Security Professionals - ipfw add deny all from eindgebruikers to any

Gezocht: ontwikkelaar die in nieuwe app privacy / security kan garanderen

18-01-2016, 10:29 door Niggli, 21 reacties
Goedendag,

Wij zijn bezig met de ontwikkeling van een nieuwe app. Voor het gebruik is het belangrijk dat de gegevens van onze gebruikers zeer goed beveiligd zijn. Welk bedrijf kunnen jullie ons aanbevelen die ons kan helpen de beveiliging van onze app te waarborgen?

Veel dank!
Reacties (21)
19-01-2016, 17:47 door karma4
Goeie nette vraag met een zware nadruk op security.
Helaas ik zit niet in deze markt

Jammer dat er (nog?) zo weinig reacties zijn.
19-01-2016, 19:24 door Niggli
Het is voor ons inderdaad belangrijk dat het inloggen safe gaat en dat niemand in onze database kan komen. Dat zou funest zijn. Als ik Google vind ik wel veel bedrijven die apps maken, maar geen specialisten in beveiliging. Helaas.
19-01-2016, 19:32 door [Account Verwijderd]
[Verwijderd]
19-01-2016, 19:33 door Anoniem
Betreft het een webapplicatie?
19-01-2016, 21:04 door Rolfieo
Door Niggli: Goedendag,

Wij zijn bezig met de ontwikkeling van een nieuwe app. Voor het gebruik is het belangrijk dat de gegevens van onze gebruikers zeer goed beveiligd zijn. Welk bedrijf kunnen jullie ons aanbevelen die ons kan helpen de beveiliging van onze app te waarborgen?

Veel dank!

Een beetje open vraag.....

Hoe bedoel je dit?
Op basis van governance?
Code analyse?
Technisch ontwerp?
Database?
Data overdracht?
19-01-2016, 21:07 door MathFox
Niggli,

Het is mij niet duidelijk wat voor soort hulp jullie nodig hebben. Staan jullie aan het begin van een ontwikkeltraject en wil je iemand die de architectuur tegen het licht houdt, hulp in de vorm van hands-on competente ontwikkelaars of juist een security audit van het systeem voordat je publiek gaat?
Daarnaast, wat voor soort app, wat is belangrijk? Data-integriteit, vertrouwelijkheid?

Ik weet het, veel vragen... voor een advies heb je goede informatie nodig.

(Certified Secure kent zeker een aantal bedrijven die kunnen helpen.)
23-01-2016, 16:01 door Niggli
Dank voor alle opmerkingen. Als aanvulling op mijn eerste post en ter beantwoording van enkele vragen:

Het gaat om een soort database met gegevens van de leden, soortgelijk als Facebook of Linkedin. Met de app heb je toegang tot die database. Er gaat data heen en weer tussen de app en de database.

De app (design en broncode) kunnen we zelf maken/ schrijven. Maar zorgen dat de inlogprocedure niet gekraakt of misbruikt kan worden en dat de database niet toegankelijk is, al dan niet via de app, daar zoeken we een bedrijf/ persoon voor.
24-01-2016, 12:23 door Anoniem
Security zit (o,a,) in de broncode van de app.
24-01-2016, 22:15 door Anoniem
Klinkt als een zeer leuke baan voor mij, ik ben zeer veel bezig met computer beveiliging van mijzelf en om mij heen.

Jullie hebben alleen (nog) niks aan mij, eerst mijn havo afmaken en studeren, ik ben pas 16 ;)

Veel succes met jullie app.
Blij dat er bedrijven zijn die veiligheid van gebruikers data op prijs stelt!
25-01-2016, 10:31 door Niggli
Dank voor de vele vragen en antwoorden. Ik heb inmiddels een lijst van 3 bedrijven die ons zouden kunnen helpen:

https://www.securelink.nl/
https://www.fox-it.com/nl/product-category/beveiligingstesten/
http://www.trendmicro.nl/over/index.html

PS: anoniem van 16 op havo: kun jij mij een PM sturen? misschien kunnen we wat voor elkaar betekenen.
25-01-2016, 10:42 door Anoniem
Door Niggli: Dank voor de vele vragen en antwoorden. Ik heb inmiddels een lijst van 3 bedrijven die ons zouden kunnen helpen:

https://www.securelink.nl/
https://www.fox-it.com/nl/product-category/beveiligingstesten/
http://www.trendmicro.nl/over/index.html

Houd wel rekening met het feit dat een source code audit / pen test je zeker 150/200 euro per uur gaat kosten en dat alleen een firewall / ids voor je servers hangen geen goed lapmiddel is voor slecht ontwikkelde software.
25-01-2016, 10:44 door Anoniem
Door Niggli: Dank voor de vele vragen en antwoorden. Ik heb inmiddels een lijst van 3 bedrijven die ons zouden kunnen helpen:

https://www.securelink.nl/
https://www.fox-it.com/nl/product-category/beveiligingstesten/
http://www.trendmicro.nl/over/index.html

PS: anoniem van 16 op havo: kun jij mij een PM sturen? misschien kunnen we wat voor elkaar betekenen.

Ik weet niet hoe groot het bedrijf is waar je momenteel werkt, maar weten jullie wel waar jullie momenteel mee bezig zijn?

