Các lập trình viên phần mềm bị kêu về hầu hết các cuộc tấn công không gian mạng

Softwaredevelopers are to blame for most cyberattacks, say security experts

By Emily Long 02/16/2010

Theo:http://www.nextgov.com/nextgov/ng_20100216_8606.php

Bài được đưa lênInternet ngày: 16/02/2010

Lờingười dịch: Các lỗi lập trình là thủ phạm chính gâyra các cuộc tấn công không gian mạng và chúng cần phảiđược tiệt trừ tận gốc. Để làm được việc này,một dự án đã được tạo ra, được sự ủng hộ củacả Cơ quan An ninh Quốc gia và Bộ An ninh Quốc nội Mỹcả về tài chính. Không rõ với các mã nguồn mà đóngthì ai có thể xem xét được nhỉ???

Các lập trình viênphần mềm phải được tính tới vì các lỗi lập trìnhmà chúng cho phép các cuộc tấn công không gian mạng, cácquan sát viên an ninh nói hôm thứ ba.

Các lỗi lập trìnhđằng sau hầu hết các lỗi an ninh chính và tội phạmkhông gian mạng, bao gồm cả những cuộc tấn công gầnđây vào Google, theo một danh sách 25 lỗi hàng đầu đãđược đưa ra bởi Viện SANS, một tổ hợp nghiên cứu,và hãng MITRE, một tổ chức công nghệ phi lợi nhuận. Bổsung vào những xếp hạng mới nhất, các chuyên gia đãcông bố những chuẩn mới cho ngôn ngữ hợp đồng cómục đích bảo vệ những người mua phần mềm khởi chịutrách nhiệm về lỗi lập trình.

“Gần như mỗi cuộctấn công được phép bởi các lỗi mà các lập trìnhviên làm mà chúng cung cấp một chỗ để bíu tay cho nhữngkẻ tấn công”, Alan Paller, giám đốc về nghiên cứu tạiViện SANS đã viết trong một thư điện tử. “Cách duynhất mà những lỗi lập trình có thể được tiễu trừtận gốc là bằng việc làm cho các tổ chức phát triểnphần mềm có trách nhiệm pháp lý về những lỗi này. Vàrằng chỉ có thể được thực hiện nếu có nơi chốnan toàn hơn. Công bố này hôm thứ ba là sự thành lậpcho nơi chốn an toàn”.

Danh sách này xếphạng các lỗi thiết kế và lập trình dựa trên sự phổbiến và tầm quan trọng. Nó cũng bao gồm các thông tin vềcác chiến lược làm dịu để giúp các lập trình viêngiảm nhẹ được hoặc hạn chế được những điểmyếu.

“Phiên bản đượccập nhật của CWE/SANS Top 25 tiếp tục sẽ là một nguồnthông tin hữu dụng cho các lập trình viên và những ngườisử dụng mã nguồn”, Dan Wolfe, giám đốc của Nhóm Bảohiểm Phần mềm, một nhóm chuyên về việc xác định vàgiảm nhẹ các rủi ro do phần mềm gây ra. “Việc xếphạng những điểm yếu của mã nguồn theo tầm quan trọngvà tính khắc nghiệt giúp tập trung vào thảo luận giữacác lập trình viên và các khách hàng của họ về nhữngvấn đề mà có vấn đề nhất. Đặt tài liệu này vàothực tế hàng ngày sẽ cải thiện được an ninh nóichung của phần mềm mà tất cả chúng ta đều sử dụngtrong những nỗ lực từ ngày này sang ngày khác của chúngta”.

Các đại diện từ28 tổ chức, bao gồm các cơ quan chính phủ, các viện hànlâm, các công ty công nghệ và các nhà cung cấp phần mềm,đều có trong danh sách này. Cơ quan An ninh Quốc gia đãủng hộ dự án này, và Bộ phận An ninh không gian mạngquốc gia của Bộ An ninh Quốc nội đã cung cấp tài chínhhỗ trợ.

Softwaredevelopers should be accountable for programming errors that enablecyberattacks, security observers said on Tuesday.

Programmingerrors are behind most major security bugs and cyber crime, includingrecent attacks on Google, according to a new list of the top 25 techmistakes released by the SANS Institute, a research cooperative, andMITRE Corp., a nonprofit technology organization. In addition to thelatest rankings, acquisition experts announced new standards forcontract language aimed at protecting software buyers f-rom being heldresponsible for faulty code.

"Nearlyevery attack is enabled by mistakes programmers make that provide ahandhold for attackers," wrote Alan Paller, director of researchat SANS Institute in an e-mail. "The only way programming errorscan be eradicated is by making software development organizationslegally liable for the errors. And that can only be done if there isa safe harbor. The announcement on Tuesday is the foundation for thesafe harbor."

Thelist ranks programming and design errors based on prevalence andimportance. It also includes information on mitigation strategies tohelp developers reduce or eliminate weaknesses.

"Theup-dated version of the CWE/SANS Top 25 continues to be a usefulsource of information for code developers and consumers," saidDan Wolfe, director of the Software Assurance Consortium, a groupdedicated to identifying and reducing risks posed by software. "Itsranking of code weaknesses by severity and importance helps focus thediscussion between developers and their customers on those issuesthat matter the most. Putting this document into everyday practicewill improve the overall security of the software we all utilize inour day-to-day efforts."

Representativesf-rom 28 organizations, including government agencies, academicinstitutions, technology companies and software vendors, collaboratedon the list. The National Security Agency backed the project, and theHomeland Security Department's National Cybersecurity Divisionprovided financial support.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com