Deep Code Visibility to Strengthen the. Software Your Business Depends On. Veilige software lukt nog niet. Wat nu?

Vergelijkbare documenten
Implementatie privacy by design in de praktijk

Ik neem u graag mee in een zoektocht naar de bron van datalekken, aan de hand van voorbeelden uit de praktijk. Ik werk namelijk bij SIG en daar

De zeven zonden van veilige software

Grip op Secure Software Development de rol van de tester

Naar een nieuw Privacy Control Framework (PCF)

Secure Software Alliance

ICT GROUP WATER CONGRES 2018 Slimmer omgaan met machines door softwareanalyse

Privacy by Design. De Toekomst. Jaap-Henk Hoepman. Privacy & Identity Lab Radboud University Tilburg University University of Groningen

Informatiebeveiliging & Privacy - by Design

Training en workshops

We helpen u security-incidenten te voorkomen

Data? Informatie? Kennis! Wijsheid!

Het Sebyde aanbod. Secure By Design

Factsheet SECURITY CONSULTANCY Managed Services

Grip op Secure Software Development

DevSecOps Een buzzword of toch een noodzakelijke stap richting Secure DevOps?

PDF hosted at the Radboud Repository of the Radboud University Nijmegen

Deny nothing. Doubt everything.

Stappenplan naar GDPR compliance

Berry Kok. Navara Risk Advisory

Testnet Presentatie Websecurity Testen "Hack Me, Test Me" 1

5W Security Improvement

Factsheet DATALEKKEN COMPLIANT Managed Services

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Een toekomst in de cloud? Stefan van der Wal - Security Consultant ON2IT

EPD in the cloud. Workshop informatieveiligheidsconsulenten FOD VG 5/12/2013

Stappenplan naar GDPR compliance

Cyber Security: door toeval of door design?

Privacy & Data event Johan Rambi 18 Mei 2017

4 redenen om toegang tot online. applicaties te centraliseren

Factsheet SECURITY SCANNING Managed Services

Keuzedeel mbo. Veilig programmeren. gekoppeld aan één of meerdere kwalificaties mbo. Code

GETTING THE BEST OUT OF YOUR SOURCE CODE FIT TEST VOOR UNIFACE

Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin

BLIJVEND STRUCTUREEL TEKORT AAN DIGITAL EXPERTS!

GETTING THE BEST OUT OF YOUR SOURCE CODE MODERNISEREN MET UNIFACE

"Baselines: eigenwijsheid of wijsheid?"

Adding value to test tooling

SIG - GDPR & AVG. cegeka-dsa JANUARI, 2018

Algemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017

Adding value to test tooling

Readiness Assessment ISMS

GDPR-wetgeving & IT-bewustzijn. GDPR-wetgeving & IT-bewustzijn

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

Wat is Cyber Security Management? 3 oktober ISA / Hudson Cybertec Arjan Meijer Security Consultant

Stichting NIOC en de NIOC kennisbank

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.

Tijd voor verandering: Lean Security. Simpeler, sneller, goedkoper, flexibeler en toch effectief

Privacy statement Arch Football

Continuous testing in DevOps met Test Automation

De brug tussen requirement engineer en gebruiker

Digitale Veiligheid 3.0

Security by Design. Security Event AMIS. 4 december 2014

Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken

HET CENTRALE SECURITY PLATFORM

Factsheet SECURITY SCANNING Managed Services

Security NS. Onno Wierbos, Barry Schönhage, Marc Kuiper

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

Het menselijk leven gaat boven alles. Chris C. Schotanus

vastleggen in een samenwerkingsovereenkomst. Deze voeren wij nauwgezet uit. In beide rollen zorgen we dat uw privacy zorgvuldig is beschermd.

FIT TEST 4 MENDIX. Low code & kwaliteit

Virtuele assistent. Break-out sessie. Bart Bellefroid - Product owner

Security Operations Centre (SOC) for Information Assurance

Opleiding PECB IT Governance.

