Product Security, en el mundo del confort-security

Durante varios años he informado una cantidad innumerable de vulnerabilidades a varias startups-unicornio, entre otras empresas, llegue a pensar en todos los fallos de seguridad reportados de forma exclusiva en funcionalidad y estructuración, después llegue recordar todo el recorrido que he tenido al ayudar a mejorar la seguridad de algunas empresas grandes y pequeñas de Internet.

Se llega a un punto irónico donde las compañías suelen invertir más dinero en diseño y desarrollo del producto, haciendo algo estupendo con un gran trabajo por parte del product designer de la compañía y el equipo de desarrollo, pero no lo es todo.

¿Ah y la seguridad?

Todo es un proceso, pero tratando la seguridad de un producto solo se requieren tres actividades principales que se mantienen como una disciplina.

  • Diseño seguro
  • Desarrollo seguro
  • Pruebas de seguridad

Pero, todas las empresas de Internet están aplicando este proceso de seguridad en sus productos?

Se ha vuelto una normalidad tener que ver cómo grandes empresas son perjudicadas por algún fallo de seguridad encontrado por una persona maliciosa, lo cual saca provecho mediante su debida explotación. Estas son las empresas, que proceden a una demanda, aunque ellas mismas son las culpables de que sean vulneradas. ¿Porque?, en las tres actividades mencionadas anteriormente la mayoría de las empresas suelen aplicar diseño pero sin seguridad, desarrollo y al igual sin seguridad haciendo totalmente todo lo contrario de forma portentosa.

El confort-security

He pensado que la creación de algunos productos que han fracasado no ha sido por causa de algún defecto en uno de sus componentes si no el diseño general del producto, de igual forma, es muy importante el diseño seguro para proporcionar confianza en la seguridad general del mismo.

Es posible que las herramientas sean las culpables de la gran falta de enfoque en el diseño seguro, ya que el mercado de las herramientas de seguridad crece constantemente y se ha vuelto más robusto habiendo multitudes de herramientas existentes para que los desarrolladores utilicen durante el desarrollo de un producto, este tipo de herramientas detectan posibles errores en la producción del código. Pero es un vivir, por la cantidad alta de falsos positivos que se produce en general, creando la percepción de que la seguridad en un producto (software), se basa en el uso de herramientas que hacen pruebas de seguridad o detectan posibles errores.

Ya es hora de dejar atrás el conformismo y comodidad absoluta en la utilización de herramientas que no son un 100% directas al detectar las fallas y aplicar las tres actividades principales como un Product Security.

Hoy en día, existen muchas empresas que brindan soluciones en pruebas de seguridad, y es muy preocupante que el equipo profesional de la mayoría de aquellas empresa suele utilizar de forma única solo herramientas para las pruebas de seguridad, dejando el diseño y pruebas de seguridad de la estructuración y funcionalidad en el olvido.

Personalmente al reportar vulnerabilidades día a día te debes adaptar a este tipo de cosas: A Veces recibes respuestas, a veces recompensas y aveces no. Es como la línea del éxito, en la cual hay fracasos no constantes pero se presentan y más aún lidiar con empresas que desconocen la revelación responsable de vulnerabilidades. ¿Fácil no?, pero lo más importante es que amo y me divierto haciendo estas cosas, aunque hay algunas empresas que responden de forma incoherente, aunque a veces de forma casual vemos que estas son las empresas que están siendo afectadas por no poner atención directa a los reportes de seguridad, parcheando las vulnerabilidades.

Product Security

Posiblemente las únicas herramientas necesarias para el diseño seguro son un lápiz, un cuaderno y lo más importante la experiencia.

El diseño seguro se trata de comprender como interactuan todos los componentes, estableciendo directivas y tomando decisiones de diseño para prevenir posibles ataques en el producto, generando mas confianza desde el producto hacia el usuario aunque, es algo muy complejo ya que el Product Security requiere el conocimiento de cómo funciona el producto con una mentalidad de atacante generando definición de confianza en accesos, validaciones de datos y sobre todo la actividad mas importante es el modelado de amenazas para apoyar el diseño seguro, aunque no es posible construir un producto seguro de forma sostenible sin un diseño seguro.

Desde el año 2012 hasta noviembre del 2015, se han registrado mas de 22.000 vulnerabilidades en productos de software libre y en especial productos comerciales, implicando fallos de seguridad de prioridad baja y de alto perfil, cada vulnerabilidad en un producto es una nueva oportunidad de ataque para una persona maliciosa que pueda generar una explotación de aquella y sacar provecho o accionando la distribución y venta de 0days en el mercado, perjudicando a la empresa dueña del producto.

Brindas políticas de privacidad en tu producto, pero que políticas de seguridad detallada tienes para tus clientes?. La seguridad del producto debe adaptarse a las políticas de seguridad de los clientes mientras, aplicando inteligencia para la detección avanzada de amenazas y permitir confianza activa en la utilización y crecimiento del producto.

Porque tu producto es exitoso, no quiere decir que no tenga vulnerabilidades o sea super “seguro”; es mejor mantener un alineamiento de producción con una persona o equipo con conocimientos en el área que aplique el papel como Product Security , para mantener un diseño seguro y después no lamentarse.

“La seguridad es un viaje y no un simple destino, la gravedad y magnitud de un problema de seguridad depende de la falta de información dentro del grupo de desarrolladores o equipo de seguridad de una empresa”

Saludos!

Jose Pino (Fraph), @jofpin

Security Researcher & creator of cyber intelligence tools

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store