Aquellos que antes habrían sido denominados ciberpunks, hoy se llaman más políticamente correctos: DevSecOps. ¿Recuerdas "todo el espectro del arco iris" de la legendaria película "Hackers"? 1) Verde (entorno UNIX mundial); 2) naranja brillante (criterios de protección de datos de la computadora de acuerdo con los estándares del DOD); 3) una camisa rosa (libro de referencia de IBM; apodado esto debido a una estúpida camisa rosa en un campesino de la portada); 4) el libro del diablo (biblia UNIX); 5) libro del dragón (desarrollo del compilador); 6) el libro rojo (redes de la administración de seguridad nacional; conocido como el libro rojo vil, que no tiene lugar en el estante).
Después de revisar una vez más esta legendaria película, me pregunté: ¿qué leerían hoy los ciberpunks del pasado, que se han convertido en DevSecOps en nuestro tiempo? Y obtuvimos una versión actualizada y más moderna de este espectro del arco iris:
- Violeta (manual de hackers APT)
- Negro (ciberseguridad corporativa)
- Rojo (Manual del Ejército Rojo)
- Libro de un bisonte (cultivo de la cultura DevOps en la comunidad de desarrolladores; llamado así por la bestia de la portada)
- Web amarilla (amarilla, en el sentido de tópico, una selección de vulnerabilidades de la red mundial)
- Brown (libro del zapatero)
- El Libro de la Retribución (Desarrollo del Código Bíblico Seguro)
1. Violeta (manual de hackers APT)
Este libro está escrito con un único propósito: demostrar que no hay sistemas seguros en el mundo. Además, está escrito desde el punto de vista del criminal, sin compromisos. El autor demuestra descaradamente las realidades modernas de la ciberseguridad y, sin ocultarse, comparte los detalles más íntimos del pirateo de APT. Sin ningún indicio de andar de puntillas en torno a temas polémicos, por temor a atraer una atención censurable. ¿Por qué es desde un punto de vista inflexiblemente criminal? Porque el autor está seguro de que solo de esta manera podemos realmente "reconocer a nuestro enemigo por la vista", como lo aconsejó Sun Tzu en su libro "El arte de la guerra". Y porque el autor también está seguro de que sin este conocimiento es imposible desarrollar una protección efectiva contra las amenazas cibernéticas.
El libro describe la mentalidad, las herramientas y las habilidades del pirata informático APT, que le permiten piratear absolutamente cualquier organización, independientemente de qué tipo de sistema de seguridad se implemente allí. Con una demostración de ejemplos reales de piratería, para cuya implementación un presupuesto modesto y habilidades técnicas modestas son suficientes.
Para combatir a los delincuentes tradicionales en cualquier estado, existen esquemas bien establecidos. Sin embargo, en el ciberespacio, los delincuentes inteligentes son esquivos. Por lo tanto, las duras realidades de la era moderna de la tecnología digital son tales que quien se conecta a Internet, está bajo un ataque constante, tanto en casa como en el trabajo. Es posible que no esté al tanto de este informe, pero cuando deja que Internet, una computadora, un teléfono móvil, Facebook, Twitter o algo así entre en su vida, se une a la guerra. Lo quieras o no, ya estás entre los soldados de esta guerra.
Incluso si "no tiene datos valiosos", puede convertirse fácilmente en una víctima accidental. Sin mencionar el hecho de que el criminal puede usar su equipo digital en sus asuntos oscuros: descifrado de contraseñas, spam, soporte para ataques DDoS, etc. El mundo de hoy se ha convertido en un patio de recreo, para aquellos que conocen la alta tecnología y les encanta romper las reglas. Y el lugar del rey de la colina en este juego está ocupado por piratas informáticos de APT, cuyo manifiesto se reduce a las siguientes palabras: “Somos superhéroes, invisibles y Neo de Matrix. Podemos movernos en silencio y en silencio. Manipular todo lo que deseamos. Donde queramos ir. No hay información que no podamos obtener. Volamos con confianza donde otros solo pueden gatear ".
