Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Achtergrond
image

'Software pas in 2020 beter gewapend tegen hackers'

maandag 15 juli 2013, 10:09 door Redactie, 13 reacties

Het maandelijks updaten van allerlei programma's en nieuwskoppen over gehackte websites zullen voorlopig nog niet verdwijnen, aangezien veiligere software en webapplicaties pas over 5 a 10 jaar gemeengoed zullen zijn. Dat zegt Jim Manico, Vicepresident Security Architecture bij WhiteHat Security in een interview met Security.NL

Vorig jaar werden er weer duizenden beveiligingslekken in zowel programma's als websites ontdekt, vaak veroorzaakt doordat programmeurs niet veilig programmeren. Ondanks het belang van veilige code en veilige programma's, staat veilig programmeren bij zowel programmeurs als de bedrijven die ze inhuren vaak niet op de agenda, merkt Manico op.

Om het probleem te begrijpen is het belangrijk naar de 'levenscyclus' van een programmeur te kijken. Die cyclus begint bij de opleiding van de programmeur, als hij bijvoorbeeld informatica studeert. "Maar weinig universiteiten geven zelfs basale les over encryptie of veilig programmeren voor programmeurs", stelt Manico.

Na de studie gaan de programmeurs aan de slag bij bedrijven. "Ze krijgen dan te maken met programmeertalen als Java, dat niet over ingebouwde security beschikt, en moeten ze frameworks als Struts en Ruby on Rails gebruiken, die standaard niet veilig zijn."

Het bedrijf geeft de programmeurs vervolgens de eisen voor het ontwikkelen van programma's of webapplicaties. "En zelden krijgen ze security-voorschriften en maar weinig bedrijven testen de code of applicatie op security." Daarnaast willen de meeste bedrijven liever dat de programmeurs hun werk zo snel als mogelijk afmaken, dan dat ze perfecte code schrijven.

De reden dat we elke maand allerlei programma's moeten patchen en er databases met persoonlijke gegevens worden gestolen ligt dan ook in het feit dat programmeurs nooit geleerd wordt om veilig te programmeren en dat ze geen voorschriften en tijd krijgen om veilig te programmeren. "Ze kunnen nooit winnen. Daarom zitten we in de huidige situatie", aldus Manico.

Verandering
Toch zijn er dingen aan het veranderen, gaat hij verder. Het zijn steeds vaker de applicaties die worden aangevallen en meer en meer bedrijven willen dat hun programmeurs veilig kunnen programmeren. Volgens Manico zou de wereld over 5 a 10 jaar vanuit het standpunt van app-security een stuk veiliger moeten zijn.

Voor bedrijven die niet tot 2020 willen wachten, adviseert Manico om security in de vereisten voor een programma of webapplicatie mee te nemen. "Vroeg beginnen is vaak het goedkoopst." Het gaat dan om het valideren van de input van gebruikers, de opslag van wachtwoorden en toegangscontrole.

Ook is het belangrijk om zo vroeg mogelijk in het proces de meeste basale dingen te omschrijven die een programmeur moet doen om een veilige applicatie op te leveren. Manico erkent dat er een probleem is met deze aanpak, aangezien bedrijven moeten weten wat voor security-eisen ze moeten stellen, en daarnaast moeten de programmeurs in staat zijn om die uit te voeren. "We moeten programmeurs dan ook trainen" is zijn antwoord.

Het gaat dan niet alleen om programmeurs die al een baan hebben, maar ook die nog studeren. Door studenten veilig te leren programmeren kunnen universiteiten ervoor zorgen dat hun studenten een voorsprong op de rest hebben. "Universiteiten moeten hun studenten veilig leren programmeren", pleit Mancio.

Ook de frameworks waar programmeurs mee werken, zoals Ruby, Struts en .NET moeten meer security-controls krijgen die programmeurs kunnen gebruiken.

Wie denkt dat over 5 of 10 jaar kwetsbare programma's tot het verleden behoren heeft het echter mis besluit Manico. "Software zal altijd bugs bevatten en er zullen altijd beveiligingsproblemen zijn."

