Curso On-Line de Seguridad del Software
Curso On-Line de Seguridad del Software (5ª Edición)
INICIO:
DURACIÓN: 7 semanas
Diploma de acreditación: Todos los alumnos que aprueben tendrán un diploma acreditativo de asistencia al curso. (Acreditadas 56 horas)
Con el objetivo de conciliar la formación con las festividades de Navidad, te informamos que desde el día 23 de Diciembre de 2024 hasta el día 08 de Enero de 2025, se suspenderá la actividad docente de los cursos activos, si bien la plataforma permanecerá abierta y accesible en todo momento.
Actualmente las tecnologías de seguridad red pueden ayudar a aliviar los ciberataques, pero no resuelven el problema de seguridad real, pues no resuelve el problema original de las vulnerabilidades de las aplicaciones que protegen y están expuestas a los atacantes. En este contexto, se hace necesario por tanto el disponer de software seguro que funcione en un entorno agresivo y malicioso.
Con el presente curso se pretende introducir al alumno en los principales conceptos que abarca la seguridad del software, en cuanto a los beneficios que produce, su importancia en la seguridad global de un sistema.
OBJETIVOS GENERALES
El objetivo del presente curso es proporcionar una descripción de los aspectos relacionados con la “Seguridad del Software”, incluyendo la implantación de los diferentes tipos de buenas prácticas de seguridad en los ciclos de vida de desarrollo del software (SDLC) de una organización para obtener software confiable y los fundamentos y conocimientos de base para realizar análisis estático y dinámico del código fuente de las aplicaciones, desde el punto de vista de los errores de seguridad que se comenten a la hora de realizar su diseño y desarrollo. En concreto se pretender conseguir los siguientes objetivos:
• Comprender el problema de la Seguridad del Software.
• Conocer las principales Organizaciones y Estándares que se ocupan de la seguridad de SW.
• Estudiar los conceptos relacionados con los ciclos de vida de desarrollo del software seguros (S-SDLC) y conocimiento y comprensión de las buenas prácticas de seguridad a incluir en cada una de sus fases.
• Conocer los criterios de selección de lenguajes de programación desde el punto de vista de la seguridad.
• Estudiar los principales errores de programación que derivan en vulnerabilidades explotables relativos a
• Conocer los principales errores de programación que derivan en vulnerabilidades explotables relativos a desbordamiento de memoria, errores y excepciones, privacidad y confidencialidad, programas privilegiados, aplicaciones y servicios web y manipulación y validación de entradas.
• Saber aplicar las principales actividades de seguridad a llevar a cabo para diseñar e implementar la seguridad de una aplicación web y servicios web desplegados online, así como, las medidas monitorización, auditoría, de protección y de gestión de backups, recuperación y respuesta ante incidentes.
• Conocer las medidas de seguridad a aplicar desde la derivación de requisitos de seguridad, pasando por el diseño e implementación y pruebas de la seguridad para llegar con garantías a las operaciones de seguridad que se aplican en la fase de despliegue online de los servicios web.
El presente curso online comprende las técnicas y conceptos de “Seguridad del Software” necesarios para orientar el futuro aprendizaje y carrera profesional de los alumnos que los realicen. En concreto, serán capaces de realizar análisis estático y dinámico del código fuente de las aplicaciones desde el punto de vista de los errores de seguridad que se comenten a la hora de realizar su diseño y desarrollo e implantar diferentes tipos de buenas prácticas de seguridad en los ciclos de vida de desarrollo del software (SDLC) de una organización.
Dirigido a ingenieros y graduados superiores relacionados con el sector de las TIC, que necesiten incrementar su conocimiento en el área de Ciberdefensa y que deseen adquirir u obtener un marco de referencia en una de las áreas tecnológicas con más proyección del sector de la seguridad de las TIC.
COMPETENCIAS
• Poseer y comprender los conceptos relacionados con los ciclos de vida de desarrollo del software seguros (S-SDLC) y conocimiento y comprensión de las buenas prácticas de seguridad a incluir en cada una de sus fases.
• Que los estudiantes conozcan los principales errores de programación que se comente en el desarrollo de los diferentes tipos de aplicaciones y lenguajes de programación.
• Comprender los principales errores de programación que derivan en vulnerabilidades explotables relativos a integers overflows, errores de truncado y problemas con conversiones de tipo entre números enteros, aplicaciones web, privacidad y confidencialidad y programas privilegiados.
• Capacidad de analizar aplicaciones para detectar errores de diseño.
