lunes, 1 de febrero de 2016

Static Source Code Security Analyzers comparison

Hoy en día, la seguridad en aplicaciones es fundamental para las organizaciones. El software se encuentra en todos lados, como en las compras electrónicas,  pago de facturas o servicios, transferencias de dinero, manejo y control de la televisión, cierre de puertas electrónicas, en operaciones médicas a pacientes, etc. y los ataques informáticos están creciendo en número y complejidad.
Paralelamente, los nuevos enfoques ágiles de desarrollo de software demandan tiempos de evaluación de las aplicaciones más cortos e iterativos. Es por esto que, el desafío actual se centra en cómo evitar o reducir las vulnerabilidades en las primeras etapas del SDLC (Software Development Life Cycle) de manera de producir software más seguro.  Como OWASP describe “La revisión de código es probablemente la única y más efectiva técnica para identificar fallas de seguridad”. Además las revisiones de código pretenden, como aconseja uno de los principios fundamentales de seguridad, reducir la superficie de ataques.
Existen varias herramientas de escaneo automático que buscan y localizan fallas de seguridad en el código fuente de las aplicaciones software. El propósito de este artículo fue evaluar algunas herramientas conocidas de análisis de código fuente, con el fin de analizar el grado de precisión y comparar resultados. Este estudio fue realizado usando un set de pruebas público (Juliet Test Cases), desarrollado por la US American National Security Agency (NSA),  que contiene debilidades de seguridad intencionales.
Los resultados mostraron, principalmente, que las herramientas analizadas con los casos de test elegidos alcanzaron menos del 50% de lo que debería detectar una herramienta ideal o perfecta (es decir, aquella que detecte un 100% de los Positivos Válidos con 0% de Falsos Positivos). Esto hace que sea altamente recomendable, en una revisión estática de código fuente, la combinación de herramientas de análisis automático (open source y comerciales) con revisiones manuales de código, que verifiquen los resultados automáticos y profundicen el análisis.

El análisis completo puede ser verse en el siguiente artículo: 

lunes, 23 de junio de 2014

WebSocket


Dentro de las crecientes innovaciones tecnológicas en el ámbito web de los últimos años existe una que marca un antes y un después en relación al paradigma que venía planteando el protocolo HTTP. La llegada del protocolo HTML5 trajo muchas ventajas tanto para desarrolladores como para usuarios, sin embargo también trajo nuevos problemas de seguridad.

martes, 10 de junio de 2014

Nueva Alianza de Khutech


Durante el mes de mayo Khu Technologies cerro un nuevo acuerdo de representación comercial en Colombia a través de la empresa GAPPS quién se convirtió en un nuevo socio estratégico en una región donde las demandas de Análisis y Gestión de Riesgo crecen mes a mes.

La región conformada por Colombia, Ecuador y Perú registran interesantes niveles de crecimiento económico en los últimos 3 años  y las empresas han empezado un proceso de incorporación de la Gestión del Riesgo como una forma de cumplimentar los controles que han regulado sus gobiernos.

jueves, 24 de abril de 2014

Paper: Heartbleed, vulnerabilidad de OpenSSL


El pasado 7 de abril el descubrimiento de una importante vulnerabilidad denominada Heartbleed sacudió al mundo de seguridad informática y de TI en general. El bug descubierto reside en algunas versiones muy utilizadas de la biblioteca criptográfica OpenSSL cuyo propósito es cifrar datos en conexiones seguras en aplicaciones web. OpenSSL permite la trasmisión de datos desde y hacia aplicaciones web en forma segura normalmente a través del protocolo HTTPS. Su propósito es el de evitar la obtención de datos sensibles (como por ejemplo contraseñas o números de tarjetas de crédito).
A través de la vulnerabilidad de Heartbleed, un usuario malicioso podría leer información sensible de conexiones HTTPS ya efectuadas debido a un simple bug de "falta de verificación de límites".

miércoles, 6 de noviembre de 2013

Claves para establecer un Plan de Continuidad del Negocio


De acuerdo al estudio de Cummings, Haag&McCubbrey 2005 más del 40% de las empresas que sufrieron pérdidas importantes de datos, ya sea por un desastre natural u otro tipo de evento que afectó el funcionamiento de su parque tecnológico, nunca pudieron reabrir, mientras que el 51% cerró sus puertas al cabo de dos años y solo un 6% pudo sobrevivir a largo plazo.

lunes, 16 de septiembre de 2013

Banco Hipotecario confía en R-Box, desarrollo de Khutech, para su Gestión de Seguridad Informática

R-Box es la solución de Khu Technologies (Khutech) para la Gestión de Seguridad de la Información y Cumplimiento de Estándares. Banco Hipotecario la implementó como solución para el análisis de riesgos, la administración de incidentes y el cumplimiento de normas.

El Banco Hipotecario ha sido históricamente el proveedor de préstamos hipotecarios líder en la Argentina. Sin embargo, en los últimos añosha focalizado su estrategia de negocios en su consolidación como Banca Comercial. Apoyado en su reconocimiento histórico como prestador de Créditos Hipotecarios, apuesta hoy a crecer en esta reconversión a partir del lanzamiento de una amplia gama de productos y el fortalecimiento de su posicionamiento en el mercado.

Ventajas de la consultoría en Cumplimiento Normativo

El cumplimiento de normativas, compliance, es un proceso fundamental para el negocio ya que en determinados sectores, como el financiero, es obligatorio cumplir con un marco regulatorio de estándares, leyes, y buenas prácticas. Sin embargo, las características de los mercados actuales, en los que la generación y transmisión de la información es constante y cada vez más rápida, hacen que sea muy difícil mantener un correcto control del cumplimiento de estándares como elISO 20000, ISO27002, ITIL, COBIT, PCI, SOX, BCRA A4609 o BCRA A5374, por nombrar algunos.

Muchas de estas normativas responden a temas de seguridad, protección de datos y activos tanto de la empresa como de los usuarios/clientes, por lo que son obligatorias para poder brindar determinados servicios que en muchos casos hacen al negocio.