El Sans Institute publicó una lista con los 25 errores de programación más riesgosos. La mayor parte de los mismos se debe a errores que podrían ser evitados si los programadores fueran más cuidadosos en su trabajo.Los ambientes relevados incluyen al ministerio de seguridad interior de EEUU y NSA, la organización japonesa IPA y empresas privadas como Microsoft y Symantec.
La mayoría de los 25 errores de la lista son relativamente desconocidos entre los propios programadores. Las técnicas de prueba no forman parte de los estudios de los desarrolladores, y un mínimo de los fabricantes de software no prueban sus productos en busca de errores antes de lanzarlos comercialmente.
Las consecuencias de este escenario pueden ser nefastas. Por ejemplo, dos de tales errores fueron explotados en 2008 para instalar código maligno en 1,5 millones de sitios web, que luego propagaron malware entre sus visitantes.
Aunque ya existen listas con las vulnerabilidades y agujeros de seguridad más graves y conocidos, la nueva lista se concentra en los errores de programación en los que tienen su origen.
El grupo de expertos confía en que la lista sea usada por compradores de software, educadores, programadores y sus empleadores.
El informe completo está disponible en ingles en http://www.sans.org/top25errors/
Showing posts with label Error. Show all posts
Showing posts with label Error. Show all posts
Friday, May 1, 2009
Friday, February 13, 2009
Google gana millones gracias a los errores tipográficos
Un estudio de la Universidad de Harvard muestra que Google está ganando millones de dólares gracias a los errores que las personas cometen cuando escriben mal una dirección web. La investigación descubrió que sólo en Estados Unidos hay más de 80.000 nombres de dominio creados con errores tipográficos intencionales y la mayoría usa el programa de anuncios de Google.
Cuando una persona omite una letra o comete algún otro error al escribir la dirección de un sitio web, muchas veces visita inadvertidamente una página repleta de enlaces que lo llevan al sitio que inicialmente estaba tratando de visitar. Lo que la persona no sabe es que estos enlaces son en realidad anuncios del programa de Adsense de Google y, cuando hace un click en el enlace, le está dejando dinero no solo al dueño del sitio, sino también a Google que le cobra al anunciante por el “click”.
Por ejemplo, digamos que una persona quiere visitar el sitio de “Bank of America”, uno de los bancos más grande de los E.U.A. Si por error escribe www.bankofdamerica.com (con una d de más) será llevado a una página que tiene entre otras cosas un enlace a la página verdadera del banco. Este enlace no es más que un anuncio del programa de Adsense de Google.
Aparentemente las ganancias de Google que provienen de los errores tipográficos son tan grandes, que el gigante de los motores de búsquedas diseñó un programa especial de anuncios para los dueños de estos sitios. El programa llamado Google Adsense for Domains da a los dueños de sitios con nombres de dominio parecidos a los de las compañías reales la oportunidad de poner anuncios con enlaces que apuntan a los sitios verdaderos.
Ben Edelman, profesor de la Universidad de Hardvard y autor del estudio, considera que Google no debería cobrarle a los anunciantes por los clicks que las personas hacen desde un sitio con nombre de domino similar al de la compañía que estaban tratando de navegar. De acuerdo con el profesor, la persona ya se dirigía hacia el sitio de todas formas y la página con los anuncios solo se interpuso en el camino y cobró por ello. Edelman y un grupo de abogados interpuso una querella legal ante las cortes en contra Google. La querella representa a las compañías que usan el sistema de Adwords y le pagan a Google por generar tráfico hacia sus sitios. La primera vista del juicio está programada para el próximo mes. Mientras tanto, Google está alegando que no es responsable si la persona escribe un nombre de dominio equivocado y después hace un clic en un anuncio.
Si el juez a cargo del juicio declara que la demanda es válida, esta se podría convertir en lo que se conoce como una demanda colectiva (class action suit)” lo que significaría que cualquier persona que ha usado los servicios de Adwords de Google de esta manera podría tener derecho a compensación sin tener que probar que fue afectado personalmente.
