Fixing Internet Security by Hacking the Business Climate
Bruce Schnerier - det närmsta rockstjärna som säkerhetsvärlden har - höll keynote för dag 2 på OWASP. Det började lite knackigt nästan med Bruce som kollade mycket på sina anteckningar, men allt eftersom blev det mindre störande då ämnet i sig trädde fram. Man kunde ana varför Bruce blivit en sådan mediaikon, han har en teknik som fångar lyssnaren i hans resonemang.
Bruce pratade om att vi aldrig kommer bli av med gamla attacker (buffer overflows har funnits sedan 60-talet), samtidigt som nya kommer till. Komplexitet är samtidigt säkerhetens värsta fiende, och där ser vi en stadig ökning. Det ser han som förklaringen till att trots att vi blir bättre på säkerhet, så ökar våra problem med det. Det var en rimlig förklaring på en fråga jag ställde mig under gårdangens presentation som David Harper höll angående Maturing beyond application security, nämligen hur det kom sig att trots att vi satsar så mycket mer på säkerhet idag, och kan så mycket mer, så stiger ändå antalet incidenter.
Bruce är precis som Ross Andersson inne i det ekonomiska perspektivet. Anledningen till att vi inte har bättre säkerhet idag är för att de ekonomiska incitamenten ligger fel för det. Lösningen tror Bruce kommer via fyra steg:
- Tvingande juridisikt ansvar (liability)
- Överföring av ansvar (transfer of liability)
- Mekanismer för att reducera risk kommer då fram
- Åtal och avskräckande åtgärder
Han hade en övertygande argumentation för detta, som gick via försäkringsbolag. Ifall juridiskt ansvar finns, kommer företag vilja försäkra sig. Försäkring har fördelen att man omvandlar en variabel kostnad (risk för stora kostnader ibland), till en fix kostnad (som går att budgetera). Försäkringsbolagen å sin sida kommer bara ge lägre premier för verklig säkerhet. Detta att jämföra med den säkerhetsteater som vi ofta ser idag, där det hävdas att man är säker eller att något görs för säkerheten, medan det i själa verket gör lite för det. Avskräckande och åtal kan dock försvåras i och med Internets internationella natur, och där kommer krävas mer samarbete över gränserna.
Bruce tror på mer standardisering framöver, och mer outsourcing av säkerhet.
Deploying secure web applications with OWASP Resources
Detta var ännu en något felaktigt benämnd presentation som jag förmodligen inte gått på om det funnits en abstract. Det handlade inte så mycket om någon deployment, utan snarare om de utmaningar en av utvecklarna på New York University mött. Det i sig är förvisso intressant, men inget nytt under solen för min personliga del. Kuai Hinojosa nämnde kort några OWASP projekt som de haft nytta av.
Problemen hade bestått av:
- Kulturella problem; "vi har ju inga finanstransaktioner här" (oj vad den känns igen)
- Åtkomlighet vs. Security (allt enkelt åtkomligt, ingen segmentering, inte mycket brandväggat)
- Organisationens struktur (fler olika avdelningar, alla med sina applikationer som de vill bestämma över)
- Säker arkitektur (görs inte)
Kuai Hinojosa som höll presentation var själv en del av ett utvecklingsteam. De använde flera olika OWASP resurser för att tackla problemen, bl.a.:
- Top Ten som ett "säljblad", i kombination med WebGoat för att ge en ögonöppnare'
- Developing Guide, OWASP ESAPI
- Testing Guide på existerande applikationer, som man sedan fixade till med OWASP ESAPI
- CSRF Tester
- WebScarab samt w3af för att testa sina applikationer innan man skickade dem vidare
Kuai hade i presentationen lagt särskild tyngd på OWASP Developing Guide. Jag passade då på att fråga hur de såg på värdet av guiden i och med att den inte hade blivit uppdaterad på senare år. Tydligen var detta något som de hade stött på vissa problem kring, men att den utgjorde en bra bas. Även det svaret låg i fas med min uppfattning. Development Guide är IMHO ett av de bästa dokumenten som OWASP har.
Can accessible web applications be secure? Assessment issues for security testers, developers and auditors
Det här var en av de positiva överraskningarna från dagen. Det handlade om hur säkerheten påverkas när det finns krav på "accessbility and usability" (användbarhet). Det finns många incitament för detta, bl.a. kan det finnas lagar som reglerar att webbplatser skall vara handikappvänliga. Dock ingår mer i begreppet, bland annat att det skall gå att använda webbplatsen oavsett om man är i en ljus eller mörk miljö.
En standard för detta finns från W3C som heter WCAG. Colin Watson argumenterade att kraven ökade komplexiteten, vilket naturligtvis medförde större risk för sårbarheter. Han blev sedan konkret kring det. Han hade identifierat 8 olika krav som påverkade säkerheten och hade dessutom mappat dessa till OWASP Top 10. Intressant ur flera perspektiv, bland annat att krav inom vissa företag och myndigheter faktiskt kan orsaka vissa typer av sårbarheter.
Efter en lång dag så ska jag, Stefan Pettersson (min kollega från HPS), och tre av våra nya vänner här nere i Hacker's Squad gå och lägga oss. Morgondagen för med sig ytterligare en keynote från Schneier. Då kommer det dock följas av betydligt "offensivare" presentationer.
Inga kommentarer:
Skicka en kommentar