De laatste ontwikkelingen op het gebied van NEN-EN normering de nieuwe norm is compleet

Help, mijn datacenter is gehackt! KPN Security Services / Han Pieterse

GDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering

LIO NOREA bijeenkomst 4 februari 2019

Samen werken aan informatieveiligheid & Privacy. 9 november 2017 PvIB

De gevolgen van de AVG

Impact van de meldplicht datalekken

VERWERKERS- OVEREENKOMST <NAAM BEDRIJF>

BEVEILIGINGSARCHITECTUUR

Wie durft? Kwaliteit rapporteren voor het IT project start! Bart-Jan de Leuw TestNet 10 mei 2011

Auditen van Agile projecten

Zijn de Vlaamse bedrijven in orde met de GDPR?

Continuous Requirements Engineering

NLcom Security Awareness Training. Supported by Webroot

IT Galaxy 2018 ON THE RIGHT TRACK ON THE RIGHT TRACK. Secure by design #PQRITG18 #PQRITG18

STAND VAN ZAKEN VAN DE DIGITALE VAARDIGHEDEN IN BELGIË. 13 November 2012

GDPR voor KVK 6/03/2018

Beoordeling van productkwaliteit met ISO 25010

Curriculum Vitae Ishak Atak. Naam : Ishak Atak Roepnaam : Ishak. Woonplaats : Utrecht Geboorte datum :

Testen als continuous enabler

Opleiding PECB ISO 9001 Quality Manager.

Datalekken (en privacy!)

JOB OPENING OPS ENGINEER

De AVG en het CBS. Max Booleman Functionaris gegevensbescherming van het CBS NORA, 29 mei 2018

Mirabeau Academy LEGAL COMPLIANCE & SECURITY Training

SECURITY UITDAGINGEN 2015

INFORMATIEBEVEILIGING VOOR WEBWINKELS

In 10 stappen voorbereid op de AVG

Information Security Management System ISMS ISO / NEN 7510

Syfadis Suite. LMS & Talent applicatie

Security, Continuïty & Privacy by design. Jaap van der Veen CIO-office DG Belastingdienst

Hoe overleven in een wereld van cyberspionage, hackers en internetoplichters? Jan Verhulst

Algemene verordening gegevensbescherming

Gebruik van cryptografie voor veilige jquery/rest webapplicaties. Frans van Buul Inter Access

BiZZdesign. Bouwen van sterke en wendbare organisaties met behulp van standaarden, methode, technieken en tools. Research & Development

Transcriptie:

Rob van der Veer - Software Improvement Group @robvanderveer r.vanderveer@sig.eu Software Improvement Group Deep Code Visibility to Strengthen the SIG ziet elk jaar de broncode van honderden systemen en ik wil u graag meenemen op een tour langs wat wij tegenkomen als het gaat om security en privacy by design in de software die wij onderzoeken. Uiteraard kan ik de details van onze klanten niet met u delen, vandaar dat ik wil Software Your Business Depends On beginnen met een illustratieve en pijnlijke case uit de actualiteit. Veilige software lukt nog niet. Wat nu?

Dating-site Ashley Madison (ziet u de keurmerken?) werd gehackt door een te eenvoudig VPN wachtwoord: Pass1234, dus security was niet goed, maar daarnaast werd er ook niet goed omgegaan met persoonsgegevens. Adresgegevens en ip-adressen werden onnodig bewaard. Die werden na de lek allemaal gepubliceerd op het internet. Zo konden werkgevers bijvoorbeeld zien wie vanaf werk gebruik had gemaakt van deze site. Een ander Software voorbeeld Improvement is Group de app / OPENBAAR Runkeeper van Nike die de gps lokatie van gebruikers doorspeelde naar diverse advertentiebedrijven, ook als je niet aan het hardlopen was

We zien steeds dezelfde securityfouten Inconsistente autorisatiechecks Verkeerde wachtwoordopslag Zelfgemaakte cryptografie Onvoldoende bescherming tegen SQL injectie en XSS, gekopieerd van StackOverflow Oh ja, dat moeten we nog uitzetten Certificaten wel opvragen maar niet controleren Onvoldoende logging en bescherming daarvan Onversleutelde interne communicatie met wachtwoorden etc. Alle collega s mogen gegevens zien Achterdeur voor onwikkelaars Hoe staat het ervoor met security by design in de praktijk? Welnu, het CPB spreekt in een recent rapport van Marktfalen en dat is ook wat we dagelijks in de kant kunnen lezen en wat wij zien als we systemen onderzoeken

We zien fouten waar je op kunt wachten We zien ook dit: moeilijk aan te passen software waar het wachten is op een nieuwe kwetsbaarheid of een datalek. Daar hoeft dan in principe geen hacker aan te pas te komen: de developer wordt de dreiging. De onderhoudbaarheid van software kan dus ook een securityrisico zijn en het komt regelmatig voor dat we adviseren een systeemonderdeel op te schonen of zelfs opnieuw te ontwikkelen.

We zien ook steeds dezelfde privacyfouten Onnodig gegevens verzamelen Gegevens niet echt verwijderen Niet aggregeren Gegevens te lang bewaren Persoonsgegevens centraliseren Overanonimiseren Externe partijen vertrouwen Persoonsgegevens op veel plekken gebruiken, zonder link Onderschatten van anonimiseren Gevoelige gegevens in debuginfo Een derde categorie van issues heeft te maken met privacy, maar het is geen security: onnodig veel risico creëren op het gebied van persoonlijke gegevens. Er zijn vaak goede redenen voor, zoals software-engineering principes en business intelligence, maar wat we veel zien ontbreken is een goede afweging. Nu volgt een toelichting op de relatie tussen security en privacy zoals wij die zien, op basis van ISO25010 en ISO 29100.

Softwarekwaliteit (ISO 25010) & Privacy (ISO 29100) Privacy (ISO/IEC 29100 ) Reliability Compatibility Usability Data Minimisation Lawfulness and Consent Performance Efficiency Software Quality Characteristics ISO 25010 Security Personal data handling Security Individual rights and Data Quality Functional Suitability Maintainability Accountability and compliance Purpose Binding and Limitation Portability Transparency & Openness Pagina 6 van 20

Privacy Model Requirements (Security &personal data handling ) naar systeemeigenschappen Security Model Data transport Identification strength Access management Session management Authorized access Input & output verification Data storage Evidence strength User management PETs Privacy Settings Confidentiality & Integrity Non repudiation & Accountability Authenticity Transparency Intervenability Data minimization Dit is het privacymodel waarmee SIG software onderzoekt op privacy by design en waarmee we dat ook kunnen scoren op een schaal van 1 tot 5 sterren. Duidelijk is te zien dat ons securitymodel hier onderdeel van uitmaakt. Pagina 7 van 20

Waarom is het zo matig gesteld met security en privacy by design? Ik onderscheid drie hoofdredenen. Als eerste: onmatigheid: we hebben weinig tijd en weinig aandacht voor security en privacy omdat software-ontwikkelaars veel te druk zijn met de grote hoeveelheid software van matige kwaliteit. We maken meer software dan we aankunnen: 12 miljoen software ontwikkelaars 120 miljard regels code in een jaar 15% daarvan moet het jaar daarna worden aangepast Met 1,8 miljoen nieuwe ontwikkelaars Gevolg: alleen reactief onderhoud, kwaliteit lijdt en dat maakt het probleem alleen groter, systemen lopen vast of lekken data De achterliggende oorzaak is dat innovatiedrang niet beteugeld wordt omdat de problemen van te veel software pas later echt een probleem worden. Software bouwen is technische schuld creëren. 1. We maken meer software dan we aankunnen

UW GEGEVENS LEKTEN VAN ONZE WEBSITE? De tweede hoofdreden is schade-asymmetrie. Tussen gebruikers en organisatie en tussen organisatie en leverancier. Als persoonsgegevens lekken, dan voelen organisaties dat typisch nog onvoldoende, afhankelijk van het type organisatie. Er kan wel sprake zijn van ernstige imagoschade of boetes door nieuwe wetgeving (zie verder). Als een organisatie schade lijdt door een softwarefout dan zijn softwareleveranciers maar beperkt aansprakelijk. De negatieve gevolgen van een security/privacy incident liggen dus typisch minder bij degene die moet zorgen voor veilige software. WAT JAMMER. 2. We hebben niet dezelfde belangen

