המשרד האמריקני לביטחון פנים: כך ניתן למנוע את הפרצות הנפוצות ביותר בתוכנות
מדריך למניעת פרצות שפרסם המשרד הוכן בשיתוף פעולה בינו לבין ארגונים שלא למטרות רווח וחברות מהמגזר הפרטי ● הוא כולל, בין היתר, רשימה של 25 הפרצות המסוכנות ביותר, סקירות מפורטות ודוגמאות לכל סוג של פרצה, השלכות רווחות של כל בעיה, פירוט של רמות החשיפה וסוגי המתקפות וכן דרכים מומלצות לצמצום הסיכונים בכל אחד משלבי הפיתוח של התוכנה
המשרד האמריקני לביטחון פנים פרסם אתמול (ב') מדריך מפורט לחברות תוכנה, ולגופים נוספים שכותבים קוד, ובו הנחיות כיצד למנוע את הפרצות הנפוצות והחמורות ביותר בתוכנות.
המדריך הוכן במסגרת שיתוף פעולה בין ארגון Mitre, שפועל שלא למטרות רווח, ארגון האבטחה SANS Institute ושורה של חברות מהמגזר הפרטי, בהן אפל (Apple) ואורקל (Oracle) לבין החטיבה הלאומית לאבטחה מקוונת במשרד לביטחון פנים של ארצות הברית. הוא כולל רשימה של פרצות נפוצות בתוכנות, שיטה לדירוג פרצות ומסגרת לניתוח סיכונים שמסייעת לקבוע סדרי עדיפויות לפי חומרת הפרצות. כן פורסמה רשימה של 25 הפרצות המסוכנות ביותר בתוכנות.
בין היתר, נכללות במדריך סקירות מפורטות ודוגמאות לכל סוג של פרצה, השלכות רווחות של כל בעיה, פירוט של רמות החשיפה וסוגי המתקפות וכן דרכים מומלצות לצמצום הסיכונים בכל אחד משלבי הפיתוח של התוכנה. מחברי המדריך מקווים שהחומר יסייע למפתחים לקדם את הפעילויות לשיפור האבטחה של הקוד.
אמנם, לא מדובר במדריך הראשון שמפרסם המשרד לביטחון פנים בתחום זה, אך זו הפעם הראשונה שבה מוצעת סקירה עשירה בנתונים ביחס לפרצות השונות, מתוך שאיפה להציע מדריך שימושי יותר.
"הסוכנויות והארגונים יוכלו לנקוט בגישה טקטית כדי להתמודד עם הפרצות", אמר וויל פלגרין, מנהל המרכז לשיתוף מידע בין מדינות וניתוח, במסיבת העיתונאים שנערכה לרגל פרסום המדריך. "אני רואה במדריך כלי ניהולי שמסייע להתמקד באיומים החמורים ביותר ובעלי ההשלכות הנרחבות ביותר".
בראש רשימת האיומים דורגו הפרצות להשתלה של קוד SQL (קרי, SQL injection), שנחשבות לחמורות ביותר בשל אופיין הנפוץ, היכולת לנצל אותן בקלות והתדירות הגבוהה שבה הן מנוצלות בפועל ברחבי רשת האינטרנט. פרצות חמורות נוספות שדורגו בראש הרשימה הן השתלה של פקודות במערכת ההפעלה, גלישת מאגר קלסית ופרצות צולבות מסוג XSS (קרי,Cross site scripting).
המדריך ממחיש את שיתוף הפעולה הגובר בין המשרד האמריקני לביטחון פנים לבין חברות מהמגזר הפרטי בתחום האבטחה המקוונת.
במשרד משתפים פעולה עם חברות מהמגזר הפרטי גם בכל הקשור לגילוי פרצות במערכות והערכת סיכונים. "בין אם היחסים באים לידי ביטוי בשיתוף פעולה ובין אם הם בשיתוף מידע, אין ספק שהיחסים בין הממשל לבין המגזר הפרטי מתרחבים", אמר ג'ואי ג'רזומבק מהמשרד האמריקני לביטחון פנים.
הנה הלינק לרשימה המפורטת: http://cwe.mitre.org/top25/index.html#CWE-89