De zeven zonden van veilige software

Vergelijkbare documenten
Ik neem u graag mee in een zoektocht naar de bron van datalekken, aan de hand van voorbeelden uit de praktijk. Ik werk namelijk bij SIG en daar

Deep Code Visibility to Strengthen the. Software Your Business Depends On. Veilige software lukt nog niet. Wat nu?

Grip op Secure Software Development de rol van de tester

Implementatie privacy by design in de praktijk

Keynote: Gevaren van zowel het GSM als het Wi-Fi netwerk

Security Assessment. Laat uw bedrijfsbeveiliging grondig testen

Taco Schallenberg Acorel

Een toekomst in de cloud? Stefan van der Wal - Security Consultant ON2IT

Secure Software Alliance

Belastingdienst MCC Visie op mobiel en interactie met burgers en bedrijven

ANOUK ROUMANS TO CODE OR NOT TO CODE.

Factsheet SECURITY CONSULTANCY Managed Services

WHITEPAPER. Security Assessment. Neem uw security serieus en breng het tot een hoger niveau. networking4all.com / whitepaper / security assessments

EasyAccess 2.0 Handleiding. Maak een Domain aan

4 redenen om toegang tot online. applicaties te centraliseren

Frontend performance meting

PDF hosted at the Radboud Repository of the Radboud University Nijmegen

Dennis Reumer 9 Oktober

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.

Testnet Presentatie Websecurity Testen "Hack Me, Test Me" 1

Factsheet SECURITY DESIGN Managed Services

Master Of Code voor haar opdrachtgevers

Factsheet SECURITY SCANNING Managed Services

Factsheet APPS Mirabeau

01/05. Websites Nederland over. Mobile marketing. Whitepaper #03/2013. Mabelie Samuels internet marketeer

Technische data. Versie dec

Introductie Veiligheidseisen Exploiten Conclusie. Browser security. Wouter van Dongen. RP1 Project OS3 System and Network Engineering

We helpen u security-incidenten te voorkomen

Databeveiligingsmaatregelen voor verenigingen

Informatiebeveiliging & Privacy - by Design

Responsive web applicaties op Oracle

Factsheet DATALEKKEN COMPLIANT Managed Services

Th!nk mobile. Op Zig logisch. Menno Ouweneel Marketingmanager. Twitter: mouweneel Skype: menno_ouweneel

Factsheet SECURITY SCANNING Managed Services

Maak kennis met. donderdag 19 november 2015

URBAN SCIENCE. Professor Nanda Piersma Michael Hogenboom

De app wordt volwassen kansen en valkuilen. Opening en voorstelronde Overzicht CIP CIP en NORA CIP FG-enquête Ontwikkelingen app

Introductie. Inspired Collaboration. Working SMARTer, not harder BYOD in je onderwijspraktijk. April 22, Sessie BYOD Digo

GETTING THE BEST OUT OF YOUR SOURCE CODE FIT TEST VOOR UNIFACE

Training en workshops

Factsheet Crowd Testen

Verzamelde vragen en antwoorden Agile Applicatie ontwikkeling. Agile Methodiek en Technologie. Zest Application Professionals

Forecast XL Technology

Software Test Plan. Yannick Verschueren

PUBLICATIE INFORMATIE TRIMBLE ACCESS SOFTWARE. Versie Revisie A December 2013

Grip op Secure Software Development

Visie op co-sourcing

PayPal. Ervaar vandaag de betaalmogelijkheden van morgen

Deny nothing. Doubt everything.

Doe de bughunt! Een vorm van Exploratory testing. Rob van Steenbergen Klaas-Durk Toonen

De brug tussen requirement engineer en gebruiker

INTRODUCTIE

Continuous Requirements Engineering

Meldplicht datalekken

ipad integratie in het onderhoud

Keuzedeel mbo. Veilig programmeren. gekoppeld aan één of meerdere kwalificaties mbo. Code

Wat te doen tegen ransomware

VANDAAG. Introductie Sharewire Mobiele landschap Wat betekent dit voor u!

Paphos Group Risk & Security Mobile App Security Testing

Mobile Devices, Applications and Data

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

Software Test Document

Waarom Cloud? Waarom nu? Marc Gruben April 2015

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

ideal Vandaag en morgen

Tooling voor de HR-cyclus

What happened in Vegas?

Smartphones onder vuur

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

Solution Dag refresh-it. Printing. Frits de Boer Frenk Tames

Software Test Plan. PEN: Paper Exchange Network Software Engineering groep 1 (se1-1415) Academiejaar

General info on using shopping carts with Ingenico epayments

Handleiding MFA instellen op NIET Movares machine

DevSecOps Een buzzword of toch een noodzakelijke stap richting Secure DevOps?

