desarrolladores más seguros?

Las reuniones de OWASP se basan en la socialización, el intercambio de conocimientos y la discusión de ideas con una amplia gama de personas preocupadas por la seguridad. Sin embargo, para quienes recién comienzan a hablar de seguridad (o que aún no están interesados en ella), estos eventos pueden pasar desapercibidos.

Cuando las organizaciones desempeñan un papel activo en la creación de conciencia sobre la seguridad y despiertan un interés real entre la cohorte de desarrolladores, esto puede tener el efecto positivo y continuo de inculcar una búsqueda permanente de conocimientos sobre seguridad en su seno, del tipo que necesitamos todos más serio acerca de la codificación segura.

Los métodos de entrenamiento típicos rara vez son una gran motivación (por ejemplo, estar sentado en un aula mientras se acumulen las tareas del día a día o tratar de permanecer despierto viendo un sinfín de vídeos), pero generar un sentido de competencia, diversión y gamificación del proceso puede hacer que aprender sea mucho menos difícil. Los métodos de aprendizaje gamificados hacen que los conocimientos técnicos (y, a veces, ásperos) sean mucho más digeribles, dividiéndolos en partes más pequeñas que contextuales, memorables y fomentan la repetición del aprendizaje. Secure Code Warrior se creó sobre la base de la accesibilidad, lo que permite a los desarrolladores seguir ampliando sus conocimientos anteriores paso a paso, de una manera que refleja su creatividad y su instinto general de resolver problemas.

Las evaluaciones ayudan a mantener a todos en el buen camino e identificar las áreas de mejora, pero un torneo de programación seguro puede servir como catalizador para la conciencia de seguridad organizacional y para un cambio positivo, así como una forma de que los participantes demuestren sus sólidas habilidades. Al fin y al cabo, cuando ves que la clasificación de un torneo se actualiza en tiempo real, te motiva a seguir intentando conseguir más puntos y a demostrar tus habilidades en materia de seguridad.

¿Qué aspecto tiene un torneo exitoso?

El objetivo de nuestras reuniones con OWASP siempre ha sido invertir en la salud continua de la comunidad de seguridad, ayudándola a promover el concepto de que aprender sobre seguridad puede ser realmente divertido.

Los torneos de programación segura son una obviedad cuando se trata de atraer a los desarrolladores, ya que les ayudan a perfeccionar y desarrollar sus habilidades en un entorno social con personas de ideas afines. Ayudan a derribar las barreras artificiales que pueden existir en torno a la idea de «seguridad», tal vez a partir de una experiencia laboral o educativa poco placentera.

Un torneo verdaderamente grandioso suele consistir en lo siguiente:

• Un poco de fanfarria en torno a la organización; deje que las personas ajenas a los equipos de desarrollo sepan lo que está sucediendo y por qué
• Un entorno libre de prejuicios que apoya a los desarrolladores en todos los niveles
• Algunos beneficios especiales: pide comida y bebida, dale un tema y fomenta la autoexpresión
• Recompensas y reconocimientos: a los desarrolladores nos encantan los regalos, y los premios para los ganadores son una ventaja adicional: recuerda que es posible que durante este proceso descubran a tus futuros campeones de seguridad
• Un sentido de comunidad y camaradería.

Nos estamos convirtiendo en un mundo de DevSecOps y, dado que la seguridad se está centrando por fin desde el principio de los proyectos de desarrollo de software, los desarrolladores deben participar desde el principio con una formación eficaz. Son fundamentales para proteger a una organización de las vulnerabilidades desde el momento en que se escribe el código y, en una cultura de seguridad próspera, todos pueden descansar un poco más tranquilos.

Apenas estamos a la mitad de 2020 y, sin embargo, ya estamos en camino de establecer un sombrío récord de violaciones de datos, viendo un aumento del 273% en los datos robados en comparación con el primer semestre de 2019. Hoy en día, es más preciso preguntar cuántos datos no ha ha sido robada todavía. Con acontecimientos mundiales como la pandemia de la COVID-19, estos ataques no han hecho más que aumentar en frecuencia y potencia, y los objetivos son cada vez más vulnerables.

