نرم‌افزار امن، خيال يا واقعيت؟

IRCRE200904010
با توجه به اينكه كرم Conficker هنوز هم موضوع داغ بسياري از محافل امنيتي است و از طرفي مايكروسافت هم هفته گذشته يك اصلاحيه امنيتي را براي آسيب پذيري هاي متعددي منتشر كرده است، به نظر مي رسد كه خرابكاران، كنترل رايانه هاي موجود در اينترنت را به دست گرفته اند و جنگ را به نفع خود به پيش مي برند، ولي بازي به همين جا ختم نمي شود. در طرف مقابل نيز توسعه دهندگان نرم افزار روز به روز بيشتر به ابزارهاي كمكي جهت ايمن سازي نرم افزارهايشان مجهز مي شوند. همچنين عرضه كنندگان محصولات نرم افزاري نيز به دنبال روشهايي هستند كه نه تنها حفره هاي امنيتي را اصلاح كند بلكه به آنها اطمينان دهد كه نرم افزار از ابتدا داراي حفره هاي امنيتي نيست. در زير نظرات برخي از متخصصين در مورد اين موضوع آورده شده است. آقايDan Geer كه يك متخصص مديريت مخاطرات و كارشناس امنيت اطلاعات است، در اين باره مي گويد:" من فكر مي كنم در حالت كلي صنعت امنيت نرم افزار وضعيت بهتري پيدا كرده است، ولي فاصله اي كه بين بهترين و بدترين وجود دارد، بيشتر شده است." وي براي يكي از بزرگترين شركتهاي سرمايه گذاري در فناوري امنيت اطلاعات كار مي كند. آقايDan Kaminsky مدير بخش تست رخنه پذيري در IOActive عقيده دارد كه Conficker خسارات بسيار كمتري را در سال 2009 نسبت به آنچه كه در سال 2003 مي توانست به بار بياورد، پديد آورده است. به نظر وي، در آن زمان ويروسها بسيار راحت تر مي توانستند ويندوز را از كار بيندازند. در يكي از بزرگترين همايشهاي دنياي امنيت رايانه، يعني كنفرانس RSA ، كه از دوشنبه 31 فروردين ماه در سانفرانسيسكو آغاز به كار كرده است، متخصصان همچنان به دنبال دستيابي به جام مقدس يا همان نرم افزار عاري از آسيب پذيري امنيتي هستند. در كنفرانسهاي پيشين RSA، مايكروسافت دائماً به علت تعداد زياد حفره هاي امنيتي نرم افزارهايش، مورد اعتراض منتقدان قرار مي گرفت. به همين دليل در سال 2002، مايكروسافت بخشي به نام Trustworthy Computing را براي تمركز بر روي بحث امنيت در دنياي رايانه، تأسيس كرد. هفت سال بعد، سرمايه گذاري مذكور به بار نشست و در كنفرانس اخير RSA مايكروسافت طي گزارشي اعلام كرد، تعداد حفره هاي امنيتي در نسخه هاي جديد محصولاتش بسيار كمتر از گذشته هستند و ضعفهاي پيشين در سيستم عاملهايش به صورت كلي برطرف شده اند. همچنين در گزارش مذكور آمده است كه بدترين نرم افزارهاي كاربردي از لحاظ امنيتي، نرم افزارهاي مبتني بر وب بوده اند. بنا بر اظهارات مايكروسافت، سهم آسيب پذيري هاي ويندوز ويستا در نيمه دوم سال 2008 در مقايسه با كل آسيب پذيري هاي مايكروسافت در مدت مشابه، 5.5 درصد بوده است. همچنين سيستم هاي با ويندوز ويستا 60 درصد كمتر از سيستمهاي با ويندوز XP دچار آلودگي شده اند. آقاي Steve Lipner مدير بخش استراتژي مهندسي امنيت در گروه Trustworthy Computing مايكروسافت مي گويد: " امنيت ذاتاً يك مسئله پيچيده است و براي همه شركتها رسيدن به حد كمال در اين زمينه بسيار مشكل است. چيزي كه براي ما مهم است، كاهش درصد آسيب پذيري هايي است كه در محصولات شركت هاي اصلي توليد كننده نرم افزار وجود دارد و همچنين كاهش تعداد كلي آسيب پذيري ها است كه در گزارش ذكر شده است."