• Capacidad de realizar análisis estático de código y dinámico de aplicaciones en diferentes lenguajes de programación.
• Capacidad de llevar a cabo para diseñar e implementar la seguridad de una aplicación web y servicios web desplegados online, así como, las medidas monitorización, auditoría, de protección y de gestión de backups, recuperación y respuesta ante incidentes.
• Que el estudiante sepa aplicar medidas de seguridad desde la derivación de requisitos de seguridad, pasando por el diseño e implementación y pruebas de la seguridad para llegar con garantías a las operaciones de seguridad que se aplican en la fase de despliegue online de los servicios web.
HERRAMIENTAS NECESARIAS SEGURIDAD DEL SOFTWARE
UD-II
- THREAT THREAT MODELING TOOL 2016: https://www.microsoft.com/en-us/download/details.aspx?id=49168
UD-III
- Cppcheck: https://sourceforge.net/projects/cppcheck/files/cppcheck/1.71/
UD-IV
- PLATAFORMA WINDOWS / LINUX
- OWASP ZAP https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
- WAVSEP http://sourceforge.net/projects/wavsep/files/WAVSEP-v1.5/
- APACHE TOMCAT 6.0.44 https://tomcat.apache.org/download-60.cgi
- MYSQL 5.5 https://dev.mysql.com/downloads/mysql/5.5.html
- JAVA jdk-8uXX (probado con jdk-8uXX-windows-i586) http://www.oracle.com/technetwork/java/javase/downloads/java-archive-javase8-2177648.html
UD-V
- PLATAFORMA WINDOWS
- XML GATEWAY – FIREWALL CORISECIO http://www.corisecio.com/
- CORISECIO XML GATEWAY : https://www.dropbox.com/s/emlnz3ufl2aak83/SOA-DEMO.zip
- CORISECIO XML FIREWALL: https://www.dropbox.com/s/pp9ntpxqgrdvy6g/ROOT.war
Caso Final Iintegrador
- PLATAFORMA WINDOWS –LINUX
- ORACLE VIRTUALBOX VM https://www.virtualbox.org/
- METASPLOITABLE VM: http://www.offensive-security.com/metasploit-unleashed/Metasploitable
- OWASP ZAP https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
- RISP STATIC ANALYIS para PHP http://rips-scanner.sourceforge.net/
METODOLOGÍA
Se trata de un curso on-line.
Es un curso, en el que, mediante una dinámica de asesoramiento continuo, se forma una comunidad de aprendizaje e intercambio de conocimiento y se vive la experiencia de un proceso docente de alta calidad.
Aprender haciendo: Se sitúa al participante ante casos, situaciones y toma de decisiones que se encontrarán en el qué hacer se su vida profesional, proponiendo la realización de actividades cercanas y prácticas para maximizar la transferencia, aplicabilidad y significación del aprendizaje
La práctica como punto de partida: El aprendizaje se plantea mediante la realización de actividades reales por parte de los alumnos y, a partir de ellas, se induce a la construcción de conocimiento en común de los principios teóricos y detección de buenas prácticas. Contenidos de consulta y material de apoyo están disponibles para cada unidad didáctica.
Los errores y la reflexión sobre los mismos: Los participantes se ven obligados a descubrir los conocimientos a partir de la práctica. Desde el primer momento se les permite experimentar y cometer errores en un entorno simulado y aprender de los demás, extrayendo conclusiones útiles.
Un aprendizaje basado en la proactividad: Para conseguir que el aprendizaje realmente se produzca, el alumno deberá ser proactivo, es decir que se procurará activamente que se anticipe, consulte, pregunte y demande mayor conocimiento e información en función de las necesidades que el crear su empresa le presente.
El curso se impartirá mediante la plataforma on-line del Colegio Oficial de Ingenieros de Telecomunicación por lo que los alumnos deberán disponer de una conexión a Internet con disponibilidad para descargar la documentación de cada módulo, participar en los debates, contestar a las pruebas que se realicen y realizar los casos prácticos en grupo.
Además de los docentes existirá un dinamizador que seguirá la actividad de cada alumno en la plataforma asegurando su rendimiento.
NOTA IMPORTANTE
Para seguir este curso, no es necesario respetar un horario concreto, es decir, no es necesario respetar las mismas franjas horarias para trabajar, sino por el contrario, disponer de los ratos libres o más desocupados para realizar el curso. Habrá días que podrá conectarse a unas horas, y otros días a otras. Habrá días en los que le dedique al curso más tiempo, y otros que apenas entre 5 minutos. Aunque no es necesario u obligatorio entrar a la plataforma todos los días, sí es recomendable, ya que el nivel de actividad que se suele generar en los cursos (propiciado por los propios alumnos además de por los docentes y el dinamizador) establece una dinámica natural de ritmo que es asumido sin problema por cada participante.
