Veilig programmeren is de basis voor het voorkomen van veel security lekken en problemen binnen software programma's. Pine Digital Security geeft workshops "Secure Webdevelopment" waarin geleerd wordt om beveiligingsfouten in (web)scripts te ontdekken en te proberen deze beveiligingsfouten uit te buiten. Wij vroegen een van de security trainers naar zijn visie over trainingen en wat mensen tijdens de workshop leren.
Wat leren mensen tijdens de workshop secure webdevelopment?
De mensen leren tijdens de cursus de mindset van de hacker. Hoe een hacker denkt, hoe een hacker te werk gaat. Vanuit de ogen van een hacker kijken naar je eigen applicatie levert vaak een heel ander licht op de zaak.
Waarom is dit zo belangrijk?
Als programmeur is het heel belangrijk om te weten hoe hackers denken en te werk gaan want normaal zou een programmeur denken 'ik heb dit en dit en dit gedaan om hackers tegen te gaan dus het is veilig'. Op deze workshop leer je vanuit de andere kant te kijken en te zien welke dingen er juist niet zijn gedaan, en hoe een hacker hier misbruik van zou kunnen maken.
Wat voor fouten worden door de cursisten het meest gemaakt?
Ze nemen aan dat er voor een hacker niets te doen is met een bepaalde functionaliteit, dat ze hiermee niet binnen kunnen komen. Bijvoorbeeld zo'n probleem dat een aanvaller wat SQL injection zou kunnen uitvoeren lijkt in het begin niet het einde van de wereld. Pas wanneer ze doorhebben welke kracht de SQL queries tegenwoordig hebben en hoe eenvoudig alle gegevens uit de database gelezen kunnen worden beseffen ze pas dat de hacker hier inderdaad meer mee kon dan ze ooit hadden verwacht.
Je hebt het tijdens de workshop niet alleen over techniek, maar brengt mensen ook een stuke awareness bij, waarom?
Ik kan op zo'n dag de deelnemers niet meer dan een paar technieken uitleggen waar ze rekening mee moeten houden. Echter door ze de mindset van de hacker aan te leren kunnen ze daarna zelf alle andere mogelijke problemen vinden en voorkomen, dat is veel waardevoller dan die paar technieken die worden besproken.
Is de training ook interessant voor mensen die met andere talen werken?
Het is een training voor mensen die webprogrammeren. De technieken die worden besproken zijn generiek en komen dus in elke programmeertaal voor. De workshop zelf gaat uit van php maar er wordt altijd besproken hoe het in andere talen ook voor komt. Zolang de mensen maar een klein beetje besef hebben van programmeren is deze workshop zeer nuttig. Natuurlijk is er ook nog de mindset die we niet moeten vergeten, en die is niet gekoppeld aan een specifieke programmeertaal.
Persoonlijke aandacht staat tijdens de workshop centraal. Kun je daarom zeggen dat een training met minder mensen beter werkt dan bijvoorbeeld met een vol klaslokaal?
Als instructeur ben je in je hoofd voordurend bezig mensen te bekijken, te beseffen waar ze mee bezig zijn, welke problemen ze waarschijnlijk tegenaan zullen lopen en op welke manier je ze een duwtje kunt geven in de goede richting. Lang niet iedereen loopt immers tegen dezelfde problemen aan. Met een vol klaslokaal is dit niet te doen, en dus houden we onze groepen klein.
Waar bestaat een goede security training uit en waar moeten cursisten op letten?
Een goede security training leert meer dan een setje regels waar cursisten zich aan moeten houden. Het is onmogelijk om alle mogelijke fouten op te sommen en vast te leggen in best practises of soortgelijke regels. Het wordt pas interresant wanneer de cursisten een niveau hoger leren nadenken over de impact van gebruikte technieken en designkeuzes. Dit is veel waardevoller dan een setje tips om een select setje fouten niet meer te maken.
Trainingen en cursussen hebben nog altijd geen hoge prioriteit bij veel bedrijven, wat zou je tegen dit soort ondernemingen willen zeggen?
Het is mogelijk te wachten tot het een keer fout gaat. Het is mogelijk om de andere kant op te blijven kijken. Het is alleen wel verstandig eens stil te staan bij het risico en de kosten die een digitale inbraak met zich meebrengen. Veel bedrijven komen dan tot de conclusie dat het zeker de moeite waard is te investeren in haar programmeurs en ze naar een goede training te sturen.
Deze posting is gelocked. Reageren is niet meer mogelijk.