Programación de software mejor y más seguro
¿Cómo puede uno saber con certeza que el software instalado en su ordenador es seguro? El proyecto SHIELDS («Detección de vulnerabilidades conocidas de la seguridad en las herramientas de diseño y desarrollo») se puso en marcha con la meta de mejorar la seguridad del software, para lo cual recibió un presupuesto de 3,25 millones de euros por medio del tema «Tecnologías de la información y la comunicación» del Séptimo Programa Marco (7PM) de la UE. Este proyecto, cuya finalización está prevista para junio, ha contribuido a reforzar la seguridad de los programas informáticos. Aún hoy, pese a la gran velocidad a la que progresa la tecnología, los sistemas de software siguen siendo vulnerables. En realidad, precisamente el progreso tiene gran parte de la culpa de estas vulnerabilidades. Un ejemplo es el enorme aumento de la cantidad de sistemas y de información crítica que se deben proteger, tarea denominada «control de software» en la que se registra una tasa de fallos cada vez mayor. Igualmente, a la vez que ha avanzado y ha ganado en complejidad la programación informática, también lo han hecho sus defectos. Además, el peligro que afrontan los sistemas intensivos en software es cada vez mayor debido a que se han convertido en objetivos político-económicos cada vez más atractivos para los que poseen los recursos necesarios para lanzar ataques sobre estos. Llegados a este punto ya no basta con protegerse tras cortafuegos y antivirus, sino que, según señalan expertos en la materia, la seguridad debe incorporarse al software desde el proceso mismo de programación. El equipo de SHIELDS considera que la persistencia de estos problemas en el sector se debe a que no se informa adecuadamente de las vulnerabilidades conocidas a los programadores de software o bien a que dicha información no se integra en las herramientas de programación empleadas. Normalmente las bases de datos de vulnerabilidades a las que pueden acceder los programadores no ofrecen más que generalidades sobre los problemas, la evaluación del riesgo correspondiente, las soluciones y las herramientas pertinentes, detalles que suelen redactarse, además, con los usuarios y no con los programadores en mente. La desinformación de los programadores dificulta la detección y la eliminación de las deficiencias de seguridad. Desde el inicio del proyecto SHIELDS en 2008, sus responsables se han dedicado a estudiar las lagunas en los conocimientos y en la comunicación entre los especialistas en seguridad y los programadores de software. Su objetivo ha sido facilitar a estos últimos la información pertinente remitida desde distintos segmentos de la industria informática con el fin de evitar que se introduzcan de forma inadvertida vulnerabilidades de seguridad en los programas informáticos de nueva creación. Para ello se precisaban herramientas nuevas que facilitasen y agilizasen la difusión de información sobre este tipo de vulnerabilidades por parte de los especialistas. De este modo los programadores podrían evitarlas, detectarlas y eliminarlas. La solución propuesta por SHIELDS consiste en el desarrollo de un repositorio compartido de información sobre seguridad que abarca todas las clases de herramientas y métodos de seguridad para software. Este repositorio se denomina Security Vulnerability Repository Service («Servicio de repositorio sobre vulnerabilidades de seguridad», SVRS) y constituye el elemento central de los servicios de SHIELDS. Su principal finalidad consiste en actuar como intermediario entre los especialistas en seguridad y los programadores de software. Sus funciones son el almacenamiento y la gestión de un corpus de conocimientos complejos e interconectados sobre seguridad. Además, sus responsables han diseñado dos programas de certificación para este sector industrial: SHIELDS Compliant y SHIELDS Verified. El primero está dirigido a herramientas compatibles con el SVRS, mientras que el segundo sirve para certificar que un programa informático se ha sometido a un control de vulnerabilidades de seguridad durante su desarrollo. El proyecto SHIELDS ha superado con resultados satisfactorios varias revisiones en las que se pusieron a prueba el planteamiento y las herramientas de comprobación basada en modelos de SHIELDS. Mediante los casos prácticos estudiados se ha demostrado una disminución de los problemas de seguridad del software y que las herramientas propuestas son apropiadas tanto para los especialistas en seguridad como para los programadores. Casi la totalidad de los ocho evaluadores consultados indicaron que las herramientas de SHIELDS tenían una eficacia elevada en la detección de vulnerabilidades de la seguridad. Durante los treinta meses de duración del proyecto, la labor de su equipo también ha deparado herramientas acordes con las nuevas tecnologías e información de mayor calidad tanto para los programadores como para los compradores de software. Las herramientas están dedicadas a la comprobación (Flinder de SEARCH-LAB, TEG de Montimage e Institut TELECOM), la vigilancia (TIC y TIPS de Montimage e Institut TELECOM), la edición de modelos (GOAT de LiU, SeaMonster de SINTEF) y la realización de inspecciones (DEFECT de Fraunhofer). El consorcio de SHIELDS está formado por Institut TELECOM/TELECOM SudParis (Francia), Montimage EURL (Francia), Fraunhofer IESE (Alemania), SEARCH-LAB Ltd (Hungría), TXT e-solutions SPA (Italia), SINTEF (Noruega), European Software Institute (España) y la Universidad de Linköping (Suecia).