Security Tip van de Week: houd Windows, Java en Flash up-to-date
Juridische vraag: wie is aansprakelijk voor lekke site?
Reacties (13)
15-07-2013, 11:37 door Duck-man
Programmeren is als op een laboratorium werken. Van af de eerste dag is veiligheid van belang. Bij alles wat je doet moet je nadenken of je wel veilig bezig bent en of het misschien veiliger kan. Dit begint al in de opleiding. Bij veel lab medewerkers zit dit in de genen. Dan moet dit voor ICTers toch ook gelden. of niet soms?
Maar zolang dit soort berichten verschijnen hebben we nog een lange weg te gaan. https://www.security.nl/artikel/47025/1/Microsoft%3A_codekloppers_moeten_veiliger_programmeren.html
Ja dit of je stopt met Windows. Dan ben je morgen al verlost
15-07-2013, 11:48 door Mindfart
[admin] Graag on-topic reageren [/admin]
15-07-2013, 13:16 door Anoniem
misschien moeten mensen zich realiseren dat programmeurs die exploits bouwen ook niet echt achtelijk zijn.

en zolang er gebruikers gemoeid zijn bij het inlezen van input (cough, klikken op een link email bijv?, cough) zal je altijd een risico lopen.
15-07-2013, 18:56 door steve sh1t
Het grootste probleem is natuurlijk: veel te strakke deadlines.

Dit willen die managers niet horen, maar dit is echt hét probleem.

Heel vaak wordt MS afgezeken als ze een paar bugs hebben zitten in bijvoorbeeld Windows, maar dat is dus zwaar onterecht, want die bugs zitten daar door de veel te krappe deadlines.

En als je een project goed opzet, dan kun je bijvoorbeeld best een "junior" wat componenten laten bouwen (aan de hand van een design) en dat een "senior" de security in het project regelt.
Je kunt een junior echt niet meteen bestoken met security-info e.d., want dan verzuipt diegene in de informatie.

als Jim Manico even aangeeft waar de desbetreffende knelpunten in de frameworks zitten, dan is er volgende week een nieuwe update made by the community.

"Security" binnen software ontwikkeling, klinkt echt veel spannender dan het in werkelijkheid is.
16-07-2013, 00:09 door [Account Verwijderd]
[Verwijderd]
16-07-2013, 09:15 door Anoniem
Security is geen add-on. Het hoort intrinsiek te zijn. Zeker in een taal als C waar buffer overruns/underruns, integer wrapping i.c.m. ongecontroleerd een format volgen een belangrijke rol spelen.

Web security of security functies in libraries is weer een andere tak van sport.
16-07-2013, 09:22 door Mysterio
Softwareontwikkeling is vaak een project. Met projecten heb je te maken met middelen, kwaliteit en tijd. Al te vaak ligt de nadruk (of de druk) op tijd en middelen (geld, FTE en zo) en gelooft men de kwaliteit wel. Onder kwaliteit valt een aantal vereisten wat betreft de veiligheid van de software. Hanteer je het minimale, dan moet je geen wonderen verwachten van de robuustheid van de veiligheid.

Een beetje IT opleiding geeft al best veel mee wat betreft veiligheid. Daarnaast is er genoeg aan opleidingen te doen... Mijns inziens moeten opdrachtgevers meer prio geven aan de kwaliteit. Hoewel ik besef dat dit lastig te realiseren is in tijden van crisis.
16-07-2013, 12:53 door schele
Eindconclusie obv bovenstaande: je kunt niet de verantwoordelijkheid voor de veiligheid bij programmeurs leggen. Zij dienen daar attent op te zijn en moeten secure coding toepassen waar mogelijk maar de eindverantwoordelijkheid hoort hoger te liggen. Nu zie je een CIO of DPO met genoeg tijd en middelen enkel bij de grote jongens maar gezien de volledige digitalisering van de laatste tijd zul je toemoeten naar een dedicated security team/persoon/rol die bij ieder IT bedrijf aanwezig moet zijn.
16-07-2013, 14:36 door spatieman
tot die tijd, zijn ook de haxerz veul schlimmer geworden hoor...
17-07-2013, 15:15 door d4mn
Door spatieman: tot die tijd, zijn ook de haxerz veul schlimmer geworden hoor...
Indeed, 2020 weten ze hoe ze de problemen van nu moeten beveiligen :)

Maar verantwoordelijkheid ... tja daar kan je nog wel een poosje over pingpongen ... eindconclusie zou misschien te bepalen zijn als elk bedrijf gelijk zou zijn .. (niet dus)
06-08-2013, 20:34 door Anoniem
tja ik mag inderdaad hopen dat men de huidige problemen dan inderdaad gefixed heeft maar ik vindt het nogal een dappere uitspraak men doet nu namelijk de aanname dat men dan nog steeds met de software van deze tijd te maken
heeft .
ja ik neem meteen aan dat de software dan beter is techniek heet zoiets
maar beter bestand tegen ?ik betwijfel het het is en blijft mensenwerkt
het blijft een wedren tussen boefjes en beveiligers
ook de quantum encryptie waar men weleens over filosofeerd zal vast wel mee te knoeien zijn als ik een guantum computer heb om te ver-cijferen zal een boefje er vast weleen hebben die kan ont-cijferen
06-08-2013, 20:46 door Anoniem
Duckman met alle respect denkt u eens aan androide,
op linux gebaseerd. Daar is ook al gruwelijk veel mail-ware voor geschreven
ik denk werkelijk dat het niet veel uitmaakt welk besturings systeem u gebruikt
De gebruiker is Meestal de zwakste schakel
linux is ondaks dat er al heel veel distro,s geschreven zijn voor de "normale sterveling "toch een beetje voor de gevorderden minder als vroeger maar toch .
en nee absoluut geen fan van windows ik gebruik vanalles .van andriode tot windows zeg maar
en zo nu en dan een live cd van 1 of andere linux distro
08-08-2013, 13:52 door Patio
Mysterio schreef: meer prio geven aan de kwaliteit. Hoewel ik besef dat dit lastig te realiseren is in tijden van crisis.

Wat heeft het een met het ander te maken, laat staan dat het elkaar versterkt. Integendeel lijkt me. Door de crisis zijn zoveel mensen werkloos. Daaruit vind je ontgetwijk mensen die kwaliteit kunnen verbeteren en zodanig kunnen programmeren dat ook de veiligheid de nodige aandacht (en meer!) krijgt die ze verdient.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search

Digitaal monitoren van werknemers op de werkvloer:

13 reacties
Aantal stemmen: 906
Certified Secure
Edward Snowden: How Your Cell Phone Spies on You
01-12-2019 door donderslag

Hij zegt echt een hele hoop, maar er zijn een tweetal punten die ik er uit wil halen: 1. Je telefoon staat pas echt uit als de ...

26 reacties
Lees meer
Juridische vraag: Is de norm 'goed werknemerschap' aan de orde wanneer een werkgever een 2FA-app op de privételefoon verplicht?
27-11-2019 door Arnoud Engelfriet

Als werkgever in een gebied waar met gevoelige persoonsgegevens wordt gewerkt, zie ik mezelf verplicht om 2factor authenticatie ...

49 reacties
Lees meer
Nieuwe provider Freedom Internet zet in op privacy en veiligheid
11-11-2019 door Redactie

Nederland is vandaag een nieuwe internetprovider rijker die zegt zich te zullen inzetten voor privacy, veiligheid en vrijheid. ...

43 reacties
Lees meer
Vacature
Image

CTF/Challenge Developer

Wil jij ook werken bij het leukste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de nieuwste security challenges voor onze klanten en evenementen zoals bijvoorbeeld #CTC2019 en #ECSC2019?

Lees meer
'Ransomware komt voornamelijk binnen via Office-macro'
11-11-2019 door Redactie

Wanneer het over cyberaanvallen gaat worden vaak termen als geavanceerd of geraffineerd gebruikt, maar in de praktijk blijkt ...

30 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2019 Security.nl - The Security Council
RSS Twitter