La Comunidad DragonJAR » Desarrollo

TOP 25 errores más peligrosos en el desarrollo de software

DragoN — Fri, 08 Jul 2011 01:09:04 +0000

CWE (Common Weakness Enumeration) y la SANS han publicado un estudio donde enumeran los 25 errores de programación mas peligrosos en el desarrollo de software para el año 2011, en la lista encontraremos errores que mucha gente toma como inofensivos pero que realmente abren una brecha de seguridad en sus aplicaciones.

El TOP 25 errores más peligrosos en el software es:

No filtrar propiamente las sentencias SQL (Inyección SQL) (Puntaje 93.8) (ID CWE-89)
No filtrar las llamadas al sistema de forma adecuada (Inyección en comandos del SO) (Puntaje 83.3) (ID CWE-78)
No chequear el tamaño de la memoria reservada a la hora de copiar datos (desbordamiento de memoria) (Puntaje 79.0) (ID CWE-120)
No detectar la inyección de scripting (XSS) (Puntaje 77.7) (ID CWE-79)
No autentificar en llamada a funciones críticas (Puntaje 76.9) (ID CWE-306)
No autorización (Puntaje 76.8) (ID CWE-862)
Usar credenciales estáticos en el código (Puntaje 75.0) (ID CWE-798)
No cifrado de datos sensibles (Puntaje 75.0) (ID CWE-311)
No restringir la subida de ficheros a ciertos formatos (Puntaje 74.0) (ID CWE-434)
Confiar en una fuente de datos no confiable a la hora de tomar una decisión de seguridad (Puntaje 73.8) (ID CWE-807)
Ejecución con privilegios innecesarios (Puntaje 73.1) (ID CWE-250)
Cross-Site Request Forgery (CSRF) (Puntaje 70.1) (ID CWE-352)
No limitar el acceso al sistema de ficheros a directorios restringidos (Puntaje 69.3) (ID CWE-22)
Descarga de código sin chequear la integridad del mismo (Puntaje 68.5) (ID CWE-494)
Autorización incorrecta (Puntaje 67.8) (ID CWE-863)
Permitir la integración de funcionalidades de fuentes no confiables (Puntaje 66.0) (ID CWE-829)
Asignación de permisos incorrecta a recursos críticos (Puntaje 65.5) (ID CWE-732)
Uso de funciones potencialmente peligrosas (Puntaje 64.6) (ID CWE-676)
User un algoritmo de cifrado que ha sido comprometido o roto (Puntaje 64.1) (ID CWE-327)
Cálculo incorrecto del tamaño de memoria (Puntaje 62.4) (ID CWE-131)
No restricción a un número de intentos fallidos de acceso (Puntaje 61.5) (ID CWE-307)
Redirección URL a sitios no confiables (‘Open Redirect’) (Puntaje 61.1) (ID CWE-601)
Formato de cadena no controlado (Puntaje 61.0) (ID CWE-134)
Desbordamiento de enterios (Puntaje 60.3) (ID CWE-190)
Aplicar una función hash sin usar la sal (Puntaje 59.9) (ID CWE-759)

Si cometes por lo menos uno de estos errores en el desarrollo de tus aplicaciones, no dudes en hacer click en su respectivo ID, donde encontraras toda la información necesaria para entender mejor el problema y corregirlo.

Puedes descargar todo el informe en PDF o verla online en la pagina oficial de la Common Weakness Enumeration.

También puede interesarte...

