Google premiará económicamente a los investigadores de seguridad que reporten vulnerabilidades en sus aplicaciones. Según la noticia publicada en el blog de seguridad de la compañia, cualquiera que reporte vulnerabilidades en aplicaciones web de Google que manejen datos autenticados podrá ser recompensado con hasta $3,133.7 (eleet).

Los reportes deben hacerse de forma privada y solo aplica (de momento) a "cualquier propiedad web de Google que muestre o maneje datos altamente sensibles de usuarios autenticados".

A principios de año, Google ya inicio un programa similar para el proyecto Chromium, que según fuentes de la compañia produjo un aumento sustancial en la cantidad de reportes de seguridad de alta calidad, lo que se ha traducido en un sistema Chromium más seguro.

Resulta alentador ver empresas que se toman la seguridad en serio y valoran el trabajo de los investigadores independientes. Nadie se va a hacer rico con estos premios, pero la simple valoración de tu trabajo ya merece la pena. Por otro lado, seguro que a Google le cuesta menos dinero esto que a otras empresas ocultar fallos y contratar abogados para denunciar a los investigadores.

Esperemos que cunda el ejemplo y otras empresas/organismos abran los ojos.

Nuevo curso publicado sobre "Desarrollo de aplicaciones seguras para Administración Electrónica" :

La seguridad en el desarrollo de software es una parte fundamental en el aseguramiento de la calidad, para las aplicaciones de Administración Electrónica debe ser además un requisito prioritario.

Con este curso los alumnos adquieren los siguientes conocimientos:

• Dominar los conceptos criptográficos básicos: cifrado simétrico y asimétrico, PKI, certificados digitales, firma electrónica, etc.
• Identificar y comprender las amenazas de seguridad a las que se enfrentan las aplicaciones de Administración Electrónica.
• Implementar y codificar de forma segura las funcionalidades de Administración Electrónica.
• Implementar mecanismos de defensa proactiva y reactiva en los componentes de la aplicación.
  

(Ver temario completo)

OWASP acaba de publicar la última actualización de su "Top Ten" de riesgos de seguridad en aplicaciones web, correspondiente al año 2010. Se trata de un recurso muy útil para conocer cuales son los tipos de ataques y vulnerabilidades más frecuentes actualmente.

Desde la versión anterior se han realizado algunos cambios que reflejan las nuevas "tendencias" en la explotación de vulnerabilidades web, aunque desde mi punto de vista se han dejado fuera algunas categorías muy importantes, algunas de las cuales estaban en versiones anteriores de este documento, como la insuficiente automatización o el incorrecto control de errores.

De cualquier modo se trata de un recurso muy útil también como punto de partida y referencia para una mejor gestión del riesgo en las aplicaciones web.

El documento se puede obtener aquí:

http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project