Scholen en universiteiten gebruiken allemaal lesmateriaal met voorbeelden van onveilig programmeren, waardoor programmeurs nog steeds fouten zoals SQL Injection en buffer overflows maken. Dat zegt Joe Stewart, directeur malware-onderzoek van Dell SecureWorks, in een interview met Security.nl. "Er is gewoon geen excuus meer om onveilig te programmeren. Mensen weten hoe buffer en integer overflows werken." Toch worden dit soort zaken niet door scholen aan nieuwe programmeurs geleerd. De voorbeelden waar studenten mee werken zijn zeer kwetsbaar, waardoor ze kwetsbare programma's blijven maken, merkt Stewart op. "Daar zou ik me vooral op richten."
Stewart is geen groot voorstander van het onderwijzen van eindgebruikers. "Dat heeft tot op zekere hoogte effect, maar het onderwijzen van programmeurs staat erg hoog op mijn lijst."
Eindgebruiker
Wat betreft het onderwijzen van eindgebruikers spreekt Stewart vooral uit eigen ervaring. "Ik heb geprobeerd gebruikers te onderwijzen, ook die het internet elke dag gebruiken, maar ze zullen slechts een klein gedeelte van de problemen begrijpen." IT'ers nemen volgens Stewart te eenvoudig voor lief hoe computers, het internet en dreigingen werken. "Maar veel gebruikers snappen het gewoon niet. Ze weten hoe ze op Facebook moeten komen en hun e-mail checken, maar daar houdt het dan ook bij op."
Dan gaat het ook om gebruikers die met deze technologie en het internet opgroeien. "Je zou verwachten dat ze intuïtief dit soort dingen zullen snappen, maar dat is niet zo. Ze kunnen alleen de dingen op het internet doen die ze willen doen."
Het internet is dan ook nog steeds een plek voor geavanceerde gebruikers, die in technologie geinteresseerd zijn, omdat hun hersenen op een bepaalde manier werken, gaat Stewart verder. "Zij begrijpen het, voor de rest is het gewoon een tool. Net als met auto rijden. Ze kunnen de auto besturen, maar hebben geen kennis van de motor."
Aansprakelijk
Stewart vestigt zijn hoop dan ook vooral op systeembeheerders en programmeurs om de IT-omgeving veiliger te maken. "Maar dan moet je wel het lesmateriaal aanpassen. Daar moet security al vanaf het begin aan mee worden genomen." Het is echter de vraag of de overheid dit voor onderwijsinstellingen kan verplichten.
Een betere optie is misschien het overlaten van de vraag naar veilige programmeurs en programma's aan de marktplaats. "Het is belangrijk dat kopers worden gestimuleerd om veilige producten aan te schaffen", zegt Stewart.
Vaak wordt er eerst naar features gekeken en komt security pas veel later. "Misschien moet er eerst een mentale koppeling komen tussen cybercrime en degene die onveilige software heeft gemaakt. Misschien moet de programmeur wel aansprakelijk worden gehouden. Er is in ieder geval geen eenvoudige oplossing voor het probleem."
Deze posting is gelocked. Reageren is niet meer mogelijk.