Se publica una lista con los 25 errores de código más peligrosos
La mayoría de las vulnerabilidades que los hackers aprovechan para atacar sitios Web y servidores corporativos son generalmente el resultado de errores de programación comunes y bien conocidos. Para paliar este problema, un grupo de compañías ha creado una lista con los 25 errores de código más peligrosos explotados por los hackers.
La lista, publicada ayer, responde a una iniciativa coordinada por SANS Institute y el centro de I+D estadounidense The MITRE en la que han participado 35 organizaciones, incluidas Microsoft, Symantec, el Departamento de Seguridad Interior de Estados Unidos (DHS) y la división de Seguridad de la Información de la Agencia de Seguridad Nacional estadounidense.
Paul Kurtz, socio de Good Harbor Consulting y uno de los principales autores del documento U.S. National Strategy to Secure Cyberspace (Estrategia Nacional de Estados Unidos para Securizar el Ciberespacio), ha calificado la lista de “increíblemente importante desarrollo”.
El objetivo de sus creadores es llamar la atención sobre las prácticas de desarrollo de software inseguras y la forma de evitarlas. Según SANS Institute, la lista pretende dar a los compradores, desarrolladores y programas de prueba de software una herramienta con la que puedan identificar errores que, se sabe, suponen riesgos serios de seguridad.
Como criterios para la inclusión de errores en su listado, el grupo ha tenido en cuenta tanto la frecuencia con que éstos se producen como la gravedad de los riesgos a que exponen a los usuarios. El contenido se organiza en tres grupos y cubre una diversidad de problemas habituales. De ellos, nueve entran en la categoría de "interacción insegura entre componentes", otros tantos en la de "errores degestión de recurso ariesgada" y, el resto, en la de "problemas de defensa `porosa´".
Los dos principales errores en ella identificados son la validación de entradas inapropiada y la incorrecta codificación de la información saliente. Con el tiempo, los autores de la lista irán modificándola para reflejar cualquier nuevo o particularmente peligroso fallo de codificación que pueda emerger.
Paul Kurtz, socio de Good Harbor Consulting y uno de los principales autores del documento U.S. National Strategy to Secure Cyberspace (Estrategia Nacional de Estados Unidos para Securizar el Ciberespacio), ha calificado la lista de “increíblemente importante desarrollo”.
El objetivo de sus creadores es llamar la atención sobre las prácticas de desarrollo de software inseguras y la forma de evitarlas. Según SANS Institute, la lista pretende dar a los compradores, desarrolladores y programas de prueba de software una herramienta con la que puedan identificar errores que, se sabe, suponen riesgos serios de seguridad.
Como criterios para la inclusión de errores en su listado, el grupo ha tenido en cuenta tanto la frecuencia con que éstos se producen como la gravedad de los riesgos a que exponen a los usuarios. El contenido se organiza en tres grupos y cubre una diversidad de problemas habituales. De ellos, nueve entran en la categoría de "interacción insegura entre componentes", otros tantos en la de "errores degestión de recurso ariesgada" y, el resto, en la de "problemas de defensa `porosa´".
Los dos principales errores en ella identificados son la validación de entradas inapropiada y la incorrecta codificación de la información saliente. Con el tiempo, los autores de la lista irán modificándola para reflejar cualquier nuevo o particularmente peligroso fallo de codificación que pueda emerger.