Esto es algo que todos sabemos desde hace tiempo: la seguridad ya no es opcional y debemos centrarnos en un ataque preventivo. Para que sea efectivo, todos en el SDLC deben ser conscientes de la seguridad, especialmente los desarrolladores. Esta es la parte «DevSec» de DevSecOps, una metodología de desarrollo de software ideal para el clima, pero muchas organizaciones no están totalmente preparadas para ejecutarla de manera eficaz.

Con su organización en mente, piense en estas preguntas en el contexto de su función. ¿Cómo le iría cuando se sometiera a la prueba de DevSec?

Autoevaluación de DevSec: ¿Está su jardín de SDLC preparado para que florezcan los ingenieros preocupados por la seguridad?

1. ¿La seguridad es una prioridad en el proceso de desarrollo interno?
   Es posible que una serie de factores de riesgo de ciberseguridad mantengan despierto al CISO promedio por la noche, pero la preocupante realidad es que, si bien muchas empresas dan más prioridad a la seguridad, es posible que su enfoque interno no sea lo suficientemente sólido como para mitigar posibles desastres (o, al menos, los enormes quebraderos de cabeza para el equipo de AppSec y el retraso en el envío del software).
   DevSecOps puede ser el estado actual del nirvana de seguridad, pero pocas empresas trabajan con esta metodología. Si aún usas Agile (o incluso Waterfall), la seguridad sigue considerándose como un dominio de especialistas que están muy alejados del proceso y se activan al final del SDLC, apareciendo para arruinarle el día a un desarrollador con correcciones para su código. En un entorno como este, va a ser difícil impulsar una cultura de DevSec: a los desarrolladores les encanta la creación de funciones y la priorizan, y simplemente no habrán tenido suficiente experiencia práctica con la seguridad como para considerarla una vía de mejora de habilidades deseable. De hecho, sus puntos de contacto con ella pueden ser los de frustración y negatividad. Esto debe solucionarse rápidamente para inculcar un enfoque prioritario a todos los involucrados en el proceso de desarrollo de software.
   ‍
2. ¿Su organización sigue intentando ponerse al día en lo que respecta al modelado de amenazas?
   Es una estadística aleccionadora que El 60% de las pymes cierra en un plazo de seis meses tras un ciberataque exitoso, y al igual que otros desastres, el impacto es mucho mayor sin una planificación adecuada.
   El modelado de amenazas es un elemento crucial de las mejores prácticas de seguridad, ya que permite a los profesionales de AppSec evaluar el alcance total de la superficie de ataque y estructurar las defensas, las contramedidas y la planificación adecuadas. En las empresas que han adoptado DevSecOps por completo, la seguridad se habilita en las primeras etapas del proceso de CI/CD, de forma que no se ralentice la producción tanto como en el pasado. La seguridad, la codificación segura y la entrega continua forman parte del proceso, y los equipos de desarrollo cuentan con los recursos y la exposición necesarios para convertirse en los principales componentes del motor que produce código hermético.
   ‍
3. ¿Los gerentes de desarrollo dan prioridad a las mejores prácticas de seguridad?
   Les guste o no, los gerentes de desarrollo son modelos a seguir para su equipo. Y no es solo por cuestiones relacionadas con la cultura y el ambiente, como llevar chanclas en la oficina o cómo «se las arreglan para ascender». Inevitablemente, sus prioridades laborales serán absorbidas por los miembros de su equipo, y si la seguridad no forma parte de los objetivos clave ni se planifica desde el punto de vista de la formación y el soporte, los ingenieros que están detrás de ellos se quedarán perdiendo la oportunidad y la empresa correrá más riesgos de lo que debería.
   ‍
4. ¿Se les da a los desarrolladores una razón para preocuparse por la seguridad?
   Según mi experiencia, la forma más rápida de poner a alguien fuera de juego es decirle que tiene que hacer algo que es ajeno a su enfoque actual, sin decirle por qué.
   
