Ошибки программирования – причина уязвимости Flash-приложений

Споры о безопасности технологии Adobe Flash разгораются с новой силой. Пытаясь получить несанкционированный доступ к информации на Веб 2.0 сайтах, злоумышленники используют уязвимости Flash-приложений, большая часть которых является результатом ошибок программирования.

Технология защиты Flash-приложений необходима для предотвращения участившихся случаев массовых атак на Веб 2.0 сайты, и разработчиков все чаще призывают уделять пристальное внимание безопасности их продуктов. Откликаясь на эти призывы, компания IBM усовершенствовала утилиту AppScan, дополнив ее возможностью сканировать Flash-приложения.

6-8 февраля 2009 года в Вашингтоне состоялась очередная конференция ShmooCon, на которой выступила член исследовательской группы по вопросам интернет-безопасности, инженер компании HP Праджакта Джагдал (Prajakta Jagdale). В своем докладе 7 февраля она указала наиболее часто встречающиеся уязвимости Flash-приложений, заявив, в частности, что многие разработчики оставляют неинициализированные переменные, что делает возможным кросс-сайтовый скриптинг.

Однако перед конференцией Джагдал сказала: "Существуют общие принципы безопасности, обязательные для всех технологий программирования". По ее словам, множество ошибок безопасности, от проверки ввода данных до жесткой кодировки имени пользователя и паролей в коде клиентского приложения, характерны не только для Flash. В этом году институт SANS организовал группу экспертов, в которую вошли сотрудники более чем 30 организаций, включая Symantec, McAfee и Microsoft. Ее задачей стало создание списка из 25 наиболее опасных ошибок программирования. Опираясь на него, потребитель сможет требовать от производителей программного обеспечения подтвердить отсутствие перечисленных уязвимостей в их продукции.

Таким образом, ответственность за любой ущерб, причиненный этими ошибками, ляжет на плечи производителя.

"По нашему мнению, уже выработаны общие взгляды на ошибки программирования. Пришло время их исправить. Для начала, каждый программист должен иметь возможность убедиться в том, что написанный код не содержит 25 основных ошибок. Для этого ему необходимо предоставить инструменты и технологии их поиска, исправления и предотвращения, после чего можно будет подтвердить безопасность кода с помощью автоматизированных средств", – заявил ранее Мейсон Браун (Mason Brown), директор института SANS.

Независимо от того, потребуют ли потребители сертифицировать безопасность программных продуктов, избежание ошибок, о которых говорили специалисты SANS и упоминала Праджакта Джагдал, позволит избежать многих проблем. Передовой опыт программирования широко освещается информационными источниками. Как заметила Джагдал, компания Adobe Systems предлагает разработчикам множество ресурсов, освещающих проблему создания безопасных приложений: "Перед началом работы над проектом программисту следует ознакомиться с рекомендациями, предоставленными изготовителем".