Remcoh Mobile Device beheer. Remcoh legt uit

Security Pentest. 18 Januari Uitgevoerde Test(s): 1. Blackbox Security Pentest 2. Greybox Security Pentest

Firewall van de Speedtouch 789wl volledig uitschakelen?

Continuous testing in DevOps met Test Automation

Leeftijdcheck (NL) Age Check (EN)

Gerust aan het werk MET ALLE INFORMATIE OVER ONZE CLOUD WERKPLEK.

Test rapportage Waarom eigenlijk?

Continuous Requirements Engineering

HANDLEIDING EXTERNE TOEGANG CURAMARE

E-book. 5 aandachtspunten bij de selectie van een tool voor de HR-cyclus

FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 25/2/2016. Biocide CLOSED CIRCUIT

Zest Application Professionals Training &Workshops

V I R U S S E N versie 1f 19 juni 2013 Deel 1 Deel 2 Deel 3 Deel 4 Deel 5 Deel 6

Checklist informatieveiligheid. 12 januari versie 1.1

Round Table - Case Gemeente Eindhoven

Security assessments. het voor- en natraject. David Vaartjes

Bereik meer! Met mobiel adverteren 2014 >>

Bereik meer! Met mobiel adverteren 2013 >>

IaaS als basis voor maatwerkoplossingen

MASTERCLASS MOBILE DEVICE SECURITY CLOUD COMPUTING, SMARTPHONES, EN SECURITY

Hoe overleven in een wereld van cyberspionage, hackers en internetoplichters? Jan Verhulst

Security NS. Onno Wierbos, Barry Schönhage, Marc Kuiper

10 onderdelen die niet mogen ontbreken in een online briefing

PRIVACY POLICY. I. Algemeen

Hoe werkt Drostenburg met Social Schools een nieuwe manier om met ouders te communiceren

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging

Transcriptie:

De zeven zonden van veilige software Met als dieptepunt de mobiele app Rob van der Veer principal consultant SIG 23 juni 2016 Blackhat Sessions GETTING SOFTWARE RIGHT

Even voorstellen Rob van der Veer Principal consultant Software Improvement Group > SIG meet softwarekwaliteit > SIG adviseert daarover > SIG is een spin-off van de UVA > 100 FTE > Internationaal HHHHI r.vanderveer@sig.eu @robvanderveer +31 6 20437187 www.sig.eu/security SIG headquarters in Amsterdam Page 2 of 22

Inhoudsopgave 1 Onmatigheid 2 Jaloezie 3 Lust 4 Hoogmoed 5 Hebzucht 6 Toorn 7 Gemakzucht 8 Wat kunnen we eraan doen? Pagina 3 van 22

Onmatigheid We maken meer software dan we aankunnen(*) > 12 miljoen software ontwikkelaars > 120 miljard regels code in een jaar > 15% daarvan moet het jaar daarna worden aangepast > Met 1,8 miljoen nieuwe ontwikkelaars Gevolg: > Alleen reactief onderhoud > Innovatie staat onder druk > Kwaliteit leidt en dat maakt het probleem alleen maar groter > Systemen lopen vast en worden kwetsbaar of lekken gegevens (*) Why you need to know about code maintainability Tobias Kuipers Pagina 4 van 22

Pagina 5 van Y

F I N D T H E F L A W int tls1_process_heartbeat(ssl *s) { /* controlled by user */ unsigned char *p = &s->s3->rrec.data[0], *pl; unsigned int payload; unsigned int padding = 16; /* Use minimum padding */... /* The first two bytes of p represent the length of the * payload and is put in variable payload */ n2s(p, payload); pl = p;... unsigned char *buffer, *bp; buffer = OPENSSL_malloc(1 + 2 + payload + padding); bp = buffer;... /* Enter response type, length and copy payload */ bp++ = TLS1_HB_RESPONSE; /* Puts payload length in two bytes of bp. */ s2n(payload, bp); /* Copies payload-length of pl to bp */ memcpy(bp, pl, payload);...

Onmatigheid en mobiele apps? Mobiele apps zijn notoir onveilig Wachtwoorden staan ín de app, Certificaten worden niet gecontroleerd etc etc. Arxan onderzoek 126 apps: 90% kwetsbaar voor minimaal 2 van de OWASP top 10 Public Sector Bank India: geen certificate pinning, client-side only session time outs en je kon rekeningnummers veranderen Ariel Sanchez (2014): Miserabele security in 60 bankier-apps Wendera Smartwire labs: alle 10 populare zakelijk apps kwetsbaar op 5 van de 28 punten en geen van alleen gaan goed met privacy om Hoe komt dat? > App bouwers zijn gewend om kleine simpele dingen te maken, dus als het dan oud en groot wordt.. > Maar dat is niet het enige. Pagina 7 van 22

