Verslag lezing Rob van der Veer

'De zeven zonden van veilige software '

Spreker Rober van der Veer, Software Improvement Group

In zijn presentatie legt Rob een verband tussen de 7 zonden en de dingen die we doen die ons weerhouden om veilige software te schrijven. Hij noemt hierbij mobiele apps als dieptepunt  Alle zonden zijn hierin terug te vinden. Gelukkig geeft hij ook tips zodat we hier iets aan kunnen doen.

 

 

 

 

 

  1. Onmatigheid: Mobiele apps zijn erg onveilig. Je kunt ze makkelijk reverse engineeren, er staan vaak hardcoded wachtwoorden in en 90% is kwetsbaar voor minstens 2 kwetsbaarheden uit de OWASP top 10.
  1. Jaloezie: Vaak gehoorde redenen om een app te ontwikkelen zijn dat bedrijven niet achter willen blijven, dat klanten het verwachten en dat op die manier beter geconcurreerd kan worden. Ook lijken managers er gevoelig voor te zijn. Een betere dienstverlening, kostenbesparing (de klant kan zelf meer doen). Met als gevolg security concessies, het moet snel opgeleverd worden en gebruikersgemak wordt belangrijker dan security.
  1. Lust: Ontwikkelaars willen graag zelf apps vanaf scratch bouwen volgens de laatste technieken. Dit is leuker dan een mobiele website. Het gevolg hiervan is dat er een gouden koets ontstaat met veel kwetsbaarheden, zoals slecht geïmplementeerde cyrpto.
  1. Hoogmoed: Onze code is niet kwetsbaar, het heeft geen security-test nodig!
  1. Hebzucht: Er wordt erg veel big data verzameld, data is kennis en macht! Maar wat je verzamelt moet je ook beschermen. Er wordt snel veel privacygevoelige informatie verzameld, bijvoorbeeld IP-adressen, wifinamen, GPS-informatie.
  1. Toorn: Er ontstaat boosheid wanneer een klant professionaltiet verwacht van een software ontwikkelaars, maar er onvoldoende is afgesproken over wat de eisen exact zijn (bijvoorbeeld: “het moet veilig zijn”). Het gevolg is dat ontwikkelaars niet goed weten wat er van hen verwacht wordt.
  1. Gemakzucht: Security wordt vaak als minder belangrijk beschouwd. De business en directe resultaten zijn belangrijker. Een pentest wordt gedaan wanneer een project is afgerond. Wijzigingen aan het eind van een project zijn veel lastiger te implementeren en daardoor kostbaarder. Een test vindt niet alles. Daarom het advies: implementeer security by design, gebruik code scantools, doe code reviews en zorg dat software onderhoudbaar is.

Om de dialoog tussen ontwikkelaars en opdrachtgevers te verbeteren, is door SIG in samenwerking met diverse andere organisaties het document “Grip op Secure Software Developent (SSD)” samengesteld. Dit document biedt o.a. methoden om de eisen van software goed vast te leggen zodat ontwikkelaars meer duidelijkheid hebben wat er verwacht wordt.

Ook zou het ontwikkelproces meer en vroeger inzichtelijk gemaakt moeten worden. Meet en controleer het volume en de kwaliteit van de software. Maak goede afspraken. Toets niet alleen de requirements (de valkuil van een checklist). Documenteer regels en best practices om risico's te vinden in systemen. Maak het haalbaar om code te reviewen.

En over mobiele apps: denk goed na of dit echt is wat je wilt. En zo ja, hou het simpel. Respecteer de gevoeligheid van data en wees voorzichtig met security concessies voor gebruikersgemak. Wantrouw de app omgeving en verbinding en vergeet de backend niet. Wees voorzichtig met het zelf bouwen en ga met een professionele organisatie in zee om de app te ontwikkelen, is het devies van Rob.

@Secura 2017
Disclaimer  /  Privacy policy  /  Sitemap / Inloggen
Webdesign Studio HB / webdevelopment Medusa