Visita recomendada
securityninja.co.uk
Alberto PartidaEspecialista en Seguridad TI
http://securityandrisk.blogspot.com
http://twitter.com/itsecuriteer
Comienzo 2012 con el sitio web británico securityninja.co.uk. Inició su andadura en el año 2008 y la publicación periódica de artículos en 2009. Su creador, David Rook, es un especialista en seguridad que trabaja en Dublín en la compañía “Realtex payments”, un negocio especializado en pagos en línea. Desde 2011, Realtex patrocina las páginas de securityninja. Hay incluso un enlace directo a este sitio desde la web corporativa de Realtex.
Es prometedor ver cómo un blog personal de seguridad se ha convertido, por su contenido y relevancia, en pocos años, en el sitio público de seguridad de “Realtex”.
El señor Rook está presente en Twitter, de forma muy activa, con el nombre de securityninja. En el mundo de la seguridad lógica encontramos múltiples referencias a los guerreros Ninja, míticas figuras de la época feudal japonesa, bien por la naturaleza intrépida de sus acciones o por los métodos heterodoxos que utilizaban.
Descubrí a securityninja a través del, actualmente, único podcast europeo periódico de seguridad: “Eurotrash”: Le han entrevistado dos veces en 2011, en el episodio 14 y en un microespacio 22. En ambas ocasiones, transmite su pasión por la seguridad.
Junto a temas generales de protección, el sitio de securityninja se enfoca en la seguridad en el desarrollo de aplicaciones web. Desde su página principal se accede a los tres apartados más destacados de este sitio:
- Un blog sobre seguridad y cumplimiento de normativa.
- Una colección de recomendaciones para el desarrollo seguro de aplicaciones.
- Un repositorio de vídeos y presentaciones.
En el blog, securityninja anuncia las novedades que incorpora. Ahí fue donde presentó Agnitio en 2010: una herramienta de código libre diseñada para facilitar la revisión manual de código fuente. David Rook considera a Agnitio como el “Burp Pro” (herramienta software tipo proxy utilizada para comprobar la seguridad de sitios web) del análisis estático de código. Agnitio es una herramienta gratuita que puede aportar mucho valor a la hora de sistematizar auditorías de código fuente.
Las recomendaciones para el desarrollo seguro de aplicaciones mencionan elementos tan relevantes como la validación de los datos de entrada y salida, la gestión de errores, la autenticación y autorización de usuarios, la gestión de la sesión, las comunicaciones seguras desde la aplicación, el acceso a recursos de forma segura y el almacenamiento seguro. Recomiendo su distribución, como información introductoria, a los equipos de desarrolladores antes de que comiencen a escribir código en su próximo proyecto web. Es todo un campo de conocimiento que demuestra cómo la creación de una aplicación web segura supone mucho más que la utilización de SSL en la comunicación entre el servidor y el cliente web.
Los vídeos y presentaciones también merecen atención. David ha presentado temas de seguridad en desarrollo y la herramienta Agnitio en conocidas conferencias de seguridad, tales como Defcon, OWASP y Brucon. El contenido de estos eventos está disponible en securityninja.
En definitiva, securityninja y, por ende, la herramienta Agnitio, son un ejemplo de cómo se puede proporcionar valor, basado en un decidido esfuerzo personal, a la comunidad de profesionales de seguridad.
