- Ross Anderson, professor i Security Engineering vid University of Cambridge
- Bruce Schneier, Chief Security Technology Officer på BT (~British Telecom)
fredag 6 mars 2009
Program för AppSec i Polen klart
Programmet för OWASP AppSec Europe 2009 i Polen är nu klart (förutom forskningspresentationerna). Utbildningar 11-12 maj och konferens med tre parallella spår 13-14 maj. Keynote-talare blir:
torsdag 26 februari 2009
Säkerhetsarkitektur mha SABSA
Jag och en kollega genomförde i veckan en tvådagars workshop om säkerhetsarkitektur. Syftet var att arbeta fram kundens affärskritiska säkerhetsmål, identifiera vad som karaktäriserar de målen och sen börja mejsla ut krav på teknik och process för att nå målen.
Vi arbetade utifrån SABSA - Sherwood Applied Business Security Architecture. Ett affärsdrivet sätt att angripa säkerhet på arkitekturnivå. För er som är intresserade så finns SABSA-materialet fullt tillgängligt på SABSA.org.
Är materialet fritt? Njae. Vem som helst får använda det men SABSA Limited har upphovsrätt.
"Any organisation, in its drive to improve its Security Architecture or Security Service Management processes and practices, may use the framework described in these publicly available resources, on condition that proper credit is listed and trademarks are reproduced."
Vi tycker att SABSA fungerar väl och tilltalar även en mixad grupp av ledning, verksamhet och IT.
Vi arbetade utifrån SABSA - Sherwood Applied Business Security Architecture. Ett affärsdrivet sätt att angripa säkerhet på arkitekturnivå. För er som är intresserade så finns SABSA-materialet fullt tillgängligt på SABSA.org.
Är materialet fritt? Njae. Vem som helst får använda det men SABSA Limited har upphovsrätt.
"Any organisation, in its drive to improve its Security Architecture or Security Service Management processes and practices, may use the framework described in these publicly available resources, on condition that proper credit is listed and trademarks are reproduced."
Vi tycker att SABSA fungerar väl och tilltalar även en mixad grupp av ledning, verksamhet och IT.
söndag 22 februari 2009
Applikationerna är slagfältet
Ännu en gång är det en applikation som skjuter säkerheten i sank och inte något operativsystem eller nätverksprotokoll. Acrobats läsare version 7 till 9 har en buffer overflow-bugg som kan utnyttjas genom specialkonstruerade pdf:er. Svenska Sitic skriver om det, liksom IDG och SvD.
Det är bara ännu ett av exemplen på att applikationslagret växer i betydelse när det gäller säkerhet. Antalet företag och organisationer som skriver applikationer är magnituder fler än antalet som skriver operativsystem eller länkningsbibliotek. I det här fallet var det Acrobat, en stor väletablerad leverantör som skrev osäker kod.
Hur ska vi kunna hjälpa alla dessa små och stora applikationsleverantörer? Jag tror en öppen community som OWASP är del av svaret. En global organisation som erbjuder kunskap, verktyg och mötesplatser för alla dem som behöver lära sig skriva säker kod. Det känns skönt att vara del av ett sånt initiativ. Hoppas alla medlemmar i chaptret känner likadant.
Kanske får vi snart se Acrobat bland OWASP-sponsorerna?
Det är bara ännu ett av exemplen på att applikationslagret växer i betydelse när det gäller säkerhet. Antalet företag och organisationer som skriver applikationer är magnituder fler än antalet som skriver operativsystem eller länkningsbibliotek. I det här fallet var det Acrobat, en stor väletablerad leverantör som skrev osäker kod.
Hur ska vi kunna hjälpa alla dessa små och stora applikationsleverantörer? Jag tror en öppen community som OWASP är del av svaret. En global organisation som erbjuder kunskap, verktyg och mötesplatser för alla dem som behöver lära sig skriva säker kod. Det känns skönt att vara del av ett sånt initiativ. Hoppas alla medlemmar i chaptret känner likadant.
Kanske får vi snart se Acrobat bland OWASP-sponsorerna?
onsdag 21 januari 2009
Svenska pentestare i DN
Carl-Johan Bostorp och Stefan Pettersson figurerar idag i DN under rubriken "Hackare som heltidsjobb". Två svenska pentestare som givetvis kan träffas på OWASP Swedens seminariekvällar.
Carl-Johan har för övrigt skrivit en bra artikel om webbapplikationssäkerhet och vi har haft en längre mejlkonversation om säkerhetskrav - är det beställarens eller utvecklarens ansvar att säkerhetskraven och -behoven uppfylls? En knivig fråga. Min åsikt finns i min krönika "Är säkerhet en fråga om kvalitet?".
Carl-Johan har för övrigt skrivit en bra artikel om webbapplikationssäkerhet och vi har haft en längre mejlkonversation om säkerhetskrav - är det beställarens eller utvecklarens ansvar att säkerhetskraven och -behoven uppfylls? En knivig fråga. Min åsikt finns i min krönika "Är säkerhet en fråga om kvalitet?".
onsdag 14 januari 2009
25 farliga programmeringsfel
SANS Institute har publicerat sin lista över de 25 farligaste programmeringsfelen. Gällande säkerhet förstås. Många gamla godingar med på listan. Jag gjorde mitt bästa för att översätta översikten till svenska.
