SANS pondrá a prueba el compromiso de los programadores con la seguridad
Ante la creciente proliferación del cibercrimen, favorecido en parte por los fallos de programación, SANS Institute ha decidido introducir una serie de cuatro exámenes para que los desarrolladores autoevalúen su capacidad para escribir código seguro.
Los exámenes cubrirán los sistemas C/C++, Java/J2SE, Perl/PHP y .NET/ASP, según SANS. La organización, cuyos servicios incluyen formación en seguridad informática, iniciará un programa de examen piloto en Agosto, que después será extendido a nivel mundial hacia finales de 2007.
Las pruebas servirán para identificar carencias en la formación de los programadores, a los que se ofrecerá finalmente la posibilidad de conseguir el grado GIAC Secure Software Programmer Status de SANS a través del programa Global Information Assurance Certification (GIAC).
Según la compañía, muchos usuarios empresariales han expresado a SAN su preocupación ante el desconocimiento sobre la capacidad de sus programadores corporativos para desarrollar código seguro. Una preocupación que la nueva iniciativa espera disipar.
Johannes Ullrich, CTO de Internet Storm Center, servicio de SANS que monitoriza las vulnerabilidades de seguridad y el estado de “salud” de Internet, asegura que el año pasado se encontraron miles de brechas en los programas software.
Ullrich explica que los programadores suelen ser conscientes de problemas tipo buffer overflow, en los que pueden inyectarse caracteres extra dentro de la memoria de un programa para correr código no autorizado. Pero las aplicaciones Web, como las utilizadas en comercio electrónico plantean otro tipo de retos a nivel de código, especialmente si se entrelazan con bases de datos de back-end ricas con información sensible. Estas aplicaciones, según Ullrich, se enfrentan a riesgos adicionales dado que están directamente expuestas a Internet y, por tanto, abiertas a ataques online.
Los programadores a menudo “no comprenden las implicaciones de seguridad de algunas funcionalidades de determinados lenguajes de programación”, asegura. Además, es fácil caer en la negligencia para favorecer la rapidez de desarrollo y despliegue, dado que, según Ullrich, a menudo las empresas, deseosas de desplegar rápidamente nuevos servicios sobre la Web, hacen que los programadores trabajen bajo una intensa presión.
