4.4 Ingeniera de Seguridad

LaIngeniera de la seguridades una rama de la ingeniera, que usa todo tipo de ciencias para desarrollar los procesos y diseos en cuanto a las caractersticas de seguridad, controles y sistemas de seguridad. La principal motivacin de esta ingeniera ha de ser el dar soporte de tal manera que impidan comportamientos malintencionados.

El campo de esta ingeniera puede ser muy amplio, podra desarrollarse en muchas tcnicas:

Equipos: Como el diseo de cerraduras, cmaras, sensores, etc.

Procesos: polticas de control, procedimientos de acceso.

Informtico: control de passwords, criptografa.

Tradicionalmente el tema de la seguridad en sistemas computarizados se ha asociado a la criptografa y sus tcnicas. La inmensa complejidad que caracteriza a los sistemas modernos hace que esta aproximacin sea insuficiente.

Hoy en da la seguridad est asociada a la interaccin de una multiplicidad de sistemas. La seguridad de un sistema en particular est directamente relacionada a la seguridad de la ms dbil de sus partes.

Un sistema puede tener mecanismos criptogrficos que sean considerados completamente seguros pero puede adolecer de debilidades que hagan que sea innecesario atacar al sistema criptogrfico.

Ejemplos de esto son:

Sistemas que fallan debido a problemas en el cdigo, como en la mayora de los ataques conocidos como de buffer overflow, en los cuales el no considerar aspectos de excepcin asociados a los sistemas pueden representar que un atacante suficientemente hbil pueda asumir funciones del administrador. Si en un determinado sistema alguien asume las funciones del administrador puede tener muy fcil acceso a claves y sistemas criptogrficos haciendo intil la fortaleza del sistema criptogrfico que lo protege.

Algunos ataques aprovechan fallas de diseo en los sistema. Si una determinada aplicacin ejecuta sin evaluar un determinado comando, los atacantes del sistema pueden conseguir informacin vital sin necesidad de romper las claves criptogrficas que lo protegen.

La existencia de sistemas de comunicacin mvil, basados en transmisin inalmbrica facilita actividades de fisgoneo en la seal.

Algunas veces lo que se conoce como ataques de ingeniera social pueden resultar muy efectivos a la hora de atacar sistema supuestamente seguros.

La poca comprensin que algunos implementadores de sistemas tienen sobre los mecanismos de seguridad implcitos tambin ocasiona que ciertos sistemas sean ms vulnerables. Un ejemplo clsico es la forma en que se implementan algunos sistemas de contabilidad.

El sistema de doble registro, ancestralmente usado para proteger sistemas de seguridad se ve violentado por sistemas que obligan al cuadre entre cuentas lo cual facilita el ataque a sistemas de esta naturaleza.

Nuestro proceso de desarrollo de software integra tcnicas de ingeniera de la seguridad basadas en la nocin de patrn de seguridad. Un patrn describe un problema recurrente que surge en un contexto especfico y que presenta un esquema de solucin genrico y bien probado para su solucin. Nuestro proceso de desarrollo usa el concepto de patrones de seguridad para representar soluciones de seguridad existentes. Esta propuesta facilita la definicin de perfiles y soluciones especficas para entornos distintos. El proceso est diseado para ofrecer soporte a los ingenieros de la seguridad en el desarrollo de soluciones formalmente probadas relativas a la seguridad, pero adems para ayudarles en la especificacin de los requisitos de seguridad, la validacin de sus modelos comprobando la coherencia de los requisitos de seguridad a diferentes niveles de abstraccin y la integracin de soluciones probadas de seguridad en sus modelos. Nuestra visin dual del problema est basada en el hecho de que no es realista pensar que los ingenieros de software se conviertan en ingenieros de la seguridad. Por tanto, proponemos que el proceso se use como conexin entre ambos. Los ingenieros de la seguridad producirn soluciones de seguridad (patrones) que sern usados por los ingenieros de software para implementar los requisitos de seguridad en sus sistemas, completndolos como las piezas que faltan dentro del gran puzzle del sistema software. La figura muestra la integracin de la ingeniera de la seguridad dentro de un proceso software genrico. Los ingenieros de la seguridad usan el diseo de patrones, el modelado formal y las herramientas de validacin para crear nuevas soluciones de seguridad especializadas. Actualmente, esos patrones de seguridad se han formalizado y analizado usando el Asynchronous Product Automata (APA) [15] y el Simple Homomorphism Verification Tool (SHVT) [16], de forma que se ofrezcan servicios de seguridad complejos, sin olvidar nunca la fiabilidad de los mismos. Una vez que esas soluciones han sido probadas formalmente, pueden ser integradas en una librera de patrones que ser usada para cubrir los requisitos de seguridad en los modelos software. Para facilitar su integracin, cada patrn de seguridad est descrito semnticamente usando metamodelos basados en XML. Esas descripciones incluyen pre y post condiciones, definicin de parmetros y por supuesto, las propiedades de seguridad que cubre el patrn descrito.

Por otro lado, los requisitos de seguridad especificados en los modelos de usuario se analizan para buscar posibles inconsistencias en el modelo (por ejemplo informacin confidencial que aparece como pblica en un repositorio tambin pblico) con la ayuda de las descripciones semnticas de las propiedades de seguridad. A partir de unos requisitos de seguridad definidos en el modelo, buscamos automticamente los patrones que mejor los representen. Entonces, los patrones seleccionados deben adaptarse e integrarse en el modelo de usuario. Hay que resaltar que cuando el cliente expresa requisitos de seguridad complejos puede ser necesaria la composicin de diferentes patrones antes de integrarlos en el modelo.

Bibliografahttp://web.iti.upv.es/~fsanchez/publications/RECSI04ManaSanchezRayYague.pdfhttp://200.94.73.190/ingenieria_de_seguridad.htmlhttp://ingenieriaweb2584.blogspot.mx/2013/05/ingenieria-de-seguridad-aspectos.html