Amerikan Ulusal Güvenlik Kurumu En Tehlikeli Programlama Hatalarını Açıkladı

Amerikan Ulusal Güvenlik Kurumu(NSA), dünyada en tehlikeli kodlama hatalarını bir liste halinde kamuoyuna sundu.
İçerisinde toplam 25 kodlama hatasının bulunduğu listede, sanal alemde, terör estiren hackerların kullanabilecekleri 'zayıf noktalara' yer verildi. Güvenlik uzmanları, pek çok yazılımcının bu tür zaafiyetlerin farkında olmadıklarını belirttiler. Maryland'de bulunan ve bilgisayar güvenlik eğitimleri veren SANS Institute yetkilileri, ortaya çıkartılan hatalardan sadece ikisinin neden olduğu zaafiyet dolayısıyla 2008 yılında 1.5 milyondan fazla web sitesinin saldırılara açık hale geldiğine dikkati çektiler.

Yazılım endüstrisi tarihinde, ilk kez, böylesine büyük bir çoğunlukla sektör yetkilileri bir sorunun varlığını kabul etmiş oldular. Tehlikeli kodlama yazılımları, aralarında NSA, Amerikan İçgüvenlik Bakanlığı, Microsoft ile ağ güvenlik yazılımları sağlayıcısı Symantec'in de olduğu toplam 30 kuruluşun ortak çalışmaları neticesinde ortaya çıkarıldı.

Kurumlararası veri paylaşımında güvenlik hizmeti sağlayan Veracode şirketinden Teknoloji Direktörü Chris Wysopal, kamuoyuna sunulan listede yer alan kodlama hatalarının, yazılımlar piyasaya sunulmadan ortadan kaldırılmaları gerektiğini söyledi. Programlama hataları konusunda büyük bir uzlaşmanın olduğuna işaret eden yetkililer, vakit kaybedilmeden zaafiyetlerin yok edilmesi gerektiğini belirttiler.

Kar amacı gütmeyen bağımsız Ar-Ge kuruluşu SRI International'ın Direktörü Patrick Lincoln, yazılım geliştiricilerin, hata yapmama konusunda bilinçlendirilmeleri gerektiğini belirterek, her hangi bir açığı bulunmayan programların, hacker ve sanal dolandırıcıların işlerini zorlaştıracağını söyledi. Kodlama hatalarını gösteren listenin, sistem tasarımı gerçekleştiren programcıları ilgilendirdiğini belirten Patrick Lincoln, deneyimli programcıların, günümüzde yapılan hataların pek çoğunu zorlu şartlar altında yaşayarak öğrendiklerini ifade etti. Zararlı yazılım konusuna kendilerini adamış kişilerin, en zorlu güvenlik kalkanlarını bile aşabilecek alternatifler bulabileceklerini hatırlatan Lincoln, ancak, kendisini arkadaşlarına ispat etmek isteyen genç hackerların, yazılım hatalarının düzeltilmeleriyle engellenebileceklerini söyledi.

Aynı zamanda ABD Başkanı'nın Ulusal Güvenlik Danışmanı olan Milli İstihbarat Direktörü, Ulusal Güvenlik Kurumu ve İçgüvenlik Bakanlığı, sağladıkları katkı ilgili olarak, yazılım ve donanımın, sanal alemin güvenliği için eşit değerde önem taşıdığını açıkladılar. Sistem ve ağ güvenliğinin, tehlikelerden daha uzak bir yazılımın ilk şartı olduğunu vurgulayan kurumların yetkilileri, bu nedenle Amerikan Federal Hükümeti'nin, piyasaya sunulan ürün ve hizmetleri önemsediğini ifade ettiler. Girişimin, ABD'nin güvenliği için önemli bir adım olduğuna işaret eden yetkililer, 'sanal eğitim' gibi fayda sağlayacak etkinliklerin devam ettirilmeleri gerektiğini belirttiler.

En tehlikeli 25 adet programlama hataları kodlarıyla birlikte şu şekilde listelenmiştir.
CWE-20:Improper Input Validation
CWE-116:Improper Encoding or Escaping of Output
CWE-89:Failure to Preserve SQL Query Structure
CWE-79:Failure to Preserve Web Page Structure
CWE-78:Failure to Preserve OS Command Structure
CWE-319:Cleartext Transmission of Sensitive Information
CWE-352:Cross-Site Request Forgery
CWE-362:Race Condition
CWE-209:Error Message Information Leak
CWE-119:Failure to Constrain Operations within the Bounds of a 
CWE-642:External Control of Critical State Data
CWE-73:External Control of File Name or Path
CWE-426:Untrusted Search Path
CWE-94:Failure to Control Generation of Code
CWE-494:Download of Code Without Integrity Check
CWE-404:Improper Resource Shutdown or Release
CWE-665:Improper Initialization
CWE-682:Incorrect Calculation
CWE-285:Improper Access Control
CWE-327:Use of a Broken or Risky Cryptographic Algorithm
CWE-259:Hard-Coded Password
CWE-732:Insecure Permission Assignment for Critical Resource
CWE-330:Use of Insufficiently Random Values
CWE-250:Execution with Unnecessary Privileges
CWE-602:Client-Side Enforcement of Server-Side Security
Source: SANS Institute

Saygılar.

