bugScout, el analizador estático de código de buguroo

Después de presentar bugBlast en este blog, hoy es el turno de analizar bugScout: nuestro analizador estático de código fuente de última generación. Una herramienta de la que estamos muy orgullosos, ya que su motor de análisis propio permite detectar vulnerabilidades en código fuente automáticamente, lo cual permite gestionar de manera óptima sus ciclos de vida.

bugscout1

BUGSCOUT: DETECCIÓN DE VULNERABILIDADES EN CÓDIGO FUENTE

Todos los que nos dedicamos al desarrollo de software sabemos que los programadores y los expertos en seguridad hablan idiomas diferentes. Sin un punto de encuentro, el código nunca podrá ser seguro. bugScout nació con la idea de ser ese nexo de unión, gestionando de manera unificada y centralizada todo lo necesario para corregir las inseguridades del código fuente.

La herramienta dispone de un motor propio de análisis de código, elaborado por un equipo de I+D+i multinacional y de reconocido prestigio en todo el mundo. Es capaz de auditar código con gran eficiencia, llegando a tasas de análisis de varios millones de líneas de código en escasos minutos.

No es solo una cuestión cuantitativa, sino también cualitativa. bugScout es un analizador de código estático compatible con múltiples lenguajes, tales como Java, PHP, .NET o ASP clásico. Además de las auditorías de nuestros clientes, analizamos diariamente millones de líneas de código fuente para perfeccionar el aplicativo y que mejore día a día. Gracias a eso, bugScout puede presumir de su excelente orquestación, siendo capaz de detectar vulnerabilidades surgidas de la interacción entre diferentes lenguajes.

Las auditorías en el código no deben ser procesos aislados: bugscout propicia la integración en todas las fases de la programación. Por eso, trabaja con aplicaciones de terceros como SVN para el control de versiones. Igualmente incorpora Sonar, para hacer de la Quality Assurance una cualidad inseparable de toda auditoría de código. Seguridad y QA juntas como elemento diferenciador.

 bugscout

USABILIDAD Y ESTÁNDARES

Pese a su compleja estructura y su alta eficiencia, bugScout está pensada para que pueda ser utilizada por todo tipo de usuarios: desde los más técnicos hasta los ejecutivos de la compañía. Gracias a su interfaz sencilla e intuitiva, a la integración a través de una API y a la posibilidad de exportar datos, la herramienta se integra en cualquier ecosistema tecnológico.

Esta solución está basada en los estándares de seguridad de mayor prestigio en la industria. CWE, CVSS, OWASP y WASC forman un elenco suficiente para cubrir cualquier tipo de vulnerabilidad, pero adicionalmente buguroo ha creado su propia taxonomía como elemento diferenciador.

Para terminar, cabe destacar el generador de informes bajo demanda. La herramienta genera automáticamente reportes a diferentes niveles (técnico, ejecutivo o 100% personalizado) para que los especialistas no pierdan tiempo en tareas mecánicas. Esto reduce el coste de las auditorías y aumenta la productividad de los perfiles más cualificados.

¿Qué es bugBlast y cómo funciona?

Comenzamos una serie de artículos para hablaros de nuestros propios productos. A lo largo de diferentes posts os contaremos cómo son nuestras herramientas y qué se puede hacer con ellas, utilizando un enfoque eminentemente práctico. Comenzamos con una introducción a bugBlast, nuestra herramienta de análisis dinámico de sistemas de información. Se trata de una solución global, pensada para ser el nexo de unión entre usuarios, auditores, técnicos y cualquier otro profesional que esté relacionado con un proyecto de seguridad.

Screen-Shot-2014-12-17-at-16.27.28

bugBlast: auditorías de seguridad centralizadas

En un contexto como el actual, utilizar un único escáner de vulnerabilidades ya no es suficiente. Con bugBlast, el usuario dispone de una única interfaz en la que gestionar los resultados de todas las auditorías que realice. La herramienta permite lanzar escaneos de manera nativa (directamente desde bugBlast) o importando los resultados (mediante un CSV).

Esta interoperatibilidad abarca motores de detección comerciales y OpenSource, generando un ecosistema amplio y diversos. Este enriquecimiento de los resultados se traduce en auditorías más efectivas, reduciendo el riesgo de pérdidas económicas y reputacionales por una vulnerabilidad gestionada incorrectamente.

Con un sistema centralizador y automático, la auditoría de hacking ético deja de ser un producto temporalmente acotado para convertirse en un servicio continuo. Los datos son dinámicos, gracias a la posibilidad de programar escaneos periódicamente y a la realización de un seguimiento de la evolución de los sistemas d ela compañía.

