Preguntas y respuestas sobre actualizaciones del proyecto de seguridad de aplicaciones móviles de OWASP

por

Los estándares de seguridad móvil del Proyecto de seguridad de aplicaciones web abiertas (OWASP) ayudan a alinear las expectativas de los analistas de seguridad de aplicaciones móviles y los desarrolladores de aplicaciones móviles sobre lo que debe remediarse antes del lanzamiento. Los estándares impulsan la consistencia, la repetibilidad y la velocidad.

NowSecure ha aceptado durante mucho tiempo el valor de los estándares de seguridad móvil creados por expertos de la industria y validados por la comunidad de código abierto. La compañía respalda el trabajo de OWASP de muchas maneras y recientemente anunció el soporte completo para el Estándar de verificación de seguridad de aplicaciones móviles (MASVS) V2 de OWASP. Las organizaciones pueden aprovechar una combinación de pruebas de seguridad de aplicaciones móviles automatizadas, Mobile Pen Testing as a Service (PTaaS) y capacitación en seguridad de aplicaciones móviles en profundidad para cumplir con los requisitos de OWASP MASVS.

Quizás nadie conozca OWASP MASVS mejor que uno de los nuestros, el ingeniero de investigación de seguridad móvil de NowSecure, Carlos Holguera. El co-líder de la Proyecto de seguridad de aplicaciones móviles (MAS) de OWASP se unió a NowSecure en 2021 y trabaja a tiempo completo para avanzar en el importante trabajo de la organización. Holguera habló recientemente con nosotros sobre los emocionantes desarrollos que la comunidad OWASP puede esperar ver en 2023.

P: ¿Qué es el Proyecto de Seguridad de Aplicaciones Móviles de OWASP?

R: El proyecto OWASP MAS establece el estándar de la industria para la seguridad de aplicaciones móviles en todo el mundo. Establece un lenguaje común y una base para los requisitos de seguridad de las aplicaciones móviles. Alinea a los equipos de seguridad y desarrollo para acelerar el desarrollo de aplicaciones móviles seguras. Especifica cómo probar exhaustivamente las aplicaciones móviles contra el estándar de seguridad según el nivel de riesgo. Y sirve como un excelente recurso de aprendizaje para principiantes y profesionales en todo lo relacionado con la seguridad móvil.

P: ¿Quiénes son los contribuyentes clave?

R: Los recursos de OWASP MAS están elaborados y seleccionados por un equipo de numerosos expertos y colaboradores de la comunidad que trabajan de forma voluntaria. El equipo central me incluye a mí y a Sven Schleier, que lideramos el proyecto, además de un coautor, Jeroen Beckers.

Los colaboradores de la comunidad abren problemas, trabajan en relaciones públicas y se comunican con nosotros a través de Slack u otros canales. Los colaboradores de la industria, como Android y App Defense Alliance (ADA), brindan comentarios continuos y de gran valor sobre todas las iniciativas de OWASP MAS, como la refactorización de MASVS. Y los defensores de MAS (NowSecure es el único hasta la fecha) son adoptantes de la industria de OWASP MASVS y MASTG que han invertido una cantidad significativa de recursos para impulsar el proyecto proporcionando contribuciones consistentes de alto impacto y difundiendo continuamente la palabra.

P: ¿Cómo te convertiste en líder de proyectos móviles de OWASP?

A: OWASP estaba organizando un Security Summit 2017 y una de las pistas estaba enfocada en la seguridad móvil, así que decidí asistir. Estaba tan asombrado por el equipo, los temas que discutimos y las cosas que implementamos que comencé a contribuir al proyecto. En 2018 dirigí mi primera sesión «Profundizar en criptografía móvil usando BDI con Frida» y me convertí en coautor, y en 2019 dirigí una reestructuración importante de varias áreas de MASTG para que los capítulos de Android e iOS se reflejen entre sí tanto como como sea posible, facilitando a los lectores encontrar el contenido que desean encontrar.

Después de trabajo, compromiso continuo y más trabajo, como proponer y liderar grandes cambios estructurales, decidí postularme para el liderazgo de proyectos. Estaba seguro de que quería seguir impulsando el proyecto e invertir mucho tiempo para mejorar todo. Me alegré mucho cuando obtuve la aprobación de OWASP y estoy seguro de que fue una de las mejores decisiones que he tomado en mi carrera.

P: ¿Cuáles son los elementos del proyecto OWASP renombrados?