Jaloezie Ik wil ook een app net als de anderen! > Ik wil niet achterblijven > Ieder zichzelf respecterend > Klanten verwachten het > Ik wil concurreren op gebruiksgemak en features. Mijn managers willen het nog meer! > Betere online dienstverlening > De klant helpt zichzelf kostenbesparing Gevolg: security concessies > Snel! Time to market. Haast! > Gebruiksgemak over security Pagina 8 van 22

Lust Ik wil zelf iets moois bouwen! > Niet volstaan met een mobiele website > Geen hybride app. Native! > Geen platform gebruiken > Ik wil zelf iets zelf voortbrengen not invented here > Iets moois > Met de allerlaatste technieken Gevolg: gouden koets met kwetsbaarheden > Over-investering > Eigen Knutsel Crypto e.d. Pagina 9 van 22

Hoogmoed Ik heb een unieke app nodig! > Mijn diensten vergen een unieke oplossing > Maatwerk, want dat kunnen we prima zelf > Mijn gebruikers hebben 1.000 dingen nodig > Testen en toetsen? Ha, dat doen ontwikkelaars die het niet de eerste keer goed kunnen Gevolg: gouden koets met kwetsbaarheden Pagina 10 van 22

Hebzucht Verzamel big data > Data is kennis en macht, toch? > Gebruikersgegevens kunnen we later wel weer exploiteren Gevolg: je zit op een bom > Wat je verzamelt moet je beschermen > GDPR > Mobiele apps hebben toegang tot een zee aan nuttige informatie > Privacygevoelige informatie: ip-adres, Wifinaam, thuisadres, contacten, gps locatie Runkeeper deelde gps met advertentiebefrijf Onderzoek Troy Hunt: Paypal stuurt huisadres e.d. bij inloggen. Veel niet versleuteld. Pagina 11 van 22

Toorn Waarom vertel je mij niet precies wat je verwacht? Ik verwacht professionaliteit! Pagina 12 van 22

Security is belangrijk maar er is veel aan de hand HEBZUCHT JALOEZIE TOORN LUST ONMATIGHEID Pssstt.. security? HOOGMOED Pagina 13 van 22

Gemakzucht Gemakzucht, misschien wel de moeder van alle software zonden > Security verdient veel aandacht maar er zijn zoveel andere prikkels > Security/kwaliteit kun je niet goed zien en you can t control what you don t measure. > Er is te weinig dialoog tussen bouwers en opdrachtgevers. Veel hoop en weinig controle. > Vaak pas getest als het klaar is Wijzigingen zijn dan 100 keer zo duur (*) Geen tijd om goed te fixen Je kunt niet alles vaststellen met testen > Gevolg: geen security/privacy by design -> incidenten (*) B. Boehm and V. R. Basili. Software defect reduction top 10 list. IEEE Computer, 34:135 137, 2001. Pagina 14 van 22

Er is te weinig dialoog tussen bouwers en opdrachtgevers

Gemakzucht en mobiele apps? Mobiele apps zijn de perfect storm voor slechte security Uit de hand gelopen softwareprojecten Haast, featurecreep Securityconcessies voor gebruiksgemak Eigen knutselwerk Privacygevoelige gegevens binnen handbereik Veel zaken om mee rekening te houden (*)(**) (*) Zie Grip op SSD mobiele eisen: www.cip-overheid.nl/ (**) Zie OWASP Top ten mobile risks Pagina 16 van 22

Veel zaken om mee rekening te houden bij mobiele apps Datacenter Webapplicatie Webbrowser Smartphone Backend Mobiele applicatie > Open verbinding met backend > App-omgeving vijandig: malware, reverse engineering, weinig monitoring en detectie > Geen checks die je met browser wel hebt (bijv. https) > Downloaden van app: appstore threat > Lokale opslag voor onafhankelijkheid verbinding Pagina 17 van 22

Wat kunnen we eraan doen Regel > Maak het vroeg zichtbaar: meet en controlleer volume en kwaliteit van software > Maak daar goede afspraken over (zie Grip op SSD) > Toets niet alleen de requirements (checklist valkuil) Denk na > Vraag je af of je wel een mobiele app wil > Houd het simpel > Respecteer de gevoeligheid van data > Wees voorzichtig met securityconcessies voor gebruiksgemak > Wantrouw de appomgeving en je verbinding, vergeet niet de backend Pagina 18 van 22

Grip op SSD > Samenwerking tussen softwarebouwers, overheid en securityspecialisten vanuit CIP > Producten: Methode handboek SIVA beveiligingseisen (ook mobile) Trainingsmateriaal testers Beveiligingsovereenkomst > Zie cip-overheid.nl Pagina 19 van 22

Hoe zichtbaar maken van security Alle securityrisico s Pentest Code-scantools Codereview * Onderhoudbaarheid Pagina 20 van 22

Codereview vs. Penetratietest Kijken hoe security is ingebouwd vs. Proberen in te breken Pentest Codereview Pagina 21 van 22

Vragen?

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback