NSA Membantu Nama Kesalahan Pemrograman Paling Berbahaya

Sekelompok lebih dari 30 organisasi komputer telah mengambil apa yang oleh sebagian orang disebut sebagai langkah besar untuk membuat perangkat lunak lebih aman.

Dipimpin oleh para ahli dari Badan Keamanan Nasional AS, Departemen Keamanan Dalam Negeri, Microsoft dan Symantec, kelompok berencana untuk mempublikasikan pada hari Senin cetak biru yang menguraikan kesalahan pemrograman perangkat lunak yang paling berbahaya.

Daftar ini merupakan pertama kalinya industri telah mencapai konsensus mengenai hal-hal terburuk yang dapat terjadi ketika perangkat lunak sedang ditulis.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

"Daftar 25 teratas memberi pengembang satu set minimum kesalahan pengkodean yang harus dihapus sebelum perangkat lunak digunakan oleh pelanggan," kata Chris Wysopal, chief technology officer dengan Ve racode, dalam pernyataan yang disiapkan.

Lebih dari sekadar daftar, namun, dokumen itu dapat digunakan sebagai alat negosiasi antara pembeli dan vendor perangkat lunak, kata Alan Paller, direktur penelitian dengan SANS Institute, kelompok pelatihan keamanan yang mempelopori pekerjaan.

Faktanya, negara bagian New York sekarang mengembangkan dokumen pengadaan yang dapat digunakan oleh lembaga negara untuk membuat vendor mereka menyatakan bahwa kode mereka tidak mengandung kesalahan pemrograman ini. Pada akhirnya itu akan membuat vendor, bukan negara, bertanggung jawab ketika perangkat lunak buggy mengarah ke masalah keamanan, kata Paller. "Ketika perangkat lunak ditemukan menjadi cacat … semua tanggung jawab ekonomi bergeser ke mereka."

Paller mengharapkan bahwa jenis sertifikasi ini, hampir tidak dikenal hari ini, akan menjadi lebih umum sekarang karena sebagian besar dari industri telah setuju pada kesalahan pemrograman apa yang paling berbahaya. Namun ia mengharapkan untuk digunakan dalam kontrak pengkodean kustom besar daripada dalam perjanjian lisensi perangkat lunak yang digunakan untuk perangkat lunak terdistribusi secara luas seperti Microsoft Windows.

Kelemahan mencakup hal-hal seperti memungkinkan untuk injeksi SQL atau serangan scripting lintas situs, mengirim informasi sensitif dalam teks yang jelas, yang dapat dengan mudah dibaca, dan password keamanan hard-coding ke dalam program, di mana mereka sulit diubah jika ditemukan. Daftar kesalahan ditetapkan untuk diposting di sini.

Dua dari bug ini menyebabkan lebih dari 1,5 juta pelanggaran situs web tahun lalu, kata SANS. Dan itu baru permulaan: Seringkali, pelanggaran Web ini digunakan oleh penyerang online untuk kemudian meluncurkan lebih banyak serangan terhadap orang-orang yang menjelajahi situs yang diretas.