Aplicación de un ciclo de vida de desarrollo software seguro en un sistema de vigilancia militar
Fecha:
02/03/2022Palabra clave:
ciclo de vida de desarrollo seguro de software; aplicación de mando y control; modelado de amenazas; auditoría de código; pruebas de penetración; secure software development life cycle; command and control app; threat modelling; code auditing; pen-testing; Máster Universitario en Seguridad Informática
Tipo de Ítem:
masterThesis
Resumen:
Habitualmente los sistemas militares se ejecutan en redes aisladas, cuya securización típica es de nivel físico. Esto lleva a olvidar en muchos casos la securización del software depositando una confianza no justificada en la seguridad de estos sistemas.
En este piloto se pretende demostrar la afirmación anterior de la poca o nula securización de las aplicaciones de mando y control con el software militar Magec y la aplicación de un Ciclo de vida de desarrollo seguro de software (S-SDL). Para ello, se comenzará con un modelado de amenazas sobre la arquitectura de la aplicación con la herramienta Microsoft Threat Modeling Tool. Se continuará con el proyecto de una auditoría de código de la aplicación con la herramienta Fortify SCA. Y se finalizará con la realización de pruebas de penetración de la aplicación con las herramientas Nessus, Spike y Wireshark, siendo estas para escanear vulnerabilidades conocidas y para realizar pruebas de fuzzing respectivamente.
Descripción:
Military systems typically run on isolated networks, which are typically secured at the physical level. In many cases, this leads to neglecting software security and placing unwarranted confidence in the security of these systems.
This pilot is intended to demonstrate the above assertion that there is low or no security of command and control applications with Magec military software and the application of a Secure Software Development Lifecycle (S-SDL). This will start with a threat modelling of the application architecture with the Microsoft Threat Modeling Tool. It will continue with the project of a code audit of the application with the Fortify SCA tool. And it will end with pen testing of the application with the tools Nessus, Spike and Wireshark, these being for scanning known vulnerabilities and fuzzing tests respectively.
Ficheros en el ítem
