OWASP su API de seguridad ESAPI y tarjetas de crédito

A principios de este mes hablaba sobre OWASP y la charla que iban a hacer en Dublin. El pasado Martes pude ir a la charla y la verdad es que fue bastante interesante.

En la primera, Eoin Keary de Ernst & Young habló sobre ESAPI, una librería Java llena de utilidades relacionadas con la seguridad en las aplicaciones web y que está avalada por OWASP. Echándole un vistazo a su javadoc, se pueden contrar clases realmente interesantes como sus HttpUtilities que define montones de métodos para realizar acciones como encriptar cookies, encriptar query strings, codificar las URLs de manera segura, etc. Otras clases como Encryptor o Randomizer se apoyan sobre JCE para facilitar el encriptar, desencriptar o generar semillas seguras. En fin, hay un montón de clases así que echarles un vistazo vosotros mismos o pasaros por la página del proyecto en Google code donde hay documentación y alguna presentación.

Respecto a si utilizar la librería o no, a pesar de que el autor recomendaba el usarla a toda costa, yo sería más partidario de reutilizar métodos, ya que al final, ya existen librerías muy establecidas como Acegi que se integran muy bien con los servidores web y servidores de aplicaciones disponibles ahora mismo, así que desde mi opinión el ignorar esto sería un poco un paso atrás. Pero ESAPI sí que me parece un lugar muy bueno para obtener patrones, código de ejemplo o simplemente métodos de utilidad para mejorar la seguridad de nuestras aplicaciones. Así que habrá que aprovechar que es Open Source.

La segunda charla fue la de David Rook, que trabaja en mi empresa actual, y que fue realmente buena. David hablaba de PCI (Payments Card Industry) y de si el tener las certificaciones que las empresas que trabajan en el mundo de las compras con tarjeta de crédito necesitan cumplir implican que esas empresas son seguras. Es decir, ¿son equivalentes el pasar una certificación de seguridad y el ser seguro?

David expuso claramente sus puntos de vista, y con los que estoy totalmente de acuerdo, y que vienen claramente a decir que no, es decir, el que te firmen un papel conforme cumples unas reglas generales bastante básicas no implica que seas una empresa segura. Para ello puso varios ejemplos de empresas que habían pasado las certificaciones exigidas por la PCI y que sin embargo habían sufrido graves ataques de seguridad.

Fue especialmente interesante el caso de TJ Maxx en el que aunque VISA sabía que esta empresa no podría cumplir los requisitos exigidos por la PCI, le dio una próloga para seguir operando hasta el 2008 ya qu eel volumen de transacciones de estos grandes almacenes significaban muchísimo dinero, y al final hicieron la vista gorda. Aún así, a pesar de perder 100 millones de tarjetas de crédito (que no está nada mal) resulta que las acciones de la compañía han seguido subiendo sin problemas, lo que genera las cuestiones de ¿Realmente nos importa al usuario de a pie este tipo de brechas de seguridad? ¿Volveríamos a comprar en una tienda a la que le roban nuestro número de tarjeta de crédito? ¿Cambiaríamos nuestra visa por una mastercard si nos pasa esto? Todas son preguntas realmente interesantes y que generaron un buen debate en las preguntas y respuestas.

Pues nada, recomendar a todo el mundo que lee esto que se pase por la web de OWASP porque realmente tienen contenido muy interesante. Por cierto, que los libros que publican se pueden descargar gratuitamente desde Lulu. Los podéis encontrar este enlace.