Achtergrond
image

'Software pas in 2020 beter gewapend tegen hackers'

maandag 15 juli 2013, 10:09 door Redactie, 13 reacties

Het maandelijks updaten van allerlei programma's en nieuwskoppen over gehackte websites zullen voorlopig nog niet verdwijnen, aangezien veiligere software en webapplicaties pas over 5 a 10 jaar gemeengoed zullen zijn. Dat zegt Jim Manico, Vicepresident Security Architecture bij WhiteHat Security in een interview met Security.NL

Vorig jaar werden er weer duizenden beveiligingslekken in zowel programma's als websites ontdekt, vaak veroorzaakt doordat programmeurs niet veilig programmeren. Ondanks het belang van veilige code en veilige programma's, staat veilig programmeren bij zowel programmeurs als de bedrijven die ze inhuren vaak niet op de agenda, merkt Manico op.

Om het probleem te begrijpen is het belangrijk naar de 'levenscyclus' van een programmeur te kijken. Die cyclus begint bij de opleiding van de programmeur, als hij bijvoorbeeld informatica studeert. "Maar weinig universiteiten geven zelfs basale les over encryptie of veilig programmeren voor programmeurs", stelt Manico.

Na de studie gaan de programmeurs aan de slag bij bedrijven. "Ze krijgen dan te maken met programmeertalen als Java, dat niet over ingebouwde security beschikt, en moeten ze frameworks als Struts en Ruby on Rails gebruiken, die standaard niet veilig zijn."

Het bedrijf geeft de programmeurs vervolgens de eisen voor het ontwikkelen van programma's of webapplicaties. "En zelden krijgen ze security-voorschriften en maar weinig bedrijven testen de code of applicatie op security." Daarnaast willen de meeste bedrijven liever dat de programmeurs hun werk zo snel als mogelijk afmaken, dan dat ze perfecte code schrijven.

De reden dat we elke maand allerlei programma's moeten patchen en er databases met persoonlijke gegevens worden gestolen ligt dan ook in het feit dat programmeurs nooit geleerd wordt om veilig te programmeren en dat ze geen voorschriften en tijd krijgen om veilig te programmeren. "Ze kunnen nooit winnen. Daarom zitten we in de huidige situatie", aldus Manico.

Verandering
Toch zijn er dingen aan het veranderen, gaat hij verder. Het zijn steeds vaker de applicaties die worden aangevallen en meer en meer bedrijven willen dat hun programmeurs veilig kunnen programmeren. Volgens Manico zou de wereld over 5 a 10 jaar vanuit het standpunt van app-security een stuk veiliger moeten zijn.

Voor bedrijven die niet tot 2020 willen wachten, adviseert Manico om security in de vereisten voor een programma of webapplicatie mee te nemen. "Vroeg beginnen is vaak het goedkoopst." Het gaat dan om het valideren van de input van gebruikers, de opslag van wachtwoorden en toegangscontrole.

Ook is het belangrijk om zo vroeg mogelijk in het proces de meeste basale dingen te omschrijven die een programmeur moet doen om een veilige applicatie op te leveren. Manico erkent dat er een probleem is met deze aanpak, aangezien bedrijven moeten weten wat voor security-eisen ze moeten stellen, en daarnaast moeten de programmeurs in staat zijn om die uit te voeren. "We moeten programmeurs dan ook trainen" is zijn antwoord.

Het gaat dan niet alleen om programmeurs die al een baan hebben, maar ook die nog studeren. Door studenten veilig te leren programmeren kunnen universiteiten ervoor zorgen dat hun studenten een voorsprong op de rest hebben. "Universiteiten moeten hun studenten veilig leren programmeren", pleit Mancio.

Ook de frameworks waar programmeurs mee werken, zoals Ruby, Struts en .NET moeten meer security-controls krijgen die programmeurs kunnen gebruiken.

Wie denkt dat over 5 of 10 jaar kwetsbare programma's tot het verleden behoren heeft het echter mis besluit Manico. "Software zal altijd bugs bevatten en er zullen altijd beveiligingsproblemen zijn."

Reacties (13)
15-07-2013, 11:37 door Duck-man
Programmeren is als op een laboratorium werken. Van af de eerste dag is veiligheid van belang. Bij alles wat je doet moet je nadenken of je wel veilig bezig bent en of het misschien veiliger kan. Dit begint al in de opleiding. Bij veel lab medewerkers zit dit in de genen. Dan moet dit voor ICTers toch ook gelden. of niet soms?
Maar zolang dit soort berichten verschijnen hebben we nog een lange weg te gaan. https://www.security.nl/artikel/47025/1/Microsoft%3A_codekloppers_moeten_veiliger_programmeren.html
Ja dit of je stopt met Windows. Dan ben je morgen al verlost
15-07-2013, 11:48 door Mindfart
[admin] Graag on-topic reageren [/admin]
15-07-2013, 13:16 door Anoniem
misschien moeten mensen zich realiseren dat programmeurs die exploits bouwen ook niet echt achtelijk zijn.

en zolang er gebruikers gemoeid zijn bij het inlezen van input (cough, klikken op een link email bijv?, cough) zal je altijd een risico lopen.
15-07-2013, 18:56 door steve sh1t
Het grootste probleem is natuurlijk: veel te strakke deadlines.