Seguridad Informática, un reto para la Ingeniería del Software o una necesidad

DragoN — Tue, 12 Oct 2010 18:11:32 +0000

Para este primer artículo quise tocar un tema que me llama mucho la atención y que es un gran reto para los Ingenieros de software y profesionales relacionados en este campo en cuál es la seguridad. Para esto quiero enfatizarme en el ciclo de vida del software el cual es utilizado por los ingenieros de software, arquitectos entre otros profesionales involucrados en la rama, pero que tan efectivo es la metodología usada por estos profesionales en los desarrollos de software que realizan, esto lo menciono porque la mayoría de profesionales en el campo del software nunca piensan en el tema de la seguridad sino en cumplir con su meta u objetivo a alcanzar, pero ¿que tan valido es este punto de vista? en esta época donde la seguridad a tomado mucha importancia para las empresas y personas consientes que saben que la información que manejan es de mayor importancia y no puede ser mostrada divulgada a todo el mundo. Con esto quiero recalcar que la seguridad es importante aplicarla al ciclo de vida del software para con el fin de tener calidad en los productos desarrollados y cumplir con los tres objetivos de la seguridad que son la integridad, confidencialidad y disponibilidad ya que en esta época la tecnología va creciendo donde y encontramos que la información que necesitan las personas ya es accesible desde internet, con esto quiero enfatizar que la seguridad debe ser aplicada en cada fase del ciclo de vida del software para no tener dificultades más adelante en el diseño, arquitectura, pruebas entre otros.

Después de tocar este tema de mayor importancia por los profesionales de seguridad hay dos preguntas que siempre les realizo a los arquitectos y gerentes de proyectos.

(Arquitecto) ¿En qué fase del ciclo de vida del software contemplan la seguridad?
(Gerentes de Proyectos) ¿En los cronogramas donde se estima el tiempo para pruebas de seguridad?

Para la primera pregunta la mayoría de arquitectos responde las pruebas son realizadas al final del desarrollo ya que en ese momento podemos detectar los bug y corregirlos, pues lastimosamente para estos arquitectos la respuesta es incorrecta ya que las pruebas de seguridad deben estar en cada fase del ciclo de vida del software ya que entre más temprano encontremos problemas de seguridad más rápido podemos abordarlas y tendremos menos costo.

La segunda pregunta es una de mis favoritas porque la mayoría de gerentes de proyectos se queda callados como si les estuviera haciendo una pregunta para medirlos que tanto saben, pero no es así, esta pregunta la realizo porque en ningún cronograma que allá visto en mi vida como ingeniero de software exponen un tema de pruebas de seguridad, ¿pero a qué se debe esto? Una de las razones es la falta de conciencia y la metodología de enseñanza que aplican las universidades donde nunca abordan este tema y que es de mayor importancia para todo el mundo no solo para los profesionales involucrados con las NTIC .

Después de haber Mencionado estos aspectos y en mi poca experiencia profesional como ingeniero de software recalco una de las mejores guías o estándares que me he encontrado en temas de seguridad y que debería utilizar todos los ingenieros de software y personas involucrados en estas ramas el cual es OWASP donde el punto vital de ellos es demostrar que la seguridad de la información y el software puede operar junto para poder tener un producto de software que tengan los más grandes estándares de calidad esto se obtiene realizando las pruebas de seguridad que se le debería realizar a todos nuestros productos donde esté involucrado el software.

Buenos para los que no conocen que es owasp le dare una breve introduccion sacada de internet la cual dice que OWASP es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro. .

La Fundación OWASP es un organismo sin ánimo de lucro que apoya y gestiona los proyectos e infraestructura de OWASP. La comunidad OWASP está formada por empresas, organizaciones educativas y particulares de todo mundo. Juntos constituyen una comunidad de seguridad informática que trabaja para crear artículos, metodologías, documentación, herramientas y tecnologías que se liberan y pueden ser usadas gratuitamente por cualquiera.
Por último y unos de mis favoritos es el Top 10 del 2010 que saca OWASP encontramos:

