Las palabras ‘caos’ e ‘ingeniería’ no suelen ir bien juntas. Porque los buenos ingenieros evitan el caos como resultado. Pero recientemente, varios desarrolladores de software utilizan un nivel moderado de ‘caos’ para fortalecer los sistemas informáticos al revelar fallas ocultas. No es un método perfecto porque el resultado no está garantizado debido a la naturaleza del caos, pero es sorprendentemente efectivo en muchos casos.
La ingeniería del caos es especialmente útil para los analistas de seguridad que necesitan encontrar puertas traseras no documentadas e impredecibles. Es posible que las pruebas de caos no encuentren todos los problemas de seguridad, pero pueden descubrir vulnerabilidades peligrosas sin parches en las que los desarrolladores podrían no haber pensado. Una buena ingeniería del caos beneficia tanto a los equipos devsecops como a los devops. En algunos casos, los problemas de estabilidad o resiliencia pueden provocar problemas de seguridad, y el mismo error de codificación puede provocar un tiempo de inactividad del sistema completo o la intrusión de un atacante cibernético.
¿Qué es la ingeniería del caos?
‘Ingeniería del Caos’ es un neologismo que colectivamente se refiere a varias técnicas con resultados exitosos comprobados. El término ‘fuzzing’ o ‘glitching’ a veces se usa porque tuerce los sistemas informáticos, lo que hace que se desequilibren y se congelen. La ingeniería del caos es un método en el que se inyecta software con un comportamiento aleatorio que causa estrés y luego se observa cuidadosamente en busca de fallas o errores. Los problemas que normalmente tardarían años en descubrirse en condiciones normales de uso a menudo se descubren en un tiempo relativamente corto con la ingeniería del caos.
El cofundador de Electronic Freedom Foundation (EFF), John Gilmore, dijo: “La codificación es un proceso de mejora continua, y la ingeniería del caos es una forma excelente de acelerar la búsqueda de todas las rutas de ejecución posibles. El código de ejecución prolongada tiene un valor real para revelar la mayoría de los errores con 10 millones de usuarios que lo ejecutan por primera vez, 20 compiladores que lo compilan por primera vez y 5 sistemas operativos que lo ejecutan por primera vez. “El código que ha sido fuzzeado y probado con penetración (Google Project Zero, por ejemplo) tiene significativamente menos rutas no detectadas que el código nuevo”.
Gilmore a menudo cita un ejemplo de su tiempo en Data General, un fabricante de minicomputadoras, a principios de la década de 1970. En ese momento, Gilmore descubrió que apagar el interruptor de encendido al azar alteraba el estado del sistema operativo. “El ingeniero del sistema operativo argumentó que manipular el interruptor de encendido no era una prueba válida en lugar de solucionar el problema”, dijo Gilmore. Como resultado, la empresa llamada Data General desaparece y no existe”.
La ingeniería del caos no es un concepto nuevo en la fabricación de computadoras ni en ningún otro campo de la ingeniería. Los fabricantes de automóviles, por ejemplo, prueban nuevos modelos en el desierto durante el verano y en las provincias del norte durante el invierno. El arquitecto erige una estructura de prueba y luego la sobrecarga para observar fallas.
Sin embargo, la informática ha sido tradicionalmente más un ámbito matemático. Muchos investigadores de seguridad crean pruebas lógicas sofisticadas que brindan certeza matemática. Sin embargo, la complejidad del software moderno va mucho más allá de lo que se puede modelar con herramientas lógicas. Gran parte del ámbito de la seguridad informática no se puede entender con el nivel de precisión que nos gustaría y, por lo tanto, las consecuencias del comportamiento aleatorio no se pueden predecir una por una.
Chaos Engineering no incluye intencionalmente la palabra ‘ciencia’. También se distancia de la forma tradicional de construir, probar y finalmente comprender el software basado en modelos cuidadosamente elaborados y ajustados. De hecho, ‘ingeniería’ no es una palabra muy buena para este concepto. Esto se debe a que la ingeniería es un término tan riguroso, planificado y metodológico como el que se utiliza en los laboratorios de ciencias. La ingeniería del caos es similar a soltar un toro en una tienda de cerámica o un cerdo engrasado en el comedor de una escuela secundaria.
Fuente: ITWorld Corea por www.itworld.co.kr.
*El artículo ha sido traducido en base al contenido de ITWorld Korea por www.itworld.co.kr. Si hay algún problema con respecto al contenido, los derechos de autor, deje un informe debajo del artículo. Intentaremos tramitar lo más rápido posible para proteger los derechos de autor. ¡Muchos gracias!
*Solo queremos que los lectores accedan a la información de forma más rápida y sencilla con otro contenido multilingüe, en lugar de información que solo está disponible en un determinado idioma.
*Siempre respetamos los derechos de autor del contenido del autor y siempre incluimos el enlace original del artículo fuente. Si el autor no está de acuerdo, simplemente deje el informe debajo del artículo, el artículo será editado o eliminado a pedido del autor. ¡Muchas gracias! ¡Atentamente!
