Pentru ca in orice limbaj de programare, securitatea joaca un rol important, am pentru voi un interviu, cu unul dintre cei mai experimentati oameni in domeniul de securitate din Romania.
Ne poti spune cand a inceput prima data sa te intereseze securitatea web, sau securitate in `domeniul informatic?
Securitatea web a inceput sa ma intereseze de aproximativ acum 2 ani. Dar securitatea in general ma intereseaza de mult timp. Nu as putea spune de cand totusi.
Stiu de cand umblam cu un floppy 3½ inch cu scripturi batch dupa mine care decriptau parola de dial-up si o copiau pe floppy. Tot ce trebuia sa fac era
sa rulez scriptul, asteptam 30 de secunde si aveam parola. Bineinteles am tot tinut pasul de atunci cu tehnologia. Cred ca eram clasa a 7-a atunci, deci vreo 13 ani aveam.
Cat de important este partea de securitate pentru cei care vor sa devina programatori de top?
Partea de securitate ca sa devii un bun programator nu este foarte importanta. Ciudat, nu ? Cel putin asa este considerat acum aici in Romania.
Totusi din punctul meu de vedere daca stii securitate poti sa gandesti un pas mai departe.
Daca ne referim la produse simple securitatea nu are mare importanta. Nu multe persoane vor vedea acel produs, si nu multe persoane or sa incerce sa-l strice.
Un specialist este destul in acest caz.
Produsele mari, complexe si care au development de durata trebuie sa aiba macar 2 specialisti in securitate, ca sa se poata aplica regula celor 4 ochi.
Pentru ca SQL injecturile, XSS-urile, CSRF (care este foarte ignorat momentan) si gaurile de securitate clasice pot fi reparate si de un singur specialist
in securitate. Dar problemele de logica ale algoritmului nu pot fi depistate nici macar de un security scanner (de genul Acunetix, Wikto, Nikto, wapiti).
Si problemele de logica pot fi descoperite si de oameni fara cunostinte in securitatea web.
Jeremiah Grossman si Trey Ford au o prezentare care merita fi vazuta http://bit.ly/2XYcHY
Din experienta ta, unde fac in general programatorii greseli de securitate?
Daca e sa ne uitam la popularitatea gaurilor de securitate, XSS este in top de mult timp si va mai fi ceva timp. Pe locul urmator si foarte aproape
este SQL Injection, dar nu in loginPentru ca 90% din programator se apara acolo, dar in restul paginilor procentul scade dramatic. Foarte des am intalnit
XSS in pagina de “register”. Algoritmul este destul de bun in cele mai multe cazuri pentru ca majoritatea site-urilor nu au complexitate foarte mare.
Tot din experienta ta, daca poti sa ne spui cateva dintre site-urile mari unde ai vazut greseli de programare la care nu te asteptai?
Hahaha! Pai aici se pot enumera site-uri de la bestjobs.ro la google.com Daca esti la curent cu gaurile de securitate si stii sa te informezi din locurile
adecvate, la un moment dat ajungi sa ai un XSS sau CSRF de pe un site mare.
Sincer, nu ma asteptam sa gasesc pe emag.ro, i-am anuntat de o gaura de securitate si nu mi-au raspuns inapoi, asa ca de restul nu i-am mai anuntat.
Foarte multe site-uri au probleme de securitate. Poate nu sunt chiar fatale, dar daca ai destul timp Internetul poate fi terenul tau de joaca si niciodata
nu te vei plictisi.
Poti sa spui pentru cei care vor sa devina programatori cateva tips&tricks pentru a scrie un cod cat mai sigur(safe)?
Tips and tricks. Hmmm… pai ca sa scrii un cod sigur trebuie sa stii sa iti testezi site-ul. Ca sa fii un bun specialist in securitate trebuie sa fii un bun hacker.
Problema cea mai mare e ca de obicei nu poti sa-ti testezi propriul cod. Pur si simplu
nu poti sa-l testezi complet. Aici poti sa inveti testand alte site-uri care nu sunt neaparat ale tale. Nu spun sa distrugeti internetul, dar testand site-uri din colturi diferite ale lui
ofera perspective diferite asupra modului de programare. Si o data ce cunosti foarte bine limbajul de programare iti dai seama cum a fost scris codul in spatele paginii HTML si cat de bine rezista la
atacurile tale.
Pe de alta parte trebuie sa citesti mult, trebuie sa nu crezi nici macar 50% si sa incerci tot. Afla pe pielea ta.
Citeste cu atentie documentatia limbajului de programare, pentru ca gaurile de securitate de cele mai multe ori se afla in detaliile pe care majoritatea oamenilor nu le observa.
Ca la pro-gaming este foarte bine sa ai un partener de antrenament cu care poti discuta detalii si cu care poti schimba idei. Din experienta, in securitate
e mult mai greu sa gasesti asa ceva.
Conecteaza-te cu moubik:
- Blog: http://websecurity.ro/blog
- Twitter: http://twitter.com/hydrarulz
April 6th, 2009 at 7:07 pm
Problogger…
Articolul a fost adaugat pe Problogger ! Voteaza-l pentru a-l promova aici: http://problogger.ro/node/1665...
April 10th, 2009 at 12:55 pm
[...] Iata un interviu cu unul dintre cei mai experimentati oameni in domeniul de securitate web din Romania. Citeste mai multe detalii aici. [...]