ihtoa.org

Dos submarinos nucleares europeos colisionaron en mitad del Océano Atlántico. Los ministerios de Defensa británico y francés insistieron en que la seguridad nuclear no ha estado en peligro. A pesar de que ambas naves están dotados de sonares, ninguno detectó la presencia del otro posiblemente a los sistemas de camuflaje con los que están dotados, informó la experta en Defensa de la BBC, Caroline Wyatt.

Enserio, que alguien me explique como es posible un accidente así.

Hoy de pronto se me ocurrió pasar por unos sitios que pertenecen a los docentes de ITC pero me lleve una gran sorpresa al encontrar la tarea que un docente ha dejado a sus alumnos.

Click para ver mas grande

Bien, creo que esta de sobra el decir por que me causo curiosidad esta extraña tarea, pero, mas allá de lo que podemos ver en el mensaje, en donde el docente claramente ha puesto a buscar a sus alumnos un CRACK o SERIAL (no se si par su uso) justificándolo como capacidad de búsqueda, he pensado mucho en el aspecto ético que esto involucra; posiblemente para muchos de nosotros ahora sea algo tan normal el ir a google y escribir “swfmaestro + crack” para obtener nuestro objetivo y librarnos de esos 30 días/minutos o lo que sea de tiempo hábil de utilidad de un software privativo.

Pero, y que hay de las normas de alteración de un software privativo?, el docente esta invitando a sus alumnos a quebrantar estas leyes?, cuestión de capacidad de búsqueda?, como lo dije solo basta teclear en cualquier buscador unas cuantas combinaciones de palabras y listo, la capacidad de búsqueda se ve reducida al trabajo hecho por google.

Por que no optar por alternativas libres?

Ustedes que piensan?, cuestión de ética?

Expertos de más de 30 organismos de seguridad cibernética internacional y de EE.UU. han publicado conjuntamente una lista de los 25 errores más peligrosos de programación que dan lugar a fallos de seguridad y que permiten el espionaje y el delito cibernético.

El impacto de estos errores es de gran alcance. Sólo dos de ellos dieron lugar a más de 1.5 millones de violaciones de seguridad en sitios web durante 2008.

Errores incluidos en la lista

La lista fue dividida en tres categorias:

• Interacción insegura entre componentes (9 errores)
• Manejo de recursos riesgosos (9 errores)
• Infiltraciones (7 errores)

Cada entrada en la lista incluye pasos para prevenir y remediar los errores que pueden ser usados por los programacodres para mitigar o eliminar las debilidades.

Interacción insegura entre componentes

• CWE-20: Improper Input Validation
• CWE-116: Improper Encoding or Escaping of Output
• CWE-89: Failure to Preserve SQL Query Structure (aka ‘SQL Injection’)
• CWE-79: Failure to Preserve Web Page Structure (aka ‘Cross-site Scripting’)
• CWE-78: Failure to Preserve OS Command Structure (aka ‘OS Command Injection’)
• CWE-319: Cleartext Transmission of Sensitive Information
• CWE-352: Cross-Site Request Forgery (CSRF)
• CWE-362: Race Condition
• CWE-209: Error Message Information Leak

Manejo de recursos riesgosos

• CWE-119: Failure to Constrain Operations within the Bounds of a Memory Buffer
• CWE-642: External Control of Critical State Data
• CWE-73: External Control of File Name or Path
• CWE-426: Untrusted Search Path
• CWE-94: Failure to Control Generation of Code (aka ‘Code Injection’)
• CWE-494: Download of Code Without Integrity Check
• CWE-404: Improper Resource Shutdown or Release
• CWE-665: Improper Initialization
• CWE-682: Incorrect Calculation

Infiltraciones

• CWE-285: Improper Access Control (Authorization)
• CWE-327: Use of a Broken or Risky Cryptographic Algorithm
• CWE-259: Hard-Coded Password
• CWE-732: Insecure Permission Assignment for Critical Resource
• CWE-330: Use of Insufficiently Random Values
• CWE-250: Execution with Unnecessary Privileges
• CWE-602: Client-Side Enforcement of Server-Side Security

Enlaces:

• www.sans.org/top25
• cwe.mitre.org/top25/
• cwe.mitre.org/
• http://www.safecode.org/publications/SAFECode_BestPractices0208.pdf
• http://www.safecode.org/publications/SAFECode_Dev_Practices1108.pdf
• www.sans.org/whatworks
• www.sans-ssi.org/certification/

Vía: Barrapunto | Enlace: SANS.org