13 marzo 2010

Actualizado el Top 25 errores de programación más peligrosos

Hace un año publicamos en SbD la primera versión del Top 25 con los errores de programación más comunes y con peores consecuencias, elaborado en la convención de seguridad liderada por SANS y MITRE, y que reunió a expertos de seguridad informática de todo el planeta.

La versión del 2010 ha sido actualizada e incluye mejoras sustanciales respecto a la lista del 2009. La estructura de la lista se ha modificado para distinguir las mitigaciones y los principios de programación segura de las debilidades más específicas.

La versión del 2010 introduce diferentes perfiles que permiten a los desarrolladores y otros usuarios seleccionar las partes de la lista que son más relevantes a sus intereses. También añade un pequeño conjunto con mitigaciones efectivas que ayudan a los desarrolladores a eliminar o reducir las diversas debilidades que les inquietan. Por último, diversos puntos débiles de alto nivel de la versión del 2009 han sido sustituidos por variantes de bajo nivel que son más accesibles al desarrollador.

Encabezando la lista de vulnerabilidades: XSS (Cross-site scripting), SQL Injection, y los errores de desbordamiento de buffer. Los 25 errores son la causa de casi todos los ataques cibernéticos importantes, incluyendo los que han afectado recientemente a Google y a otras 33 grandes empresas, así como las infracciones sufridas en los sistemas militares y millones de pequeñas empresas y usuarios domésticos.

Su estreno el martes coincidió con un impulso renovado por parte de los clientes al exigir a los desarrolladores de software la responsabilidad de la seguridad de sus productos. Los expertos en seguridad dicen que los clientes demandan que los productos sean más seguros exigiendo a los proveedores que cumplan con las medidas de seguridad más comunes, y que los miembros del equipo reciban formación en técnicas de programación segura.

Me pregunto a cuántos equipos de desarrollo se les da formación en seguridad, por experiencia veo que esto no se cumple en la mayoría de los casos. Esperemos que la mentalidad de las organizaciones cambie en un futuro no muy lejano, ya que perjudica la imagen de sus productos y de la compañía, y principalmente afecta al usuario final.

Podéis encontrar la lista aquí.

3 comments :

parmetis dijo...

¿y por qué son incluidos en errores de programación vectores de ataque sobre html o sql?

Laura García dijo...

@parmetis: No validar de forma correcta los parámetros que maneja una aplicación puede ser aprovechada por una inyección SQL.

Saludos :)

LeGNa dijo...

Lo gracioso es que cuando te están formando como desarrollador, todo lo referente a seguridad o lo pasan por alto o dan un "ligerísimo" repaso. Con lo cual o lo aprendes por tu cuenta o continuará lo de "los clientes demandan que los productos sean más seguros".