Inyecciones: Vulnerabilidades de inyección de código, desde SQL hasta comandos del sistema.
Cross-site Scripting: Una de las vulnerabilidades más extendidas y a la par subestimada.
Gestión defectuosa de sesiones y autenticación: Comprende los errores y fallos en las funciones de gestión de sesiones y autenticación.
Referencias directas a objetos inseguras: Errores al exponer partes privadas o internas de una aplicación sin control y accesibles públicamente.
Cross-site Request Forgery.: Vulnerabilidad consistente en el desencadenamiento de acciones legitimas por parte un usuario autenticado, de manera inadvertida por este último y bajo el control de un atacante.
Ausencia de, o mala, configuración de seguridad.: Más que un error en el código se trata de la falta o mala configuración de seguridad de todo el conjunto de elementos que comprende el despliegue de una aplicación web, desde la misma aplicación hasta la configuración del sistema operativo o el servidor web.
Almacenamiento con cifrado inseguro: Referida a la ausencia o mal uso de los sistemas de cifrado en relación a los datos almacenados o manejados por la aplicación.
Falta de restricciones en accesos por URL: Falta de validación en el procesamiento de URLs que podrían ser usadas para invocar recursos sin los derechos apropiados o páginas ocultas.
Protección insuficiente de la capa de transporte: Relacionada con A7 pero orientada a la protección del tráfico de red. Elección de un cifrado débil o mala gestión de certificados.
Datos de redirecciones y destinos no validados: Errores en el tratamiento de redirecciones y uso de datos no confiables como destino.

Bueno para finalizar quiero retar a los lectores que utilicen las métricas provistas por OWASP y categoricen en cuál de las 10 posiciones de vulnerabilidades se encuentran, y si su respuesta es ninguna le aconsejo que realice las pruebas con más detalle ya que los que estamos en el mundo de la seguridad y el software sabemos que un producto no es 100% seguro, como lo hacemos ver.

Pablo Andrés Garzón
Estudiante de Maestría en Dirección Estratégica en ingeniería de Software
Colombia

También puede interesarte...

DLL Hijacking con Metasploit

DragoN — Sun, 29 Aug 2010 20:33:26 +0000

Aunque no es algo nuevo, últimamente se habla mucho sobre DLL Hijacking o suplantación de librerías DLL, gracias al reciente fallo de los sistemas Microsoft Windows que permite ejecutar código malicioso, colocando la dll a suplantar en la misma carpeta del programa ejecutable, descubierto hace poco por HD Moore y explicado a fondo en su articuloExploiting DLL Hijacking Flaws, también ha publicado un kit, para buscar aplicaciones que puedan ser vulnerables a este tipo de ataque DLLHijaAuditKit.

Precisamente en esta ocasión les traigo un vídeo de Offensive Security, donde nos enseñan como aprovechar este fallo en Microsoft Office 2007 utilizando el Metasploit Framework.

Microsoft ha publicado una solución temporal al fallo (catalogado como critico), pero la solución es que los desarrolladores empiecen a utilizar metodologías de desarrollo seguras, para evitar que sus aplicaciones sean vulnerables.

También puede interesarte...

BioHacking – ¿Una nueva era de desarrollo? o ¿de terror?

Jorge Alberto Cuervo — Tue, 13 Jul 2010 08:11:58 +0000

Se ha puesto de moda los nuevos blogs y sitios especializados de tecnología sobre la nueva tendencia del desarrollo tecnológico en mano de jóvenes o personas inquietas que alejados de la inalcanzable tecnología que ostentan grandes laboratorios biológicos, buscan liberar su creatividad e ingenio en un biolaboratorio improvisado en el garaje o sótano de su casa. Su objetivo dista del hacking tradicional a software comercial o la búsqueda incesante de fallas de vulnerabilidad en los sistemas informáticos de grandes o pequeñas corporaciones. Hoy sus esfuerzos se encaminan a la experimentación biológica, a la modificación de un código que no se basa en los tradicionales unos y ceros del sistema binario, sino en una serie de cadenas basadas en cuatro letras del alfabeto, A (adedina), T (timina), C (citosina), G (guanina), el lenguaje del ADN.

Según vemos su descripción en wikipedia, en el ADN, cada vagón es un nucleótido, y cada nucleótido, a su vez, está formado por un azúcar (la desoxirribosa), una base nitrogenada (que puede ser adenina→A, timina→T, citosina→C o guanina→G) y un grupo fosfato que actúa como enganche de cada vagón con el siguiente. Lo que distingue a un vagón (nucleótido) de otro es, entonces, la base nitrogenada, y por ello la secuencia del ADN se especifica nombrando sólo la secuencia de sus bases. La disposición secuencial de estas cuatro bases a lo largo de la cadena (el ordenamiento de los cuatro tipos de vagones a lo largo de todo el tren) es la que codifica la información genética: por ejemplo, una secuencia de ADN puede ser ATGCTAGATCGC.. y puede ser traducida como el color de los ojos, incluso, su forma.