PROFESORADO
D. Javier Bermejo Higuera. Responsable de la Unidad de Inspecciones de Seguridad del CESTIC del Ministerio de Defensa, es Doctor Ingeniero realizando la tesis doctoral en el área de análisis de malware, Ingeniero en Electrónica, Armamento y Técnico de Telecomunicación, Licenciado en Físicas y posee un máster en Sistemas de Comunicación e Información para la Seguridad y Defensa. En el área de seguridad es especialista criptólogo por el Centro Criptológico Nacional (CCN) y posee la certificación internacional CSFI-DCOE (Defensive Cyberspace Operations Enginier), el curso de Seguridad de las Tecnologías de la Información y Comunicaciones del CCN y varios otros cursos de seguridad TIC del CCN y escuelas de la OTAN. Ha sido oficial responsable de seguridad TIC de la Unidad Militar de Emergencias (UME), director Técnico de los Programas CIS de la UME y Guerra Electrónica Táctica del Ejército. A nivel internacional es el representante español en el grupo de trabajo "lA/Cyber Defence Research Framework" de la STO de OTAN. Ha participado como investigador experto del Equipo Multidisciplinar de Investigación (EMIN) del proyecto de investigación “CIBERSEGURIDAD Y CIBERDEFENSA” del Centro Mixto de la Universidad de Granada y Mando Adiestramiento y Doctrina del Ejército y en el proyecto de investigación 12.R&T. RP: 279 Cyber Defence Research Agenda (CDRA) para la Agencia de Defensa Europea (EDA), a través de la empresa S21sec. Tiene cinco publicaciones en revistas y libros del sector de seguridad y defensa. Ha realizado labores de enseñanza como profesor asociado en la UAH en el departamento de Teoría de la Señal.
D. Juan Ramón Bermejo Higuera. Ingeniero de Seguridad TI en el Centro de Evaluación de la Seguridad de las tecnologías de la información del INTA. Es Doctor en Ingeniería Eléctrica, Electrónica y Control Industrial (UNED). Máster en Comunicación, Redes y Gestión de Contenidos (UNED). Ingeniero en Informática (UNED). Ingeniero Técnico en Informática de Sistemas (UNED); Especialista Criptólogo por el Centro Criptológico Nacional CNI-CCN y en posesión del Curso de Gestión de la Seguridad de las TIC y de Análisis y Gestión de Riesgos impartidos también por el Centro Criptológico Nacional CNI-CCN. Anteriormente trabajó como Jefe de la Unidad de Comunicaciones e Informática del Grupo Central de Mando y Control del E.A., responsable de la explotación del Sistema de Defensa Aérea y colaborador en los distintos proyectos de implantación del fututo Sistema de Mando y Control de la OTAN en el Ejército del Aire, Supervisor de Seguridad de las Tecnologías de información y Comunicaciones y Jefe de Seguridad de la información clasificada. Además, trabajó en el proyecto de migración de los sistemas Mainframe de IBM a nivel corporativo del Ministerio de Defensa. Las Líneas de investigación en las que principalmente trabaja están relacionadas con el análisis de la seguridad de las aplicaciones, Ciclo de vida seguro de desarrollo de software, seguridad en el software y hacking ético de aplicaciones. Relacionado con la seguridad en el software, es autor de la publicación (journal: information and software technology. Elsevier) “Static analysis of source code security: assessment of tools against SAMATE tests”.
