17 februari 2010

MITRE en het SANS Institute hebben een vernieuwde versie gemaakt van hun top-25 programmeerfouten. Die is grotendeels hetzelfde als vorig jaar. Nieuw is hun advies aan kopers, om softwareontwikkelaars contractueel vast te leggen op de kwaliteit van hun software. MITRE en SANS Institute willen met dit initiatief de aandacht verschuiven van de kwetsbaarheden waar alle beveiligingsupdates en beveiligingsrapporten op hameren, naar de onderliggende oorzaken van de onveiligheid. Die zijn veelal te herleiden tot programmeerfouten, die software-ontwikkelaars door gebrek aan opleiding of te hoge werkdruk maken. Twee fouten uit de lijst van vorig jaar lagen samen ten grondslag aan het misbruik van 1,5 miljoen websites over het jaar 2008, variërend van het ‘down’-gaan tot diefstal van persoonlijke en financiële informatie van bezoekers. Met de publicatie van een lijst van meest voorkomende programmeerfouten die aanleiding geven tot cybercrime, willen MITRE en SANS Institute het bewustzijn ten aanzien van beveiliging onder programmeurs en klanten verbeteren.

Op de lijst figureren grotendeels dezelfde fouten als vorig jaar. De top-drie bestaat dit jaar uit het nalaten om de structuur van een webpagina te verduurzamen (aanleiding voor cross site scripting-aanvallen); onvoldoende aandacht voor de juiste structuur van speciale elementen in SQL-commando’s (aanleiding voor aanvallen middel SQL-Injection); en het kopiëren van buffers zonder de lengte van de invoer te controleren (aanleiding voor de klassieke bufferoverflow-aanval). De volledige lijst met toelichting is te vinden op de site van Mitre. Overigens benadrukken de onderzoekers dat de ernst van fouten mede bepaald wordt door toepassingsomstandigheden. Aan de volgorde op de ranglijst moet dus geen absoluut belang gehecht worden. Mede daarom zijn dit jaar in een bijlage ook 16 fouten vermeld die wel bestudeerd zijn, maar de top-25 niet gehaald hebben. Aan de publicatie van de top-25 verbinden de organisaties dit jaar het advies aan kopers van software, om van hun leveranciers garanties te vragen ten aanzien van de kwaliteit van de software en de manier waarop die tot stand is gebracht. Het SANS Institute heeft op zijn website een voorbeeldcontract gepubliceerd waarmee men die verantwoordelijkheid van de leverancier kan vastleggen, met daarbij het nadrukkelijke advies om er ook door juristen nog eens naar te laten kijken. Daarnaast is er een certificatieprogramma opgezet waarmee softwarebedrijven zeker kunnen stellen dat medewerkers aan hun ontwikkelprojecten over voldoende kennis beschikken over de veiligheidsvraagstukken in de tools waarmee en op het platform waarvoor ze ontwikkelen.