本文發表於《大眾科學》的前部落格網路,反映了作者的觀點,不一定反映《大眾科學》的觀點
對網路安全的擔憂似乎與網路本身一樣普遍,無論是中國發動網路戰的能力,美國公用事業和其他關鍵基礎設施線上攻擊的脆弱性,還是谷歌最近努力彌補其新的Buzz社交網站中的安全漏洞。 在過去的幾年裡,那些保護他們的計算機和網路免受駭客攻擊的人一直在追趕他們資金越來越充足且組織嚴密的對手。
一些計算機安全專家認為,確保計算機安全的最佳方法是編寫不易被病毒、蠕蟲和其他駭客技巧攻破的軟體。為此,系統管理員、審計、網路、安全 (SANS 研究所) 週二釋出了其 年度列表,列出了導致安全漏洞、網路間諜和網路犯罪的 25 個最危險的程式設計錯誤。 SANS 是位於馬里蘭州貝塞斯達的一個合作研究和教育組織,也提供計算機安全培訓,它在政府計算機承包商 MITRE 公司以及二十多位學者、安全供應商和政府機構的幫助下編制了該列表。
關於支援科學新聞
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞事業 訂閱。 透過購買訂閱,您正在幫助確保有關塑造我們當今世界的發現和想法的具有影響力的故事的未來。
雖然對於沒有軟體編寫經驗的人來說,列表中的大部分內容是難以理解的——例如,最常見的程式設計錯誤是 “未能保留網頁結構”——但其目的是讓程式設計師思考如何在允許軟體與網際網路互動之前加強他們的軟體程式碼。 用外行的話來說,未能保留網頁結構(有時稱為“跨站指令碼”)意味著為網際網路編寫的軟體(例如網站的主頁)在與網際網路上的其他軟體互動時過於信任。 這將使惡意軟體(惡意程式)能夠將病毒或間諜軟體嵌入到該主頁中。 一旦完成,訪問該頁面的人可能會在不知不覺中感染病毒或在其計算機上安裝間諜軟體。 如果主頁的編寫方式拒絕接受包含可執行程式(例如 Flash)的資料,則惡意軟體可能無法工作。
像週二釋出的列表這樣的列表並非沒有批評者,他們主要指出,關注軟體缺陷只是安全問題的一部分。 軟體安全諮詢公司 Cigital 的首席技術官 Gary McGraw 在給《大眾科學》的電子郵件中寫道:“構建安全軟體不僅僅是找出 25 個錯誤。” McGraw 直言不諱地反對他所謂的“通用……錯誤遊行列表”。 他曾在過去的部落格中寫道,許多缺乏足夠計算機安全專家的企業需要優先考慮安全問題,而不是系統地修復所有軟體問題。
在其他安全新聞中,一些軟體和網路安全供應商在喬治城大學的幫助下,於週二在華盛頓特區舉辦了一場模擬網路攻擊,名為 網路衝擊波。 在模擬期間,一個由前高階政府和國家安全官員組成的兩黨小組——包括前國土安全部部長邁克爾·切爾托夫和前國家情報總監約翰·內格羅蓬特——將扮演美國總統內閣成員的角色,他們的任務是向總統提供建議並對襲擊做出回應。 參與者事先不知道 сценарий,預計會根據情報和新聞報道推動模擬,即時對威脅做出反應,從而闡明在面對不斷發展且通常看不見的威脅時,必須如何做出艱難的瞬間決定。
圖片來源:©iStockphoto.com/ Vladimir Mucibabic