Jeremías Grossman, CTO de WhiteHat, publicó un interesante post acerca de la proporción o, mas bien, el número de personas in-house a cargo de las labores de evaluación de vulnerabilidades en sitios web corporativos. Aunque el escenario descrito por Jeremías y su amigo pareciera una meta muy ilusioria en su organización, desmiéntala al leer la entrevista que le hiciéramos -hace unos meses- a Raúl Velarde, auditor interno de aplicaciones web de una importante institución del estado peruano.
JaCkSecurity: ¿Por qué fueron encomendados a especializarse en esta labor (revisar código de programación)?
Raúl: La institución necesitaba detectar y prevenir posibles vulnerabilidades que afectaran sus intereses. Eso implicaba personal (con conocimientos de programación y seguridad de información) que revisara el código de todos los sistemas desarrollados por los proveedores de software, que nos brindan sus servicios.
JaCkSecurity: Desde que fue encomendado a esta labor, ¿cuánto tiempo pasó para hallar por primera vez una vulnerabilidad?
Raúl: Luego de 2 semanas hallé primera vulnerabilidad con ayuda de un software especializado, en este caso un web vulnerability scanner.
JaCkSecurity: ¿Cuál fue la primera vulnerabilidad que descubrió en un sistema, tan solamente leyendo código?
Raúl: Fue aquella donde se halló visible -desde el código fuente- el usuario y password, lo que exponía la base de datos. Inclusive se podía ejecutar un trigger en la base de datos, menoscabando la confidencialidad, disponibilidad e integridad de la información en toda la institución.
JaCkSecurity: ¿Cuánto cree usted que ha beneficiado la seguridad de su institución al hacer conocer las deficiencias de programación en el desarrollo de sus sistemas?
Raúl: Pienso que considerablemente, no sólo al prevenir ataques existosos, sino por el beneficio posterior. Verá, producto de estos hallazgos se han desarrollado y enriquecido los lineamientos de seguridad de información de todos los sistemas que vienen siendo desarrollados por nuestros proveedores.
JaCkSecurity: Desde que tu labor es una forma sana de evitar el Full-Disclosure ¿Qué opina tú de proyectos como WabiSabiLabi?
Raúl: Me parece un proyecto interesante, y llegará a ser beneficioso para las empresas “siempre y cuando” la venta de la vulnerabilidades se hagan para fines lícitos, como por ejemplo el utilizar dicha información para que los profesionales de seguridad de las empresa tengan mayores recursos para poder prevenir ataques por la explotación de las vulnerabilidades de sus sistemas.
