NSA hilft beim Auffinden der gefährlichsten Programmierfehler

Eine Gruppe von mehr als 30 Computerorganisationen hat das, was manche als großen Schritt in Richtung Software-Sicherheit bezeichnen, übernommen.

Angeführt von Experten der US-amerikanischen National Security Agency, dem Department of Homeland Security, Microsoft und Symantec, Die Gruppe plant, am Montag einen Plan mit den gefährlichsten Softwareprogrammierungsfehlern zu veröffentlichen.

Die Liste stellt das erste Mal dar, dass sich die Industrie über die schlimmsten Dinge, die beim Schreiben von Software passieren können, einig ist.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

"Die Top-25-Liste gibt Entwicklern ein Minimum an Codierungsfehlern, die ausgeräumt werden müssen, bevor Software von Kunden verwendet wird", sagte Chris Wysopal, Chief Technology Officer bei Ve "Mehr als nur eine Liste, aber das Dokument könnte als ein Verhandlungswerkzeug zwischen Käufern und Softwareanbietern verwendet werden", sagte Alan Paller, Forschungsleiter beim SANS Institute, einer Sicherheitsausbildungsgruppe hat die Arbeit geleitet.

Tatsächlich entwickelt der Staat New York jetzt Beschaffungsdokumente, die von staatlichen Behörden verwendet werden könnten, um ihre Lieferanten zu zertifizieren, dass ihr Code keine dieser Programmierfehler enthält. Letztendlich werde das den Verkäufer, nicht den Staat, verantwortlich machen, wenn fehlerhafte Software zu einem Sicherheitsproblem führt, sagte Paller. "Wenn festgestellt wird, dass die Software fehlerhaft ist, verlagert sich die gesamte wirtschaftliche Haftung auf sie."

Paller erwartet, dass diese Art von Zertifizierung, die heute so gut wie unbekannt ist, nach der Zustimmung eines großen Teils der Industrie immer häufiger wird darüber, welche Programmierfehler am gefährlichsten sind. Er erwartet jedoch, dass es in großen benutzerdefinierten Codierungsverträgen und nicht in den Software-Lizenzverträgen für weit verbreitete Software wie Microsoft Windows verwendet wird.

Zu ​​den Fehlern gehören Dinge wie SQL Injection oder Cross-Site Scripting-Angriffe, Senden vertraulicher Informationen in Klartext, die leicht gelesen werden können, und hartes Codieren von Sicherheitskennwörtern in Programmen, wo sie schwer zu ändern sind, wenn sie entdeckt werden. Die Liste der Fehler soll hier veröffentlicht werden.

Zwei dieser Fehler führten im letzten Jahr zu mehr als 1,5 Millionen Website-Verstößen, sagte SANS. Und das war nur der Anfang: Oft wurden diese Web-Angriffe von Online-Angreifern genutzt, um dann weitere Angriffe gegen Leute zu starten, die die gehackten Seiten durchforsteten.