Programación defensiva

Metodología de desarrollo de software.

La programación defensiva es una forma de diseño defensivo destinado a desarrollar programas que sean capaces de detectar posibles anomalías de seguridad y dar respuestas predeterminadas. ^[1] Garantiza el funcionamiento continuo de una pieza de software en circunstancias imprevistas. Las prácticas de programación defensiva se utilizan a menudo cuando se necesita alta disponibilidad , seguridad o protección .

La programación defensiva es un enfoque para mejorar el software y el código fuente , en términos de:

• Calidad general: reducir la cantidad de errores y problemas de software.
• Hacer que el código fuente sea comprensible: el código fuente debe ser legible y comprensible para que se apruebe en una auditoría de código .
• Hacer que el software se comporte de manera predecible a pesar de entradas o acciones inesperadas del usuario.

Sin embargo, una programación demasiado defensiva puede proteger contra errores que nunca se encontrarán, incurriendo así en costos de tiempo de ejecución y mantenimiento.

Programación segura

La programación segura es el subconjunto de la programación defensiva relacionada con la seguridad informática . La seguridad es la preocupación, no necesariamente la seguridad o la disponibilidad ( se puede permitir que el software falle de ciertas maneras). Como ocurre con todo tipo de programación defensiva, evitar errores es el objetivo principal; sin embargo, la motivación no es tanto reducir la probabilidad de fallas en el funcionamiento normal (como si la seguridad fuera la preocupación), sino reducir la superficie de ataque: el programador debe asumir que el software podría ser mal utilizado activamente para revelar errores, y que Los errores podrían explotarse de forma maliciosa.

int programación_riesgosa ( char * entrada ) { char str [ 1000 ]; // ... strcpy ( cadena , entrada ); // Copiar entrada. //... }              

La función dará como resultado un comportamiento indefinido cuando la entrada tenga más de 1000 caracteres. Es posible que algunos programadores no sientan que esto es un problema, suponiendo que ningún usuario ingresará una entrada tan larga. Este error en particular demuestra una vulnerabilidad que permite explotar el desbordamiento del buffer . Aquí hay una solución para este ejemplo:

int programación_segura ( char * entrada ) { char str [ 1000 + 1 ]; // Uno más para el carácter nulo.       //... // Copiar la entrada sin exceder la longitud del destino. strncpy ( cadena , entrada , tamaño de ( cadena ));    // Si strlen(input) >= sizeof(str) entonces strncpy no terminará en nulo. // Contrarrestamos esto estableciendo siempre el último carácter del búfer en NUL, // recortando efectivamente la cadena a la longitud máxima que podamos manejar. // También se puede decidir abortar explícitamente el programa si strlen(input) // es demasiado largo. cadena [ tamaño de ( cadena ) - 1 ] = '\0' ;          //... }

Programación ofensiva

La programación ofensiva es una categoría de programación defensiva, con el énfasis adicional de que ciertos errores no deben manejarse de manera defensiva . En esta práctica, sólo se deben manejar errores fuera del control del programa (como la entrada del usuario); En esta metodología se debe confiar en el software en sí, así como en los datos de la línea de defensa del programa .

Confiar en la validez de los datos internos

Programación demasiado defensiva

const char * Trafficlight_colorname ( enum Traffic_light_color c ) { switch ( c ) { case TRAFFICLIGHT_RED : devuelve "rojo" ; caso TRAFFICLIGHT_YELLOW : devuelve "amarillo" ; caso TRAFFICLIGHT_GREEN : devuelve "verde" ; } devolver "negro" ; // Debe manejarse como un semáforo muerto. // Advertencia: Esta última declaración de 'retorno' será descartada por un // compilador de optimización si todos los valores posibles de 'traffic_light_color' están listados en // la declaración de 'cambio' anterior... }                           

Programación ofensiva

const char * nombre_color_trafico ( enum color_luz_trafico c ) { switch ( c ) { case TRAFFICLIGHT_RED : return "rojo" ; caso TRAFFICLIGHT_YELLOW : devuelve "amarillo" ; caso TRAFFICLIGHT_GREEN : devuelve "verde" ; } afirmar ( 0 ); // Afirma que esta sección es inaccesible. // Advertencia: esta llamada a la función 'asertar' será descartada por un // compilador de optimización si todos los valores posibles de 'traffic_light_color' se enumeran en // la declaración anterior 'switch'... }                          

Confiar en los componentes del software

Programación demasiado defensiva

if ( is_legacy_compatible ( user_config )) { // Estrategia: No confíes en que el nuevo código se comporte como el antiguo código ( user_config ); } else { // Alternativa: no confíe en que el nuevo código maneje los mismos casos if ( new_code ( user_config ) ! = OK ) { old_code ( user_config ); } }              

Programación ofensiva

// Espere que el nuevo código no tenga nuevos errores if ( new_code ( user_config ) != OK ) { // Informe en voz alta y finalice abruptamente el programa para obtener la atención adecuada report_error ( "Algo salió muy mal" ); salir ( -1 ); }       

Técnicas

A continuación se muestran algunas técnicas de programación defensiva:

Reutilización inteligente del código fuente

Si se prueba el código existente y se sabe que funciona, reutilizarlo puede reducir la posibilidad de que se introduzcan errores.