Ik ben heel blij dat jullie over security over nadenken, iets wat zeker meer bedrijven zouden moeten doen.
Maar de gesteelde vragen, laten zien dat jullie hier nog niet erg veel ervaring mee hebben.

En een 16 jarige vs Fox-it (of de overige bedrijven) zit nog wel een wereld van verschil.
25-01-2016, 11:47 door Anoniem
Pine is goed in secure coding ;)
25-01-2016, 12:36 door superglitched
Ik heb zelf prijzen gezien van 800 Euro per dag, en totale pen-testen voor 7000 Euro. Daarom zou ik in eerste instantie zelf testen, ook om een beter gevoel bij het eigen systeem te krijgen. Testen kan ook via sites als OWASP, deze zijn altijd up to date. Misschien helpt dit ook:
http://www.cybersec.nl/zelf-veiligheid-testen/
25-01-2016, 14:51 door Anoniem
Voor beveiliging kost ik €100 per uur. Dus ja, je komt al snel aan de €800 per uur.
Het gaat dan niet alleen om app beveiliging, maar om alles.
Wachtwoorden in bcrypt, ssl verification, alleen poorten 80 en 443 open, eventueel poort 22 op een firewall en alleen key authentication, alle andere poorten niet bereikbaar, etc. etc. etc.
25-01-2016, 15:50 door Anoniem
Door Anoniem:
En een 16 jarige vs Fox-it (of de overige bedrijven) zit nog wel een wereld van verschil.

Je neemt dus aan, dat ze de klus door een 16-jarige laten opknappen? Misschien is Niggli wel slim, heeft het gevoel dat hij een talent heeft gevonden en neemt die jongen aan als stagiair, om intern een goede, gedegen medewerker op te leiden. Zou slim zijn, bij de basis moet je beginnen.
26-01-2016, 09:51 door Arkstream
Denk dat er wel een aantal mensen hier zijn die de standaard dingen zouden kunnen testen.. Broncode testen op kwetsbaarheden is een ander verhaal.
26-01-2016, 11:29 door Anoniem
Door Anoniem:
Door Anoniem:
En een 16 jarige vs Fox-it (of de overige bedrijven) zit nog wel een wereld van verschil.

Je neemt dus aan, dat ze de klus door een 16-jarige laten opknappen? Misschien is Niggli wel slim, heeft het gevoel dat hij een talent heeft gevonden en neemt die jongen aan als stagiair, om intern een goede, gedegen medewerker op te leiden. Zou slim zijn, bij de basis moet je beginnen.

Met de vragen die ze hier stellen, heeft men niet de capaciteit om een 16 jarige stagiaire te begeleiden of te controleren of hij wel werkelijk de ervaring heeft. Een havo opleiding is iets anders dan een afgestuurde persoon in de IT.
Waarbij er waarschijnlijk de stagiaire geen certificering heeft en de vraag is hoeveel werk ervaring er is.

Dat wil niets zeggen dat de 16 jarige geen of slechte kennis heeft van Security. Maar als bedrijf (welke juist dit soort vragen heeft) is dit geen goede match.
26-01-2016, 14:28 door Anoniem
Totaal geen idee op basis van je info waar je precies naar opzoek bent.
Je kan hel zwaar inzetten met een pakket als Encap.
https://www.encapsecurity.com/ Dat wordt door banken gebruikt om login en authenticatie uit te voeren en app hardening toe te passen.

Je kan ook een implenetatie partner zoeken zoals een pine of een everett die je kunnne helpen met het bouwen van een secure app.

Of je kan kijken naar een pure security toko die primair vanuit testen te werk gaan en je kunnen helpen met het veiliger (zelf) bouwen van je apps.

Maar ja, budget is een groot verhaal in deze.
08-02-2016, 20:02 door Niggli
Door Anoniem:
Door Anoniem:
En een 16 jarige vs Fox-it (of de overige bedrijven) zit nog wel een wereld van verschil.

Je neemt dus aan, dat ze de klus door een 16-jarige laten opknappen? Misschien is Niggli wel slim, heeft het gevoel dat hij een talent heeft gevonden en neemt die jongen aan als stagiair, om intern een goede, gedegen medewerker op te leiden. Zou slim zijn, bij de basis moet je beginnen.

Het idee was inderdaad om de app extern te laten testen. De 16 jarige kan dan meekijken, stage lopen, vanuit zijn school met ons meedenken. En als hij het niet meer interessant vindt, of ons niet slim genoeg vindt, dan mag hij ook ergens anders werken. Het lijkt me goed om dit soort jongens vroeg te betrekken bij ontwikkelingen.

Omdat wij geen verstand hebben van beveiliging, huren we dat juist in. Vandaar mijn vraag hier. Als we er zelf verstand van hadden, dan hadden we het wel zelf gedaan. Wij zijn alle 4 academisch afgestudeerd in verschillende richtingen, dus ik denk dat een 16 jarige echt wel iets bij ons kan leren. Maar goed, negatieve mensen lopen er altijd rond.
08-02-2016, 20:06 door Niggli
Dank in ieder geval voor alle reacties. Wij gaan intern eens even kijken hoe zwaar we het (in eerste instantie) gaan inzetten.

Nogmaals dank!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.