   Que te digan que «cambies» implica que el enfoque anterior era incorrecto, cuando en muchos casos se trata simplemente de una mejora que, con suerte, hará las cosas más fáciles y eficientes más adelante. Para abrazar realmente el movimiento DevSec, los desarrolladores deben tener una razón para preocuparse por la seguridad en primer lugar; al fin y al cabo, en la mayoría de las organizaciones, sigue siendo en gran medida «un problema de otra persona» (es decir, los magos de AppSec encerrados en otra habitación, muy, muy lejos).
   
   DevSecOps simplemente no funciona si la seguridad no es una responsabilidad compartida. Los desarrolladores necesitan las herramientas, el soporte y la formación adecuados para hacer su parte... y esto requiere tiempo para implementarlo y perfeccionarlo como parte de un programa de seguridad general. El peor enfoque es el que abruma y aleja, lo que puede ocurrir cuando los desarrolladores tienen demasiadas prioridades que compiten entre sí y carecen de ayuda para gestionarlas sin volverse locos. Se trata de un cambio cultural y no ocurre de la noche a la mañana.
   ‍
5. ¿Confías en un puñado de unicornios mágicos de seguridad para asumir la tarea de muchos?
   Los profesionales de la seguridad están en suministro muy escaso, y necesitamos mucho más de lo que está disponible actualmente. Eso es un hecho, pero cada vez hay más desarrolladores que adoptan funciones más centradas en la seguridad. Por lo general, pueden aparecer bajo títulos como «ingeniero de seguridad» o «ingeniero de DevOps» (poco a poco, veremos cómo este título se transforma en Ingeniero de DevSecOps, ¡con un poco de suerte!). Un ingeniero de DevOps con armas es capaz de desarrollar funciones para prácticamente cualquier aplicación y, al mismo tiempo, implementarlas utilizando una verdadera canalización de CI/CD. Lo hacen todo de principio a fin y, por lo general, vienen con una buena dosis de conciencia sobre la seguridad. En ese sentido, son algo mágicos y, por lo tanto, raros.
   
   Sin embargo, algunas empresas cometen el error de contratar a estos ingenieros especializados, unirlos en un equipo y esperar que se enfrenten a todos los problemas de seguridad en cada etapa del proceso de desarrollo, y esto por sí solo es la panacea. Si sobrecargas a tus magos de DevSecOps, acabarás donde empezaste: publicando código inseguro sin los controles, contrapesos y precisión de seguridad para los que fueron contratados en primer lugar. Es de suma importancia que el equipo de desarrollo, en general, esté cualificado y formado en un entorno de seguridad positivo, de forma que esté preparado para compartir la carga de forma significativa.

Busca el cambio que quieres ver en tu organización.

Si implementas una formación sólida como parte de tu programa de seguridad, descubrirás algunas joyas ocultas en tu cohorte de desarrollo. Estas son las personas que, a pesar de las experiencias negativas que puedan haber tenido en su trabajo diario, sienten cierta pasión por la codificación segura y las mejores prácticas de seguridad. Estas personas son las principales candidatas para convertirse en campeones de la seguridad dentro del equipo; son un punto de contacto entre la seguridad y la ingeniería que da un gran ejemplo a los demás, mantiene la concienciación al respecto y ayuda con las iniciativas de participación. Sus habilidades interpersonales también son muy importantes para difundir el entusiasmo por la seguridad y para defender las necesidades de los desarrolladores ante la dirección y el equipo de seguridad.

El «¿qué hay para mí?» la conversación es un paso adelante positivo.