Nuevas y mejoradas técnicas de biohacking pululan en la red, un ejemplo de ello es la revista Biotech Hobbist, que publica técnicas para la extracción del ADN, Taller de Arte y Biología EXTRACCIÓN Y AISLAMIENTO DE ADN HíBRIDO: Taller para Aficionados hacia una Exploración de lo Innombrable.
Y en DNAhack.com se muestra cómo es posible con bajo presupuesto, el contar con los elementos mínimos necesarios para realizar este tipo de experimentaciones.

En cuanto al software, puede ser descargado de la siguiente dirección http://www.dnabaser.com/download/download.html, Actualmente es fácil obtener una copia del genoma de una gran variedad de especies, animales o vegetales de internet. Mas exactamente en esta dirección http://genome.ucsc.edu/ Y ya tenemos nuestro laboratorio de bajo presupuesto para el biohacking.

He leído muchos blogs donde se habla de este tipo de investigaciones como algo de gran crédito y valor para la investigación científica, y es innegable la pasión que esto desarrolla pues se entretejen una serie de emociones y sentimientos que van ligados a nuestra rebeldía y el querer arrebatar de las manos de las grandes corporaciones la exclusividad que se ha tenido para este tipo de investigaciones, es algo innato en nosotros, y puede ser aquello mismo que permitió el desarrollo del software libre, y aventajar en diseño y performance al software comercial.

Pero, y sus consecuencias?, un laboratorio de investigación biológica, que se enfoque en la biotecnología, invierte cientos de millones de dólares que son destinados a:

Diseño de laboratorios seguros. Esto es de vital importancia, ningún biólogo molecular o científico experimentado puede saber a ciencia cierta cuál va a ser el resultado de sus experimentos, en el mejor de los casos, supone, en base a su experiencia y conocimientos avanzados, que los resultados podrían ser, esta u otra situación, pero! Esto se realiza en ambientes controlados!! Con sistema de aire purificado y micro filtrado, con un alto nivel de contención por si “algo” trata de escaparse o sale mal en la investigación.
Una nomina de lujo, microbiólogos, PhD, y un ejército de expertos experimentados en el área de investigación.

Y aun así, el riesgo es alto.

Es fácil imaginar lo que podría suceder en una serie de experimentos biológicos llevados a cabo en un garaje, un sótano, donde los errores, pueden viajar por el aire a la olla de la cocina, viajar por las fosas nasales del investigador, o si es experimentación con plantas, un poco de polen surcando los alrededores y depositándose en las patas de insectos o en las flores de plantas vecinas.

Que se destruirían por su incompatibilidad?, es una opción, pero quien nos lo asegura?, sabían los esposos Curie que sus investigaciones los llevaría a la muerte? (desconocían los efectos de la radiación). Craig Venter en el año 2003 logró crear artificialmente en menos de quince días un virus que destruía bacterias, y lo más importante creó su virus a partir de fragmentos de ADN disponibles en el mercado. Ahora imaginemos un intrépido investigador creando accidentalmente en el garaje de su casa un virus que reúna las propiedades del VIH, la gripe y el ebola en un solo agente patógeno. Vivirá lo suficiente para contarlo?.

Dejanos tu opinion como comentarios para iniciar el debate.

Es recomendable que vean la BioHacking – Conceptos Básicos de Martín Rubio.

Escrito por Jorge Alberto Cuervo Director de SITEC Networks para La Comunidad DragonJAR

También puede interesarte...

Como ganar dinero con Software Libre

DragoN — Sun, 04 Jul 2010 03:36:25 +0000

Desde hace años, el software libre para muchos estudiantes de ingeniería sistemas es una manera de aprender y comunicar, una pasión y una diversión. Una diversión que requiere mucho tiempo. Pasada la graduación, frente a la necesidad de ganarse la vida, muchos abandonan al desarrollo del software libre para ir a trabajar al “lado oscuro” del software privado de origen extranjero.

