25 pahinta tietokoneohjelmien ongelmaa nimetty
0
Yli 30 tietoturvajärjestön edustajat ovat yhdessä julkaisseet listan, johon on kerätty 25 pahinta tietokonesovellusten ja web-palvelujen ongelmaa. Asiassa on kaksi yllättävää piirrettä. Ensinnäkin oli yllättävää miten helposti lista saatiin kasaan. Yksimielisyys ongelmista on suuri. Vieläkin yllättävämpää on se, että jotkin listan asioista ovat ohjelmoijille vieraita, eikä niitä opeteta oppilaitoksissa.
CWE/Sans Top 25 Programming Errors -lista löytyy esimerkiksi Sans-järjestön sivuilta. Sansin mukaan keskustelu listan sisällöstä oli ajoittain kuumaa, mutta yhteisymmärrykseen päästiin silti hämmästyttävän helposti. Sansin mukaan pahimmat tietoturvan ongelmat ovat hyvin tiedossa.
Perusasioitakaan ei usein osata
Sitä erikoisempaa on se, miten kehnolla tolalla tietoturva-asiat ovat. Monia listan pahimmista asioista jätetään huomiotta ohjelmia tehtäessä. Ohjelmoijat eivät välttämättä ole tietoisia kaikista ongelmallisista seikoista, eikä niitä myöskään opeteta oppilaitoksissa. Jos sovelluksen tekijä käyttää ohjelmointikirjojen valmiita esimerkkejä, jää koodiin hyvin usein listalla mainittuja pahimpia aukkoja.
Listan tarkoitus onkin toimia oppaana ohjelmoijille. Jos he huomioivat listalla mainitut asiat, paranee tietoturva aivan erilaiselle tasolle. Myös oppilaitokset voivat käyttää listaa opetuksen apuna.
Kolmen ryhmän turvaongelmia
Pahimmat turvaongelmat on jaettu kolmeen ryhmään. Ensimmäinen on komponenttien välinen turvaton yhteistoiminta. Siihen kuuluu esimerkiksi nettisivujen tuttuja uhkia, kuten xss-aukot, sql-injektio ja yleensäkin luvattomien komentojen injektio.
Toinen ryhmä on riskialttiiden resurssien hallinta. Ryhmästä löytyy esimerkiksi tuttu puskuriylivuotohyökkäys.
Kolmas ryhmä on hauraat suojaukset. Listalla on esimerkiksi liian heikkojen salausten käyttö ja vääränlaisten salasanojen käyttö.