Cuando una persona omite una letra o comete algún otro error al escribir la dirección de un sitio web, muchas veces visita inadvertidamente una página repleta de enlaces que lo llevan al sitio que inicialmente estaba tratando de visitar. Lo que la persona no sabe es que estos enlaces son en realidad anuncios del programa de Adsense de Google y, cuando hace un click en el enlace, le está dejando dinero no solo al dueño del sitio, sino también a Google que le cobra al anunciante por el “click”.
Por ejemplo, digamos que una persona quiere visitar el sitio de “Bank of America”, uno de los bancos más grande de los E.U.A. Si por error escribe www.bankofdamerica.com (con una d de más) será llevado a una página que tiene entre otras cosas un enlace a la página verdadera del banco. Este enlace no es más que un anuncio del programa de Adsense de Google.
Aparentemente las ganancias de Google que provienen de los errores tipográficos son tan grandes, que el gigante de los motores de búsquedas diseñó un programa especial de anuncios para los dueños de estos sitios. El programa llamado Google Adsense for Domains da a los dueños de sitios con nombres de dominio parecidos a los de las compañías reales la oportunidad de poner anuncios con enlaces que apuntan a los sitios verdaderos.
Ben Edelman, profesor de la Universidad de Hardvard y autor del estudio, considera que Google no debería cobrarle a los anunciantes por los clicks que las personas hacen desde un sitio con nombre de domino similar al de la compañía que estaban tratando de navegar. De acuerdo con el profesor, la persona ya se dirigía hacia el sitio de todas formas y la página con los anuncios solo se interpuso en el camino y cobró por ello. Edelman y un grupo de abogados interpuso una querella legal ante las cortes en contra Google. La querella representa a las compañías que usan el sistema de Adwords y le pagan a Google por generar tráfico hacia sus sitios. La primera vista del juicio está programada para el próximo mes. Mientras tanto, Google está alegando que no es responsable si la persona escribe un nombre de dominio equivocado y después hace un clic en un anuncio.
Si el juez a cargo del juicio declara que la demanda es válida, esta se podría convertir en lo que se conoce como una demanda colectiva (class action suit)” lo que significaría que cualquier persona que ha usado los servicios de Adwords de Google de esta manera podría tener derecho a compensación sin tener que probar que fue afectado personalmente.
Saturday, January 24, 2009
La mayoría del software no es suficientemente seguro
La mayor parte de los agujeros de seguridad en las aplicaciones informáticas se debe a errores de programación. ¿Cuál es la responsabilidad de los desarrolladores y de las empresas? ¿Por qué el código seguro aún no es una realidad?
Las aplicaciones informáticas se construyen a partir de diferentes códigos. Estas líneas de programación no son 100 por ciento seguras, y sus errores son aprovechados por delincuentes tecnológicos, a través de virus y acciones de espionaje. Así, millones de personas quedan expuestas a amenazas peligrosas y silenciosas.
La gravedad del problema fue expuesto por un grupo internacional de expertos que difundió una lista con los 25 errores de programación con mayor potencial de daño. Por ejemplo, dos de esos errores fueron explotados en 2008 para instalar código maligno en un millón y medio de sitios web, que luego propagaron código malicioso entre sus visitantes.
El grupo incluye, entre otros, al Ministerio de Seguridad Interior de Estados Unidos y la agencia de seguridad NSA, la organización japonesa IPA y empresas como Microsoft y Symantec. De acuerdo al documento, que puede leerse aquí, la mayoría de estos errores son desconocidos entre los propios programadores, y no integran los estudios de los desarrolladores.
iProfesional entrevistó sobre la seguridad en el desarrollo de los códigos a tres especialistas en seguridad informática argentinos: Ivan Arce, CTO de Core Security Technologies; Roberto G. Langdon, presidente y CEO de 2Minds; y Jorge Cella, gerente de Iniciativas de Seguridad de Microsoft Argentina.
