[vc_row][vc_column width=”2/3″][vc_wp_text]

[xyz-ips snippet=”metadatatitle”]

 

[/vc_wp_text][/vc_column][vc_column width=”1/3″][/vc_column][/vc_row][vc_row][vc_column width=”2/3″][vc_column_text]

A 2010-es években főleg a programozók által hagyott hibákból származik az a rés, melyen a hackerek támadhatnak. A védelem vezéregyéniségeivé így az alkalmazásbiztonsági szakértők válnak.

<img=”/wp-content/uploads/2013/03/owasp_1-300×104.jpg” url=”/wp-content/uploads/2013/03/owasp_1.jpg” align=”right” />

Az elmúlt két évtized elsődleges kiber védelmi alapelve a “határvédelem” volt. Ebben a modellben a védett hálózat külső forgalmából szűrjük ki a potenciális támadásokat. A belső hálózatunkban pedig zónákat hozunk létre, például a külsőben vannak a webszerverek, az érzékeny adatok és szolgáltatások valahol a legbelsőben. És abban bízunk, hogy a támadok fennakadnak a keritéseken és az ellenőrzött kapukon. Kicsiben ez a modell játszódik le az otthoni gépeinken, ahol a tűzfal és a víruskereső szűrik a forgalmat, jobb esetben már az otthoni kis routerben is.
A víruskeresők segítenek abban is, hogy a gyanútlan nagypapánk ne töltsön le kártevőket az izgalmas linkeken kattintgatva, a firewall pedig kívül tartja az internetes zajban halászó robotokat, de ha nem engedjük rá a Windowsra (OSX-re) rendszeresen az újabb és újabb biztonsági frissítéseket, akkor pár hét elteltével a gépünk csendesen potenciális áldozatává válik az ismert réseket kereső botnet hálózatoknak. Ugyanilyen ismert rések jelentkeznek a rendszeresen nem frissített Flash Playeren vagy magában a böngészőben. Ezek az ún. ismert sérülékenységek, és általában a programozók által hagyott hibákból származank. Az ismert sérülékenységek ellen nagyon könnyű védekezni, frissítéssel (legális szoftver használatával), védekezés nélkül pedig könnyű áldozatukká esni, mert a szomszéd gimnazista is feltörheti a laptopunkat egyszerű hacker automatákat használva.

Mára a határvédelemre annyit költöttek és annyira felokosították, hogy a hackerek inkább az alkalmazások hibáira mennek rá, melyek főleg a programozók által hagyott hibák, vállalati környezetekben is. Még a jó programozók is tévednek, sok programozó pedig sokat hibázik. A mai programok jóval komplexebbek, mint 10-20 évvel ezelőtt. Régen a Windows-t néhány másfél megabyte-os floppy lemezről installálták, ma már gigabyte-ban mérjük a telepítő csomagját — a különbség ezerszeres, kb. ennyivel bonyolultabb ma a szoftver. Sok programozó, sok programsor, a hibák csak szaporodnak. A szoftver biztonsági problémái ellen a ma már minden normális fejlesztő műhely által magas színvonalon űzött tesztelés sem segít. A biztonsági hibáknak általában más a természetük, mint az általános bugoknak, például sokszor a rejtett anyaghibákhoz hasonlítanak. A fejlesztő azt hiszi, mindent jól csinált, a hacker meg módszeresen kitapintja a rést.

A biztonsági problémák megelőzéséhez és fejlesztés közbeni detektálásához kellenek az alkalmazás-biztonsági szakemberek. Ők azok, akiknek semmi más dolguk nincs, mint hogy a hacker fejével lássák a tervezett és a készülő programokat. Nem azt nézik, hogyan lehetne egy szoftver még jobb, hanem azt, hogyan lehet a kereteket feszegetve a tervezett és megvalósított funkcionalitáson túlmenően is használni az alkalmazást. Például, lehet-e a ‘név’ mezőbe valami aposztrofos kifejezést írni, amitől jelszó nélkül beenged az alkalmazás, meglátják, ha a fejlesztő az időből generál – szerinte – véletlenszámot, amit ha hacker észrevesz, megintcsak be fog jutni. Beleszólnak a szoftver-tervezésbe, nehogy a vastagon titkosított működés mellett maradjon olyan pont, ahol az egész kijátszható lesz. Kitalálnak olyan teszteseteket, melyeken kibuknak a típushibák.
Van úgy, hogy az alkalmazásbiztonsági szakemberek nem csak bonyolítanak, hanem segítenek a biztonsági hókuszpókuszok túlzásba vitele ellen: rákérdeznek miért lenne gyengébb a 4 szavas csupakisbetűs kifejezésből álló jelszó a 7 karakteres krikszkrakszosnál (nem gyengébb), vagy miért kell kicsillagozni a 8 karakteres egyszeri jelszót (csak bosszantjuk vele az ügyfelet).
Az AppSec címkével jelzett alkalmazásbiztonsági szakma egyik fő szervezetének neve: OWASP. Az Open Web Application Security Project, ahogy a neve is mutatja a webes technológiájú alkalmazások biztonságával foglalkozik. Webes alatt a böngészőből használható szoftvereket értjük.
Az OWASP (Open Web Application Security Project) egy nemzetközi non-profit szervezet, amely célja a szoftverbiztonság növelése. Küldetésük, az alkalmazások biztonságának “láthatóvá” tétele, hogy a szervezetek világszerte képesek legyen jól informált döntéseket hozni a szoftverek jelentette kockázatok kapcsán. A közösség tagjai biztonsági szakértők, oktatási intézmények és nemzetközi vállalatok a világ minden tájáról. Azért dolgoznak, hogy ingyenesen elérhető módszerekkel, eszközökkel,és technológiákkal segítsék a szakembereket biztonságos szoftverek fejlesztésében, beszerzésében és üzemeltetésében. Bár a szervezet támogatja a kereskedelmi biztonsági technológiák megfelelő ismereteken alapuló alkalmazását, teljes mértékben független a technológiai beszállítóktól. Hasonlóan a nyílt forrású szoftver projektekhez, az OWASP különféle anyagai közös, nyílt munka eredményeként jönnek létre.

Forrás: mysec.hu

[/vc_column_text][/vc_column][vc_column width=”1/3″][vc_wp_text][xyz-ips snippet=”metadatatime”]

[/vc_wp_text][/vc_column][/vc_row]

Pin It on Pinterest