Incluso los humanos más nobles necesitan algo parecido a una «zanahoria» para sumergirse en un territorio desconocido, o una actividad que tal vez no tenga las curvas de aprendizaje más agradables.
Dar el salto de «dev» a «DevSec» supone un gran impulso para la carrera de un desarrollador. Los desarrolladores preocupados por la seguridad han trabajado arduamente para entender la seguridad, asumir la responsabilidad en las áreas que pueden controlar y operar con el entendimiento de que el único código de calidad es el código seguro. Por lo general, los desarrolladores quieren mejorar, abordar nuevos problemas y crear funciones envidiables que les ayuden a destacar entre sus pares. Bríndeles una vía para alcanzar un nivel superior de desarrollo de software y es una situación en la que todos salen ganando.

Nunca es demasiado tarde para crear el equipo de DevSec de tus sueños.

Si dirige desarrolladores, dirige un equipo de concienciación sobre AppSec o es una de las muchas mentes que trabajan arduamente para diseñar estrategias de programas de seguridad, ahora es el momento de ir mejor que «girar» a la izquierda. Con la formación, las herramientas y el entorno adecuados, puede crear una incubadora de seguridad para desarrolladores que generará grandes beneficios para todas las partes. Si en esta lista de verificación se destacan algunas áreas que pueden mejorarse, es una gran oportunidad para preparar a su organización para contar con un departamento de ingeniería dirigido por DevSec que pueda reducir los riesgos desde el principio del SDLC.

Una versión de este artículo apareció como una función para Consejo de Tecnología de Forbes. Se ha actualizado y distribuido aquí.

‍

No hay nada como estar en el lado equivocado de una violación de datos. Al principio, puede haber negación y luego pánico. Una vez que todos los insultos hayan salido a la luz y el CISO haya tenido que hacer una teleconferencia con el departamento de relaciones públicas a las 2 de la mañana, es hora de ponerse manos a la obra y ponerse manos a la obra para proteger los terminales y los sistemas y eliminar rápidamente cualquier posible vector de ataque. No es un picnic, por decir lo menos.

Sin embargo, esta es una realidad que muchas organizaciones se darán cuenta en el futuro y para la que es absolutamente necesario estar preparadas con un plan integral de respuesta a los incidentes de ciberseguridad. Sin embargo, el problema es que esta estrategia reactiva consiste en concentrar gran parte del tiempo, los recursos y los esfuerzos, en lugar de centrarse en prevenir o reducir la posible gravedad de los ciberataques desde el principio. Es un poco como llamar a una ambulancia ante la sospecha de un ataque al corazón; los resultados suelen ser mucho menos positivos (por no decir más perjudiciales) que si las medidas sanitarias preventivas estuvieran en vigor antes de que fuera demasiado tarde.

Con ese fin, ¿qué aspecto tiene un plan preventivo? Exploremos cómo los profesionales de la seguridad pueden emplear todas las herramientas a su disposición para mitigar el creciente riesgo cibernético, todos los días:

Comprenda el alcance del trabajo que queda por delante

Parece obvio, pero el plan «correcto» para mitigar el riesgo cibernético tiene matices entre las industrias, y es importante entender lo que se necesita desde el principio para alcanzar el resultado deseado.

¿Qué problemas de seguridad existen actualmente? ¿Qué tiempo y recursos están consumiendo? ¿Cuántos de ellos son problemas recurrentes? Estos son factores importantes y le darán un punto de partida fundamental. Tenga en cuenta las funciones que hay que cubrir, las carencias en las herramientas y lo que se necesita desde el punto de vista de la experiencia y las herramientas para proteger los puntos finales y reducir la superficie de ataque, al tiempo que evita otras áreas de riesgo potencial.

