Нови секюрити сертификати на SANS – кой ще се смее последен?

Категория: Информационна Сигурност
Етикети:
Силвия Хаджикръстева
18.5.2007
Обединението на най-големите технологични потребители и доставчици, организирано от Института SANS, ще въведе първата по рода си програма за тестване и сертифициране на софтуерни специалисти. Тя е с фокус върху идентифицирането на пропуските в техните знания и умения в областта на сигурността. Тези тестове ще предоставят на работодателите и конкурентни предимства чрез назначаването на онези професионалисти, които успешно са демонстрирали способностите си в сферата на сигурността. Първите пилотни изпити ще се проведат на 15 август във Вашингтон и са отворени за специалисти от цял свят.

Изисквания на тестовете
Изпитът ще се проведе чрез проверка на уменията по езиците за програмиране C/C++, Java/J2EE, Perl/PHP и .NET/ASP. Тестът ще бъде съставен по начин, който не дава възможност на програмистите да намерят съответните отговори в учебниците.

Изпитите ще се наблюдават от преподаватели от колежи и университети. Резултатите ще бъдат обявени като "издържал/не издържал" и с реално постигнатите точки.

Ще бъдат подготвени три различни варианта на тестовете с цел да не се допусне изтичане на информация. Те ще бъдат съставени по начин, който ще даде възможност да се оценят уменията в избягването на три типа грешки в кодирането. Първата е пропускане да се провери определен параметър. Втората е код, който причинява препълване на буфера. Третата грешка при кодирането е основният фактор, който позволява инсталирането на софтуер от типа adware и spyware. Анализът на над 7000 уязвимости в сигурността, открити само през 2006 г., показва, че повечето от тях е можело лесно да бъдат забелязани, ако са били използвани техники, неизискващи особено голяма експертиза. Това е мнението на Стийв Кристи, редактор на програмата CVE, която поддържа наблюдението на всички видове уязвимости от името на федералното правителство на САЩ. Според него този анализ само доказва необходимостта от сертификационна програма за софтуерните специалисти.

В търсене на по-добро решение
Седемдесет процента от Web сайтовете показват cross-site уязвимости, казва Майкъл Сътън, специалист по сигурността в SPI Dynamics.

Хакерите, занимаващи се с писане именно на подобни кодове, използват сайтовете, които изискват от потребителя въвеждане на лична информация. Сross-site формата може да се използва за скриване на злонамерени JavaScript кодове.

Експертите по сигурността, които участват в конференцията на Института SANS, единодушно подкрепят идеята за създаване на достатъчно сложни тестове за сертифициране на програмистите.

Иновативни дейности
Програмата за тестване и сертифициране, създадена под ръководството на SANS, има голям потенциал, но първо трябва да се докаже нейната ефективност, смята Алън Палър, директор проучвания в SANS. "Още никой не е изявил желание за прилагане на тази програма, преди да се е убедил, че е добра - подчертава той. - Но същевременно вече 320 организации – колежи и университети с преподаване на програмиране, са обявили, че ще я използват."