En la Campus Party Colombia 2010 Patrick Aljord nos mostró como se puede ganar la vida sin dejar a lado sus ideales de libertad y su pasión para el software libre. Se mostrará como se puede ganar dinero a través del uso y desarrollo de software libre, más precisamente el desarrollo de aplicaciones web. Veremos como se puede cumplir usando herramientas libres, simples, poderosas y económicamente accesibles para todos. Se explicará como se puede lograr siendo empleado y también siendo emprendedor en un mundo en el cual la web se hace más y más insustituible y necesaria.

Les dejo el vídeo de la presentación:

Y las diapositivas de la charla:

También puede interesarte...

Curso de Python dictado por Google

DragoN — Tue, 11 May 2010 06:01:57 +0000

Debido a que el curso sobre desarrollo seguro de aplicaciones web dictado por Google, fué tan bien recibido, me puse en la tarea de buscar mas contenidos similares y encontré un excelente curso de 2 días para aprender Python dictado por Google a sus desarrolladores.

El curso de Python dictado por Google es totalmente gratuito y se enfocada en personas con un poco de experiencia en programación que quieran aprender Python. Las clase incluye materiales escritos, vídeos de conferencias, y un montón de ejercicios para practicar el código Python. Estos materiales se utilizan en Google para introducir Python a personas que acaban de experimentar un poco de programación. Los primeros ejercicios de trabajo en los conceptos básicos de Python como cadenas y listas, hasta llegar a los ejercicios posteriores que se trata de programas completos archivos de texto, los procesos y las conexiones http. La clase está dirigida para personas que tienen un poco de experiencia en programación en algún lenguaje, lo suficiente para saber lo que es una “variable” o un “if” . Más allá de eso, no es necesario ser un programador experto para usar este material.

1.1 Introducción las cadenas

1.2 Listas de y ordenamiento

1.3 Manejo de archivos

2.1 Expresiones Regulares

2.2 Utilidades

2.3 Utilidades (urllib)

2.4 Conclusiones

El material mencionado en los videos, lo puedes encontrar en la pagina oficial del Curso de Python dictado por Google.

Tambien te puede interesar:
Documentación de Python en Español
Aprender Python (excelente sitio para aprender python en español)

También puede interesarte...

Clase Virtual Gratuita sobre Desarrollo Web con PHP y Ajax

DragoN — Thu, 15 Oct 2009 20:28:21 +0000

La Fundación UNE realizara hoy jueves 15 de octubre a las 6PM hora colombiana la primera clase virtual gratuita del curso de desarrollo de sitios Web con PHP Y AJAX, La Comunidad DragonJAR te invita a participar desde la comodidad de tu casa u oficina, a esta oportunidad de capacitarte en PHP y AJAX totalmente gratis, simplemente debes contar con computador, conexión a internet, parlantes y micrófono.

Para participar en esta charla solo es necesario seguir estos simples pasos:

Registrarse en el sitio www.fundacionune.com
Descargar este manual donde encontrara las indicaciones de cómo conectarse y como participar (no te preocupes por que este realizado desde plataformas windows y se hable sobre activex, la aplicacion webex de cisco, sobra la cual se dictara la charla, tiene soporte para Windows, Mac, Linux, Solaris, HP-UX y AIX OS)
Asistir a las 6PM hora colombiana a la url que recibirás por correo.

Esta es una introducción simple a los conceptos de PHP y AJAX, pero tendrás tutores en linea para resolver tus dudas, después de esta charla se realizara un curso pago sobre el tema.

Actualización: El curso gratuito básico ya se llevó a cabo, el jueves 15 de octubre a las 6PM, si no pudiste verlo o quieres ampliar la informacion expuesta te dejo mas documentación sobre el tema.

En nuestra comunidad encontraras una sección sobre el lenguaje PHP y una gran cantidad de cursos sobre el, también sobre AJAX y JavaScript.

También puede interesarte...