Sin embargo, reutilizar código no siempre es una buena práctica. La reutilización del código existente, especialmente cuando se distribuye ampliamente, puede permitir la creación de exploits dirigidos a un público más amplio de lo que sería posible de otro modo y trae consigo toda la seguridad y vulnerabilidades del código reutilizado.

Al considerar el uso del código fuente existente, una revisión rápida de los módulos (subsecciones como clases o funciones) ayudará a eliminar o informar al desarrollador sobre cualquier vulnerabilidad potencial y garantizará que sea adecuado para su uso en el proyecto. ^{[ cita necesaria ]}

Problemas heredados

Antes de reutilizar código fuente, bibliotecas, API, configuraciones, etc. antiguos, se debe considerar si el trabajo anterior es válido para su reutilización o si es probable que sea propenso a problemas heredados .

Los problemas heredados son problemas inherentes cuando se espera que los diseños antiguos funcionen con los requisitos actuales, especialmente cuando los diseños antiguos no se desarrollaron ni probaron teniendo en cuenta esos requisitos.

Muchos productos de software han experimentado problemas con el código fuente antiguo; Por ejemplo:

• Es posible que el código heredado no haya sido diseñado bajo una iniciativa de programación defensiva y, por lo tanto, podría ser de mucha menor calidad que el código fuente recién diseñado.
• Es posible que el código heredado se haya escrito y probado en condiciones que ya no se aplican. Es posible que las antiguas pruebas de control de calidad ya no tengan validez.
  • Ejemplo 1 : es posible que el código heredado se haya diseñado para entrada ASCII, pero ahora la entrada es UTF-8.
  • Ejemplo 2 : es posible que el código heredado se haya compilado y probado en arquitecturas de 32 bits, pero cuando se compila en arquitecturas de 64 bits, pueden ocurrir nuevos problemas aritméticos (por ejemplo, pruebas de firma no válidas, conversiones de tipos no válidas, etc.).
  • Ejemplo 3 : el código heredado puede haber sido destinado a máquinas fuera de línea, pero se vuelve vulnerable una vez que se agrega la conectividad de red.
• El código heredado no se escribe pensando en nuevos problemas. Por ejemplo, es probable que el código fuente escrito en 1990 sea propenso a muchas vulnerabilidades de inyección de código , porque la mayoría de estos problemas no eran ampliamente comprendidos en ese momento.

Ejemplos notables del problema heredado:

• BIND 9 , presentado por Paul Vixie y David Conrad como "BINDv9 es una reescritura completa ", "La seguridad fue una consideración clave en el diseño", ^[2] nombrando la seguridad, la robustez, la escalabilidad y los nuevos protocolos como preocupaciones clave para reescribir el código heredado antiguo.
• Microsoft Windows sufrió "la" vulnerabilidad del metarchivo de Windows y otros exploits relacionados con el formato WMF. El Centro de respuesta de seguridad de Microsoft describe las características de WMF como "Alrededor de 1990, se agregó soporte para WMF... Este era un momento diferente en el panorama de la seguridad... todas eran completamente confiables" , ^[3] no se desarrollaron bajo las iniciativas de seguridad en Microsoft.
• Oracle está combatiendo problemas heredados, como el código fuente antiguo escrito sin abordar las preocupaciones de inyección SQL y escalada de privilegios , lo que ha resultado en muchas vulnerabilidades de seguridad que han tomado tiempo para solucionarse y también han generado soluciones incompletas. Esto ha suscitado duras críticas por parte de expertos en seguridad como David Litchfield , Alexander Kornbrust y César Cerrudo. ^{[4] [5] [6]} Una crítica adicional es que las instalaciones predeterminadas (en gran medida heredadas de versiones anteriores) no están alineadas con sus propias recomendaciones de seguridad, como la Lista de verificación de seguridad de la base de datos de Oracle, que es difícil de modificar ya que muchas aplicaciones requieren la configuraciones heredadas menos seguras para funcionar correctamente.

