Revolucionando la seguridad del software con las matemáticas

Transcript

1. Revolucionando la seguridad del software con las matemáticas Fernanda Andrade

   fandradeg flandrade

2. Seguridad 01

3. La información se mueve sin esfuerzo a través de las

   redes digitales.

4. Sistemas inseguros La información se mueve sin esfuerzo a través

   de las redes digitales inseguras.
5. None

6. Necesitamos mejores herramientas

7. “Testing shows the presence, not the absence of bugs” —

   Edsger W. Dijkstra

8. Necesitamos otra perspectiva

9. Control de flujo de la información IFC Noninterference ensures that

   modi fi cations to con fi dential data do not affect public data. Rastrear y restringir el fl ujo de datos para garantizar propiedades de seguridad

10. Control de flujo de la información IFC Noninterference ensures that

    modi fi cations to con fi dential data do not affect public data. IFC no es quién tiene acceso a los datos (DAC)

11. Etiquetas Noninterference ensures that modi fi cations to con fi

    dential data do not affect public data.

12. Etiquetas Noninterference ensures that modi fi cations to con fi

    dential data do not affect public data.

13. Políticas de seguridad Etiquetas

14. Políticas de seguridad Público Secreto Etiquetas Secreto Secreto

15. Políticas de seguridad Público Secreto Etiquetas

16. Políticas de seguridad Público Secreto Etiquetas

17. ¿Y si tenemos más etiquetas?

18. Matemáticas 02 18

19. Políticas de seguridad Público Secreto Relación de fl ujo

20. Modelo de LaPadula Bell, D. E., & LaPadula, L. J.

    (1973). Secure computer systems: Mathematical foundations

21. Modelo de LaPadula Bell, D. E., & LaPadula, L. J.

    (1973). Secure computer systems: Mathematical foundations No lectura hacia arriba

22. Modelo de LaPadula Bell, D. E., & LaPadula, L. J.

    (1973). Secure computer systems: Mathematical foundations No lectura hacia arriba

23. Modelo de LaPadula Bell, D. E., & LaPadula, L. J.

    (1973). Secure computer systems: Mathematical foundations No escritura hacia abajo

24. Modelo de LaPadula Bell, D. E., & LaPadula, L. J.

    (1973). Secure computer systems: Mathematical foundations No lectura hacia arriba No escritura hacia abajo

25. Modelo de LaPadula Bell, D. E., & LaPadula, L. J.

    (1973). Secure computer systems: Mathematical foundations Público Secreto Con fi dencial

26. Modelo de LaPadula Bell, D. E., & LaPadula, L. J.

    (1973). Secure computer systems: Mathematical foundations Público Secreto Con fi dencial No lectura hacia arriba

27. Modelo de LaPadula Bell, D. E., & LaPadula, L. J.

    (1973). Secure computer systems: Mathematical foundations Público Secreto Con fi dencial No lectura hacia arriba No escritura hacia abajo

28. Programación 03 28

29. Retículo en Haskell Público Secreto ⊑ data Public data Secret

    Abstract datatypes

30. Relación de orden a nivel de compilador data Public data

    Secret class l l' where instance Public Public where instance Secret Secret where instance Public Secret where Typeclasses ⊑ ⊑ ⊑ ⊑

31. Etiquetado de datos newtype Labeled etiqueta valor

32. Etiquetado de datos newtype Labeled etiqueta valor Secret or Public

33. Etiquetado de datos newtype Labeled etiqueta valor String or Int

34. Etiquetado de datos newtype Labeled etiqueta valor credit_card :: Labeled

    Secret 123456 weather :: Labeled Public 30

35. Etiquetado de datos newtype Labeled etiqueta valor credit_card :: Labeled

    Secret String weather :: Labeled Public Int

36. ¿Cómo leo y escribo sin violar las políticas de seguridad?

37. ¿Cómo leo y escribo sin violar las políticas de seguridad?

    ¡Computaciones seguras!

38. MAC: Mónadas newtype MAC l a Encapsula acciones que preservan

    la privacidad Sensibilidad de la información Marco Vassena et al. MAC A verified static information-flow control library

39. Herramientas JSFlow JSCowl LIO MAC 39

40. Formalmente verificadas

41. Métodos formales 05

42. Técnicas matemáticas para validar el comportamiento de un programa según

    una especi fi cación formal Métodos formales

43. Técnicas matemáticas para validar el comportamiento de un programa según

    una especi fi cación formal Métodos formales

44. Técnicas matemáticas para validar el comportamiento de un programa según

    una especi fi cación formal Métodos formales descripción matemática del comportamiento esperado de un sistema

45. Métodos formales Para todo usuario U, si U intenta leer

    un documento D, el nivel de seguridad del documento LD debe ser menor o igual al nivel de seguridad del usuario LU. LU ≥ LD Público Secreto Con fi dencial No lectura hacia arriba

46. MIT. 16.35 Aerospace Software Engineering

47. Benjamin C. Pierce. (When) Will Property-Based Testing Rule The World?

48. Casos de éxito Hypothesis

49. Casos de éxito adobe/react-spectrum#2065, devongovett/regexgen#33, facebook/react#18661, gcanti/io-ts#214, HdrHistogram/ HdrHistogramJS#9, jashkenas/underscore#2815,

    jasmine/ jasmine#1764, jestjs/jest#7937, jestjs/jest#7941, jestjs/ jest#7975, jestjs/jest#8403, jestjs/jest#11055, jestjs/ jest#11056, jezen/is-thirteen#558, left-pad/left-pad#58, manishsaraan/email-validator#40, numpy/numpy#15394, streamich/react-use#788, trekhleb/javascript- algorithms#102, trekhleb/javascript-algorithms#129, trekhleb/javascript-algorithms#305, trekhleb/javascript- algorithms#306, trekhleb/javascript-algorithms#307, trekhleb/javascript-algorithms#308 Hypothesis

50. Conclusiones

51. 01 Procesos críticos requieren métodos riguroso

52. 01 Métodos formales para garantizar la ausencia de errores 02

    Procesos críticos requieren métodos riguroso

53. 01 Métodos formales para garantizar la ausencia de errores 02

    03 Procesos críticos requieren métodos riguroso Herramientas formalmente verificadas

54. 01 Métodos formales para garantizar la ausencia de errores 02

    03 Procesos críticos requieren métodos riguroso Herramientas formalmente verificadas Propuestas de la academia 04

55. CREDITS: This presentation template was created by Slidesgo, including icons

    by Flaticon, and infographics & images by Freepik Gracias ¿Preguntas? fandradeg flandrade