PROGRAMA
Unidad Didáctica 1: El problema de la Seguridad en el Software
1.1. Introducción al problema de la seguridad en el software
1.2. Vulnerabilidades y su clasificación
1.3. Propiedades software seguro
1.4. Principios de diseño seguridad del software
1.5. Amenazas a la seguridad del software
1.6. Los pilares de la seguridad del software
1.7. Metodologías y estándares
1.8. Caso práctico.
Unidad Didáctica 2: Seguridad en el Ciclo de Vida del Software
2.1. Introducción a la seguridad en ciclo de vida del software (S-SDLC).
2.2. Seguridad en las fases del S-SDLC.
2.3. Modelado de ataques.
2.4. Casos de abuso.
2.5. Ingeniería de requisitos de seguridad.
2.6. Análisis de riesgo. Arquitectónico.
2.7. Patrones de diseño.
2.8. Pruebas de seguridad basadas en riesgo.
2.9. Revisión de código. Análisis estático.
2.10. Test de penetración.
2.11. Revisión externa.
2.12. Ejercicio práctico.
Unidad Didáctica 3: Codificación Segura de Aplicaciones
3.1. Introducción a la codificación segura
3.2. Características de una buena implementación, prácticas y defectos a evitar
3.3. Manejo de la entrada de datos
3.4. Desbordamiento de buffer
3.5. Integers overflows, errores de truncado y problemas con conversiones de tipo entre números enteros
3.6. Errores y excepciones
3.7. Privacidad y confidencialidad
3.8. Programas privilegiados
3.9. Trabajo Práctico.
Unidad Didáctica 4: Seguridad de Aplicaciones Web
4.1. Introducción.
4.2. Arquitecturas Aplicaciones y Protocolos Web.
4.3. Seguridad de la plataforma Web.
4.4. Herramientas de interceptación de tráfico Web.
4.5. Cross-Site Scripting (XSS).
4.6. Cross-Site Request Forgery (CSRF).
4.7. Inyección SQL (SQLi).
4.8. Autenticación, gestión de sesiones.
4.9. Autorización.
4.10. Guía de pruebas OWASP.
4.11. Trabajo práctico.
Unidad Didáctica 5: Seguridad de Servicios WEB
5.1. Introducción a la arquitectura y la seguridad de los servicios web.
5.2. Especificaciones y tecnologías para el diseño de la seguridad de los servicios web.
5.3. Evaluación de la seguridad de los servicios web.
5.4. Protección online: gateways y firewalls XML.
5.5. Trabajo práctico.
CASO FINAL INTEGRADOR DEL CURSO
PRECIO DEL CURSO COLEGIADOS: 325 €, MÁS IVA (21%) (Precio SIN IVA sólo aplicable para Colegiados residentes en Canarias, Ceuta y Melilla).
PRECIO DEL CURSO NO COLEGIADOS: 450 €, MÁS IVA (21%) (Precio SIN IVA sólo aplicable para residentes en Canarias, Ceuta y Melilla).
INSCRIPCIONES
Se establecerán las siguientes pautas en la adjudicación de plazas, con el siguiente orden:
1. Se dará prioridad en la inscripción al curso a los Colegiados.
2. Se dará prioridad al orden de llegada de los formularios web de inscripción.
3. No se entenderá como formalizada ninguna inscripción de la que no se reciba justificante de pago hasta CINCO días antes de comienzo del curso.
Mecanismos de Pago:
- Ingreso/Transferecia al número de cuenta: IBAN ES84 0081 5281 4700 0101 5003 de Banco de Sabadell, indicando COIT como beneficiario, nombre y apellidos del interesado y curso o cursos a los que corresponde la transferencia.
- A través de Pasarela de Pago Virtual (tarjeta de crédito).
4. En el caso en el cual, por aplicación de esta norma haya que excluir a alguno de los inscritos que hayan pagado, se les informará de dicha circunstancia y se les devolverá el importe del curso.
5. Tendrán prioridad para inscripción en el mismo si se repite y resulta de su conveniencia.
6. Las inscripciones se deberán formular, a más tardar, SIETE días antes de la fecha del curso, mediante la cumplimentación del formulario de inscripción adjunto hasta un total por curso de 25 plazas.
7. El número máximo de alumnos del curso es de 25. La celebración del curso está condicionada a la inscripción de, al menos, 20 alumnos.
8. En el caso de que algún inscrito no asista al curso y no cancele su inscripción, al menos CINCO días antes de la fecha del curso, salvo casos de fuerza mayor, no se le devolverá la cuota de inscripción abonada.
9. Se estudiará, en función del número de interesados, la posibilidad de repetir esta jornada.
IMPORTANTE: Una vez llegado al número mínimo de alumnos establecido para poder realizar el curso, se confirmará la plaza por correo electrónico. Posteriormente tendrás que enviarnos el comprobante de pago a la siguiente dirección de mail: formacion@coit.es o en el nº de fax 91 447 23 18, indicando en la cabecera del mismo: "a la atención del Sr. Javier Moreno". Una vez recibido el comprobante de pago recibirás un correo electrónico confirmándote que definitivamente te incluímos en el curso, cuando se haya alcanzado el número mínimo de alumnos establecido. Si tienes alguna duda en relación al procedimiento de inscripción, ponte en contacto con el Sr. Javier Moreno en el mail formacion@coit.es o en el teléfono 91 4479730.