Yazar	Mesaj Konu Arama Konu SeÃ§enekleri YanÄ±t Yaz Yeni Konu OluÅŸtur Konuyu YazdÄ±r Translate Konu
megabros Ãœye Profili Ã–zel Mesaj Yolla Ãœyenin MesajlarÄ±nÄ± Bul ArkadaÅŸ Listeme Ekle Security Professional KayÄ±t Tarihi: 08-06-2009 Konum: Turkey Status: Aktif DeÄŸil Points: 752	Mesaj SeÃ§enekleri YanÄ±t Yaz AlÄ±ntÄ± megabros Bu mesaj kurallara aykÄ±rÄ±ysa buradan yÃ¶neticileri bilgilendirebilirsiniz. Thanks(0) AlÄ±ntÄ± Cevapla Konu: Amerikan Ulusal Güvenlik Kurumu En Tehlikeli Programlama Hatalarını Açıkladı GÃ¶nderim ZamanÄ±: 06-04-2010 Saat 12:52
	Amerikan Ulusal Güvenlik Kurumu(NSA), dünyada en tehlikeli kodlama hatalarını bir liste halinde kamuoyuna sundu. İçerisinde toplam 25 kodlama hatasının bulunduğu listede, sanal alemde, terör estiren hackerların kullanabilecekleri 'zayıf noktalara' yer verildi. Güvenlik uzmanları, pek çok yazılımcının bu tür zaafiyetlerin farkında olmadıklarını belirttiler. Maryland'de bulunan ve bilgisayar güvenlik eğitimleri veren SANS Institute yetkilileri, ortaya çıkartılan hatalardan sadece ikisinin neden olduğu zaafiyet dolayısıyla 2008 yılında 1.5 milyondan fazla web sitesinin saldırılara açık hale geldiğine dikkati çektiler. Yazılım endüstrisi tarihinde, ilk kez, böylesine büyük bir çoğunlukla sektör yetkilileri bir sorunun varlığını kabul etmiş oldular. Tehlikeli kodlama yazılımları, aralarında NSA, Amerikan İçgüvenlik Bakanlığı, Microsoft ile ağ güvenlik yazılımları sağlayıcısı Symantec'in de olduğu toplam 30 kuruluşun ortak çalışmaları neticesinde ortaya çıkarıldı. Kurumlararası veri paylaşımında güvenlik hizmeti sağlayan Veracode şirketinden Teknoloji Direktörü Chris Wysopal, kamuoyuna sunulan listede yer alan kodlama hatalarının, yazılımlar piyasaya sunulmadan ortadan kaldırılmaları gerektiğini söyledi. Programlama hataları konusunda büyük bir uzlaşmanın olduğuna işaret eden yetkililer, vakit kaybedilmeden zaafiyetlerin yok edilmesi gerektiğini belirttiler. Kar amacı gütmeyen bağımsız Ar-Ge kuruluşu SRI International'ın Direktörü Patrick Lincoln, yazılım geliştiricilerin, hata yapmama konusunda bilinçlendirilmeleri gerektiğini belirterek, her hangi bir açığı bulunmayan programların, hacker ve sanal dolandırıcıların işlerini zorlaştıracağını söyledi. Kodlama hatalarını gösteren listenin, sistem tasarımı gerçekleştiren programcıları ilgilendirdiğini belirten Patrick Lincoln, deneyimli programcıların, günümüzde yapılan hataların pek çoğunu zorlu şartlar altında yaşayarak öğrendiklerini ifade etti. Zararlı yazılım konusuna kendilerini adamış kişilerin, en zorlu güvenlik kalkanlarını bile aşabilecek alternatifler bulabileceklerini hatırlatan Lincoln, ancak, kendisini arkadaşlarına ispat etmek isteyen genç hackerların, yazılım hatalarının düzeltilmeleriyle engellenebileceklerini söyledi. Aynı zamanda ABD Başkanı'nın Ulusal Güvenlik Danışmanı olan Milli İstihbarat Direktörü, Ulusal Güvenlik Kurumu ve İçgüvenlik Bakanlığı, sağladıkları katkı ilgili olarak, yazılım ve donanımın, sanal alemin güvenliği için eşit değerde önem taşıdığını açıkladılar. Sistem ve ağ güvenliğinin, tehlikelerden daha uzak bir yazılımın ilk şartı olduğunu vurgulayan kurumların yetkilileri, bu nedenle Amerikan Federal Hükümeti'nin, piyasaya sunulan ürün ve hizmetleri önemsediğini ifade ettiler. Girişimin, ABD'nin güvenliği için önemli bir adım olduğuna işaret eden yetkililer, 'sanal eğitim' gibi fayda sağlayacak etkinliklerin devam ettirilmeleri gerektiğini belirttiler. En tehlikeli 25 adet programlama hataları kodlarıyla birlikte şu şekilde listelenmiştir. CWE-20:Improper Input Validation CWE-116:Improper Encoding or Escaping of Output CWE-89:Failure to Preserve SQL Query Structure CWE-79:Failure to Preserve Web Page Structure CWE-78:Failure to Preserve OS Command Structure CWE-319:Cleartext Transmission of Sensitive Information CWE-352:Cross-Site Request Forgery CWE-362:Race Condition CWE-209:Error Message Information Leak CWE-119:Failure to Constrain Operations within the Bounds of a CWE-642:External Control of Critical State Data CWE-73:External Control of File Name or Path CWE-426:Untrusted Search Path CWE-94:Failure to Control Generation of Code CWE-494:Download of Code Without Integrity Check CWE-404:Improper Resource Shutdown or Release CWE-665:Improper Initialization CWE-682:Incorrect Calculation CWE-285:Improper Access Control CWE-327:Use of a Broken or Risky Cryptographic Algorithm CWE-259:Hard-Coded Password CWE-732:Insecure Permission Assignment for Critical Resource CWE-330:Use of Insufficiently Random Values CWE-250:Execution with Unnecessary Privileges CWE-602:Client-Side Enforcement of Server-Side Security Source: SANS Institute Saygılar.