Arce (en la foto) trabaja para Core Security Technologies, una compañía que se dedica a la evaluación exhaustiva de seguridad informática. Esta firma, con oficinas de investigación y desarrollo en el barrio porteño de Palermo y una sede comercial en Boston, EE.UU., identifica y verifica vulnerabilidades, mide el riesgo operativo y comprueba la efectividad de la seguridad.
En el documento mencionado, Core fue mencionada como una de las organizaciones que hizo contribuciones más sustantivas a la lista de los 25 errores.
-¿Por qué el código seguro no es aún una realidad?
-El “código seguro” es una quimera, una abstracción formal que no existe en la realidad. Es común pero, en mi opinión, un tanto ingenuo pensar que una serie de artefactos intangibles, por lo general bastante complejos (software) creados por seres humanos -que son imperfectos y falibles- puedan llegar a ser lo suficientemente confiables como para que alguien garantice que con ellos sólo se puede hacer lo que sus “creadores” idearon y absolutamente nada más.
Una vez que se deja de lado la definición taxativa de seguridad absoluta y se la relativiza con las preguntas “¿código seguro para qué?” y “¿cuán seguro?”, la respuesta cambia y es más sencilla.
Hoy en día existen sistemas suficientemente seguros para muchas cosas, pero la mayoría del software no es suficientemente seguro para lo que se espera de él. Creo que las expectativas son demasiado grandes pero que los esfuerzos necesarios por satisfacerlas, incluso las más modestas, siempre son subestimados o ignorados.
-¿Las empresas desarrolladoras de software están preocupadas para que el código que escriben sea más seguro?
-Sólo lo están en la medida que esa preocupación sea funcional a su negocio. Es una preocupación importante para las de mayor relevancia a nivel mundial, ya que son las que tienen más por perder si su código no sólo resulta ser inseguro, sino que además esa inseguridad puede ser explotada con consecuencias negativas para sus clientes.
Lamentablemente, la mayoría de las empresas desarrolladoras de software que hoy se preocupan por la seguridad de su código llegaron a ese estadio de forma reactiva, y como consecuencia de haber pasado por alguna serie de incidentes negativos con la seguridad de su software.
Pasar por un proceso como el que describo para empezar a preocuparse por la seguridad del software y empezar a hacer algo al respecto es innecesario y generalmente bastante costoso.
Para muchas pequeñas y medianas empresas que desarrollan software o, en general, tecnologías de información, y que pueden ser más flexibles y dinámicas que las grandes productoras de software, un tratamiento más proactivo o preventivo del problema puede resultar más efectivo y menos costoso.
En todos los casos, a la larga, creo que es siempre mejor resolver las fallas y defectos del software en el estadio más temprano posible de su ciclo de desarrollo. Para las empresas desarrolladoras de software comercial decidir cómo, cuándo y de qué manera hacerlo es una decisión de negocios y no técnica; los clientes (usuario) del software en cuestión pueden tener gran influencia en esa decisión.
-¿Qué medidas están tomando en ese sentido?
-Por lo general, cuando hay medidas concretas, ellas conforman una colección de actividades y prácticas inconexas entre sí: actividades genéricas y esporádicas de capacitación en “programación segura”, utilización de herramientas que automatizan la identificación y búsqueda de defectos, implantación de procesos y estándares de ingeniería de software reconocidos por la industria pero no necesariamente adecuados para el propósito en cuestión, contratación de servicios especializados de consultoría y/o asesoramiento en la materia, entre otras.
Todas estas actividades serán útiles en la medida en que respondan a una estrategia más general para la seguridad del código que las englobe y a un análisis racional de los riesgos, costos y el retorno de la inversión para implementarlas. Ese nivel de sofisticación para determinar qué hacer al respecto de la seguridad de los desarrollos es virtualmente inexistente en la industria de software de la Argentina y muy poco frecuente en la de cualquier otro lugar.