2. Negro (ciberseguridad corporativa)
El libro proporciona un esquema visual flexible para gestionar todos los aspectos del programa corporativo de ciberseguridad (PCC), en el que todo el PCC se divide en 11 áreas funcionales y 113 aspectos temáticos. Este esquema es muy conveniente para el diseño, desarrollo, implementación, monitoreo y evaluación de PDAs. También es muy conveniente para la gestión de riesgos. El esquema es universal y fácilmente escalable a las necesidades de organizaciones de cualquier tamaño. El libro enfatiza que la invulnerabilidad absoluta es fundamentalmente inalcanzable. Debido a que tiene un tiempo ilimitado en reserva, un atacante emprendedor finalmente puede superar incluso la defensa cibernética más avanzada. Por lo tanto, la efectividad del PCCh se evalúa no en categorías absolutas, sino en categorías relativas, mediante dos indicadores relativos: qué tan rápido le permite detectar ataques cibernéticos y cuánto tiempo le permite contener el ataque del enemigo. Cuanto mejores sean estos indicadores, más tiempo tendrán los especialistas a tiempo completo para evaluar la situación y tomar contramedidas.
El libro describe en detalle a todos los actores en todos los niveles de responsabilidad. Explica cómo aplicar el esquema de CPC propuesto para combinar diversos departamentos, presupuestos modestos, procesos empresariales corporativos e infraestructura cibernética vulnerable en un PDA rentable que pueda resistir ataques cibernéticos avanzados; y capaz de reducir significativamente el daño en caso de avería. Un PDA rentable, que tiene en cuenta el presupuesto limitado asignado para garantizar la ciberseguridad y que ayuda a encontrar los compromisos necesarios que sean óptimos para su organización. Teniendo en cuenta las actividades operativas diarias y las tareas estratégicas a largo plazo.
Al conocer por primera vez el libro, los propietarios de pequeñas y medianas empresas con presupuestos limitados pueden descubrir que para ellos el esquema de CPC presentado en el libro no es asequible, por un lado, pero por otro lado es generalmente innecesariamente engorroso. Y de hecho: no todas las empresas pueden permitirse tener en cuenta todos los elementos de un programa integral de CPC. Cuando el director general también es director financiero, secretario, servicio de soporte técnico, un PCCh en toda regla no es para él. Sin embargo, en un grado u otro, cualquier empresa tiene que resolver el problema de la ciberseguridad, y si lee el libro cuidadosamente, puede ver que el esquema PDA presentado se adapta fácilmente a las necesidades de incluso la empresa más pequeña. Por lo tanto, es adecuado para empresas de todos los tamaños.
La ciberseguridad hoy es un área muy problemática. Garantizar la ciberseguridad comienza con una comprensión integral de sus componentes. Esta comprensión por sí sola es el primer paso serio hacia la ciberseguridad. Comprender dónde comenzar a proporcionar seguridad cibernética, cómo continuar y qué mejorar son algunos pasos más serios para garantizarlo. Estos pocos pasos se presentan en el libro y el esquema PDA le permite hacer. Merece atención, ya que los autores del libro son reconocidos expertos en ciberseguridad que alguna vez han luchado a la vanguardia de la ciberseguridad contra los piratas informáticos APT, defendiendo los intereses gubernamentales, militares y corporativos en diferentes momentos.
3. Rojo (Manual del Ejército Rojo)
RTFM es una referencia detallada para representantes serios del equipo rojo. RTFM proporciona la sintaxis básica para las herramientas básicas de línea de comandos (para Windows y Linux). Y también se presentan opciones originales para su uso, en combinación con herramientas tan potentes como Python y Windows PowerShell. RTFM le ahorrará un montón de tiempo y esfuerzo una y otra vez, eliminando la necesidad de recordar / buscar los matices del sistema operativo difíciles de recordar asociados con herramientas como Windwos WMIC, herramientas de línea de comandos DSQUERY, valores de clave de registro, sintaxis del Programador de tareas, Windows- scripts, etc. Además, lo que es más importante, RTFM ayuda a su lector a adoptar las técnicas más avanzadas del Ejército Rojo.