Geen of vage eisen, niet op maat, geen dialoog Geen analyse en beheer van risico s Ontwikkelorganisatie onvolwassen Ontwikkelaars onvoldoende geïnformeerd Onvoldoende toetsing, te laat, of alleen aan het begin De derde hoofdreden is dat het nog niet zo goed lukt om veilige software te coördineren: interne en externe aansturing van het ontwikkelproces, klant/leverancier dialoog, toetsing, etc. Waarom? 1. Opdrachtgevers verwachten kwaliteit, maar ze weten niet hoe ze daar specifiek in moeten zijn. "Wij nemen aan dat onze leveranciers veilige software maken". Maar wat vind jij veilig en wat niet? En hoe ga je dat toetsen? Het landschap van standaarden is uiterst gefragmenteerd 2. Leveranciers (intern of extern) beginnen er typisch niet over. Het is niet in hun belang. Misschien is het wel heel lastig om aan de eisen te voldoen. Eigenlijk zouden ze moeten zeggen Sorry, maar ik kan je geen garanties geven over kwaliteit als je niet specifiek bent". Daarmee zijn ze minder interessant voor opdrachtgevers dan bouwers die dat niet zeggen. Dit is een prisoner's dilemma. Zie verder voor een idee om dit vanuit de software-ontwikkelaar toch in gang te zetten. 3. Coördinatie veilige software gaat matig

Et pr Om één of andere reden wordt er weinig naar code gekeken, terwijl het probleem daar zit.

Hoe toetsen van software security Alle securityrisico s Pentest Code-scantools Codereview Onderhoudbaarheid Pagina 13 van 20

Codereview vs. Penetratietest Kijken hoe security is ingebouwd vs. Proberen in te breken Pentest Codereview Pagina 14 van 20

Kwaliteit is dus nog mosterd na de maaltijd. We maken veel en matige software die we onvoldoende kunnen onderhouden en we verzamelen meer data dan we kunnen beschermen. Is het glas nou halfvol of halfleeg? Ik zie het glas halfvol. Ja we worden steeds afhankelijker van IT, maar we hebben dat ook steeds meer door. Er worden echt wel goede stappen gezet, zoals bijvoorbeeld Grip op SSD.

Wat nu? > Maatregelen die de pijn leggen bij de verantwoordelijke: zie AVG/GDPR > Keep it simple en maak onderhoudbare code > Borg de dialoog over kwaliteit, privacy en security > Zorg voor meer duidelijkheid in de markt over hoe dan: zie Grip op SSD > Als de eisen er zijn, volgt de rest: Volwassener worden ontwikkelorganisatie: zie MS-SDL Beter informeren van ontwikkelaars Vroege en brede toetsing inclusief code review (tools, peers, specialisten) > Bouw security en privacy technologie in principe niet zelf Pagina 15 van 20

Grip op SSD practitioner community > 30 organisaties (overheid, system integrators, experts) > Delen ervaring en doen de standaard groeien > Nieuwsbrief, bijeenkomsten, werkgroepen > Links met OWASP, NCSC, ENISA > Zie www.gripopssd.org

Grip op SSD Security requirements input Baseline requirements, building blocks, attack patterns, business impact analysis Gap SSD processes Reporting Internal (dashboard), extern (compliance) Risk analysis Risk management and acceptance Security testplan Contact moments Requirements Code review Security tests Accept risks Pentest Initiation Design Develop Test Accept Production Development process 17

Hanteerbare richtlijnen voor ontwikkelaars > Betrek ontwikkelaars in dreigingsanalyse > Focus op basisprincipes van security en privacy Bijvoorbeeld: het zien van persoonsgegevens als gevaarlijke stof > Werk met coding guidelines die trigger gebaseerd zijn (zie SIG guidance for producers) > Informeer ontwikkelaars over technologie en patronen voor security en privacy Pagina 18 van 20

Zoals gezegd is het voor softwarebouwers typisch niet uitnodigend om te zeggen: Je moet met mij afspraken maken anders kan ik niet garanderen dat het goed in elkaar is gezet. Maar het is wel in het belang van security en privacy. Het is ook de manier om goede softwaremensen aan te trekken en te houden. Daarom heb ik het idee opgevat ontwikkelaars een handreiking te doen om een brief te sturen naar hun baas hierover. Die brief Software is Improvement te vinden op Group linkedin, / OPENBAAR op mijn profiel. Zie de URL. Neem eens een kijkje en share of like het als je enthousiast bent. Pagina 19 van 20 Mail mij voor de Nederlandse versie of als je wil delen hoe het is gegaan met de brief. Ik ben zeer geïnteresseerd. Succes!

Contact +31 6 20437187 r.vanderveer@sig.eu @robvanderveer @sig_eu GETTING SOFTWARE RIGHT

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback