Seguridad desde la Arquitectura: Webcast este Jueves

 Me  complace anunciar que este Jueves 29 de Junio grabo mi tercer Webcast de Arquitectura. El mismo va a estar basado en "Diseño de Arquitecturas Seguras"

Este fue un tópico que Eduardo, mi ex jefe en Microsoft Cono Sur, me había pedido para el último Foro de Arquitectura Regional (Andes y Cono Sur). Y la verdad es que investigando el tema encontré todo un mundo bastante interesante. No sólo por los peligros que acechan allá afuera (o incluso dentro) de cada organización, sino también de las contramedidas que hay a mano para defenderse

De eso es de lo que te voy a hablar el Jueves. A lo largo de una hora te voy a contar sobre el Modelado de Amenazas, una técnica para "pensar como el enemigo" y actuar como si nosotros mismos quisieramos atacarnos (con una ventaja: nosotros sabemos cómo está hecha nuestra aplicación, el enemigo no). Ergo, si somos capaces de tomar medidas para no poder vulnerar nuestra propia aplicación, nosotros que la conocemos, cualquier otro atacante tendrá aún menos chances

También vamos a tener muchas demos. Dije MUCHAS

Te voy a mostrar cómo altero los comandos SQL de una aplicación que no contempló contramedidas de seguridad, para que hagan lo que yo quiero (por ejemplo, dejarme loguear como administrador aún sin conocer su contraseña)

También vas a ver, en otra demo, cómo Code Access Security (CAS), una facilidad del framework .NET, permite mover el eje de la seguridad, desde el usuario hacia el código mismo. Por que, en definitiva, tomamos muchos recaudos para tener certeza de que el usuario es realmente quien dice ser. Ahora, el usuario es el único de quien debemos protegernos? Tenemos claro que el código ejecutable que se puso en producción viene de fuentes fidedignas? Sí, ya sé, me vas a decir que lo hicieron tipos que trabajan en la organización. Ok. Sabían lo que estaban haciendo? No dejaron puertas traseras abiertas, intencionalmente o por descuido? Cada transacción se ejecuta con el login del usuario o una vez que pasa el servidor web se usa la cuenta del servicio web? Qué permisos tiene habilitados esa cuenta? Cómo sabemos, después, que en la base de datos un registro cambió porque lo pidió un usuario específico, si siempre aparece la cuenta del servicio como "último modificador"?

En otra demo vas a ver una tool que Microsoft liberó para permitirle a los arquitectos del proyecto llevar cuenta de las amenazas, en base a info regularmente conocida como los casos de uso, los roles, los accesos, componentes, recursos, etc. Esta pieza, Threat Analyzing and Modeling Tool v2.0, te sugiere los posibles ataques a los que la aplicación se expone y las formas de mitigarlos

Otra demo más te va a mostrar cómo interceptar ciertas invocaciones a componentes sensibles, para filtrar allá todo lo dañino que puedan meter en esa invocación (por ejemplo, inyección de SQL o Javascript trucho, etc). Esta demo es doble: por una parte revisaremos el filtrado full .NET mediante clases atadas a contextos (ContextBoundObjects), en tanto que en la otra veremos la versión de filtrado por Programación Orientada a Aspectos (AOP). Este último mecanismo no está soportado directamente por el framework .NET sino a partir de piezas de terceros (destacandose sobre todo Spring.NET y Aspect#). Es una solución políticamente más correcta que la de intercepción por cambios de contextos que comenté previamente

Y por supuesto, al despedirme te voy a contar los recursos disponibles como para que empieces YA a mejorar la seguridad de tus aplicaciones

La cita es el jueves 29, entonces! La hora:

Buenos Aires: 11.00 AM
Lima: 10.00 AM
Madrid: 04.00 PM
Montevideo: 11.00 AM
Quito: 10.00 AM
Redmond: 07.00 AM
Santiago: 10.00 AM

Registrate para no perderlo haciendo click acá. Te espero el jueves

Esta entrada fue publicada en Software Architecture. Guarda el enlace permanente.

3 respuestas a Seguridad desde la Arquitectura: Webcast este Jueves

  1. paulo dijo:

    Me interesa la parte de Spring.Net, tengo que darle una mirada a ese framework y comenzar cuando antes a implementarlo, con respecto a una de las vulnerabilidades mas comunes en sitios web que es XSS, yo utilizo desde hace unos meses la Microsoft Anti-Cross Site Scripting, su funcionamiento es parecido al de System.Web.HttpUtility.HtmlEncode, pero un poco mas flexible. Nos vemos el jueves. Bye

  2. daniela dijo:

    hola!
    esta es una visita inesperada… pero llegue aqui paseando y no suelo irme sin saludar…
    asi q …
    have a nice day!
    daniela

  3. Diego dijo:

    Me encantó tu sitio!!! Y supe por él que estás de vacaciones ahora así que… a disfrutar!!

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s