NSA ayuda a identificar los errores de programación más peligrosos

Un grupo de más de 30 organizaciones de computadoras ha tomado lo que algunos llaman un gran paso para hacer que el software sea más seguro.

Dirigido por expertos de la Agencia de Seguridad Nacional de los EE. UU., El Departamento de Seguridad Nacional, Microsoft y Symantec. El grupo planea publicar el lunes un plan que describe los errores de programación de software más peligrosos.

La lista representa la primera vez que la industria llega a un consenso sobre las peores cosas que pueden suceder cuando se escribe un software.

[Más información: Cómo eliminar el malware de su PC con Windows]

"La lista de los 25 principales ofrece a los desarrolladores un conjunto mínimo de errores de codificación que deben ser eliminados antes de que los clientes usen el software", dijo Chris Wysopal, director de tecnología de Ve racode, en una declaración preparada.

Más que solo una lista, sin embargo, el documento podría ser utilizado como una herramienta de negociación entre compradores y proveedores de software, dijo Alan Paller, director de investigación del SANS Institute, un grupo de entrenamiento de seguridad que encabezó el trabajo.

De hecho, el estado de Nueva York está ahora desarrollando documentos de adquisición que podrían ser utilizados por las agencias estatales para hacer que sus proveedores certifiquen que su código no contiene ninguno de estos errores de programación. En última instancia, eso hará que el proveedor, no el estado, se responsabilice cuando un software defectuoso genere un problema de seguridad, dijo Paller. "Cuando se descubre que el software está defectuoso … toda la responsabilidad económica recae sobre ellos".

Paller espera que este tipo de certificación, prácticamente desconocida hoy, se vuelva más común ahora que una parte tan grande de la industria ha acordado sobre qué errores de programación son más peligrosos. Pero espera que se use en grandes contratos de codificación personalizada en lugar de en los acuerdos de licencia de software utilizados para software ampliamente distribuido como Microsoft Windows.

Las fallas incluyen cosas como permitir la inyección SQL o ataques de scripts entre sitios, enviar información sensible en texto claro, que se puede leer fácilmente, y codificar las contraseñas de seguridad en los programas, donde son difíciles de cambiar si se descubren. La lista de errores se publicará aquí.

Dos de estos errores provocaron más de 1,5 millones de infracciones en el sitio web el año pasado, dijo SANS. Y eso fue solo el comienzo: a menudo, estos atacantes en la Web fueron utilizados por atacantes en línea para luego lanzar más ataques contra las personas que navegaban por los sitios pirateados.