25 vaarallisinta ohjelmointimokaa
2
30 eri maan tietoturvaorganisaation asiantuntijat ovat keränneet listan 25 vaarallisimmasta ohjelmointimokasta. Tekijöiden mielestä jokaisen ohjelmoijan tulisi ehdottomasti lukea lista ja ottaa siitä oppia. Asiantuntijat ehdottavat myös it-sopimuksiin uudistusta, joka siirtäisi vastuun reikäisestä koodista ohjelman tekijöille.
Ohjelmointivirheiden top-25-listan on kerännyt Sans Institute. Listaa ovat olleet tekemässä esimerkiksi National Security Agencyn kaltaisia viranomaisia sekä Microsoftin, Symantecin ja McAfeen kaltaisia it-yrityksiä.
Mokia kolmessa ryhmässä
Tarkoitus ei ole etsiä yksittäisiä turva-aukkoja vaan perustavan tason ohjelmointivirheitä, jotka johtavat aukkoihin. Vaarallisimmat ohjelmointivirheet on jaettu kolmeen luokkaan.
Ensimmäinen on komponenttien välinen turvaton vuorovaikutus. Tähän luokkaan kuuluu muun muassa se, ettei web-sivun rakennetta kyetä säilyttämään (cross-site scripting- eli xss-aukko).
Toinen virheryhmä on resurssien riskialtis hallinta. Hyvä esimerkki tästä on se, että puskurissa olevat tiedot kopioidaan tarkastamatta syötteen kokoa – eli klassinen puskuriylivuoto.
Kolmas ryhmä virheitä liittyy puutteellisiin suojauksiin. Niitä voivat olla esimerkiksi puutteellisten salakirjoitusmetodien käyttö.
Vastuu virheistä tekijöille
Listan yhteydessä sovittiin standardista sopimuskielestä, jota käytetään ohjelmistokehityksen sopimuksissa. Uudella sopimuskielellä pyritään varmistumaan siitä, ettei ostaja joudu vastuuseen sovelluskehittäjän huonosta työstä.
Uudet sopimukset siis siirretään vastuuta turva-aukoista yhä enemmän ohjelmiston ja palveluiden tekijöiden vastuulle. Sansin asiantuntijoiden mielestä tämä on välttämätöntä, jotta nettirikollisuuden mahdollistavat turva-aukot saataisiin kuriin.
