Última Modificació del Document 6 de gener de 2002

Cada setmana, quands.info recomana un llibre. Si bé generalment els llibres són de temes relacionats amb la seguretat informàtica, excepcionalment i pel seu interès especial, també recomanem llibres d'altres temàtiques.

Entre els molts llibres que hi ha de temàtiques relacionades amb la seguretat informàtica, no n'hi han gaires que tractin del tema sobre com planificar el procés de desenvolupament per tal d'evitar la introducció de problemes que, més endavant, puguin ser utilitzats com a forats de seguretat.

Els autors del llibre tenen una contrastada experiència en el món del desenvolupament (John Viega és l'autor original de mailman, un dels gestors de llistes de correu més populars).

Hem de considerar que hi ha molt codi en circulació que ha estat desenvolupat sense cap consideració per la seva seguretat. Això ha provocat una situació que ben bé es pot considerar com una epidèmia: el software insegur. La publicació de pegats i actualitzacions no fa més que amagar una situació que, de vegades. es insostenible.

Aquest llibre té un punt de vista separat: en comptes d'aplicar pegats un cop el codi ja està publicat, tots guanyaríem molt si aconseguim eliminar les situacions que poden afavorir l'existència de forats de seguretat. Això, que és evident i lògic, fins a la data mai no ha estat prou tractat d'una forma clara i completa.

El llibre comença amb una sèrie de definicions que serviran per a definir el marc necessari per a poder continuar amb la resta de capítols. A continuació fa una anàlisi que ben bé podríem anomenar “conèixer el nostre enemic”: quines tècniques es fan servir per fer que els errors de programació acabin originant forats a la seguretat.

La segona part del llibre tracta sobre com incloure els aspectes de seguretat dins el cicle de vida del software: quines anàlisis cal fer, quines consideracions de disseny cal prendre, etcètera. També inclou aspectes sobre les tecnologies a utilitzar: els llenguatges de programació, els mètodes d'autenticació, auditoria...

A continuació es mostren exemples pràctics dels diferents tipus de problemes que poden originar forats a la seguretat: desbordament de memòria intermèdia (buffer overflow), mesures de control d'accés no adequades, race conditions, ús no adequat de números aleatoris, criptografia aplicada, validació de l'entrada de dades, autenticació per contrasenyes, seguretat de les bases de dades, seguretat al costat del client, utilització de tallafocs, etcètera.

En definitiva, un llibre que pot convertir-se en un clàssic sobre com aplicar mesures de seguretat durant el procés de desenvolupament.
 

Altres llibres recomanats:

• Mastering Cisco Routers
• Incident Response
• Hacking Windows 2000 Exposed
• Unix System Administration Handbook
• Viruses Revealed
• TCP/IP. Signature Edition
• RSA Security's Official Guide to Cryptography
• The CISSP Prep Guide
• Computer Intrusion Detection and Network Monitoring
• Oracle Security Handbook
• Voice and Data Security
• Understanding Public Key Infrastucture
• Building Internet Firewalls, 2a edició
• CERT Guide to System and Network Security Practices
• Hackers Beware
• High-Tech Heretic
• Real World Linux Security
• Tejiendo la red
• Hack Proofing your Web applications
• TCP/IP Illustrated. Vol. I: The Protocols
• Takedown. Persecución y captura de Kevin Mitnick.
• Network Intrusion Detection, an Analyst's Handbook
• SSH, The Secure Shell: The definitive guide
• Hack attacks revealed: A complete reference with custom security hacking toolkit
• White-hat Security Arsenal
• Just for fun. The Story of an accidental revolutionary