'Software pas in 2020 beter gewapend tegen hackers'
Het maandelijks updaten van allerlei programma's en nieuwskoppen over gehackte websites zullen voorlopig nog niet verdwijnen, aangezien veiligere software en webapplicaties pas over 5 a 10 jaar gemeengoed zullen zijn. Dat zegt Jim Manico, Vicepresident Security Architecture bij WhiteHat Security in een interview met Security.NL
Vorig jaar werden er weer duizenden beveiligingslekken in zowel programma's als websites ontdekt, vaak veroorzaakt doordat programmeurs niet veilig programmeren. Ondanks het belang van veilige code en veilige programma's, staat veilig programmeren bij zowel programmeurs als de bedrijven die ze inhuren vaak niet op de agenda, merkt Manico op.
Om het probleem te begrijpen is het belangrijk naar de 'levenscyclus' van een programmeur te kijken. Die cyclus begint bij de opleiding van de programmeur, als hij bijvoorbeeld informatica studeert. "Maar weinig universiteiten geven zelfs basale les over encryptie of veilig programmeren voor programmeurs", stelt Manico.
Na de studie gaan de programmeurs aan de slag bij bedrijven. "Ze krijgen dan te maken met programmeertalen als Java, dat niet over ingebouwde security beschikt, en moeten ze frameworks als Struts en Ruby on Rails gebruiken, die standaard niet veilig zijn."
Het bedrijf geeft de programmeurs vervolgens de eisen voor het ontwikkelen van programma's of webapplicaties. "En zelden krijgen ze security-voorschriften en maar weinig bedrijven testen de code of applicatie op security." Daarnaast willen de meeste bedrijven liever dat de programmeurs hun werk zo snel als mogelijk afmaken, dan dat ze perfecte code schrijven.
De reden dat we elke maand allerlei programma's moeten patchen en er databases met persoonlijke gegevens worden gestolen ligt dan ook in het feit dat programmeurs nooit geleerd wordt om veilig te programmeren en dat ze geen voorschriften en tijd krijgen om veilig te programmeren. "Ze kunnen nooit winnen. Daarom zitten we in de huidige situatie", aldus Manico.
Verandering
Toch zijn er dingen aan het veranderen, gaat hij verder. Het zijn steeds vaker de applicaties die worden aangevallen en meer en meer bedrijven willen dat hun programmeurs veilig kunnen programmeren. Volgens Manico zou de wereld over 5 a 10 jaar vanuit het standpunt van app-security een stuk veiliger moeten zijn.
Voor bedrijven die niet tot 2020 willen wachten, adviseert Manico om security in de vereisten voor een programma of webapplicatie mee te nemen. "Vroeg beginnen is vaak het goedkoopst." Het gaat dan om het valideren van de input van gebruikers, de opslag van wachtwoorden en toegangscontrole.
Ook is het belangrijk om zo vroeg mogelijk in het proces de meeste basale dingen te omschrijven die een programmeur moet doen om een veilige applicatie op te leveren. Manico erkent dat er een probleem is met deze aanpak, aangezien bedrijven moeten weten wat voor security-eisen ze moeten stellen, en daarnaast moeten de programmeurs in staat zijn om die uit te voeren. "We moeten programmeurs dan ook trainen" is zijn antwoord.
Het gaat dan niet alleen om programmeurs die al een baan hebben, maar ook die nog studeren. Door studenten veilig te leren programmeren kunnen universiteiten ervoor zorgen dat hun studenten een voorsprong op de rest hebben. "Universiteiten moeten hun studenten veilig leren programmeren", pleit Mancio.
Ook de frameworks waar programmeurs mee werken, zoals Ruby, Struts en .NET moeten meer security-controls krijgen die programmeurs kunnen gebruiken.
Wie denkt dat over 5 of 10 jaar kwetsbare programma's tot het verleden behoren heeft het echter mis besluit Manico. "Software zal altijd bugs bevatten en er zullen altijd beveiligingsproblemen zijn."
Maar zolang dit soort berichten verschijnen hebben we nog een lange weg te gaan. https://www.security.nl/artikel/47025/1/Microsoft%3A_codekloppers_moeten_veiliger_programmeren.html
Ja dit of je stopt met Windows. Dan ben je morgen al verlost
en zolang er gebruikers gemoeid zijn bij het inlezen van input (cough, klikken op een link email bijv?, cough) zal je altijd een risico lopen.
Dit willen die managers niet horen, maar dit is echt hét probleem.
Heel vaak wordt MS afgezeken als ze een paar bugs hebben zitten in bijvoorbeeld Windows, maar dat is dus zwaar onterecht, want die bugs zitten daar door de veel te krappe deadlines.
En als je een project goed opzet, dan kun je bijvoorbeeld best een "junior" wat componenten laten bouwen (aan de hand van een design) en dat een "senior" de security in het project regelt.
Je kunt een junior echt niet meteen bestoken met security-info e.d., want dan verzuipt diegene in de informatie.
als Jim Manico even aangeeft waar de desbetreffende knelpunten in de frameworks zitten, dan is er volgende week een nieuwe update made by the community.
"Security" binnen software ontwikkeling, klinkt echt veel spannender dan het in werkelijkheid is.
Web security of security functies in libraries is weer een andere tak van sport.
Een beetje IT opleiding geeft al best veel mee wat betreft veiligheid. Daarnaast is er genoeg aan opleidingen te doen... Mijns inziens moeten opdrachtgevers meer prio geven aan de kwaliteit. Hoewel ik besef dat dit lastig te realiseren is in tijden van crisis.
Maar verantwoordelijkheid ... tja daar kan je nog wel een poosje over pingpongen ... eindconclusie zou misschien te bepalen zijn als elk bedrijf gelijk zou zijn .. (niet dus)
heeft .
ja ik neem meteen aan dat de software dan beter is techniek heet zoiets
maar beter bestand tegen ?ik betwijfel het het is en blijft mensenwerkt
het blijft een wedren tussen boefjes en beveiligers
ook de quantum encryptie waar men weleens over filosofeerd zal vast wel mee te knoeien zijn als ik een guantum computer heb om te ver-cijferen zal een boefje er vast weleen hebben die kan ont-cijferen
op linux gebaseerd. Daar is ook al gruwelijk veel mail-ware voor geschreven
ik denk werkelijk dat het niet veel uitmaakt welk besturings systeem u gebruikt
De gebruiker is Meestal de zwakste schakel
linux is ondaks dat er al heel veel distro,s geschreven zijn voor de "normale sterveling "toch een beetje voor de gevorderden minder als vroeger maar toch .
en nee absoluut geen fan van windows ik gebruik vanalles .van andriode tot windows zeg maar
en zo nu en dan een live cd van 1 of andere linux distro
Wat heeft het een met het ander te maken, laat staan dat het elkaar versterkt. Integendeel lijkt me. Door de crisis zijn zoveel mensen werkloos. Daaruit vind je ontgetwijk mensen die kwaliteit kunnen verbeteren en zodanig kunnen programmeren dat ook de veiligheid de nodige aandacht (en meer!) krijgt die ze verdient.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Senior securityspecialist
Agentschap Telecom
De cyberveiligheid van Nederland valt of staat met veilige producten, diensten en processen. Agentschap Telecom houdt Nederland veilig verbonden. Binnenkort krijgen wij een nieuwe taak als toezichthouder op cybercertificeringen. Jouw professionaliteit als senior securityspecialist en pioniersgeest zijn essentieel om deze nieuwe unit succesvol op poten te zetten.
Certified Secure LIVE Online
Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!
Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!
Neem contact met ons op voor de mogelijkheden voor jouw team.