UN informe reciente reveló que once industrias vieron una vulnerabilidad grave, en al menos la mitad de sus aplicaciones, todos los días durante el año pasado. En particular, los sectores de los servicios públicos, la administración pública y los servicios profesionales tardaron un promedio de 288 días en corregir las vulnerabilidades conocidas. Esto es increíblemente lento, lo que da al atacante tiempo más que suficiente para causar daños graves si descubre esas vulnerabilidades antes de poder aplicar un parche. Esto, sumado a la probabilidad de que las organizaciones sufran una violación de datos acercándose al 30%, es un recordatorio aleccionador de que reaccionar ante un incidente no es suficiente y que hay demasiado en juego como para prepararse para el impacto de un ciberataque a gran escala y esperar lo mejor.

Prepárate para conseguir la aceptación del cambio cultural

Cambiar el status quo suele sorprender a algunos, pero la verdad es que los programas de seguridad deben estar en un estado constante de mejora continua. Cada componente debe seguir siendo relevante, y los nuevos desarrollos deben evaluarse y tenerse en cuenta.

Es posible que el énfasis en un enfoque preventivo, en lugar de reactivo, no se comprenda ampliamente fuera del equipo de seguridad, especialmente si no se ha producido un incidente de seguridad grave y grave. Puede verse como algo que no está roto y que no necesita ser reparado. En este caso, es esencial obtener la aceptación de los ejecutivos. Algunos de los puntos más pertinentes que deben considerar son:

• El ahorro de tiempo y costos en las medidas preventivas, como la capacitación basada en funciones y las herramientas relacionadas, en comparación con el costo potencial de un incidente crítico
• Cómo encontrar y corregir las vulnerabilidades ahora permite que las versiones lleguen a tiempo, con menos complicaciones por parte del equipo de seguridad
• Por qué prepararse para los posibles riesgos de seguridad y anticiparse a ellos, desde el equipo de desarrollo hasta el lanzamiento, ahorra más tiempo (sin mencionar una cantidad considerable de dinero) en general. Para ponerlo en perspectiva, las vulnerabilidades en fase avanzada se descubrieron en la fase de prueba (o, lo que es peor, en la posproducción) puede aumentar los costos hasta un 3000% en promedio.
  

Es vital que los cambios culturales propuestos estén alineados con los objetivos empresariales, incluso si al principio parecen incómodos.

La conciencia de seguridad es algo, las habilidades de seguridad lo son todo

Como industria, hablamos con frecuencia sobre la importancia de la conciencia de seguridad, y este es un componente cada vez más crítico de todos los miembros del personal de una organización. Sin embargo, no basta con hablar de boquilla y con una formación pasiva, especialmente para quienes ocupan puestos técnicos.

En pocas palabras, cualquier persona que toque código es un posible riesgo de seguridad si no cuenta con las habilidades necesarias para programar de forma segura. El conocimiento general de los parámetros básicos de seguridad es un buen punto de partida, pero sin un conocimiento contextual de los patrones de codificación buenos y seguros, prevalecen los malos hábitos, y es en esta falta de habilidades de desarrollo de calidad en la que los atacantes confían para hacer su trabajo sucio.

No descartes a tus desarrolladores.

Si bien la actitud está cambiando, muchas organizaciones están estructuradas de tal manera que los desarrolladores rara vez son una verdadera consideración en los planes de mitigación de la seguridad. Algunas industrias, como la banca y las finanzas, tienen requisitos normativos y de cumplimiento estrictos, lo que se traduce en un aumento de las prácticas de seguridad y en la formación general de todo el personal. Y si bien no cabe duda de que están por delante de otros mercados verticales, casi todas las organizaciones del planeta podrían beneficiarse de contar con un ejército interno de desarrolladores conscientes de la seguridad, todos ellos con una capacidad básica para detectar los errores de seguridad más comunes antes de que se cometan. La mayoría de ellos están muy lejos de conseguir esta pieza fundamental del rompecabezas de los programas de seguridad, y es necesaria si alguna vez tenemos la esperanza de garantizar la avalancha de código que aumenta en volumen año tras año.

