NSA pomaga nam wymieniać największe błędy w programowaniu

Grupa ponad 30 organizacji komputerowych podjęła kroki, które niektórzy nazywają dużym krokiem w kierunku zwiększenia bezpieczeństwa oprogramowania.

Prowadzona przez ekspertów z amerykańskiej Agencji Bezpieczeństwa Narodowego, Departamentu Bezpieczeństwa Wewnętrznego, Microsoft i Symantec, grupa planuje opublikować w poniedziałek projekt przedstawiający najniebezpieczniejsze błędy programistyczne.

Lista ta pokazuje, że po raz pierwszy przemysł osiągnął porozumienie w sprawie najgorszych rzeczy, które mogą się zdarzyć podczas pisania oprogramowania.

[Dalsze czytanie: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

"Lista najlepszych 25 daje programistom minimalny zestaw błędów kodowania, które należy wyeliminować zanim oprogramowanie zostanie użyte przez klientów" - powiedział Chris Wysopal, dyrektor ds. Technologii w firmie Ve racode, w przygotowanym oświadczeniu.

Jednak to nie tylko lista, ale dokument mógłby być używany jako narzędzie negocjacyjne między kupującymi a dostawcami oprogramowania, powiedział Alan Paller, dyrektor ds. badań w SANS Institute, grupie szkoleniowej zajmującej się bezpieczeństwem. zainicjował pracę.

W rzeczywistości w stanie Nowy Jork opracowywane są obecnie dokumenty dotyczące zamówień, które mogą być wykorzystywane przez agencje rządowe, aby ich dostawcy poświadczali, że ich kod nie zawiera żadnego z tych błędów programistycznych. Ostatecznie to sprawi, że sprzedawca, a nie państwo, stanie się odpowiedzialnym, gdy wadliwe oprogramowanie prowadzi do problemu bezpieczeństwa, powiedział Paller. "Gdy oprogramowanie zostanie uznane za wadliwe … przeniesie się na nie cała odpowiedzialność ekonomiczna."

Paller oczekuje, że ten rodzaj certyfikacji, praktycznie nieznany dzisiaj, stanie się bardziej powszechny teraz, gdy tak duża część branży uzgodniła na temat tego, jakie błędy programistyczne są najbardziej niebezpieczne. Ale spodziewa się, że będzie on używany w dużych umowach z niestandardowym kodowaniem, a nie w umowach licencyjnych na oprogramowanie dla szeroko rozpowszechnionego oprogramowania, takiego jak Microsoft Windows.

Wady obejmują takie rzeczy, jak umożliwienie iniekcji SQL lub ataków typu cross-site scripting, wysyłanie poufnych informacji w postaci przejrzystego tekstu, który można łatwo odczytać, oraz kodowanie haseł bezpieczeństwa w programach, w przypadku których trudno je zmienić, jeśli zostaną wykryte. Lista błędów zostanie tutaj opublikowana.

Dwa z tych błędów doprowadziły w ubiegłym roku do ponad 1,5 miliona naruszeń witryny sieci Web, powiedział SANS. I to był dopiero początek: często te włamania do sieci były wykorzystywane przez atakujących online, aby następnie przeprowadzać więcej ataków przeciwko osobom, które surfowały po zhakowanych stronach.