Die US-amerikanischen SicherheitsexpertInnen des SANS und der Non-Profit-Organisation MITRE haben eine Liste der 25 gefährlichsten Programmierfehler veröffentlicht (CWE/SANS TOP 25 Most Dangerous Programming Errors). Die SicherheitsexpertInnen orten große Gefahren und Probleme, vor allem da sich viele ProgrammiererInnen der möglichen Auswirkungen und auch der Fehler gar nicht im Klaren seien.

Homeland Security, Microsoft und Red Hat

Die SANS-ExpertInnen wurden bei ihrer Arbeit auch vom MitarbeiterInnen der National Security Agency (NSA) und des Department of Homeland Security unterstützt, ebenso von ExpertInnen der US-Unternehmen Microsoft, Oracle, Symantec und Red Hat. Zudem wurden auch einige Universitäten und Forschungseinrichtungen bei der Beurteilung und Auswertung der Fehler inkludiert.

Unterricht nicht darauf ausgelegt

Eine interessante Erkenntnis der gemeinsamen Arbeit war es, dass die meisten ProgrammiererInnen sich der Fehler nicht bewusst waren, so die Experten. An Universitäten würde nicht gelehrt, wie sich Fehler vermeiden lassen. "Wir sind immer wieder überrascht, welche großen Unternehmen wirklich grundlegende Fehler machen", meint Thomas Kristensen, CTO beim an der Expertengruppe beteiligten IT-Sicherheitsunternehmen Secunia.

Große Auswirkungen

Wie groß die Auswirkungen sein können, zeigte die Liste aus dem Vorjahr: Zwei gemeldete Fehler sorgten 2008 für 1,5 Millionen Servereinbrüche. Das SANS möchte mir der Veröffentlichung der Liste das Problembewusstsein der ProgrammiererInnen, der Unternehmen, aber auch der Universitäten fördern. Zudem ist davon auszugehen, dass in Kürze spezielle Testwerkzeuge veröffentlicht werden, die in der Lage sind die 25 Fehler zu erkennen und so die Programmierarbeit zu erleichtern.

"Sicherstellen, dass es jede/r kann"

"Es gibt ein massives Auftreten dieser 25 Programmierfehler", so SANS-Director, Mason Brown, "Nun ist der richtige Zeitpunkt sie zu schließen. Wir müssen sicherstellen, dass jede/r ProgrammiererIn weiß wie man Code schreibt, der diese 25 Fehler nicht enthält."

Statement von NSC und Homeland Security

In einem gemeinsamen Statement meinen das "US Office of the Director of National Intelligence", dabei handelt es sich um die direkten BeraterInnen des US-Präsidenten in Sicherheitsfragen, das National Security Council und das Homeland Security Council: "Wir sind der Meinung, dass die Integrität von Hardware- und Software-Produkten entscheidend ist, was die Cybersicherheit betrifft. Die Erstellung von sicherer Software ist ein fundamentaler Aspekt der System- und Netzwerk-Sicherheit der Behörden und der kritischen nationalen Infrastruktur."

Drei Kategorien

Die SANS-Liste der 25 gefährlichsten Programmierfehler ist in drei Kategorien aufgeteilt. Insecure Interaction Between Components ("Unsichere Interaktion zwischen Komponenten" - 9 Fehler), Risky Resource Management ("Riskante Ressourcenverwaltung" - 9 Fehler) und Porous Defenses ("Durchlässige Sicherheitsvorkehrungen" - 7 Fehler).

Die ExpertInnen haben in diesen Kategorien unterschiedliche Fehler gelistet, so etwa: SQL Injection, Cross-site Scripting oder auch ungenügende Eingabeüberprüfung. In der Liste finden sich zudem auch falsche Berechnungen und "Klassiker" der Verhaltensfehler, wie etwa die Unart heruntergeladenen Code nicht auf dessen Integrität zu prüfen. Auch fest integrierte Passwörter und die Möglichkeit Programme mit unnötigen Rechten auszuführen, werden heftig kritisiert.(red/pte)