La firma de seguridad Veracode, que se dedica a encontrar fallas en
software alrededor del mundo, reveló una inquietante verdad relacionada
con la seguridad nacional de Estados Unidos, al decir a través de Chris
Wysopal, empleado de la compañía, que dicho Gobierno es el que presenta
mayor número de agujeros en sus programas en relación al código hecho
por el sector privado.
Y es que durante los años 2010 y 2011 se revisaron 9,910
aplicaciones, utilizando un proceso que analizaba de manera automática
las posibles fallas de seguridad en el código de los elementos
inspeccionados. El resultado general de esto es que el 80% de todo lo
visto no cumple con los criterios de Veracode para ser considerado un
producto seguro.
Sin embargo, el Gobierno de Estados Unidos fue el que salió más mal
posicionado, ya que sólo el 16% de su trabajo cumple con el estándar de
seguridad Open Web Application Security Project (OWASP), mientras que el
software del sector financiero lo hace en un 24% y en el área comercial
aprueba el 28%.
Además, cuando se evaluó la vulnerabilidad a ataques por inyección
SQL para infiltrar código intruso, el 40% de las aplicaciones del
Gobierno se vio susceptible, mientras que en la industria financiera y
en la comercial sólo el 29%.
Evaluando ahora ataques del tipo Cross-site scripting para inyectar
código JavaScript en páginas web vistas por el usuario, éstos
funcionaron en el 75% de los programas del Gobierno, mientras que el
área financiera mostró un 67% de vulnerabilidad y el área financiera un
55%.
Para justificar estas alarmantes cifras, en Veracode dicen que faltan
regulaciones legales e instructivas en Estados Unidos para “obligar” a
los programadores a hacer su trabajo en forma más segura, ya que éstos
cumplen al límite con lo que se les pide para llegar a ciertos
estándares que son muy bajos, mostrándose muy poco proactivos a la hora
de mejorar su código si es que nadie se los pide o no se reglamenta.
Publicado por: Leonel Kozel
Entradas
0 Comentarios:
Publicar un comentario