Het maandelijks updaten van allerlei programma's en nieuwskoppen over gehackte websites zullen voorlopig nog niet verdwijnen, aangezien veiligere software en webapplicaties pas over 5 a 10 jaar gemeengoed zullen zijn. Dat zegt Jim Manico, Vicepresident Security Architecture bij WhiteHat Security in een interview met Security.NL

Vorig jaar werden er weer duizenden beveiligingslekken in zowel programma's als websites ontdekt, vaak veroorzaakt doordat programmeurs niet veilig programmeren. Ondanks het belang van veilige code en veilige programma's, staat veilig programmeren bij zowel programmeurs als de bedrijven die ze inhuren vaak niet op de agenda, merkt Manico op.

Om het probleem te begrijpen is het belangrijk naar de 'levenscyclus' van een programmeur te kijken. Die cyclus begint bij de opleiding van de programmeur, als hij bijvoorbeeld informatica studeert. "Maar weinig universiteiten geven zelfs basale les over encryptie of veilig programmeren voor programmeurs", stelt Manico.

Na de studie gaan de programmeurs aan de slag bij bedrijven. "Ze krijgen dan te maken met programmeertalen als Java, dat niet over ingebouwde security beschikt, en moeten ze frameworks als Struts en Ruby on Rails gebruiken, die standaard niet veilig zijn."

Het bedrijf geeft de programmeurs vervolgens de eisen voor het ontwikkelen van programma's of webapplicaties. "En zelden krijgen ze security-voorschriften en maar weinig bedrijven testen de code of applicatie op security." Daarnaast willen de meeste bedrijven liever dat de programmeurs hun werk zo snel als mogelijk afmaken, dan dat ze perfecte code schrijven.

De reden dat we elke maand allerlei programma's moeten patchen en er databases met persoonlijke gegevens worden gestolen ligt dan ook in het feit dat programmeurs nooit geleerd wordt om veilig te programmeren en dat ze geen voorschriften en tijd krijgen om veilig te programmeren. "Ze kunnen nooit winnen. Daarom zitten we in de huidige situatie", aldus Manico.

Verandering
Toch zijn er dingen aan het veranderen, gaat hij verder. Het zijn steeds vaker de applicaties die worden aangevallen en meer en meer bedrijven willen dat hun programmeurs veilig kunnen programmeren. Volgens Manico zou de wereld over 5 a 10 jaar vanuit het standpunt van app-security een stuk veiliger moeten zijn.

Voor bedrijven die niet tot 2020 willen wachten, adviseert Manico om security in de vereisten voor een programma of webapplicatie mee te nemen. "Vroeg beginnen is vaak het goedkoopst." Het gaat dan om het valideren van de input van gebruikers, de opslag van wachtwoorden en toegangscontrole.

Ook is het belangrijk om zo vroeg mogelijk in het proces de meeste basale dingen te omschrijven die een programmeur moet doen om een veilige applicatie op te leveren. Manico erkent dat er een probleem is met deze aanpak, aangezien bedrijven moeten weten wat voor security-eisen ze moeten stellen, en daarnaast moeten de programmeurs in staat zijn om die uit te voeren. "We moeten programmeurs dan ook trainen" is zijn antwoord.

Het gaat dan niet alleen om programmeurs die al een baan hebben, maar ook die nog studeren. Door studenten veilig te leren programmeren kunnen universiteiten ervoor zorgen dat hun studenten een voorsprong op de rest hebben. "Universiteiten moeten hun studenten veilig leren programmeren", pleit Mancio.

Ook de frameworks waar programmeurs mee werken, zoals Ruby, Struts en .NET moeten meer security-controls krijgen die programmeurs kunnen gebruiken.

Wie denkt dat over 5 of 10 jaar kwetsbare programma's tot het verleden behoren heeft het echter mis besluit Manico. "Software zal altijd bugs bevatten en er zullen altijd beveiligingsproblemen zijn."