Mes: septiembre 2008

Nueva credencial de ISC2: Certified Secure Software Lifecycle Professional (CSSLP)

Hola,

Mediante un correo, (ISC)2 ha anunciado a sus profesionales certificados que han puesto en marcha una nueva credencial: Certified Secure Software Lifecycle Professional (CSSLP)

ccslp

La nueva certificación gira en torno a 7 dominios de conocimiento, todos ellos relacionados con la seguridad en el ciclo de vida del software:

  1. Aplicación de conceptos de seguridad al desarrollo de software
  2. Requisitos del software
  3. Diseño de software
  4. Implementación del software
  5. Pruebas del software
  6. Aceptación del software
  7. Despliegue, operaciones, mantenimiento y eliminación del software

Durante un tiempo limitado, la credencial será ofrecida, a modo de apadrinamiento, a aquellos profesionales que puedan acreditar experiencia durante al menos 4 años (recientes) en el ciclo de vida del desarrollo del software y en la aplicación de la seguridad en el mismo, y que además, tengan un dominio acreditable de 4 los 7 dominios expuestos anteriormente. Pasado este tiempo, la certificación se ofrecerá como es habitual, combinando un examen con la posterior acreditación de la experiencia profesional por parte del candidato.

Dado que el propósito es poder certificar a profesionales que contemplen la seguridad dentro del complejo mundo del diseño y el desarrollo, así como en las áreas de soporte, creo que es una idea acertada y necesaria. Si existen fallos de seguridad en las aplicaciones es, principalmente, porque la seguridad es algo que no se contempla durante el ciclo de vida de las aplicaciones.

Un saludo,

Clickjacking

Hola,

El clickjacking promete ser el nuevo tema de moda en la red, lo que me recuerda al reciente caso de Kaminsky.

Resumiendo y mucho, porque no hay mucho que decir al respecto, dos investigadores, Jeremiah Grossman y Robert Hansen, han descubierto un vector de ataque que, aparentemente, afecta a multitud de navegadores y otros productos Web, y mediante el cual sería posible que los usuarios efectuasen, entre otras lindezas, clicks o pulsaciones en enlaces sin tan siquiera saberlo. Según lo que se puede leer, es un problema que ni depende de los productos de navegación ni de la presencia de JavaScript, lo que lo convierte en un problema, de llegar a confirmarse, de muy alto impacto, y que habilitaría mecanismos para la ejecución masiva de, entre otros, fraudes basados en pulsaciones no voluntarias sobre enlaces comerciales (click fraud)

Esta vulnerabilidad parece afectar especialmente a los productos de Adobe, hasta tal punto que han solicitado que la charla en OWASP AppSec, donde se iban a relatar los hechos, se aplace hasta que exista un análisis completo de la situación. De momento, la postura oficial de los investigadores es la de guardar silencio, actitud que me parece prudente si efectivamente se trata de un problema multiproducto y con difícil solución.

Además de mucha especulación, sólo tenemos, como información destacable, la opinión de Zalewski y la del creador de NoScript (que parece no ayudará en este caso). Hay más opiniones y noticias a lo largo y ancho de la Web.

En Kriptópolis están haciendo un seguimiento del tema, y es de prever que vayan actualizando la información según se disponga de ella. Habrá que estar al tanto.

Un saludo,