miércoles, 14 de enero de 2009

Los 25 más graves errores.

La NSA, DHS, Verisign, Microosft, Symantec y otras organziaciones se juntaron y acabaron haciendo un documento [http://www.sans.org/top25errors/] muy importante con una compilación de los 25 errores más graves que se cometen a la hora de programar. Pienso que cualquier organziación que codifique debe de darle un vistazo a este documento y hacer que sus programadores la lean (al menos). Mejor aún sería que tomaran acciones para evitar esos errores. Y no, no es una lista más.

 

Sabemos que los errores de programación son la fuente más importante de las debilidades que acaban en explotación que luego se convierten en troyanos, gusanos y todo tipo de código malicioso. En pocas palabras, si un programa estuviera libre de errores de programación, le haríamos la vida imposible a los atacantes y los orillaríamos casi únicamente a hacer ataques de ingeniería social ante la imposibilidad de explotar el código.

 

Esta lista de los 25 errores más comunes no la veo como una lista más que sale ocasionalmente en las noticias de seguridad. Los expertos y organizaciones involucradas son de tal importancia que no podemos implemente ignorarla. Lo mejor que podemos hacer es turnar esta lista al área de programación y exigir que nos digan si entre sus desarrollos están tomando en cuenta estas recomendaciones y de lo contrario pedirles un plan de acción para incorporarlas. La lista tiene también una parte de cómo evitar estos errores y hasta cursos que se pueden tomar.