Dit willen die managers niet horen, maar dit is echt hét probleem.

Heel vaak wordt MS afgezeken als ze een paar bugs hebben zitten in bijvoorbeeld Windows, maar dat is dus zwaar onterecht, want die bugs zitten daar door de veel te krappe deadlines.

En als je een project goed opzet, dan kun je bijvoorbeeld best een "junior" wat componenten laten bouwen (aan de hand van een design) en dat een "senior" de security in het project regelt.
Je kunt een junior echt niet meteen bestoken met security-info e.d., want dan verzuipt diegene in de informatie.

als Jim Manico even aangeeft waar de desbetreffende knelpunten in de frameworks zitten, dan is er volgende week een nieuwe update made by the community.

"Security" binnen software ontwikkeling, klinkt echt veel spannender dan het in werkelijkheid is.
16-07-2013, 00:09 door [Account Verwijderd]
[Verwijderd]
16-07-2013, 09:15 door Anoniem
Security is geen add-on. Het hoort intrinsiek te zijn. Zeker in een taal als C waar buffer overruns/underruns, integer wrapping i.c.m. ongecontroleerd een format volgen een belangrijke rol spelen.

Web security of security functies in libraries is weer een andere tak van sport.
16-07-2013, 09:22 door Mysterio
Softwareontwikkeling is vaak een project. Met projecten heb je te maken met middelen, kwaliteit en tijd. Al te vaak ligt de nadruk (of de druk) op tijd en middelen (geld, FTE en zo) en gelooft men de kwaliteit wel. Onder kwaliteit valt een aantal vereisten wat betreft de veiligheid van de software. Hanteer je het minimale, dan moet je geen wonderen verwachten van de robuustheid van de veiligheid.

Een beetje IT opleiding geeft al best veel mee wat betreft veiligheid. Daarnaast is er genoeg aan opleidingen te doen... Mijns inziens moeten opdrachtgevers meer prio geven aan de kwaliteit. Hoewel ik besef dat dit lastig te realiseren is in tijden van crisis.
16-07-2013, 12:53 door schele
Eindconclusie obv bovenstaande: je kunt niet de verantwoordelijkheid voor de veiligheid bij programmeurs leggen. Zij dienen daar attent op te zijn en moeten secure coding toepassen waar mogelijk maar de eindverantwoordelijkheid hoort hoger te liggen. Nu zie je een CIO of DPO met genoeg tijd en middelen enkel bij de grote jongens maar gezien de volledige digitalisering van de laatste tijd zul je toemoeten naar een dedicated security team/persoon/rol die bij ieder IT bedrijf aanwezig moet zijn.
16-07-2013, 14:36 door spatieman
tot die tijd, zijn ook de haxerz veul schlimmer geworden hoor...
17-07-2013, 15:15 door d4mn
Door spatieman: tot die tijd, zijn ook de haxerz veul schlimmer geworden hoor...
Indeed, 2020 weten ze hoe ze de problemen van nu moeten beveiligen :)

Maar verantwoordelijkheid ... tja daar kan je nog wel een poosje over pingpongen ... eindconclusie zou misschien te bepalen zijn als elk bedrijf gelijk zou zijn .. (niet dus)
06-08-2013, 20:34 door Anoniem
tja ik mag inderdaad hopen dat men de huidige problemen dan inderdaad gefixed heeft maar ik vindt het nogal een dappere uitspraak men doet nu namelijk de aanname dat men dan nog steeds met de software van deze tijd te maken
heeft .
ja ik neem meteen aan dat de software dan beter is techniek heet zoiets
maar beter bestand tegen ?ik betwijfel het het is en blijft mensenwerkt
het blijft een wedren tussen boefjes en beveiligers
ook de quantum encryptie waar men weleens over filosofeerd zal vast wel mee te knoeien zijn als ik een guantum computer heb om te ver-cijferen zal een boefje er vast weleen hebben die kan ont-cijferen
06-08-2013, 20:46 door Anoniem
Duckman met alle respect denkt u eens aan androide,
op linux gebaseerd. Daar is ook al gruwelijk veel mail-ware voor geschreven
ik denk werkelijk dat het niet veel uitmaakt welk besturings systeem u gebruikt
De gebruiker is Meestal de zwakste schakel
linux is ondaks dat er al heel veel distro,s geschreven zijn voor de "normale sterveling "toch een beetje voor de gevorderden minder als vroeger maar toch .
en nee absoluut geen fan van windows ik gebruik vanalles .van andriode tot windows zeg maar
en zo nu en dan een live cd van 1 of andere linux distro
08-08-2013, 13:52 door Patio
Mysterio schreef: meer prio geven aan de kwaliteit. Hoewel ik besef dat dit lastig te realiseren is in tijden van crisis.

Wat heeft het een met het ander te maken, laat staan dat het elkaar versterkt. Integendeel lijkt me. Door de crisis zijn zoveel mensen werkloos. Daaruit vind je ontgetwijk mensen die kwaliteit kunnen verbeteren en zodanig kunnen programmeren dat ook de veiligheid de nodige aandacht (en meer!) krijgt die ze verdient.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search