本文发表于《大众科学》的前博客网络,反映了作者的观点,不一定反映《大众科学》的观点
对网络安全的担忧似乎与网络本身一样普遍,无论是中国发动网络战的能力,美国公用事业和其他关键基础设施在线攻击的脆弱性,还是谷歌最近努力弥补其新的Buzz社交网站中的安全漏洞。 在过去的几年里,那些保护他们的计算机和网络免受黑客攻击的人一直在追赶他们资金越来越充足且组织严密的对手。
一些计算机安全专家认为,确保计算机安全的最佳方法是编写不易被病毒、蠕虫和其他黑客技巧攻破的软件。为此,系统管理员、审计、网络、安全 (SANS 研究所) 周二发布了其 年度列表,列出了导致安全漏洞、网络间谍和网络犯罪的 25 个最危险的编程错误。 SANS 是位于马里兰州贝塞斯达的一个合作研究和教育组织,也提供计算机安全培训,它在政府计算机承包商 MITRE 公司以及二十多位学者、安全供应商和政府机构的帮助下编制了该列表。
关于支持科学新闻
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻事业 订阅。 通过购买订阅,您正在帮助确保有关塑造我们当今世界的发现和想法的具有影响力的故事的未来。
虽然对于没有软件编写经验的人来说,列表中的大部分内容是难以理解的——例如,最常见的编程错误是 “未能保留网页结构”——但其目的是让程序员思考如何在允许软件与互联网交互之前加强他们的软件代码。 用外行的话来说,未能保留网页结构(有时称为“跨站脚本”)意味着为互联网编写的软件(例如网站的主页)在与互联网上的其他软件交互时过于信任。 这将使恶意软件(恶意程序)能够将病毒或间谍软件嵌入到该主页中。 一旦完成,访问该页面的人可能会在不知不觉中感染病毒或在其计算机上安装间谍软件。 如果主页的编写方式拒绝接受包含可执行程序(例如 Flash)的数据,则恶意软件可能无法工作。
像周二发布的列表这样的列表并非没有批评者,他们主要指出,关注软件缺陷只是安全问题的一部分。 软件安全咨询公司 Cigital 的首席技术官 Gary McGraw 在给《大众科学》的电子邮件中写道:“构建安全软件不仅仅是找出 25 个错误。” McGraw 直言不讳地反对他所谓的“通用……错误游行列表”。 他曾在过去的博客中写道,许多缺乏足够计算机安全专家的企业需要优先考虑安全问题,而不是系统地修复所有软件问题。
在其他安全新闻中,一些软件和网络安全供应商在乔治城大学的帮助下,于周二在华盛顿特区举办了一场模拟网络攻击,名为 网络冲击波。 在模拟期间,一个由前高级政府和国家安全官员组成的两党小组——包括前国土安全部部长迈克尔·切尔托夫和前国家情报总监约翰·内格罗蓬特——将扮演美国总统内阁成员的角色,他们的任务是向总统提供建议并对袭击做出回应。 参与者事先不知道 сценарий,预计会根据情报和新闻报道推动模拟,实时对威胁做出反应,从而阐明在面对不断发展且通常看不见的威胁时,必须如何做出艰难的瞬间决定。
图片来源:©iStockphoto.com/ Vladimir Mucibabic