Kerroimme noin kuukausi sitten CWE-luokitustunnuksista (Common Weakness Enumeration), joita käytämme myös asiakkaillemme toimittamissamme raporteissa.

Tunnuksien ylläpitäjä MITRE Corporation on yhdessä SANS-instituutin kanssa luonut vuoden alussa CWE/SANS Top 25 Most Dangerous Programming Errors -luettelon, joka listaa 25 vaarallisinta ohjelmointivirhettä. Listaa kokoamassa on ollut hyvin huomattava määrä turva-alan yrityksiä ja toimijoita, mm. NSA ja Yhdysvaltain sisäisen turvallisuuden virasto DHS.

Uusi dokumentti julkaistaan aina vuosittain ja se myös päivittyy matkan varrella. Uusimmat muutokset koskevat ns. lieventämiskeinoja sekä hyökkäystapojen kuvausta. Dokumentissa käytetään myös uusimman CWE 1.4 -version mukaisia nimiä. Lisäksi Mitre kertoo lisänneensä CWE-sivustolle useita uusia esimerkkejä, jotka havainnollistavat ohjelmointivirheen luonnetta.

Itse Top 25 -dokumentti sijaitsee helposti muistettavassa osoitteessa cwe.mitre.org/top25/.

SHA-1-algoritmin (Secure Hash Algorithm), tarkemmin SHA-1-tiivistefunktion purkamisessa on otettu hiljattain uusia edistysaskelia. Mistään aivan tuoreesta algoritmistahan ei nyt puhuta, sillä SHA-1:n julkaisu juontaa juurensa jo vuoteen 1995, jolloin NSA julkisti algoritmin.

Purussa tarvitaan nyt luvun 2^52 verran operaatioita. Loppukesällä 2005 lukema oli vielä 2^63. Uuden tutkimuksen ovat julkaisseet australialaiset Cameron McDonald, Philip Hawkes ja Josef Pieprzyk.

Differential Path for SHA-1 with complexity O(252) -niminen dokumentti PDF-muodossa on ladattavissa täällä.

SHA-1:n seuraajan julkaisua on joka tapauksessa odoteltava vielä muutama vuosi.