4. Libro de Bison (cultivo de la cultura DevOps en la comunidad de desarrolladores; llamado así por la bestia de la portada)
El más exitoso del manual existente sobre la formación de la cultura corporativa DevOps. Aquí DevOps es visto como una nueva forma de pensar y trabajar, que le permite formar "equipos inteligentes". Los "equipos inteligentes" difieren de los demás en que sus miembros entienden las peculiaridades de su forma de pensar y aplican esta comprensión en beneficio de ellos mismos y su causa. Esta capacidad de "equipos inteligentes" se desarrolla como resultado de la práctica sistemática de ToM (Teoría de la mente; la ciencia de la autoconciencia). El componente ToM de la cultura DevOps le permite reconocer fortalezas: las suyas y las de sus colegas; le permite mejorar su comprensión y la de los demás. Como resultado, la capacidad de las personas para cooperar y empatizar entre sí está aumentando. Las organizaciones con una cultura desarrollada de DevOps tienen menos probabilidades de cometer errores y recuperarse más rápidamente después de fallas. Los empleados de estas organizaciones se sienten más felices. Y las personas felices, como saben, son más productivas. Por lo tanto, el objetivo de DevOps es desarrollar un entendimiento mutuo y objetivos comunes, lo que le permite establecer relaciones laborales sólidas a largo plazo entre empleados individuales y departamentos enteros.
La cultura DevOps es un tipo de marco que permite compartir experiencias prácticas valiosas y desarrollar empatía entre los empleados. DevOps es un tejido cultural tejido a partir de tres hilos: desempeño continuo de deberes, desarrollo de competencias profesionales y superación personal. Este tejido cultural "envuelve" tanto a los empleados individuales como a departamentos enteros, lo que les permite desarrollarse eficiente y continuamente de manera profesional y personal. DevOps ayuda a alejarse del "viejo enfoque" (la cultura de los reproches y la búsqueda del culpable) y llegar a un "nuevo enfoque" (usando los errores inevitables no para culpar, sino para aprender lecciones prácticas). Como resultado, aumenta la transparencia y la confianza en el equipo, lo cual es muy beneficioso para la capacidad de los miembros del equipo de cooperar entre sí. Este es el resumen del libro.
5. La red amarilla (amarilla, en el sentido de tópico, una selección de vulnerabilidades de la red mundial)
Hace solo 20 años, Internet era tan simple como inútil. Era un mecanismo extraño que permitía que un pequeño puñado de estudiantes y geeks visitaran las páginas de inicio de los demás. La gran mayoría de esas páginas estaban dedicadas a la ciencia, las mascotas y la poesía.
Las fallas arquitectónicas y las deficiencias en la implementación de la World Wide Web, que tenemos que soportar hoy, son tarifas para la retrospectiva histórica. Después de todo, era una tecnología que nunca aspiró al estado global que tiene hoy. Como resultado, hoy tenemos una infraestructura cibernética muy vulnerable: al final, los estándares, el diseño y los protocolos de la World Wide Web, que eran suficientes para las páginas de inicio con hámsters bailando, son completamente inadecuados, por ejemplo, para una tienda en línea que procesa millones de transacciones de tarjetas de crédito anualmente.
Mirando hacia atrás en las últimas dos décadas, es difícil no decepcionarse: casi todos los tipos de aplicaciones web útiles desarrolladas hasta el día de hoy se han visto obligadas a pagar un precio sangriento por la retrospectiva de los arquitectos de la World Wide Web de ayer. No solo Internet resultó ser mucho más demandado de lo esperado, sino que también ignoramos algunas de sus características incómodas que iban más allá de nuestra zona de confort. Y bien, cerraríamos nuestros ojos en el pasado; continuamos cerrándolos ahora ... Además, incluso las aplicaciones web muy bien diseñadas y cuidadosamente probadas aún tienen muchos más problemas que sus contrapartes que no pertenecen a la red.