Canonicalización

Es probable que los usuarios malintencionados inventen nuevos tipos de representaciones de datos incorrectos. Por ejemplo, si un programa intenta rechazar el acceso al archivo "/etc/ passwd ", un cracker podría pasar otra variante de este nombre de archivo, como "/etc/./passwd". Se pueden emplear bibliotecas de canonicalización para evitar errores debidos a entradas no canónicas .

Baja tolerancia contra errores "potenciales"

Supongamos que las construcciones de código que parecen propensas a problemas (similares a vulnerabilidades conocidas, etc.) son errores y posibles fallas de seguridad. La regla básica es: "No conozco todos los tipos de vulnerabilidades de seguridad . Debo protegerme contra aquellos que conozco y luego debo ser proactivo".

Otros consejos para proteger tu código

• Uno de los problemas más comunes es el uso no controlado de estructuras de tamaño constante o preasignadas para datos de tamaño dinámico ^{[ cita necesaria ]} , como entradas al programa (el problema de desbordamiento del búfer ). Esto es especialmente común para datos de cadena en C ^{[ cita requerida ]} . Las funciones de la biblioteca C getsnunca deben usarse ya que el tamaño máximo del búfer de entrada no se pasa como argumento. Las funciones de la biblioteca C scanfse pueden usar de forma segura, pero requieren que el programador tenga cuidado con la selección de cadenas de formato seguro, desinfectándolas antes de usarlas.
• Cifre/autentique todos los datos importantes transmitidos a través de las redes. No intente implementar su propio esquema de cifrado; en su lugar, utilice uno probado . La verificación de mensajes con CRC o tecnología similar también ayudará a proteger los datos enviados a través de una red.

Las tres reglas de la seguridad de los datos

• Todos los datos son importantes hasta que se demuestre lo contrario.
• Todos los datos están contaminados hasta que se demuestre lo contrario.
• Todo el código es inseguro hasta que se demuestre lo contrario.
  • No puede probar la seguridad de ningún código en el área de usuario o, más comúnmente conocido como: "nunca confíe en el cliente" .

Estas tres reglas sobre seguridad de los datos describen cómo manejar cualquier dato, de origen interno o externo:

Todos los datos son importantes hasta que se demuestre lo contrario : significa que todos los datos deben verificarse como basura antes de ser destruidos.

Todos los datos están contaminados hasta que se demuestre lo contrario : significa que todos los datos deben manejarse de una manera que no exponga el resto del entorno de ejecución sin verificar la integridad.

Todo el código es inseguro hasta que se demuestre lo contrario ; aunque es un nombre ligeramente inapropiado, hace un buen trabajo al recordarnos que nunca debemos asumir que nuestro código es seguro, ya que los errores o el comportamiento indefinido pueden exponer el proyecto o sistema a ataques como los ataques de inyección SQL comunes .

Más información

• Si se va a verificar la exactitud de los datos, verifique que sean correctos, no que sean incorrectos.
• Diseño por contrato
• Afirmaciones (también llamada programación asertiva )
• Prefiero excepciones a los códigos de retorno
  • En general es preferible ^{[ ¿según quién? ]} para generar mensajes de excepción que apliquen parte de su contrato API y guíen al desarrollador en lugar de devolver valores de código de error que no indiquen dónde ocurrió la excepción o cómo se veía la pila del programa. Un mejor registro y manejo de excepciones aumentará la solidez y la seguridad de su software ^{[ cita requerida ]} , mientras minimiza el estrés del desarrollador ^{[ cita requerida ]} .

Ver también

• La seguridad informática

Referencias

1. Boulanger, Jean-Louis (1 de enero de 2016), Boulanger, Jean-Louis (ed.), "6 - Técnica para gestionar la seguridad del software", Aplicaciones de software certificables 1 , Elsevier, págs. 125-156, ISBN 978-1-78548-117-8, consultado el 2 de septiembre de 2022
2. "archivo fogo: Paul Vixie y David Conrad sobre BINDv9 y Internet Security por Gerald Oskoboiny <[email protected]>". impresionante.net . Consultado el 27 de octubre de 2018 .
3. "En cuanto a la cuestión de WMF, ¿cómo llegó allí?". MSRC . Archivado desde el original el 24 de marzo de 2006 . Consultado el 27 de octubre de 2018 .
4. Litchfield, David. "Bugtraq: Oracle, ¿dónde están los parches???". seclistas.org . Consultado el 27 de octubre de 2018 .
5. Alejandro, Kornbrust. "Bugtraq: RE: Oracle, ¿dónde están los parches???". seclistas.org . Consultado el 27 de octubre de 2018 .
6. Cerrudo, César. "Bugtraq: Re: [Divulgación completa] RE: Oracle, ¿dónde están los parches???". seclistas.org . Consultado el 27 de octubre de 2018 .

enlaces externos

• Estándares de codificación segura CERT