Software developers are to blame for most cyberattacks, say security experts
By Emily Long 02/16/2010
Theo: http://www.nextgov.com/nextgov/ng_20100216_8606.php
Bài được đưa lên Internet ngày: 16/02/2010
Lời người dịch: Các lỗi lập trình là thủ phạm chính gây ra các cuộc tấn công không gian mạng và chúng cần phải được tiệt trừ tận gốc. Để làm được việc này, một dự án đã được tạo ra, được sự ủng hộ của cả Cơ quan An ninh Quốc gia và Bộ An ninh Quốc nội Mỹ cả về tài chính. Không rõ với các mã nguồn mà đóng thì ai có thể xem xét được nhỉ???
Các lập trình viên phần mềm phải được tính tới vì các lỗi lập trình mà chúng cho phép các cuộc tấn công không gian mạng, các quan sát viên an ninh nói hôm thứ ba.
Các lỗi lập trình đằng sau hầu hết các lỗi an ninh chính và tội phạm không gian mạng, bao gồm cả những cuộc tấn công gần đây vào Google, theo một danh sách 25 lỗi hàng đầu đã được đưa ra bởi Viện SANS, một tổ hợp nghiên cứu, và hãng MITRE, một tổ chức công nghệ phi lợi nhuận. Bổ sung vào những xếp hạng mới nhất, các chuyên gia đã công bố những chuẩn mới cho ngôn ngữ hợp đồng có mục đích bảo vệ những người mua phần mềm khởi chịu trách nhiệm về lỗi lập trình.
“Gần như mỗi cuộc tấn công được phép bởi các lỗi mà các lập trình viên làm mà chúng cung cấp một chỗ để bíu tay cho những kẻ tấn công”, Alan Paller, giám đốc về nghiên cứu tại Viện SANS đã viết trong một thư điện tử. “Cách duy nhất mà những lỗi lập trình có thể được tiễu trừ tận gốc là bằng việc làm cho các tổ chức phát triển phần mềm có trách nhiệm pháp lý về những lỗi này. Và rằng chỉ có thể được thực hiện nếu có nơi chốn an toàn hơn. Công bố này hôm thứ ba là sự thành lập cho nơi chốn an toàn”.
Danh sách này xếp hạng các lỗi thiết kế và lập trình dựa trên sự phổ biến và tầm quan trọng. Nó cũng bao gồm các thông tin về các chiến lược làm dịu để giúp các lập trình viên giảm nhẹ được hoặc hạn chế được những điểm yếu.
“Phiên bản được cập nhật của CWE/SANS Top 25 tiếp tục sẽ là một nguồn thông tin hữu dụng cho các lập trình viên và những người sử dụng mã nguồn”, Dan Wolfe, giám đốc của Nhóm Bảo hiểm Phần mềm, một nhóm chuyên về việc xác định và giảm nhẹ các rủi ro do phần mềm gây ra. “Việc xếp hạng những điểm yếu của mã nguồn theo tầm quan trọng và tính khắc nghiệt giúp tập trung vào thảo luận giữa các lập trình viên và các khách hàng của họ về những vấn đề mà có vấn đề nhất. Đặt tài liệu này vào thực tế hàng ngày sẽ cải thiện được an ninh nói chung của phần mềm mà tất cả chúng ta đều sử dụng trong những nỗ lực từ ngày này sang ngày khác của chúng ta”.
Các đại diện từ 28 tổ chức, bao gồm các cơ quan chính phủ, các viện hàn lâm, các công ty công nghệ và các nhà cung cấp phần mềm, đều có trong danh sách này. Cơ quan An ninh Quốc gia đã ủng hộ dự án này, và Bộ phận An ninh không gian mạng quốc gia của Bộ An ninh Quốc nội đã cung cấp tài chính hỗ trợ.
Software developers should be accountable for programming errors that enable cyberattacks, security observers said on Tuesday.
Programming errors are behind most major security bugs and cyber crime, including recent attacks on Google, according to a new list of the top 25 tech mistakes released by the SANS Institute, a research cooperative, and MITRE Corp., a nonprofit technology organization. In addition to the latest rankings, acquisition experts announced new standards for contract language aimed at protecting software buyers from being held responsible for faulty code.
"Nearly every attack is enabled by mistakes programmers make that provide a handhold for attackers," wrote Alan Paller, director of research at SANS Institute in an e-mail. "The only way programming errors can be eradicated is by making software development organizations legally liable for the errors. And that can only be done if there is a safe harbor. The announcement on Tuesday is the foundation for the safe harbor."
The list ranks programming and design errors based on prevalence and importance. It also includes information on mitigation strategies to help developers reduce or eliminate weaknesses.
"The updated version of the CWE/SANS Top 25 continues to be a useful source of information for code developers and consumers," said Dan Wolfe, director of the Software Assurance Consortium, a group dedicated to identifying and reducing risks posed by software. "Its ranking of code weaknesses by severity and importance helps focus the discussion between developers and their customers on those issues that matter the most. Putting this document into everyday practice will improve the overall security of the software we all utilize in our day-to-day efforts."
Representatives from 28 organizations, including government agencies, academic institutions, technology companies and software vendors, collaborated on the list. The National Security Agency backed the project, and the Homeland Security Department's National Cybersecurity Division provided financial support.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.