La seguridad preventiva debe comenzar en el momento en que los dedos tocan el teclado para crear software, pero no se puede esperar que los desarrolladores cubran la brecha de habilidades de seguridad por sí solos. Necesitan el conjunto de herramientas y la orientación contextual adecuados para alcanzar un nivel más alto de calidad del código, y los mejores resultados siempre se obtienen cuando forma parte de su trabajo diario, y no cuando se les ocurre algo de último momento que se implementa de forma esporádica cada vez que llegan los requisitos de cumplimiento anuales.

Los errores de Java: operadores bitwise frente a operadores booleanos

> «Java Gotcha»: un patrón de error común que es fácil de implementar accidentalmente.

Un truco de Java bastante simple en el que caer accidentalmente es: usar un operador bit a bit en lugar de un operador de comparación booleano.

Por ejemplo, un simple error de escritura puede resultar en escribir «&» cuando realmente querías escribir «&&».

Una heurística común que aprendemos al revisar el código es:

> «&» o «|» cuando se usan en una declaración condicional probablemente no sean intencionales.

En esta entrada del blog, exploraremos la heurística e identificaremos formas en las que podemos identificar y solucionar este problema de codificación.

¿Cuál es el problema? Las operaciones bit a bit funcionan bien con los valores booleanos

El uso de operadores bit a bit con booleanos es perfectamente válido, por lo que Java no notificará ningún error de sintaxis.

Si construyo una prueba JUnit para explorar una tabla de verdad tanto para Bitwise OR (|) como para Bitwise AND (&), veremos que las salidas del operador Bitwise coinciden con la tabla de verdad. En vista de esto, podríamos pensar que el uso de operadores Bitwise no es un problema.

Y Tabla de la verdad

@Test
void BitwiseOperatorsAndTruthTable () {
Assertions.assertEquals (verdadero, verdadero y verdadero);
Assertions.assertEquals (falso, verdadero y falso);
Assertions.assertEquals (falso, falso y verdadero);
Assertions.assertEquals (falso, falso y falso);
}

La prueba pasa, esto es Java perfectamente válido.

O Tabla de la verdad

@Test
anular BitwiseOperatorSorTruthTable () {
Assertions.assertEquals (verdadero, verdadero | verdadero);
Assertions.assertEquals (verdadero, verdadero | falso);
Assertions.assertEquals (verdadero, falso | verdadero);
Assertions.assertEquals (falso, falso | falso);
}

Esta prueba también pasa, ¿por qué preferimos «&&'y «||'?

Las imágenes de la tabla de verdad se crearon utilizando el herramienta de tabla de la verdad de web.standfor.edu.

Problema: Funcionamiento en cortocircuito

El verdadero problema es la diferencia de comportamiento entre los operadores bitwise (&, |) y booleanos (&&, ||).

Un operador booleano es un operador de cortocircuito y solo evalúa lo necesario.

por ejemplo

si (args! = nulo & args.length () > 23) {
System.out.println (argumentos);
}

En el código anterior, se evaluarán ambas condiciones booleanas, porque se ha utilizado el operador Bitwise:

• argumentos! = nulo
• args.length () > 23

Esto deja mi código abierto a una NullPointerException si args es nulo porque siempre realizaremos la verificación de args.length, incluso cuando args sea nulo porque se deben evaluar ambas condiciones booleanas.

Evaluación de cortocircuitos de operadores booleanos

Cuando se usa un &&, p. ej.

si (args! = nulo && args.length () > 23) {
System.out.println (argumentos);
}

¡En cuanto sepamos que es un argumento! = null se evalúa como falso, la evaluación de la expresión de condición se detiene.

No necesitamos evaluar el lado derecho.

Sea cual sea el resultado de la condición del lado derecho, el valor final de la expresión booleana será falso.

Pero esto nunca sucedería en el código de producción

Este es un error bastante fácil de cometer y las herramientas de análisis estático no siempre lo detectan.

