Barrapunto

"Asombrosamente, los programadores no entienden bien la mayor parte de esos errores"

Porque toda noticia no puede ser una noticia si no se exagera un poquito...

Los "programadores" como término general entendemos TODOS los errores (es decir, se sabe en que consisten y porque se producen, no es lo mismo que cuando los cientificos no entienden algo), muchos programadores conocen y manejan la mayoría de dichos peligros en función de las aplicaciones que realizan y su area de experiencia, en general los bueno programadores conocen esa problemática.

Algunos programadores, especialmente aquellos con menor formación y/o menor interés personal pueden desconocer buena parte de las vulnerabilidades/técnicas expuestas pero yo creo firmemente que ese grupo no es TAN grande como se da a entender en el artículo.

Pero no nuestros jefes, que nos imponen tiempos absurdos para llevar a cabo nuestras tareas.

Y porque siempre estamos en el punto de mira los informaticos?? Que el resto de ingenieros lleva a la perfeccion sus tareas?

Está muy bien que se informe de temas serios fuera de cacarear los de siempre, como por desgracia se hace en BarraPunto, pero creo que esto es publicidad descarada.

SANS es una organización con ánimo de lucro que se dedica a publicar libros sobre seguridad y redes (aunque he visto su catálogo y desecharía la mitad), ofrecer un servicio para analizar código y comprobar que sea seguro, entre otras cosas.

Lo que quiero decir, es que inocentemente esto son intereses comerciales escondidos en un artículo, con una clara intención de publicidad viral.

Como viene siendo habitual, los editores de esta página no controlan la calidad de las publicaciones y la gran mayoría del contenido realmente interesante se pudren en bitácoras desconocidas o el cajón de los artículos pendientes. A ver si alguien hace una web equivalente mejor, y dejaros de soltar la coña de Meneame o los subproductos de Weblogs S.L (Xataka, etc...).

Saludos,

pongo este comentario de forma "independiente", y no como respuesta a ninguno de los anteriores, porque no quiero caer en la esteril polémica de "¿por qué los programadores escriben código inseguro?". Los motivos dados por Aleph One en el 98 me siguen pareciendo válidos 10 años después, y bien se pueden resumir en uno: incluso hoy día se premia la funcionalidad por encima de la seguridad.

Sin embargo, lo que sí quiero comentar es mi experiencia en cifras, la cual se alinea bastante con lo que comenta SANS, por más que no comulgue con ellos, y por más que esta noticia tenga un tufillo de "cómprenme formación y consultoría".

Pero la realidad es que si miro los resultados de las 16 auditorías del año 2008 en las que he participado directamente ( es decir, que no me lo han contado ), todas ellas a organizaciones con cientos o miles de personas y departamentos TI amplios, los resultados son para echarse a temblar.

Si nos movemos por el área de "auditoría de aplicativos web", la triste realidad es que sólo 7 de los más de 50 aplicativos auditados ( de todo tipo: J2EE, PHP, ASP, ASP.NET, etc ) han resistido inyecciones de SQL. Además, de esos más de 50 aplicativos, 27 han permitido inyección de comandos en el sistema. Como guinda, todos han sido vulnerables a XSS y/o CSRF.

Eso sí, y para ser justos hay que decirlo, si hablamos de "auditoría de red ( capas 2-3 ) y sistemas" la cosa tampoco es mucho mejor: acceso administrativo a routers y switches, incorrecto aislamiento de la DMZ, posibilidad de realizar todo tipo de ataques en capa 2, posibilidad de realizar ataques a hsrp, comunidades snmp rw por defecto, contraseñas predecibles, sistemas sin parchear, privilegios mal asignados, etc.

En definitiva, todas las auditorías realizadas el pasado 2008 contienen fallos de nivel crítico, y estos fallos pertenecen tanto a la parte de desarrollo, como a la de sistemas, como a la de red, a partes iguales y sin distinción.

Y como dice el asunto, estos son mis 2 céntimos ... poco más que decir.

Lo que hay publicado en SANS es un resumen que está ampliado en la página cwe.mitre.org [mitre.org]. No encuentro bien en qué se basan las acusaciones de publicidad que algunos habéis hecho. Hay mucha gente de muchas organizaciones que ha contribuido haciendo modificaciones a esa lista, hay mucha información en ella y el proceso de creación es más o menos consensuado. Todo está sacado de los típicos errores de seguridad que se detectan día sí y día también en las aplicaciones que todos conocemos, de las actualizaciones que periódicamente se descargan nuestros sistemas [debian.org], y si no, comprobadlo.

Es un buen punto de partida para empezar a analizar en qué medida una aplicación está desarrollada de forma segura, o incluso como introducción o repaso. No está de más que, aquellos que quieren hacer su programa más seguro, cogieran la lista y empezaran a enumerar qué políticas de las enumeradas han seguido en su propio código para evitar esas vulnerabilidades, y entonces corregir o minimizar las deficiencias que encuentren si las hay.

Es simplemente una lista de cosas "por hacer", nos hacemos listas todos los días, no veo cuál es el problema. Si no la quieres aplicar, me parece que no hace falta criticarla diciendo que es publicidad, ni salir presumiendo de que ya conoces todas las posibles vulnerabilidades en que puede caer tu programa. Si tu jefe no quiere pues te quejas a él, que ya sabemos que es muy cómodo que tu jefe no quiera que estés revisando lo ya programado.

No me extraña que no seas capaz de programar en Python. ¡Si ni siquiera eres capaz de expresarte bien en tu propia lengua materna! :P