Gracias a la existencia de múltiples taxonomías en bugBlast, la herramienta no hace una simple detección de vulnerabilidades, sino que las ofrece clasificadas en familias y tipos, pudiendo saber de forma concisa (y en base a los estándares internacionales de mayor prestigio) el riesgo que suponen para la compañía.

Arquitectura de la herramienta

bugBlast está disponible en dos modelos diferentes: SaaS (software as a service), que implica que nuestros clientes no tienen que realizar ninguna instalación en sus infraestructuras; y Appliance, para clientes que requieran realizar la instalación en sus instalaciones.

En ambos casos, la herramienta responde a las tendencias más vanguardistas en usabilidad y experiencia de usuario. Dispone de una interfaz tan intuitiva como sencilla, que permite exportar datos y facilita su integración a través de una API.

La exportación de datos queda reforzada gracias al generador de informes de bugThreats, que crea documentación bajo demanda en diferentes niveles: para técnicos, para ejecutivos, incluso personalizados a partir de las necesidades del usuario…

bugblast

Para más información sobre bugBlast o sobre cualquiera de las herramientas de buguroo, accede a nuestra web y pide una demo hoy mismo.

¿Puede un seguro cubrir los costes de un ciberataque?

El enésimo ataque informático sufrido por Sony, esta vez relacionado con la película The Interview, ha dejado unas sorprendentes palabras de Michael Lynton (CEO de Sony Pictures). Según este alto directivo, “el coste dista mucho de lo que la gente imagina” y las pérdidas “están dentro de los límites del seguro“. Las declaraciones pueden ampliarse en este artículo de RTVE y este otro de La Razón.

Sin duda, el ejecutivo trata de tranquilizar a inversores, trabajadores y clientes. Aun así, inmediatamente surge una duda: ¿puede un seguro cubrir los costes de un ciberataque? En este artículo vamos a analizarlo, distinguiendo claramente en dos tipos de pérdidas: económicas y reputacionales.

o-THE-INTERVIEW-TRAILER-facebook

PÉRDIDAS ECONÓMICAS: EL SEGURO RESPONDE

Aunque todavía no han trascendido cifras oficiales, algunas estimaciones hablan de que el último ataque a Sony Pictures podría tener un coste directo de 100 millones de dólares. Esto se deduciría no solo de la reparación de los equipos dañados, sino también de la inversión inmediata que habría que hacer en securizar la estructura de toda la compañía. También se contaría aquí la bajada de productividad, ya que durante varias semanas los empleados no han tenido cuentas de correo ni acceso a la red corporativa.

Lo descrito en el párrafo anterior si son gastos cubiertos por el seguro, siempre que previamente haya sido contemplado en la póliza. Y hay que tener en cuenta que muchas empresas, sobretodo las de perfil más clásico, pueden no tener actualizadas sus coberturas. Es decir, quizá estén protegidas ante robos o incendios, pero no ante ataques procedentes del ciberespacio.

Siempre decimos que cualquier empresa, sea tecnológica o no, está expuesta a un ciberataque. Una frutería con un ordenador conectado a internet y un datáfono puede ser el punto de partida para un ataque a cientos de tarjetas de crédito. En caso de que ocurra, si el seguro no fue ampliado en ese sentido no hará ninguna cobertura.

PÉRDIDAS REPUTACIONALES: EL VALOR DE LO INTANGIBLE

Pero vamos con la otra cara de la moneda. Una empresa que vale miles de millones, como Apple, Microsoft o la propia Sony, no se preocupa de los posibles daños materiales. El principal problema de un ciberataque son las pérdidas reputacionales, hasta el punto de que muchas veces las empresas gastan más dinero en ocultar que han sufrido un ataque que en la solución del mismo.

Y aquí es donde las declaraciones de Michael Lynton hacen aguas: ninguna compañía de seguros puede cubrir las pérdidas reputacionales. Se trata de un activo intangible, algo que es difícil de cuantificar en un momento concreto pero que tiene una importancia capital.

Sony es el mejor hilo conductor para hablar de este aspecto. Las fugas de información que ha sufrido en los últimos cinco años, incluyendo el robo de casi 80 millones de cuentas de usuarios de PlayStation Network, han generado en inversores, trabajadores y clientes una sensación permanente de inseguridad. ¿Quién no ha oído hablar del tema? ¿Quién no ha visto fakes que hablaban de nuevas fugas de información y que solo eran bulos?

