Un documento pubblicato dal SANS Institute riassume i 25 più pericolosi errori di programmazione che possono favorire attacchi, di vario genere, da parte dei “cybercriminali”. L’elenco è stato stilato con la collaborazione reciproca di più di 30 aziende che operano nel settore della sicurezza o comunque nell’IT.
Ciò che più sorprende, come spiega, il SANS è che la maggior parte degli errori non sono ben compresi da parte di chi sviluppa software. Basti pensare che soltanto due degli errori descritti nel documento, di pubblica consultazione, sarebbero responsabili di oltre 1,5 milioni di attacchi – sferrati nel corso del 2008 – nei confronti di siti web.
“Sembra che tutti concordino pressoché unanimamente sulla natura e sulla tipologia dei principali errori di programmazione in grado di causare gravi problematiche di sicurezza“, commenta il direttore di SANS, Mason Brown. “Adesso è giunto il momento di correggere tali errori. Come primo obiettivo dobbiamo accertarci che il maggior numero di programmatori possibile sappia come scrivere codice sicuro“.
I vari errori di programmazione (in questa pagina vengono complessivamente giudicati dalle aziende che hanno partecipato alla stesura del documento informativo) sono stati suddivisi in tre macrocategorie: bug che provocano un’insicura interazione tra componenti software, rischiosa gestione delle risorse ed utilizzo di difese facilmente aggirabili. Per ciascun errore, viene indicata anche la semplicità nell’individuazione dello stesso, i costi per la risoluzione del problema, la frequenza di attacchi ed il livello di conoscenza generale del problema da parte degli aggressori.