R: Nuestro proyecto anteriormente se llamaba proyecto Guía de prueba de seguridad móvil (MSTG) de OWASP. Desafortunadamente, esto fue una fuente de confusión porque teníamos un recurso con el mismo nombre, OWASP MSTG. No solo eso, sino que el nombre no reflejaba el alcance completo de nuestro proyecto. Como ya teníamos el MASVS, ¿alguna vez se preguntó por qué el MSTG se llama MSTG y no MASTG? Ambos documentos tratan sobre la seguridad de las aplicaciones móviles y queríamos dejar eso claro.

En agosto de 2022, cambiamos el nombre del proyecto a OWASP Mobile App Security (MAS). También creamos un nuevo logotipo y una nueva marca que incluye nuevas portadas y nombres para nuestros principales recursos. Todo esto se hizo para reflejar toda la consistencia, estructura y transparencia que brindamos con nuestros esfuerzos de refactorización de MASVS y MASTG para llevarlos a la versión 2.0.

Preguntas y respuestas sobre actualizaciones del proyecto de seguridad de
El Proyecto OWASP MAS publica tres recursos principales que guían el desarrollo móvil seguro y las pruebas de seguridad de aplicaciones móviles.

Los recursos básicos son:

  • OWASP Estándar de verificación de seguridad de aplicaciones móviles (MASVS) es el estándar de la industria para la seguridad de aplicaciones móviles. Puede ser utilizado por arquitectos y desarrolladores de software móvil que deseen crear aplicaciones móviles seguras, así como por evaluadores de seguridad para garantizar la integridad y la coherencia de los resultados de las pruebas.
  • Guía de prueba de seguridad de aplicaciones móviles de OWASP (MASTG) es una guía completa de pruebas de seguridad de aplicaciones móviles e ingeniería inversa. Describe los procedimientos técnicos para verificar los controles listados en el OWASP MASVS.
  • Lista de verificación OWASP MASque combina MASVS y MASTG para ayudar en las evaluaciones de seguridad/pruebas de penetración y cumplimiento.
  • OWASP MAS Crackmes, una colección de desafíos de ingeniería inversa móvil. Estos desafíos se utilizan como ejemplos en todo el OWASP MASTG. Por supuesto, puedes resolverlos solo por diversión.

P: ¿Por qué OWASP se embarcó en la refactorización de MASVS?

R: Según nuestras experiencias, a menudo surgieron los siguientes problemas:

  • MASVS-ARCH (Arquitectura, Diseño y Modelado de Amenazas) contiene varios controles que no se pueden validar desde una perspectiva externa. Como resultado, es difícil explicar por qué no podemos cubrir todo el MASVS para una evaluación externa.
  • Hay una clara superposición con el ASVS, que es mucho más completo para varias vulnerabilidades de back-end.
  • Algunos controles son muy amplios y requieren casos de prueba muy amplios con múltiples partes.
  • Algunos controles se superponen (por ejemplo, «bibliotecas de seguridad actualizadas» y «todos los componentes de terceros están actualizados»).
Preguntas y respuestas sobre actualizaciones del proyecto de seguridad de
Carlos Holguera sube al escenario en r2con para discutir cómo radare2 y Frida influyen en OWASP MASTG.

P: ¿Cómo abordaste el proceso y qué implicó el trabajo?

R: Hemos realizado muchas lluvias de ideas, pensamiento independiente, colaboración y alcance comunitario para obtener comentarios. Nos marcamos algunos objetivos:

  • Mantenga la abstracción: MASVS sigue siendo independiente del sistema operativo y de alto nivel. Dejamos los detalles al MASTG.
  • Simplificar: Tenga menos controles eliminando superposiciones y redundancias.
  • Brinde claridad: use terminología estándar siempre que sea posible para no dejar lugar a la ambigüedad en el lenguaje y la formulación. Esto incluye terminología de estándares como NIST-SP 800-175B y NIST OSCAL, así como fuentes conocidas y utilizadas como CWE, Android y Apple Developer Docs.
  • Alcance limitado: confíe más en otros estándares, incluidos OWASP ASVSOWASP SAMM y NIST.SP.800-218 SSDF v1.1.

Empezamos a liberar una discusión de GitHub por categoría de MASVS incluido una hoja de cálculo con una vista detallada de los cambios. Puede ver por qué cada control se eliminó/movió/reformuló, lea sobre el enfoque de los nuevos controles, vea la lista de nuevas pruebas MASTG propuestas y vea cómo el control se relaciona con otros estándares y recursos.

Esto es lo que hicimos hasta ahora en la segunda iteración:

  • Se procesaron todos los comentarios de cada uno de los comentarios de la propuesta beta de la comunidad.
  • Intenté encontrar superposiciones y redundancias (nuevamente), por ejemplo, MASVS-NETWORK-1 (beta) frente a MASVS-NETWORK-2 (beta).
  • Intenté iniciar todos los controles con ‘La aplicación…’.
  • Intenté formular todos los controles con una formulación ‘positiva’.
  • Intenté negar cada control para ver si todavía cubría lo mismo.
  • Pasé por todos los casos de prueba y verifiqué dos veces la cobertura.
  • Preguntado qué/cómo estamos protegiendo en cada control.