-¿Se debe replantear por completo la forma en que se escribe el código?
-No. Los cambios revolucionarios en la forma en que se escribe código, las herramientas o los procesos que se utilizan no garantizan que los resultados sean mejores, aunque posiblemente sí que sean distintos. Creo más bien que hay que dedicarle más tiempo, dinero y esfuerzo a buscar un mejoramiento constante en la calidad del software (seguridad incluida) y tener la paciencia, inteligencia y constancia para hacer que ese proceso resulte eficiente y tenga un sentido práctico claro en el ámbito específico del grupo o empresa que lo implementa.
Sunday, November 9, 2008
El 40% de los empleados envía correos a direcciones erróneas
Una encuesta sobre el uso de Internet en empresas de América latina revela nuevos usos y hábitos de navegación de los trabajadores
La empresa de seguridad informática Websense difundió los resultados de su encuesta WebWork 2008 elaborada en Brasil, Centro América, Colombia, Chile, México y Perú sobre el uso que los empleados hacen de Internet cuando están en su puesto de trabajo y de cómo sus hábitos de navegación influyen en la seguridad de la empresa.
El estudio refleja por un lado el alto índice de empleados que utilizan su computadora para navegar por páginas que no están relacionadas con su actividad laboral en horas de trabajo (un 95% de los empleados) y por otro, la preocupación de los miembros del departamento de tecnología de la información (TI) sobre el tipo de páginas que visitan los empleados lo cual los deja expuestos a amenazas externas.
La actividad que más temor despierta, según Websense, entre los miembros del departamento de TI y que se ha incrementado respecto a los datos del 2007 es el hecho de poder enviar un e-mail a una dirección equivocada.
Si el año anterior la cifra se situaba en un 15%, la nueva encuesta revela que este año, un 40% de trabajadores admitió haber mandado un correo electrónico a una dirección equivocada. "Esto corrobora otro ambiente de riesgo de negocio corporativo: la fuga de información interna confidencial", señaló Websense.
Un 93% de los directores de TI afirmaron estar enterados del uso que los empleados hacen de las computadoras que son propiedad de la empresa.
Según la encuesta, el 95% de los gerentes de TI están preocupados por el comportamiento que tienen sus empleados cuando acceden a Internet, mientras que un 75% de los propios empleados admitieron haber efectuado alguna operación o visitado alguna página de riesgo no relacionada con el ámbito de su profesión.
Por otro lado, un 49% de gerentes de grado medio admitieron que pasaban más de 50 minutos diarios revisando páginas que no tienen relación con su actividad profesional, mientras que los gerentes de TI consideran que los que realizan este tipo de hábitos son un 66%.
Las páginas más consultadas por el empleado en la oficina y que no tienen relación con su actividad laboral son banca y finanzas (un 77%), noticias, páginas gubernamentales y correo personal (un 75%).
El estudio concluye que las frustraciones más significativas de los gerentes del departamento de TI de grandes compañías de América latina son: una mala conducta del empleado en cuanto al uso que hace de Internet: (un 57%), mantenimiento del equipo informático de la compañía existente pero soluciones de seguridad pobres (un 55%) y restricciones de presupuesto para el departamento (un 52%).
Detalles de los resultados
- Tiempo de conexión: Un 95% de los empleados de compañías grandes de América Latina pasan parte de su tiempo de trabajo navegando por Internet por razones personales. Un 49% de los gerentes medios admiten que pasan más de 50 minutos diarios navegando por páginas que no están relacionadas con su actividad laboral.
- Actividades en línea no deseables: El 95% de los gerentes del departamento de TI están preocupados sobre el comportamiento en línea de los empleados, y más del 75% de los empleados admitieron haber hecho alguna actividad de riesgo para la información contenida en la computadora. El uso de la mensajería instantánea es otra de las preocupaciones de los responsables del departamento de TI ya que un 62% de los empleados lo usa en horas de trabajo, aunque un 76% dice usarlo por motivos laborales. Otro punto de atención es el uso de las conexiones inalámbricas con las computadoras que son propiedad de la empresa cuando se viaja o se trabaja de forma remota, sobre lo que un 36% de empleados han admitido utilizar.
- Visita a webs personales: En general, más de un 98 % de los empleados han accedido a páginas no relacionadas con su actividad laboral durante horas de trabajo y el 64% tienen el hábito de visitar hasta 5 páginas diferentes. Las páginas más consultadas por el empleado en la oficina y que no tienen relación con su actividad laboral son: banca y finanzas (77%), noticias, páginas gubernamentales y correo personal (un 75%).
- Percepción de la seguridad y la protección: El 99% de los gerentes de TI tienen confianza en que sus compañías están protegidas de alguna forma contra las amenazas de Internet, aunque sólo un 4% cree que la compañía está totalmente protegida. El grupo de trabajadores que creen que su compañía no está completamente protegida, creció del 18% en el 2007 al 27% en el 2008. El 97% de las grandes compañías en América Latina tienen por lo menos un tipo específico de programa de seguridad o un antivirus, siendo las soluciones de filtraje de Internet, las más comunes para utilizar (un 86%).
- Trabajos en riesgo y la seguridad en Internet: Casi todos los gerentes de TI (un 93%) y los empleados cuestionados (un 95%) creen que realizar actividades de riesgo en Internet supondría la pérdida de su trabajo. Los empleados creen que la acción más arriesgada es filtrar información confidencial de la compañía, una cifra que pasó del 40% en el 2007 al 90% en el 2008, seguido de páginas de contenido adulto, las cuales se incrementaron del 55% al 80% en un año.
La principal preocupación de los gerentes de TI es el filtraje de información confidencial por parte de los empleados (en un 82%), seguido de la introducción de virus infecciosos que pueden afectar al proceso del negocio (un 71%). La mayoría de las compañías en la región, un 98%, tienen una política del uso de Internet, de las que un 82% controlan dicho acceso a través de un programa de filtraje. - Otras preocupaciones de seguridad: Aunque un 73% de los empleados afirman que se sienten seguros con el uso de su PC en el trabajo, un 36% creen que es más seguro realizar transacciones en línea a través de su PC en casa. Según los gerentes de TI, un 72% de las compañías latinoamericanas grandes han tenido algunas de sus computadoras infectadas por algún tipo de Spyware en alguna ocasión. Mientras el 57% de los empleados creen que el método más común usado por los “hackers” para infectar computadoras es a través del e-mail, sólo un 21% saben que es realmente a través de la web.
Metodología de la encuesta
La encuesta fue encargada por Websense y detalla los hábitos y usos que hacen de Internet los empleados durante su horario laboral así como el estado de la seguridad informática en grandes corporaciones en América Latina.
La empresa encargada de la encuesta, DMS, realizó un total de 600 entrevistas por teléfono en la región, en compañías de todo tipo de sectores con más de 250 empleados. La muestra fue desarrollada de igual forma entre los gerentes de TI y los usuarios con un nivel de gerencia medio, que confirmaron tener acceso a Internet en el trabajo.
La información en este reporte fue desarrollada por recopilación de datos vía telefónica a través del equipo de DMS br entre los meses de mayo y julio de 2008.
DMS ha incluido alguna información obtenida en encuestas del año 2006 y 2007, de acuerdo con el material proporcionado por Websense, en el caso necesario.
Monday, September 15, 2008
Descubren una falla de seguridad clave en la red
Dos expertos afirman que se trata del mayor problema descubierto hasta el momento. Se trata de una "puerta trasera" creada para que los gobiernos y agencias de inteligencia puedan intervenir comunicaciones
La investigación fue revelada por Wired, publicación que asegura que se trata del mayor fallo detectado jamás en la web. Incluso, los expertos consultados dicen que es un problema más grave que el hecho público en julio por Dan Kaminsky, quien dio a conocer un fallo en el sistema de DNS de asignación de direcciones. Este permitía a cualquier ciberdelincuente redireccionar el tráfico de una web a otra falsa aunque se hubiese tecleado la dirección correcta.
Los expertos Anton Kapela de 5NinesData y Alex Pilosov de Pilosof explicaron durante la conferencia de seguridad DefCon que el problema está en una “puerta trasera” creada en el inicio de la web para que diversas autoridades (gobiernos y agencias de inteligencia) puedan intervenir las comunicaciones cuando lo deseen.
El problema afecta al protocolo BGP (Border Gateway Protocol), que puede permitir la intercepción y seguimiento de las transmisiones de datos de cualquier web, siempre que los datos no estuviesen encriptados, e incluso modificarlos antes de que lleguen a su destino.
Los expertos consideran que cualquier persona con un router BGP, que suele ser un dispositivo común en los proveedores de internet o grandes empresas, puede interceptar los datos que se envíen a determinada dirección IP o incluso a un grupo de direcciones.
Es decir que no se trata de un error o vulnerabilidad sino que es un mecanismo preestablecido para el funcionamiento del mencionado protocolo.
Cómo funciona el BGP
El diario español El País menciona que el funcionamiento del BGP se basa en la confianza. “Por ejemplo, para que un mensaje de correo electrónico de un cliente de Sprint en California llegue al buzón de un usuario de Telefónica en España, sus redes se comunican con un router BGP que indican cuál es el "camino" más corto para que los datos lleguen a su destino”, dice la publicación.
Así, BGP entiende que el router elige la mejor ruta para enviar los datos y que no va a engañarlo. Ese es el punto que más temor causa debido a que esa premisa es manipulable.
¿La solución? Kapela y Pilosov explicaron que las operadoras deberían utilizar filtros para distinguir la manipulación de datos, algo bastante duro de afrontar entre los proveedores de acceso a la web.
Los expertos Anton Kapela de 5NinesData y Alex Pilosov de Pilosof explicaron durante la conferencia de seguridad DefCon que el problema está en una “puerta trasera” creada en el inicio de la web para que diversas autoridades (gobiernos y agencias de inteligencia) puedan intervenir las comunicaciones cuando lo deseen.
El problema afecta al protocolo BGP (Border Gateway Protocol), que puede permitir la intercepción y seguimiento de las transmisiones de datos de cualquier web, siempre que los datos no estuviesen encriptados, e incluso modificarlos antes de que lleguen a su destino.
Los expertos consideran que cualquier persona con un router BGP, que suele ser un dispositivo común en los proveedores de internet o grandes empresas, puede interceptar los datos que se envíen a determinada dirección IP o incluso a un grupo de direcciones.
Es decir que no se trata de un error o vulnerabilidad sino que es un mecanismo preestablecido para el funcionamiento del mencionado protocolo.
Cómo funciona el BGP
El diario español El País menciona que el funcionamiento del BGP se basa en la confianza. “Por ejemplo, para que un mensaje de correo electrónico de un cliente de Sprint en California llegue al buzón de un usuario de Telefónica en España, sus redes se comunican con un router BGP que indican cuál es el "camino" más corto para que los datos lleguen a su destino”, dice la publicación.
Así, BGP entiende que el router elige la mejor ruta para enviar los datos y que no va a engañarlo. Ese es el punto que más temor causa debido a que esa premisa es manipulable.
¿La solución? Kapela y Pilosov explicaron que las operadoras deberían utilizar filtros para distinguir la manipulación de datos, algo bastante duro de afrontar entre los proveedores de acceso a la web.
Subscribe to:
Posts (Atom)
Posts
