Os 25 Erros de Programa��o Mais Perigosos

Foi publicado recentemente o CWE/SANS Top 25 Most Dangerous Programming Errors de 2009. Trata-se de uma lista dos erros de programa��o mais significativos que podem conduzir a s�rias vulnerabilidades do software. Estes erros ocorrem com bastante frequ�ncia, e s�o normalmente f�ceis de detectar e de explorar. A perigosidade deste tipo de erros deve-se ao facto de permitirem frequentemente que atacantes consigam assumir o controlo do software, roubar dados, ou impedir completamente o funcionamento do software.

A lista dos 25 erros de programa��o mais perigosos foi elaborada com base na colabora��o entre o SANS Institute, a MITRE, e um grande n�mero de especialistas em seguran�a de software, tanto nos Estados Unidos, como na Europa. O objectivo da publica��o da lista de erros, segundo os respons�veis, � evitar as vulnerabilidades na fonte, alertando os programadores para poderem eliminar os erros mais comuns antes do software ser entregue ao cliente final.

Ao mesmo tempo que pretende ajudar as empresas e profissionais que desenvolvem software a evitar as vulnerabilidades mais comuns que afectam a ind�stria de software, a publica��o da lista de erros tamb�m pretende ser uma ferramenta para os clientes finais (consumidores de software), na medida em que estes poder�o utilizar o conhecimento dos erros para exigirem software mais seguro.

Por outro lado, os gestores de software poder�o utilizar a lista de erros como uma refer�ncia para avaliarem os seus progressos quanto � seguran�a do software que est� sob a sua responsabilidade.

Divis�o em tr�s categorias

Os 25 erros de programa��o mais perigosos foram divididos por tr�s categorias:

Interac��o insegura entre componentes;
Gest�o de recursos incerta;
Defesas perme�veis.�

A primeira categoria (interac��o insegura entre componentes) inclui erros relacionados com formas inseguras de envio e recep��o de dados entre componentes, m�dulos, programas, threads, ou sistemas separados.

A segunda categoria (gest�o de recursos incerta) engloba erros relacionados com situa��es em que o software n�o gere de forma adequada a cria��o, utiliza��o, transfer�ncia, ou destrui��o de recursos de sistema importantes.

A terceira e �ltima categoria (defesas perme�veis) est� relacionada com t�cnicas defensivas que s�o frequentemente mal utilizadas, adulteradas, ou simplesmente ignoradas.

Os tr�s artigos desta newsletter de Janeiro de 2009 seguem esta segmenta��o por categorias, com os respectivos t�tulos a reflectirem cada uma delas. Evidentemente, n�o quisemos colocar em portugu�s todo o relat�rio, pelo que nos ficamos pela caracteriza��o dos 25 erros de uma forma mais abreviada. Quem quiser aprofundar a quest�o, dever� visitar os sites das entidades respons�veis pelo trabalho (referidas atr�s) ou ir directamente � fonte (http://cwe.mitre.org/top25/).

A consulta do relat�rio integral ser� �til porque fornece orienta��es para prevenir e mitigar cada erro, al�m de indicar outros erros e padr�es de ataque relacionados com cada um dos principais erros da lista.

Baseado no relat�rio ?2009 CWE/SANS Top 25 Most Dangerous Programming Errors? de 12 de Janeiro de 2009.

Topo

Agenda

Destaques