Además de ser extremadamente perspicaz, este ejercicio nos ha permitido brindarle una versión aún más limpia de MASVS, que está diseñada para seguir siendo una línea de base atemporal para la seguridad de las aplicaciones móviles, dejando el trabajo pesado al MASTG, que se volverá más dinámico. y permitir pruebas más específicas y flexibles.

Creamos nuevas hojas de calculo donde puede inspeccionar todos los cambios y ver las asignaciones de v2 a v1.4.2 y viceversa.

P: ¿Cuáles son los principales cambios en MASVS v2.0?

R: Hay muchos:

  • Eliminamos la categoría MASVS-ARCH porque está cubierta por NIST.SP.800-218 SSDF v1.1 y OWASP SAMM.
  • Desacoplamos MASVS-AUTH de OWASP ASVS. Los usuarios deben utilizar el OWASP ASVS sobre el lado del servidor. MASVS es para el lado del cliente, es decir, la aplicación móvil.
  • Hemos corregido el alcance de muchas categorías de MASVS, especialmente MASVS-STORAGE y MASVS-PLATFORM, que se superponían un poco.
  • También alineamos MASVS-CODE con NIST.SP.800-218 SSDF v1.1 y eliminamos los controles que se pueden abordar a través de un SDLC seguro.
  • Hemos simplificado el lenguaje y la redacción de los controles en todo momento, especialmente en las categorías Criptografía, Red y Resistencia. Esto reduce en gran medida la verbosidad innecesaria.
  • Hemos eliminado los niveles de verificación de MASVS y los volveremos a trabajar y luego los aplicaremos a los casos de prueba de MASTG.

P: ¿Cómo mejoran esos cambios la seguridad de las aplicaciones móviles para los usuarios?

A: Una de las cosas de las que estamos más orgullosos es la amabilidad de nuestro estándar. Su simplicidad lo hace muy accesible, por lo que tratamos de hacerlo aún más amigable para llegar a un público aún más amplio. Los nuevos controles MASVS son menos numerosos en relación con v1 y usan un lenguaje más simple y conceptos familiares. Cualquier lector, incluso un principiante o que viene de otro campo (por ejemplo, seguridad de aplicaciones web), entenderá lo que significa ‘comunicación encriptada’ o ‘almacenada encriptada’. De esta forma, nos aseguramos de que se entienda bien el nivel superior de la superficie de ataque móvil.

Con el nuevo MASVS y el próximo refactor de MASTG, estamos trayendo una nueva dimensión a las pruebas de MAS; ahora puede probar el cumplimiento de nuestro estándar, pero también personalizarlo según sus necesidades mediante perfiles.

También estamos orgullosos de la sinergia entre MASVS y MSTG. Es único en la industria y vamos a hacerlo aún más fuerte. Hasta ahora, le hemos ofrecido la lista de verificación como enlace entre los dos. Pronto obtendrá más, podrá interactuar con el estándar de maneras que nunca antes pensó posibles.

El entregable principal será un archivo legible por máquina, similar al que usamos actualmente para generar las listas de verificación, pero mejorado para que pueda usarlo para alimentar sus propias herramientas de herramientas, informes y documentación. Esto le permite verificar el cumplimiento de MASVS en niveles más nuevos y profundos.

Todos estos mecanismos, procesos y automatización nos hacen más ágiles y nos permiten concentrarnos en lo que es importante: continuar investigando y ofreciendo el estándar de la industria para aplicaciones móviles.

1676649285 678 Preguntas y respuestas sobre actualizaciones del proyecto de seguridad de
Carlos Holguera de NowSecure no solo ayuda a escribir el estándar OWASP MAS, sino que también diseñó esta nueva cubierta de MASTG.

P: ¿Qué sigue para el proyecto MAS?

A: Publicaremos la versión final de MASVS v2.0 después de recopilar y revisar todos los comentarios del Release Candidate. Esperemos que esto suceda a tiempo para nuestra próxima presentación en OWASP AppSec Dublin.

A continuación, publicaremos nuestra primera propuesta de definiciones de perfiles MAS. Los perfiles MAS reemplazarán los niveles MASVS actuales, pero no se preocupe, nuestros amados L1, L2 y R no desaparecerán por completo. Volverán en una forma nueva y mejor. Se aplicarán a pruebas MASTG específicas en lugar de controles MASVS. Esto proporcionará una vista detallada de cómo una aplicación se asigna al MAS general.