OLPC y Sugar en Colombia

DragoN — Thu, 09 Jul 2009 04:05:15 +0000

Hace ya más de cuatro años que la iniciativa OLPC fue lanzada al mundo en el Foro Económico Mundial, en Davos, Suiza. Desde ese entonces muchas cosas han pasado, cambios administrativos, reenfoques, despidos y surgimiento de nuevos proyectos. En este momento para OLPC, hay más de 785,000 XO-1 en manos de niños y niñas, un nuevo prototipo en desarrollo y un futuro aparentemente incierto. Sin embargo, el espíritu original de tener una plataforma de software libre para educación, lo que inicialmente hizo que gran parte de la comunidad de software libre apoyara el proyecto, sigue en pie. Buena parte de los desarrolladores, voluntarios y seguidores del proyecto OLPC están ahora participando activamente en Sugar Labs, una fundación que tiene el fin de extender Sugar, el software creado para el XO-1, de forma que esté disponible para la mayor cantidad de computadores posible.

Incluyendo, además de los XO-1, soluciones como el XO-LiveCD y SoaS (Sugar on a Stick) y el uso de Sugar como escritorio alterno en distribuciones GNU/Linux (Ubuntu, Debian, Fedora, Gentoo, etc) Sugar ha logrado extenderse en 25 idiomas diferentes, a cerca de 40 países, donde casi un millón de niños y niñas lo usan para aprender a aprender. En Colombia hay una comunidad activa que trabaja en la divulgación, desarrollo e implementación de Sugar, que además de colaborar con los pilotos de OLPC, también ha logrado comenzar un trabajo con profesores de colegios del Distrito de Bogotá para usar Sugar como complemento en sus clases.

La charla fue trasmitida en vivo por este medio, pronto la pondremos para que la vean de nuevo los que se la perdieron…

También puede interesarte...

BarCamp Medellín

Cortex — Wed, 03 Jun 2009 13:46:59 +0000

El próximo Sábado, 6 de Junio se desarrollará en la ciudad de Medellín el BarCamp, un evento que reune entusiatas cibernautas para hablar por medio de des-conferencias sobre temas relacionados con Internet; se discutirá sobre Desarrollo/Diseño Web, Software Libre, E-Marketing, Redes sociales, Seguridad Informática, y un largo etcétera.

Como siempre la Comunidad DragonJAR estará presente en el evento, tanto en la parte logística como en el área de las des-conferencias.

En la parte logística del evento me encontraré yo (Cortex) orientando a los asistentes y colaborando con la realización del mismo. Por el lado de las des-conferencias, habrán 3:

Phishing, ¿Qué es?, ¿Cómo Protegerse? y Casos con Bancos Colombianos – Por DragoN
Amenazas y Protección de Datos en las Nuevas Tecnologías – Por 4v4t4r
!Seguridad en Joomla¡ ¿Mito o Realidad? – Por Bi0virus

Habrán muchísimas más des-conferencias, menciono algunas:

Streaming Libre, Streaming para todos
Bases para iniciar un negocio por internet
OpenOffice.org 3.1: Entrenamiento en Linea y Tiempo Real
Saquémosle plata al grande (Google)
70 tecnologias de actualidad
Mírame mamá, estoy triunfando! (en Internet)
Plataformas E-learning: Nuevo paradigma en la esfera educativa
Linux en la Educación: “Socialmente Justo” “Tecnológicamente Justo” “Económicamente Viable”
El Diserrollador: la nueva especie de trabajador web
Muchas más!

El evento vá dirigido a todo tipo de personas, desde Expertos hasta el público general que sólo le gustaría conocer más sobre las tecnologías que se cuecen en la red.

Un evento de una gran magnitud, en el que todos nos congregaremos para hacer culto a la red. Sobra decir que la entrada es completamente gratuita y que todo el que quiera asistir, puede hacerlo libremente. Las des-conferencias se realizarán entre las 9:00am y 5:00pm en el Parque Explora.

¡Invitamos a todos nuestros visitantes a que se hagan presentes y podamos compartir un rato agradable hablando de tecnología!

Enlaces