Entonces, rompimos leña en orden. Es hora de arrepentirse. Para el propósito de tal arrepentimiento, este libro fue escrito. Este es el primer libro de este tipo (y actualmente el mejor de su tipo) que proporciona un análisis sistemático y exhaustivo del estado actual de seguridad de las aplicaciones web. Para un volumen tan relativamente pequeño del libro, el número de matices discutidos en él es simplemente abrumador. Además, los ingenieros de seguridad que buscan soluciones rápidas se alegrarán con la presencia de hojas de trucos, que se pueden encontrar al final de cada sección. Estas hojas de trucos describen enfoques efectivos para resolver los problemas más apremiantes que enfrenta un desarrollador de aplicaciones web.
6. Brown (libro del tirador)
Uno de los libros más interesantes publicados en la última década. Su mensaje se puede resumir en las siguientes palabras: "Dele a la persona una hazaña, y lo convertirá en un hacker por un día, enséñele a explotar errores, y seguirá siendo un hacker de por vida". A medida que lea The Fighter’s Diary, seguirá a un experto en seguridad cibernética que identifica errores y los explota en las aplicaciones más populares de la actualidad. Como Apple iOS, VLC-media player, navegadores web e incluso el núcleo de Mac OS X. Al leer este libro único de este tipo, obtendrá un profundo conocimiento técnico y la comprensión de lo que los piratas informáticos abordan para los problemas intratables; y cuán extasiados están en el proceso de cazar insectos.
Del libro aprenderá: 1) cómo usar métodos probados por el tiempo para encontrar errores, como el seguimiento de la entrada del usuario y la ingeniería inversa; 2) cómo explotar vulnerabilidades, como la desreferenciación de punteros NULL, desbordamiento de búfer, fallas de conversión de tipo; 3) cómo escribir código que demuestre la existencia de una vulnerabilidad; 4) cómo notificar correctamente a los proveedores los errores identificados en su software. El diario de errores está lleno de ejemplos reales de código vulnerable y programas de creación diseñados para facilitar el proceso de búsqueda de errores.
Para cualquier propósito que busque bichos, ya sea entretenimiento, ganancias o el deseo altruista de hacer del mundo un lugar más seguro, este libro lo ayudará a desarrollar habilidades valiosas, porque con su ayuda, mira por encima del hombro de un luchador profesional, en la pantalla de su monitor , y también en su cabeza. Aquellos que estén familiarizados con el lenguaje de programación C / C ++ y el ensamblador x86 sacarán el máximo provecho del libro.
7. El libro de la retribución (La Biblia es un desarrollo de código seguro)
Hoy en día, cualquier desarrollador de software simplemente debe tener las habilidades para escribir código seguro. No porque esté de moda, sino porque la vida salvaje del ciberespacio es bastante hostil. Todos queremos que nuestros programas sean confiables. Pero no lo serán a menos que nos encarguemos de su ciberseguridad.
Todavía estamos pagando por los pecados de ciberseguridad cometidos en el pasado. Y estaremos condenados a pagarlos más si no aprendemos de nuestra rica historia de desarrollo de software descuidado. Este libro revela 24 puntos fundamentales, muy incómodos para los desarrolladores de software. Incómodo en el sentido de que los desarrolladores casi siempre permiten fallas serias en estos momentos. El libro proporciona consejos prácticos sobre cómo evitar estas 24 fallas graves al desarrollar software, y cómo probar las fallas existentes de software ya escrito por otras personas. La historia del libro es simple, accesible y sólida.
Este libro será un hallazgo valioso para cualquier desarrollador, independientemente del idioma que utilice. Será de interés para todos aquellos que estén interesados en desarrollar códigos de alta calidad, confiables y seguros. El libro demuestra claramente las fallas más comunes y peligrosas para varios idiomas a la vez (C ++, C #, Java, Ruby, Python, Perl, PHP, etc.); así como técnicas probadas y probadas para mitigar estos defectos. Expiación de pecados pasados, en otras palabras. ¡Usa esta biblia de diseño seguro y no peques más!
Los líderes de algunas compañías de software usan este libro para realizar entrenamientos blitz, justo antes de comenzar a desarrollar un nuevo software. Obligan a los desarrolladores a leer antes de comenzar a trabajar las secciones de este libro que afectan las tecnologías con las que tienen que lidiar. El libro está dividido en cuatro secciones: 1) los pecados del software web, 2) los pecados del desarrollo, 3) los pecados criptográficos, 4) los pecados de la red.