Enseñando Seguridad en Aplicaciones: ¿Qué hemos aprendido?¿Qué hemos aprendido? Es un proceso:...
Transcript of Enseñando Seguridad en Aplicaciones: ¿Qué hemos aprendido?¿Qué hemos aprendido? Es un proceso:...
![Page 1: Enseñando Seguridad en Aplicaciones: ¿Qué hemos aprendido?¿Qué hemos aprendido? Es un proceso: – Debería estar más integrado con p.ej. Las programaciones en la carrera El](https://reader035.fdocuments.ec/reader035/viewer/2022071112/5fe804f0ab8a63777f224856/html5/thumbnails/1.jpg)
Enseñando Seguridad en Aplicaciones:
¿Qué hemos aprendido?
Felipe ZipitríaGrupo de Seguridad Informática
FING
![Page 2: Enseñando Seguridad en Aplicaciones: ¿Qué hemos aprendido?¿Qué hemos aprendido? Es un proceso: – Debería estar más integrado con p.ej. Las programaciones en la carrera El](https://reader035.fdocuments.ec/reader035/viewer/2022071112/5fe804f0ab8a63777f224856/html5/thumbnails/2.jpg)
¿Desde cuándo?
● Desde el año 2006 parte de curso de posgrado profesional
● Desde 2007 para estudiantes de grado como opcional en la carrera de Ingeniería en Computación
● Desde el 2011, como curso de posgrado profesional y Diploma en Seguridad – Seguridad en Aplicaciones
![Page 3: Enseñando Seguridad en Aplicaciones: ¿Qué hemos aprendido?¿Qué hemos aprendido? Es un proceso: – Debería estar más integrado con p.ej. Las programaciones en la carrera El](https://reader035.fdocuments.ec/reader035/viewer/2022071112/5fe804f0ab8a63777f224856/html5/thumbnails/3.jpg)
Diferencias
● ... los perfiles– Grado: + académico
– Profesional: + gerencial/profesional
![Page 4: Enseñando Seguridad en Aplicaciones: ¿Qué hemos aprendido?¿Qué hemos aprendido? Es un proceso: – Debería estar más integrado con p.ej. Las programaciones en la carrera El](https://reader035.fdocuments.ec/reader035/viewer/2022071112/5fe804f0ab8a63777f224856/html5/thumbnails/4.jpg)
Grado
● No necesariamente conocen– Ingeniería de Software
● El modelo de trabajo que vienen usando es “anti-seguridad”– Los tiempos y entregas
![Page 5: Enseñando Seguridad en Aplicaciones: ¿Qué hemos aprendido?¿Qué hemos aprendido? Es un proceso: – Debería estar más integrado con p.ej. Las programaciones en la carrera El](https://reader035.fdocuments.ec/reader035/viewer/2022071112/5fe804f0ab8a63777f224856/html5/thumbnails/5.jpg)
Posgrado
● Más bien enfocado a– desarrollo
– gerencial
![Page 6: Enseñando Seguridad en Aplicaciones: ¿Qué hemos aprendido?¿Qué hemos aprendido? Es un proceso: – Debería estar más integrado con p.ej. Las programaciones en la carrera El](https://reader035.fdocuments.ec/reader035/viewer/2022071112/5fe804f0ab8a63777f224856/html5/thumbnails/6.jpg)
Laboratorio
● Se usan las herramientas de OWASP– WebGoat
– WebScarab
● Otra simples para explicar, p.e. BO
![Page 7: Enseñando Seguridad en Aplicaciones: ¿Qué hemos aprendido?¿Qué hemos aprendido? Es un proceso: – Debería estar más integrado con p.ej. Las programaciones en la carrera El](https://reader035.fdocuments.ec/reader035/viewer/2022071112/5fe804f0ab8a63777f224856/html5/thumbnails/7.jpg)
¿Un laboratorio?
● Pero... ¡estudiantes que puedan romper!?– Los estudiantes rompen igual
– Es la forma que utilizan para aprender de forma directa
– El laboratorio monta● Una infraestructura real
– Sobre una red/máquina virtual
![Page 8: Enseñando Seguridad en Aplicaciones: ¿Qué hemos aprendido?¿Qué hemos aprendido? Es un proceso: – Debería estar más integrado con p.ej. Las programaciones en la carrera El](https://reader035.fdocuments.ec/reader035/viewer/2022071112/5fe804f0ab8a63777f224856/html5/thumbnails/8.jpg)
¿Qué diferencias de nivel hay?● Grado: cuesta profundizar en ciertas
problemáticas:– CSRF
– Programación!
● Posgrado: mucho óxido en las bases
![Page 9: Enseñando Seguridad en Aplicaciones: ¿Qué hemos aprendido?¿Qué hemos aprendido? Es un proceso: – Debería estar más integrado con p.ej. Las programaciones en la carrera El](https://reader035.fdocuments.ec/reader035/viewer/2022071112/5fe804f0ab8a63777f224856/html5/thumbnails/9.jpg)
Incorporar
● Exceptuando gerentes de proyectos/área– No hay noción de riesgo
– Cuesta priorizar
● Ejercicios de modelos de amenazas
![Page 10: Enseñando Seguridad en Aplicaciones: ¿Qué hemos aprendido?¿Qué hemos aprendido? Es un proceso: – Debería estar más integrado con p.ej. Las programaciones en la carrera El](https://reader035.fdocuments.ec/reader035/viewer/2022071112/5fe804f0ab8a63777f224856/html5/thumbnails/10.jpg)
El enfoque
● El enfoque debe ser el que se aplica:– Con énfasis en el proceso de desarrollo
– Con las actividades para cada etapa
● No se debe aplicar el de Web Pen Testing clásico: test & parche
![Page 11: Enseñando Seguridad en Aplicaciones: ¿Qué hemos aprendido?¿Qué hemos aprendido? Es un proceso: – Debería estar más integrado con p.ej. Las programaciones en la carrera El](https://reader035.fdocuments.ec/reader035/viewer/2022071112/5fe804f0ab8a63777f224856/html5/thumbnails/11.jpg)
¿Qué hemos aprendido?● Es un proceso:
– Debería estar más integrado con p.ej. Las programaciones en la carrera
● El modelo actual de enseñanza de grado– No contempla seguridad en aplicaciones en forma
horizontal a las programaciones
● Pueder ser difícil evaluar un laboratorio– Banderas/etc.
![Page 12: Enseñando Seguridad en Aplicaciones: ¿Qué hemos aprendido?¿Qué hemos aprendido? Es un proceso: – Debería estar más integrado con p.ej. Las programaciones en la carrera El](https://reader035.fdocuments.ec/reader035/viewer/2022071112/5fe804f0ab8a63777f224856/html5/thumbnails/12.jpg)
¿Qué le cuesta más a un alumno?
● Normalmente lo más difícil (lo que más les cuesta) es pensar como un atacante
● El modelo/modelado de amenazas● Las bases
– Confidencialidad/Integridad/No Repudio, etc.
● El riesgo!
![Page 13: Enseñando Seguridad en Aplicaciones: ¿Qué hemos aprendido?¿Qué hemos aprendido? Es un proceso: – Debería estar más integrado con p.ej. Las programaciones en la carrera El](https://reader035.fdocuments.ec/reader035/viewer/2022071112/5fe804f0ab8a63777f224856/html5/thumbnails/13.jpg)
Preguntas/Comentarios/Sugerencias