Gli esperti di sicurezza di quasi una quarantina di organizzazioni, tra le quali compaiono aziende come Microsoft, Oracle, EMC ed Apple, hanno congiuntamente stilato una classifica che elenca i 25 errori di programmazione più deleteri per la sicurezza dei sistemi informatici.
L’elenco, alla cui redazione hanno collaborato il Department of Homeland Security, la National Security Agency, SANS Institute e MITRE , prende in considerazione errori molto comuni quali la mancata verifica del tipo e della quantità di dati in input (spesso causa dei cosiddetti buffer overflow ), l’utilizzo di algoritmi crittografici fallati, la non corretta disattivazione o rilascio di certe risorse di sistema (che possono portare alla saturazione di CPU o memoria ed esporre un sistema ad attacchi di denial of service), l’esecuzione di un’operazione o di un programma con privilegi non necessari, la mancata cancellazione delle password predefinite da applicazioni e firmware.
Sebbene si tratti di errori molto noti, SANS afferma che costituiscono l’85% di tutte le vulnerabilità di sicurezza che affliggono Internet: vulnerabilità spesso contenute in web browser, media player, sistemi operativi, siti web ecc. La lista non si limita ad elencare i problemi, ma fornisce anche suggerimenti e soluzioni su come prevenirli, eliminarli o mitigarli.
Le aziende che hanno preso parte al progetto si sono altresì impegnate a stilare guide da distribuire nelle scuole e nelle università, così da formare i giovani sviluppatori su come scrivere codice più sicuro.
Robert A. Martin, capo ingegnere presso MITRE, ha spiegato che diversi membri dell’industria vorrebbero creare una certificazione che garantisca che un certo software non contenga gli errori contemplati dalla lista. L’iniziativa appare però utopistica: difficile pensare che aziende come Microsoft e Oracle, i cui sviluppatori scrivono ogni anno tonnellate di codice, siano disposte a fornire ai clienti garanzie di questo genere. E tuttavia vero che, negli ultimi anni, tali aziende hanno messo a punto tecniche di verifica automatica del codice più efficaci, generalmente capaci di rilevare la maggior parte dei bug di sicurezza più comuni.
Una cosa è certa: la sicurezza del software influenza ormai in modo più o meno diretto la sicurezza stessa dei paesi, in misura direttamente proporzionale al grado di sviluppo dell’IT nelle istituzioni e nelle imprese, e per tale motivo è divenuta, per molti governi, una priorità assoluta. Proprio nelle scorse settimane il Governo americano ha emesso un’ordinanza che, entro il prossimo 4 febbraio, obbliga tutte le agenzie federali a configurare i propri PC sulla base di un modello predefinito, chiamato Federal Desktop Core Configuration ( FDCC ): questo modello, applicabile a Windows XP e Vista, contiene circa 300 diverse impostazioni di sistema. Lo scopo è quello di standardizzare tutti i PC utilizzati negli uffici pubblici e governativi su una configurazione pensata per minimizzare le vulnerabilità e ridurre la superficie di attacco.
Ieri Panda Security ha pubblicato un almanacco dei virus del 2008 in cui afferma che, lo scorso anno, su Internet sono circolati circa 15 milioni di malware. La stragrande maggioranza di queste minacce sfrutta proprio gli errori di programmazione segnalati nella succitata classifica.
“Tra i mesi di gennaio ed agosto del 2008, è stato rilevato un numero di malware pari alla somma dei 17 anni precedenti, e questa tendenza continuerà o, addirittura, subirà un incremento nei prossimi mesi”, si legge nel rapporto diffuso da Panda.