Szoftvervédelem ellenőrizhető módon

Az amerikai Belbiztonsági Minisztérium (Department of Homeland Security, DHS), a SANS Intézet és a Mitre együttműködésével olyan értékelési rendszert hozott létre, mely lehetővé teszi a vállalatok számára szoftvereik ellenőrzését, és annak meghatározását, hogy azok vajon megfelelnek-e a biztonságos kódolás standardjainak. A szervezet közzétette legfrissebb listáját, melyen a napjaink szoftvereiben előforduló legveszélyesebb programozási hibákat gyűjtötte össze. Minősítőrendszere pedig lehetővé teszi, hogy a vállalatok felmérjék alkalmazásaikat, mennyire veszélyeztetettek egy támadásnak, azaz mennyi, a listán felsorolt hiba található bennük.

Alan Paller, a SANS kutatóigazgatója szerint az a cél vezette a szervezeteket, hogy a vállalati felhasználók megalapozottabb döntéseket hozhassanak szoftvereikkel kapcsolatban. A szakértő reménye szerint a magánszektor szereplői és a kormányzati megrendelők használni fogják ezt a Top 25-ös listát illetve a minősítőrendszert szoftverbeszerzéseik során.

„Napjainkban a webes szolgáltatásokat és szoftvereket létrehozó és/vagy vásárló vállalatok és a nonprofit szervezetek, egyszerűen nem rendelkeznek megbízható módszerrel annak kiderítésére, hogy az általuk használt programok védettek-e az általános támadási formákkal szemben." - állította Paller. A helyzet kulcsát a fenti, programozási biztonsági hibákat tartalmazó, hiteles, szakértők által bevizsgált és jóváhagyott lista jelenti, illetve ennek algoritmizált alkalmazása, mellyel kvázi bármelyik szoftver tesztelhető a legismertebb hiányosságokra. „A lényeg az, hogy a vásárlók és a rendszerépítők a jövőben megbizonyosodhatnak arról, hogy a legkritikusabb hibák megszűntek alkalmazásaikban, ráadásul ezt az állítást le is ellenőrizhetik." - mondta a SANS igazgatója.

A Top 25 lista nem idén készült el először, a 2011-es változat így a tavalyi jó néhány elemét is tartalmazza. Rátekintve megállapítható, hogy ebben az évben még nagyobb figyelmet kapnak az úgynevezett SQL injection hibák, melyek 2010-ben még a második helyen szerepeltek, de idén már a legfontosabb hiányosságként tartja számon a SANS Intézet. Második helyen az úgynevezett Operating System Command injection hibák találhatók - ezek lehetővé teszik, hogy egy támadó webalkalmazás interfészen keresztül operációs rendszer parancsokat adjon ki a célpont számítógépnek, így távolról vezérelve azt. A lista harmadik-negyedik helyét a puffertúlcsordulásos és a cross site scripting hibák foglalják el, illetve a kritikus funkciók hiányzó hitelesítései kerültek az ötödik pozícióba.

„Az ilyen listák nagyon hatékonyan segítik a programozókat abban, hogy a legkritikusabb sebezhetőségi területekre koncentráljanak." - adott hangot elismerésének John Pescatore, a Gartner elemzője, aki szerint az összegzés révén jobban mérhetővé válik a vállalati környezet szoftvereinek biztonsági felmérése és az ennek megváltoztatására tett lépések nyomonkövetése.