Kerroimme noin kuukausi sitten CWE-luokitustunnuksista (Common Weakness Enumeration), joita käytämme myös asiakkaillemme toimittamissamme raporteissa.

Tunnuksien ylläpitäjä MITRE Corporation on yhdessä SANS-instituutin kanssa luonut vuoden alussa CWE/SANS Top 25 Most Dangerous Programming Errors -luettelon, joka listaa 25 vaarallisinta ohjelmointivirhettä. Listaa kokoamassa on ollut hyvin huomattava määrä turva-alan yrityksiä ja toimijoita, mm. NSA ja Yhdysvaltain sisäisen turvallisuuden virasto DHS.

Uusi dokumentti julkaistaan aina vuosittain ja se myös päivittyy matkan varrella. Uusimmat muutokset koskevat ns. lieventämiskeinoja sekä hyökkäystapojen kuvausta. Dokumentissa käytetään myös uusimman CWE 1.4 -version mukaisia nimiä. Lisäksi Mitre kertoo lisänneensä CWE-sivustolle useita uusia esimerkkejä, jotka havainnollistavat ohjelmointivirheen luonnetta.

Itse Top 25 -dokumentti sijaitsee helposti muistettavassa osoitteessa cwe.mitre.org/top25/.

SHA-1-algoritmin (Secure Hash Algorithm) purkamisessa on otettu hiljattain uusia edistysaskelia. Algoritmin julkaisu juontaa juurensa jo vuoteen 1995, jolloin NSA julkisti algoritmin.

Purussa tarvitaan nyt luvun 252 verran operaatioita. Loppukesällä 2005 lukema oli vielä 263. Uuden tutkimuksen ovat julkaisseet australialaiset Cameron McDonald, Philip Hawkes ja Josef Pieprzyk.

Differential Path for SHA-1 with complexity O(252) -niminen dokumentti PDF-muodossa on ladattavissa täällä.

Algoritmin seuraajan julkaisua on joka tapauksessa odoteltava vielä muutama vuosi.