“Reputación, reputación… ¿A quién le importa la reputación?” Pues si, la reputación es importante. Un ejemplo a bajo nivel sería el del típico chico de 15 años quiere comprar el DLC de The Last of Us, le pide la tarjeta a su padre… Y este monta en cólera, porque no quiere ni oir hablar de meter su dinero en los sistemas de Sony. Moraleja: se pierden ventas. Lo mismo se podría hablar a alto nivel, con inversores que en caso de duda no van a acudir a Sony, por falta de confianza en su estructura.
En definitiva, toda empresa atacada tiene desde el primer minuto una tarea muy difícil por delante. Así lo ha reconocido el propio Michael Lynton, afirmando que reconstruir la confianza en la compañía por parte de empleados e inversores será un desafío prioritario para Sony Pictures.sony

Why parser generator tools are (mostly) useless in static analysis

I would like to talk about a topic that is considered a resolved problem in compiler design but not as much in static analysis: the parsing phase, also known as syntactic recognition of source code.

Many parsing tools are oriented towards the compilation process. Because of that, the mathematical bases (established decades ago) behind parsing do not provide a satisfactory solution to the problems the industry is facing nowadays: source code static analysis. Let’s see why.

lupa1 Read more →

buguroo en la UPM, en la Cybercamp 2014, en la UCAV y en #StartupAlcobendas

En buguroo estamos disfrutando de un mes de diciembre muy movido. En tan solo diez días hemos estado en lugares tan prestigiosos como la Universidad Politécnica de Madrid o Startup Alcobendas, en eventos que hemos retransmitido por redes sociales y que ahora queremos compartir con todo el mundo en nuestro blog.

03/12/2014: CHARLA EN LA UPM

Nada más empezar el mes, nuestro Software Engineer Roberto Nieto acudió a la UPM para participar en un foro titulado “El Mercado Profesional de la Ciberseguridad”. Allí pudo hablar sobre oportunidades de I+D+I de nuestro sector, en una charla que tuvo mucha interacción con el público y que resolvió muchas dudas al talento emergente que está completando sus estudios.

B4BieW3CcAAUrV3

05-07/12/2014: STAND EN CYBERCAMP

En el puente de diciembre tuvimos una destacada presencia en la Cybercamp, un enorme evento sobre ciberseguridad para todos los públicos: estudiantes, empresas, familias… Durante todo el fin de semana tuvimos un stand en la zona de empleo, por el cual pasaron muchas personas interesadas en trabajar con nosotros. Ya hemos hecho algunas entrevistas y el nivel es muy bueno.

Además, varios miembros de nuestro equipo se pasaron por allí. José Carlos Corrales, Product Manager de bugThreats, participó como jurado en un concurso de proyectos. Por otro lado, nuestro CTO y Director Pablo de La Riva habló de su trayectoria al frente de buguroo en una mesa redonda con entidades como Facebook o Telefónica.

B4Lz1OxIAAAKahw

10/12/2014: MESA REDONDA EN LA UCAV

Esta misma semana formamos parte de una mesa redonda sobre nuevas tendencias de ciberseguridad, en el marco del Master en Ciberseguridad que Del0itte ofrece en la Universidad Católica de Ávila. Nuestro responsable de Marketing y Comunicación, Eduardo Sánchez, habló de los restos a los que se enfrentan empresas como la nuestra y explicó a los estudiantes cómo es el día a día en una empresa de ciberseguridad.

B4gpzz1CEAA4pwN.jpg large

10/12/2014: MESA REDONDA EN #STARTUPALCOBENDAS

Y para terminar, tuvimos el honor de participar en uno de los actos de presentación de #StartupAlcobendas, el vanguardista proyecto que ha puesto en marcha el ayuntamiento de Alcobendas. Nuestra ciudad impulsa esta iniciativa para enriquecer su ecosistema empresarial, y allí estuvimos para participar en una mesa redonda con otros proyectos como AutoScout24 o Gigas. Nuevamente nuestro CTO y director, Pablo de la Riva, contó su experiencia y asesoró a futuros emprendedores en base a su trayectoria profesional.

B4mDtsSIUAAr9La.jpg large

¿Y AHORA?

Estos cuatro eventos solo son una muestra de todo lo que estamos haciendo. La semana que viene iremos a la Universidad de Castilla-La Mancha, después iremos a eventos especializados como Hackron o Morteruelo, volveremos a hacer cosas en Alcobendas…

Page 1 of 1612345»10...Last »