miércoles, 29 de junio de 2011

Se actualizo el top 25 de los errores de software más peligrosos (2011 CWE/SANS Top 25 Most Dangerous Software Errors)

NUEVA YORK (Reuters) - Los desarrolladores de software preocupados por la protección ante los ataques informáticos tienen ahora una nueva herramienta para identificar errores comunes.
El Gobierno estadounidense actualizó el lunes una lista de los 25 errores de software más peligrosos, y guías para ayudar a los programadores a identificarlos y evitarlos.
El sistema espera cerrar brechas de seguridad comunes que los piratas han utilizado para atacar a empresas como Lockheed Martin y Sony.

Los consumidores de software pueden pedir ahora a los desarrolladores una puntuación de seguridad en función de un sistema estándar que pretende que los programadores estén más atentos a evitar fallos.
"El desarrollador de software no va a mostrar una puntuación baja", indicó Alan Paller, director de investigación en el Instituto SANS, una empresa de formación en seguridad informática. "Va a arreglar el problema. Porque cómo vas a decir '¿Voy a venderte algo que es peligroso'?".
La lista de vulnerabilidades de software realizada por el Departamento de Seguridad Nacional y el MITRE, un organismo de investigación con financiación estatal, se publica cada año desde 2009.

En primer lugar de la última lista aparece un agujero de seguridad llamado inyección SQL que permitió al grupo de hackers LulzSec acceder a los sistemas de Sony e InfraGard, un centro utilizado por el FBI para establecer relaciones con negocios privados.
Dar un nombre común a los errores de software fue un paso crucial para crear un sistema de puntuación estandarizado.
Muchas empresas que analizan software en busca de fallos describían los mismos errores con diferentes nombres, haciendo casi imposible crear un sistema de evaluación de seguridad. Ahora, el MITRE presiona a las empresas para que adopten un lenguaje común, llamado enumeración de debilidades comunes, y el nuevo sistema de puntuación.
La firma de análisis de software Fortify, propiedad de Hewlett-Packard, y la compañía Cenzic, han anunciado que adoptarán ambos criterios.

FALTA DE EDUCACIÓN
Muchos de los errores de software que explotan los hackers deben considerarse ya como blancos fáciles. Las inyecciones SQL, por ejemplo, llevan años siendo un problema conocido en la industria.
Pero parte del motivo por el que agujeros de seguridad aparentemente sencillos existen es porque no hay estándares reales para enseñar programación de software seguro.
Los programadores provienen de campos muy diversos, desde los autodidactas hasta los que tienen títulos de Harvard. Paller señaló que a la mayoría de los desarrolladores nunca se les ha enseñado cómo escribir código seguro.
"Si nunca se les ha enseñado a hacerlo, y nadie se lo pide y nadie lo comprueba, entonces no lo hacen porque no saben cómo hacerlo", explicó Paller a Reuters.
Paller señaló que despertó un cierto malestar en la industria cuando ofreció premios en efectivo a los estudiantes que encontraran errores de seguridad en los libros que les enseñaban a escribir código.
Joe Jarzombek, responsable del programa en el Departamento de Seguridad Nacional, señaló que la lista de los 25 primeros errores es como una guía sobre la que pueden basarse los programadores para certificar que su software está libre de esos problemas.
"Es un gran servicio para gente que de otro modo piensa 'Soy una víctima. No puedo hacer nada sobre el software", indicó en una entrevista.

Fuente: es.reuters.com





.
2011 CWE/SANS Top 25 Most Dangerous Software Errors (June 27, 2011)

 Rank / Score ID /  Name
[1] 93.8 CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
[2] 83.3 CWE-78 Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
[3] 79.0 CWE-120 Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')
[4] 77.7 CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
[5] 76.9 CWE-306 Missing Authentication for Critical Function
[6] 76.8 CWE-862 Missing Authorization
[7] 75.0 CWE-798 Use of Hard-coded Credentials
[8] 75.0 CWE-311 Missing Encryption of Sensitive Data
[9] 74.0 CWE-434 Unrestricted Upload of File with Dangerous Type
[10] 73.8 CWE-807 Reliance on Untrusted Inputs in a Security Decision
[11] 73.1 CWE-250 Execution with Unnecessary Privileges
[12] 70.1 CWE-352 Cross-Site Request Forgery (CSRF)
[13] 69.3 CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
[14] 68.5 CWE-494 Download of Code Without Integrity Check
[15] 67.8 CWE-863 Incorrect Authorization
[16] 66.0 CWE-829 Inclusion of Functionality from Untrusted Control Sphere
[17] 65.5 CWE-732 Incorrect Permission Assignment for Critical Resource
[18] 64.6 CWE-676 Use of Potentially Dangerous Function
[19] 64.1 CWE-327 Use of a Broken or Risky Cryptographic Algorithm
[20] 62.4 CWE-131 Incorrect Calculation of Buffer Size
[21] 61.5 CWE-307 Improper Restriction of Excessive Authentication Attempts
[22] 61.1 CWE-601 URL Redirection to Untrusted Site ('Open Redirect')
[23] 61.0 CWE-134 Uncontrolled Format String
[24] 60.3 CWE-190 Integer Overflow or Wraparound
[25] 59.9 CWE-759 Use of a One-Way Hash without a Salt



Descarga de la lista completa


Link relacionados:
- EU aconseja cómo combatir ‘hackers’ [cnnexpansion]
DHS, SANS Institute y Mitre actualizan su sistema para la evaluación de la seguridad del software [www.csospain.es]
EEUU presenta plan para proteger sitios web empresariales

No hay comentarios: