• Tweet

Muchos programadores no entienden como los errores en el código provocan vulnerabilidades

Proveedores de software necesitan crear programas educativos en seguridad para sus programadores en el orden en que liberan sus productos para sus consumidores, menciona hoy un experto en seguridad de Oracle.

Desarrollo en la educación y la presión de los compradores fuertes como pudiera ser el gobierno de los Estados Unidos son dos ingredientes claves para mejorar la seguridad en el software, menciona Adam Jacobs, que es jefe administrador principal del producto Oracle durante una presentacion en la Conferencia "Infragrand National" celebrada en Washigton.

Durante el evento, el cual fue enfocado a la seguridad cibernetica y la seguridad física, Jacobs y otros expertos en el tema de seguridad, dieron varias razones por quejas comerciales, en donde se esta plagado de hoyos en seguridad. Jacobs parece estar de acuerdo con David Aucsmith, Oficial en jefe de la unidad de tecnologías y negocios, quien mencionó en el evento que los vendedores a menudo ignoran la funcionalidad en seguridad en el orden de hacer sus productos más fáciles de usar, lo más reciente en los últimos años.

Aucsmith utilizo el ejemplo del sistema operativo Windows 95, el cual no fue diseñado con "nada de seguridad", si no que fue diseño pensado y enfocado en lo que los usuarios querian, un sistema facil de usar, menciono."Podriamos obtener puntos dados por los analistas y la prensa (software) si fue duro de configurar", agrego.

Jacobs agrego que algun sofware fue diseñado pobremente, pero muchas vulnerabilidades de seguridad ahora provienen de errores en la codificación -- a los cuales le llamo errores de implemetacion -- el software no fue diseñado para ser seguro , menciona. Mientras muchos proveedores de software comienzan a enfocarce en un diseño mas seguro de software en años recientes, muchos errores de seguridad aun existen. agrego.

El número de correcciones viene cada mes en el que no se esta creciendo; menciona Jacobs, "Su diseño en el papel puede ser brillante... uds. le habra pagado al desarrollador, y eso significa que no pasa nada hasta cuando el diseño es implementado.

El problema es que muchos desarrolladores de software no entienden los errores que causan los Buffer OverFlows o los problemas de injección de código SQL, menciona Jacobs. En el pasado, Jacobs ha encaminado a los desarrolladores que entiendan que el problema de la injección de SQL es una vulnerabilidad común para las bases de datos y que afecta a parte de la línea de productos de Oracle. Parte de este problema es que muchas universidades enseñan teoría de la computación sin enseñar la práctica en la programación. Menciona Jacobs.

Añadiendo a estos problemas, los desarrolladores a menudo cobran por descubrir líneas muertas, pero no por escribir código seguro, agrega Jacobs. Las empresas proveedoras de software deben de encontrar una mejor forma o camino para limpiar su código por medio de gratificaciones, mejorando o dando bonos a sus programadores quienes entreguen condigo a tiempo. "Pero esto no es bueno, después de que el programador consigue su bono, ya que seis meses después, 15 errores son descubiertos".

Para combatir los errores en la codificacion, Oracle ha creado su propio programa de entrenamiento en seguridad; en un día de curso, se interroga a todos sus empleados involucrados con el programa. Por ello, Oracle recibió muchas quejas por parte de sus empleados, esto fue cuando el primer programa comenzó, pero desde entonces la reacción ha sido positiva, ya que algunos desarrolladores regresan a sus proyectos durante el descanso de sus cursos, todo para corregir errores que acaban de aprender que no deben de cometer. Menciona Jacobs.

"No Podemos esperar que muchos desarrolladores puedan ser expertos en seguridad, menciona, "Lo que podemos hacer es que cada desarrollador entienda los fundamentos de seguridad".

Por otra parte, es difícil para los proveedores de software el hacer a un programador responsable por sus propios errores en el código, menciona Jacobs. En el pasado, un proveedor identificaba a un programador que estuviera relacionado con una vulnerabilidad de overflow al que pudiera hacer responsable. "No se sabía del problema",menciona.

Pero el entrenamiento de Oracle, agrega un nivel de responsabilidad personal, menciona, "Tú no puedes regresar a la empresa y decir que no sabías de problemas de injección de código SQL", menciona, si no que dirían : "lo sé, tome mi clase".

Para complementar los programas educativos, hay númerosas herramientas automatizadas para verificar los errores comúnes contra el código, pero las herramientas no son perfectas y no pueden sustituir o reemplazar a la educación en seguridad de los desarrolladores.

Jacobs, tambien menciona que los grandes compradores de tecnología deben de insistir en aplicaciones más seguras. En algunas ocasiones, los compradores ofrecen precios sacrificando la seguridad, de cualquier forma.

Por último, Jacobs menciona que Oracle o cualquier otra compañía seguramente van a invertir dinero y tiempo para completar un producto... que podría ser más seguro y si tú vas con otro proveedor de software y este te dice que tú producto estaría en menos tiempo y además sería más barato.