De 25 farligste tabbene

De 25 farligste tabbene

Tunge aktører i it-bransjen er enige. Disse programmeringstabbene må utviklerne unngå.

De fleste vellykkede angrep mot nettsider og servere lykkes fordi programmereren har tabbet seg ut. Nå har 35 anerkjente organisasjoner stablet på beina en liste over de 25 vanligste tabbene. Heriblant har blant annet Microsoft, Symantec og National Security Agency (NSA) bidratt, melder Computerworlds internasjonale nyhetstjeneste.

Listen deler seg i tre kategorier. Ni av tabbene er plassert i kategorien ”usikker interaksjon mellom komponenter”, mens ni er plassert i ”risikabel ressurshåndtering”. Resten er kategorisert som ”dårlig sikkerhet”.

Feilene er vurdert etter hvor ofte de dukker opp og alvorligheten i risikoen de eksponerer.

Klassikere

Det noen klassikere som topper lista. Blant annet ufullstendig validering av input og ufullstendig utputt-koding. Begge feilene gjøres nærmest på rutinebasis av mange programmerere og antas å ha muliggjort flere hundretusener angrep i 2008 tror SANS Institute, som har vært med på å koordinere listen

På lista er også nevnt flere klassikere som sikring av SQL-spørringer og øvrige nettsidestrukturfeil som muliggjør SQL-injektsjoner, kryssideskripting og buffer overflow-tabber samt i overkant pratsomme feilmeldinger.

Adgangskontroll

- At buffer overflow-feil kommer på lista, til tross for at programmerere har gjort slike feil i flere tiår, viser hvor vanskelig det er å få utviklere til å lage ”veldig god” kode, sier Christ Wysopal, teknisk sjef i applikasjonssikkerhetsleverandøren Veracode, som har vært med på å lage listen.

Java og .Net-verktøy hjelper å hindre slike tabber, men mye kommersiell programvare er fortsatt basert på C, hvor programmeringspraksis ikke har endret seg på langt nær så mye, mener han.

Når det gjelder kategorien ”dårlig sikkerhet”, er tabbene så banale som dårlig adgangskontroll, bruk av dårlig krypteringsalgoritme eller å ha programmert inn et hemmelig brukernavn/passord i selve programmet.

- Viktig liste

Paul Kurtz, en partner fra Good Harbor Consulting og en av hovedforfatterne bak U.S. National Strategy to Secure Cyberspace-dokumentet, kaller listen for “en utrolig viktig utvikling”.

I en nyhetskonferanse i dag sa Kurtz at det er synd det tok så lang tid før de kom med en slik liste over vanlige programmeringsfeil.

Flere statlige enheter i USA, som staten New York, planlegger å bruke listen under utviklingen av programvare. Også utdanningsinstitusjoner håper å kunne bruke listen for å lære kommende programmerere hvilke feil de bør unngå.

Se hele listen og en utførlig beskrivelse av hvert punkt her: www.sans.org/top25.

Les om:

Utvikling