Desarrolladores de software preocupados por la protección frente a los ataques informáticos tienen ahora una nueva herramienta para identificar errores comunes.

El Gobierno estadounidense actualizó recientemente una lista de los 25 errores de software más peligrosos y guías para ayudar a los programadores a identificarlos y evitarlos.

El sistema busca eliminar brechas de seguridad comunes que los piratas han utilizado para atacar a empresas como Lockheed Martin y Sony Corp. Los consumidores de software ahora pueden pedir a los desarrolladores una puntuación de seguridad en función de un sistema estándar que pretende que los programadores estén más atentos a evitar fallos.

“El desarrollador de software no va a mostrar una puntuación baja”, indicó Alan Paller, director de investigación en el Instituto SANS, una compañía de formación en seguridad informática. “Va a arreglar el problema. Porque cómo vas a decir ‘¿Voy a venderte algo que es peligroso?’, agregó.

La lista de vulnerabilidades de software realizada por el Departamento de Seguridad Nacional y el MITRE, un organismo de investigación con financiamiento estatal, se publica cada año desde el 2009. En el primer lugar de la última lista aparece un agujero de seguridad llamado inyección SQL que permitió al grupo de hackers LulzSec acceder a los sistemas de Sony e InfraGard, un centro utilizado por el FBIpara establecer relaciones con negocios privados.

Dar un nombre común a los errores de software fue un paso crucial para crear un sistema de puntuación estandarizado. Anteriormente, muchas firmas que analizan software en busca de fallas describían los mismos errores con diferentes nombres, haciendo casi imposible crear un sistema de evaluación de seguridad.

Ahora, el MITRE presiona a las empresas para que adopten un lenguaje común, llamado enumeración de debilidades comunes, y el nuevo sistema de puntuación. La firma de análisis de software Fortify, propiedad de Hewlett-Packard, y la compañía Cenzic, han anunciado que adoptarán ambos criterios.

> Falta de educación

Muchos de los errores de software que explotan los hackers ya deben considerarse como blancos fáciles. La inyección SQL, por ejemplo, lleva años siendo un problema conocido en la industria.

Pero la existencia de agujeros de seguridad aparentemente sencillos se explica, en parte, porque no hay estándares reales para enseñar programación de software seguro. Los programadores provienen de campos muy diversos, desde autodidactas hasta profesionales con títulos de Harvard. Paller señaló que a la mayoría de los desarrolladores nunca se les enseñó cómo escribir códigos seguros. “Si nunca se les ha enseñado a hacerlo, y nadie se los pide y nadie lo comprueba, entonces no lo hacen porque no saben cómo”, explicó Paller a Reuters.

Paller afirmó que despertó un cierto malestar en la industria cuando ofreció premios en efectivo a los estudiantes que encontraran errores de seguridad en los libros que les enseñaban a escribir código. Joe Jarzombek, responsable del programa en el Departamento de Seguridad Nacional, señaló que la lista de los 25 primeros errores es como una guía sobre la que pueden basarse los programadores para certificar que su software está libre de esos problemas.

“Es un gran servicio para gente que de otro modo piensa: ‘Soy una víctima. No puedo hacer nada con el software’”, indicó en una entrevista. (Reuters)

Fuente

Anuncios