Lanzaremos el refactor de MASTG a v2.0. Estamos en el proceso de definir las secciones para las pruebas atómicas. Esto es muy importante para que todos sepan qué hacer al escribir nuevas pruebas. Para cada prueba, responderemos preguntas esenciales:

  • ¿Por qué el problema en cuestión es malo y por qué lo estamos probando?
  • ¿Cómo probamos el problema?
  • ¿Cómo solucionamos el problema?

Publicaremos la primera propuesta de pruebas atómicas MASTG. Hemos publicado una lista preliminar de pruebas (incluyendo solo títulos). Algunos de ellos ya están en el MASTG y otros son completamente nuevos. Esta primera propuesta incluirá la lista de títulos consolidados y una primera propuesta de perfiles (por ejemplo, L1, L2) para cada prueba atómica MASTG.

P: ¿Por qué se unió a NowSecure?

R: Recibo esta pregunta muy a menudo. Digo, ‘¿Has visto al equipo?’ Puede sonar utópico, pero imagínese si pudiera reunir a todos los mejores talentos de la industria de la seguridad móvil, incluidos los creadores de las herramientas esenciales de seguridad móvil. Pues deja de imaginar, porque aquí están. Así que fue una obviedad para mí.

Otras ventajas son la cultura y los valores de la empresa y el hecho de que ya contaba con un equipo de investigación dedicado. Además, NowSecure es un gran partidario de proyectos de código abierto como Frida y Radare y, por supuesto, el OWASP MASVS y MASTG en el que puedo trabajar a tiempo completo en mi trabajo con la empresa.

Otro punto importante es que NowSecure está en línea con mi propia pasión por la seguridad de las aplicaciones móviles. Me enamoré del proyecto móvil OWASP y quería hacer algo para salvar al mundo de las aplicaciones móviles inseguras. Da la casualidad de que ese también es un objetivo de NowSecure. Así que fue un siguiente paso natural para mí.

P: Cuando no está inmerso en la seguridad de las aplicaciones móviles, ¿qué le gusta hacer en su tiempo libre?

R: Café y japonés. Me encanta ir a las cafeterías, ya sea en mi ciudad o cuando visito otros lugares. Tengo mi propia máquina de espresso en casa y he aprendido mucho sobre el café y el latte art a lo largo de los años. Al igual que con la seguridad móvil y la piratería, debe ser paciente, persistente y estar dispuesto a aceptar el fracaso.

1676649285 356 Preguntas y respuestas sobre actualizaciones del proyecto de seguridad de
El investigador de seguridad móvil se enciende con espresso.

Cuando me sobra algo de tiempo libre y energía, sigo aprendiendo japonés. Estoy enamorada del idioma y sé que puede tomar muchos años entenderlo y hablarlo de una manera aceptable, pero supongo que eso es parte de por qué me gusta, es un desafío interminable. Y me encanta su caligrafía, comer comida japonesa y visitar el país.

Contenidos ocultar
1 Dónde obtener más información
1.1 Relacionado:

Dónde obtener más información

Explore en profundidad los estándares de seguridad móvil de OWASP inscribiéndose en la capacitación gratuita de NowSecure Academy. La formación a la carta incluye varias cursos sobre OWASPincluidos los estándares OWASP mobile vs web, las actualizaciones de OWASP MAS y las actualizaciones de MASVS y MASTG.

Además, únase a nosotros de 2:00 p. m. a 3:00 p. m., hora del este, el 21 de febrero para una próxima charla técnica especial de NowSecure donde tendrá la oportunidad de conocer a Holguera y escucharlo hablar sobre las actualizaciones de OWASP MASVS v2. Regístrate ahora.



Fuente del artículo

Relacionado:

Preguntas y respuestas ¿Como es ser un probador de lapizPreguntas y respuestas: ¿Cómo es ser un probador de lápiz de aplicaciones móviles? Default Thumbnail5 cosas nuevas que debe saber sobre la seguridad de aplicaciones móviles de OWASP Preguntas y respuestas con Jen Easterly de CISA cada parte Preguntas y respuestas con Jen Easterly de CISA: cada parte de nuestro ecosistema interconectado necesita protección, incluido el móvil Zimperium se une al proyecto NIST sobre arquitecturas Zero Trust Zimperium se une al proyecto NIST sobre arquitecturas Zero Trust Como asignar la cartera de aplicaciones moviles a OWASP MASVS Cómo asignar la cartera de aplicaciones móviles a OWASP MASVS Informe global sobre amenazas moviles de 2022 informacion clave sobre Informe global sobre amenazas móviles de 2022: información clave sobre el estado de la seguridad móvil

Deja un comentario