Utilicé el siguiente Google Dork para ver si podía encontrar algún ejemplo público de este patrón:

tipo de archivo: java si es «! =nulo &»
Esta búsqueda devolvió un código de Android en el RootWindowContainer
isDocument = intención! = nulo & intent.isDocument ()

Este es el tipo de código que puede pasar una revisión de código, ya que a menudo utilizamos operadores bit a bit en las sentencias de asignación para enmascarar los valores. Pero en este caso, el resultado es el mismo que en el ejemplo anterior de la sentencia if. Si la intención es alguna vez nula, se lanzará una NullPointerException.

Muy a menudo nos salimos con la nuestra con esta construcción porque a menudo codificamos a la defensiva y escribimos código redundante. ¡El cheque para! = null puede resultar redundante en la mayoría de los casos de uso.

Se trata de un error cometido por los programadores en el código de producción.

No sé qué tan actuales son los resultados de la búsqueda, pero cuando la ejecuté, aparecieron resultados con código de: Google, Amazon, Apache... y yo.

Un reciente solicitud de extracción en uno de mis proyectos de código abierto fue solucionar exactamente este error.

si (escriba! =nulo y escribe.trim () .length () >0) {
Aceptar MediaTypeDefinitionsList.add (type.trim ());
}

Cómo encontrar esto

Cuando comprobé mi código de muestra en algunos analizadores estáticos, ninguno de ellos detectó este código oculto de autodestrucción.

Como equipo de Secure Code Warrior, hemos creado y revisado una receta de Sensei bastante sencilla que podría responder a esta pregunta.

Como los operadores Bitwise son perfectamente válidos y se utilizan con frecuencia en las asignaciones, nos centramos en el caso de uso de las sentencias if y en el uso de Bitwise & para encontrar el código problemático.

buscar:
expresión:
Cualquiera de:
- en:
condición: {}
valor:
Sensible a mayúsculas y minúsculas: falso
coincidencias: «.* & . *»

Esto usa una expresión regular para que coincida con "&» cuando se usa como expresión de condición, por ejemplo, en una sentencia if.

Para solucionarlo, volvimos a confiar en expresiones regulares. Esta vez, utilizamos la función sed del QuickFix para reemplazar globalmente el & de la expresión por &&.

Correcciones disponibles:
- nombre: «Reemplazar el operador AND bit a bit por el operador AND lógico»
acciones:
- reescribir:
a: «{{#sed}} s/&/&&/g, {{{.}}} {{/sed}}»

Notas finales

Esto cubre el uso indebido más común de un operador bit a bit, es decir, cuando realmente se pretendía utilizar un operador booleano.

Hay otras situaciones en las que esto podría surgir, por ejemplo, en el ejemplo de una tarea, pero al escribir recetas debemos intentar evitar la identificación de falsos positivos; de lo contrario, las recetas se ignorarán o se desactivarán. Creamos recetas para que coincidan con las ocurrencias más comunes. A medida que Sensei evolucione, es muy posible que añadamos especificidad adicional a la función de búsqueda para cubrir más condiciones coincidentes.

En su forma actual, esta receta identificaría muchos de los casos de uso actuales, y lo más importante, el que se informó en mi proyecto.

NOTA: Unos pocos guerreros del código contribuyeron a este ejemplo y revisión de recetas: Charlie Eriksen, Matthieu Calie, Robin Claerhaut, Brysen Ackx, Nathan Desmet y Downey Robersscheuten. Gracias por tu ayuda.

---

Puede instalar Sensei desde IntelliJ mediante «Preferencias\ Plugins» (Mac) o «Configuración\ Plugins» (Windows) y, a continuación, buscar «código seguro de sensei»

Tenemos muchos códigos fuente y recetas para estas entradas de blog (incluida esta) en el repositorio `sensei-blog-examples` de la cuenta de GitHub de Secure Code Warrior.

https://github.com/securecodewarrior/sensei-blog-examples

Más información sobre Sensei