ابزارهاي بهتر، اشتباهات كمتر
مايكروسافت پروسه SDL يا Security Development Lifecycle را كه در بررسي امنيتي نرم افزارهايش مورد استفاده قرار مي دهد، به صورت يك دستورالعمل در آورده است تا ديگر توليد كننده هاي نرم افزار نيز بتوانند از آن استفاده كنند. سال گذشته مايكروسافت شروع به قرار دادن ابزارهاي رايگان SDL بر روي وب سايتش كرد تا ديگر توسعه دهندگان نرم افزار نيز بتوانند به ارزيابي و تحليل طراحي نرم افزارهايشان پرداخته و به دنبال ضعفهاي امنيتي در آنها بگردند. رئيس بخش تحقيقات امنيت در موسسه امنيتي SANS مي گويد: " از آنجايي كه ابزارهاي مخصوص نوشتن كدهاي امن بهتر از قبل شده اند، توسعه دهندگان نرم افزار نيز كمتر دچار اشتباه مي شوند." البته مايكروسافت تنها حامي نرم افزار نويسان نيست و ديگران نيز در اين راه قدمهاي خوبي برداشته اند. براي مثال، HP نيز يك ابزار رايگان را براي پيدا كردن حفره هاي امنيتي در نرم افزارهاي فلش ارائه كرده است و اخيراً ابزار ديگري را براي كساني كه در مباحث امنيتي خبره نيستند، معرفي كرده كه براي بررسي هاي امنيتي به كار مي رود. شركت IBM نيز ابزاري را براي توسعه دهندگان نرم افزارهاي فلش و Ajax به فروش مي رساند. همچنين هفته گذشته وب سايت CERT نيز ابزار رايگاني به نام Dranzer را براي بررسي كدهاي ActiveX ارائه كرده است. اخيراً مايكروسافت نسخه جديد يك ابزار كد آزاد را به نام exploitable Crash Analyzer منتشر كرده است كه پروسه تشخيص آسيب پذيري هاي قابل سوءاستفاده را در حين توسعه نرم افزار بسيار ساده ساخته است. يكي از متخصصان در اين زمينه مي گويد: " من فكر نمي كنم تا به حال براي توسعه دهندگان نرم افزاري كه تخصصي در زمينه امنيت ندارند، تشخيص آسيب پذيري ها و نقص هاي امنيتي كه منجر به سوءاستفاده خرابكاران مي شود، به اين سادگي بوده باشد."

چالش توسعه دهندگان نرم افزار
آقاي Gary McGraw مدير ارشد فناوري (CTO) در شركت مشاوره امنيتي Cigital هفته گذشته مقاله اي را منتشر كرده است كه در آن وضعيت توسعه پردازه هاي امن را در شركتهاي بزرگ توليد كننده نرم افزار مانند مايكروسافت، گوگل، Adobe و چندين شركت اصلي ديگر بررسي كرده است. اين شركتها رده بندي شده و نمره هايي به آنها اختصاص يافته كه محرمانه هستند. به هرحال طبق اين رده بندي شركتها مي توانند جايگاه خود را در اين زمينه پيدا كنند. مدلي نيز در مقاله پيشنهاد شده است كه Building Security in Maturity Model نام گرفته و براي توليد محصولات امن طراحي شده است. آقاي McGraw ابراز مي دارد: "به نظر من امنيت روز به روز مهمتر و مهمتر مي شود و خبر خوب اينست كه ما واقعاً در حال پيشرفت هستيم." به نظر وي در حال حاضر ابزارهاي خوبي وجود دارند ولي توسعه دهندگان نرم افزار اغلب آموزش كافي را نديده اند. در يك بررسي كه توسط Forrester انجام و در RSA منتشر شده، كشف شده است كه تنها 34 درصد كمپاني ها يك چرخه حيات جامع براي توليد نرم افزار دارند كه مسائل امنيتي را نيز در نظر گرفته است و در مقابل نيز 57 درصد سازمانها داراي برنامه سيستماتيك آموزش امنيت براي توسعه دهندگان نرم افزارهايشان نيستند. در مقاله فوق، مفهومي به نام "Software Security Street Fighting " يا "دعواي خياباني امنيت نرم افزار" معرفي شده است كه منظور از آن امتناع توسعه دهندگان نرم افزار از به كارگيري تكنيكهاي پيچيده اي است كه بدون آنها حفره هاي امنيتي به راحتي ايجاد مي شوند. به عقيده نويسنده مقاله توسعه دهندگان نرم افزار كار بسيار سختي پيش رو دارند و نمي توانند برنده واقعي باشند چرا كه آنها همواره و در تمام لحظات بايد درست كار كنند، در حالي كه يك مهاجم كافي است كه تنها يك بار درست عمل كند. در نهايت Kaminsky كسي كه حفره امنيتي DNS را كشف كرد، عقيده دارد كه بحث امنيت فراتر از يك شركت به تنهايي و حتي فراتر از دولتها است و براي تأثير گذار بودن در زمينه امنيت نرم افزارها همه بايد دست به دست هم بدهند و با هم همكاري كنند.