NSA aiuta il nome Errori di programmazione più pericolosi

Un gruppo di oltre 30 organizzazioni informatiche ha preso ciò che alcuni chiamano un grande passo avanti verso la sicurezza del software.

Guidati da esperti della National Security Agency statunitense, il Dipartimento di Homeland Security, Microsoft e Symantec, il gruppo prevede di pubblicare il Lunedi un progetto che delinea gli errori di programmazione di software più pericolosi.

la lista rappresenta la prima volta l'industria ha raggiunto il consenso sulle cose peggiori che possono accadere quando il software è in fase di scrittura.

[ulteriore lettura: Come rimuovere il malware dal tuo PC Windows]

"all'inizio elenco 25 offre agli sviluppatori un insieme minimo di errori di codifica che deve essere sradicata prima che il software viene utilizzato dai clienti," ha dichiarato Chris Wysopal, chief technology officer di Ve racode, in una dichiarazione preparata.

Più che un elenco, tuttavia, il documento potrebbe essere utilizzato come strumento di negoziazione tra acquirenti e fornitori di software, ha dichiarato Alan Paller, direttore della ricerca con il SANS Institute, un gruppo di formazione sulla sicurezza che

In effetti, lo stato di New York sta ora sviluppando documenti di appalto che potrebbero essere utilizzati dalle agenzie statali per far certificare ai propri fornitori che il loro codice non contiene nessuno di questi errori di programmazione. In definitiva ciò renderà il venditore, non lo stato, responsabile quando un software buggato porta a un problema di sicurezza, ha affermato Paller. "Quando il software si trova ad essere viziato … tutti i turni di responsabilità economica a loro."

Paller si aspetta che questo tipo di certificazione, praticamente sconosciuto oggi, diventerà più comune ora che tanta parte del settore ha accettato su quali errori di programmazione sono più pericolosi. Ma lui si aspetta di essere utilizzato in grandi contratti di codifica su misura, piuttosto che negli accordi di licenza software utilizzati per il software di larga diffusione come Microsoft Windows.

I difetti includono cose come ad esempio consentendo di SQL injection o attacchi di cross-site scripting, invio di informazioni sensibili in testo non crittografato, che possono essere facilmente lette e password di sicurezza hard-coding in programmi, dove sono difficili da cambiare se scoperti. L'elenco degli errori è impostato per essere pubblicato qui.

Due di questi bug hanno portato a oltre 1,5 milioni di violazioni del sito Web lo scorso anno, ha affermato SANS. E quello era solo l'inizio: spesso queste violazioni del web venivano utilizzate dagli aggressori online per poi lanciare altri attacchi contro le persone che navigavano sui siti compromessi.