TOP 10 OWASP 2021 español con ejemplos - A8 Fallas de Integridad de Software y Datos
Summary
TLDREl video aborda una nueva vulnerabilidad incluida en el Top 10 de fallas de software de 2021, centrada en la integridad de los datos y el software. Se explica cómo la falta de verificación en las actualizaciones y componentes externos puede comprometer la seguridad, citando como ejemplo el ataque a SolarWinds, donde se modificó el código fuente. También se discuten la serialización insegura y su impacto en la manipulación de datos. El presentador recomienda buenas prácticas para asegurar la integridad del software y proteger el ciclo de desarrollo continuo.
Takeaways
- 🔥 La vulnerabilidad de 2021 sobre integridad de software y datos reemplaza algunas de 2017, integrando la desorganización insegura y la ausencia de validación de integridad.
- 🔗 Las aplicaciones y sistemas dependen de librerías y plugins externos, pero a menudo no se verifica si estos son de fuentes confiables.
- ⚠️ Un ataque notable fue el de SolarWinds, donde se inyectó código malicioso en su cadena de integración continua, comprometiendo a miles de clientes.
- 💾 La descarga de código sin verificar la integridad es un riesgo común, especialmente cuando no se revisan adecuadamente las fuentes externas.
- 🧱 La serialización insegura puede permitir que los datos transmitidos sean interceptados y modificados, comprometiendo la integridad de los sistemas.
- 🚨 Los lenguajes de programación como Python y PHP emiten advertencias sobre los riesgos de serialización y deserialización insegura.
- 🔐 El uso de código de fuentes no confiables o vulnerables es una de las principales causas de fallos de integridad en aplicaciones.
- 🛡️ Las buenas prácticas incluyen validar la integridad del software mediante firmas digitales y asegurar que todo provenga de repositorios confiables.
- 🔍 Herramientas como OWASP Dependency Check ayudan a rastrear vulnerabilidades conocidas en los componentes utilizados por una aplicación.
- 🛠️ El proceso de desarrollo debe estar protegido con controles de acceso robustos y mecanismos para detectar manipulación en el código fuente.
Q & A
¿Cuál es la vulnerabilidad de software mencionada en el video y cómo se compara con las del top anterior de 2017?
-La vulnerabilidad presentada en el video pertenece al top 10 de 2021 y destaca por incluir dos categorías relacionadas: fallas de integridad de software y datos, a diferencia de la lista de 2017. La vulnerabilidad actual hace hincapié en la falta de validación de integridad de los componentes utilizados en las aplicaciones.
¿Por qué es crucial revisar las librerías y plugins externos en el desarrollo de software?
-Es crucial porque muchas aplicaciones dependen de librerías y plugins de terceros, y si estos no son confiables o se manipulan, pueden comprometer la integridad de los datos y la seguridad del software, afectando a los usuarios finales.
¿Cómo afectó el ataque a SolarWinds a los usuarios de su software?
-El ataque a SolarWinds permitió a los atacantes modificar el código fuente de la aplicación, comprometiendo la cadena de integración continua. Esto afectó a unos 18,000 clientes que descargaron actualizaciones comprometidas, exponiéndolos a serias vulnerabilidades.
¿Qué medidas se pueden implementar para asegurar la integridad en una cadena de integración continua?
-Para asegurar la integridad, es recomendable implementar controles de acceso robustos en el pipeline de desarrollo, realizar chequeos de integridad en cada actualización, y usar herramientas confiables de verificación de software que certifiquen las fuentes de origen.
¿Qué es la 'serialización insegura' y cómo puede representar un riesgo de seguridad?
-La serialización insegura ocurre cuando los datos son empaquetados o transformados en un formato que permite su transferencia y almacenamiento, y luego son reensamblados. Si estos datos se interceptan y modifican, pueden vulnerar la integridad de la aplicación y abrir la posibilidad de ataques como la ejecución de código no autorizado.
¿Cuál es la advertencia de seguridad sobre la función 'pickle' en Python?
-La documentación de Python advierte que 'pickle' es una función insegura si se usa con datos no confiables, ya que permite la deserialización de datos que pueden haber sido manipulados, creando riesgos de seguridad.
¿Por qué es importante verificar la integridad del código que se descarga de fuentes externas?
-Es importante porque el código de fuentes no verificadas puede contener vulnerabilidades o código malicioso que puede comprometer el sistema de la aplicación y poner en riesgo la seguridad de los datos y usuarios.
¿Qué recomendaciones se ofrecen para mitigar riesgos de integridad en el uso de componentes externos?
-Se recomienda usar solo repositorios confiables, implementar chequeos de integridad y utilizar herramientas de verificación de dependencias que aseguren la autenticidad y seguridad del software antes de integrarlo en el sistema.
¿Cómo puede un atacante manipular datos serializados para acceder a funcionalidades no autorizadas?
-Un atacante puede interceptar y modificar los datos serializados antes de que la aplicación los procese. Al manipular estos datos, puede cambiar los permisos o introducir comandos maliciosos, accediendo a áreas restringidas o ejecutando funciones no autorizadas.
¿Qué papel juega la implementación de controles de acceso en la seguridad del pipeline de desarrollo?
-Los controles de acceso aseguran que solo usuarios autorizados puedan modificar el pipeline, reduciendo la posibilidad de manipulación maliciosa y protegiendo la integridad del código a lo largo de todo el proceso de desarrollo.
Outlines
هذا القسم متوفر فقط للمشتركين. يرجى الترقية للوصول إلى هذه الميزة.
قم بالترقية الآنMindmap
هذا القسم متوفر فقط للمشتركين. يرجى الترقية للوصول إلى هذه الميزة.
قم بالترقية الآنKeywords
هذا القسم متوفر فقط للمشتركين. يرجى الترقية للوصول إلى هذه الميزة.
قم بالترقية الآنHighlights
هذا القسم متوفر فقط للمشتركين. يرجى الترقية للوصول إلى هذه الميزة.
قم بالترقية الآنTranscripts
هذا القسم متوفر فقط للمشتركين. يرجى الترقية للوصول إلى هذه الميزة.
قم بالترقية الآنتصفح المزيد من مقاطع الفيديو ذات الصلة
TOP 10 OWASP 2021 español con ejemplos - A2 Fallas Criptográficas
Seguridad Informática: Seguridad Física & Seguridad Lógica
Capacitación Fundamentos de Bases de Datos
1_3 II: Cuáles son los pasos mínimos para automatizar?
Ciberseguridad: conceptos básicos
SDLC-01. Ciclo de vida del Desarrollo de Software
5.0 / 5 (0 votes)