Osäker interaktion mellan komponenter
1. Felaktig eller ingen indatavalidering
2. Problem med kodning (encoding) eller escape:ning av utdata
3. SQL-injektion
4. Cross-site scripting
5. Kommandoinjektion till operativsystem
6. Okrypterad överföring av data
7. Cross-site request forgery
8. Race conditions (time-of-check-to-time-of-use)
9. Fel- och undantagshantering som läcker information
Hantering av systemresurser och sessioner
1. Buffer overflows
2. Möjlighet att påverka tillstånd (state)
3. Möjlighet att påverka path:ar och namn vid filhantering
4. Möjlighet att påverka path:ar vid sökning och externa beroenden
5. Kodinjektion
6. Beroenden till extern kod som inte integritetskollas
7. Känslig systemdata fortfarande tillgänglig efter avslut eller deallokering
8. Möjlighet att påverka eller kringgå initialisering av data
9. Beräkningsfel såsom integer overflow
Opålitliga försvarsmekanismer
1. Felaktig accesskontroll
2. Egengjord kryptering
3. Hårdkodade lösenord
4. Beroenden till systemresurser som är tillgängliga för andra
5. Bristande slumptalsgenerering
6. Least privilege
7. Serversäkerhet beroende av klienten
Osäker interaktion mellan komponenter
1. Felaktig eller ingen indatavalidering
2. Problem med kodning (encoding) eller escape:ning av utdata
3. SQL-injektion
4. Cross-site scripting
5. Kommandoinjektion till operativsystem
6. Okrypterad överföring av data
7. Cross-site request forgery
8. Race conditions (time-of-check-to-time-of-use)
9. Fel- och undantagshantering som läcker information
Hantering av systemresurser och sessioner
1. Buffer overflows
2. Möjlighet att påverka tillstånd (state)
3. Möjlighet att påverka path:ar och namn vid filhantering
4. Möjlighet att påverka path:ar vid sökning och externa beroenden
5. Kodinjektion
6. Beroenden till extern kod som inte integritetskollas
7. Känslig systemdata fortfarande tillgänglig efter avslut eller deallokering
8. Möjlighet att påverka eller kringgå initialisering av data
9. Beräkningsfel såsom integer overflow
Opålitliga försvarsmekanismer
1. Felaktig accesskontroll
2. Egengjord kryptering
3. Hårdkodade lösenord
4. Beroenden till systemresurser som är tillgängliga för andra
5. Bristande slumptalsgenerering
6. Least privilege
7. Serversäkerhet beroende av klienten
lördag 20 december 2008
Årskrönika 2008
Ett år är snart till ända. Ett storartat år för OWASP Sweden. Studentlivet i Linköping lärde mig att man alltid skulle skriva en verksamhetsberättelse från året som varit. Det får bli en årskrönika i bloggen ...
Över 200 medlemmar
När vi startade i oktober förra året var vi bara en handfull medlemmar. Jag tjatade in ett antal kollegor men det fanns en oro för att vi inte skulle nå ut. Vi har nu 216 medlemmar! Siffrorna på OWASP-kartan uppdateras lite oregelbundet men vi bör nu vara fjärde största chaptret i Europa, tätt efter Turkiet, Belgien och London.
Computer Sweden skriver
Under rubriken Ett Mecka för säker programmering skrev Computer Sweden om vårt nystartade chapter i december 2007. Det var en milstolpe som vi ville nå innan vi drog igång seminariekvällar. Vi måste ge folk en chans att veta att vi finns. Mycket riktigt fick medlemstalet en skjuts framåt.
Kick-off första april
Första seminariekvällen. Folk får inte bli besvikna. Vad ska vi ha för presentationer? Var ska vi vara? Jag är turligt nog begåvad med chefer som också ville att OWASP Sweden skulle lyfta så de betalade för att hyra World Trade Center med mat, vin och öl.
Jag hörde av mig till två kollegor från forskningstiden som jag vet är bra - Andrei Sabelfeld och Per Mellstrand - och så tipsade en kollega om Michael Anderberg. Alla tre tacka ja och vi hade fått ihop ett mixat program med akademisk forskning, industriforskning och en av de stora mjukvarudrakarna.
Under själva kick-offen noterade jag något jag inte räknat med. Medlemmarna gillar att mingla :). Det var svårt att samla alla deltagarna igen efter pauserna. Det diskuterades koncentrerat och många kände varann sedan tidigare. Vi fick liksom en community-känsla på köpet.
Temakvällar
Med kick-offen var vi igång. Jag och Mattias Bergling samlade en ledningsgrupp med Robert Malmgren, Predrag Mitrovic, och Robert Carlsson för att få input och bredda nätverket. Tillsammans kom vi fram till att vi borde ordna träffar kring avgränsade teman.
Den 27:e maj sponsrade Inspect it en kväll med tema kärnverksamhet. SQL-injektion och OWASP-verktyg. Patrik Karlson och Johannes Gumbel stod på scenen. Framme i oktober ville Robert Malmgren hålla en kväll om säkerhet i open source-processen. Simon Josefsson och Daniel Stenberg berättade om sina erfarenheter från utveckling av säkerhetskritiska, fria program. Anders Karlsson berättade om MySQL ur ett säkerhetsperspektiv.
Och årets sista seminariekväll handlade om säkra kortbetalningar på nätet och standarden PCI DSS som ju refererar direkt till OWASP topp tio. Mats Henriksson, Pål Göran Stensson och Bengt Berg belyste ämnet ur olika perspektiv. Intresset var så stort att vi fick ha väntelista och tyvärr tacka nej till folk som ville komma.
Seminariekvällarna är alltid något jag ser fram emot. Vid det här laget börjar man känna igen folk och vi lyckas alltid locka riktigt duktiga talare.
Konferensen i New York
Utöver vårt egna OWASP Sweden så var vi ett litet gäng som åkte till konferensen OWASP AppSec New York i september - världens största inom applikationssäkerhet. Under fyra dagar fick vi en hel del intressanta föredrag och diskussioner till livs. Det blev också premiären för OWASP Sweden-bloggen (läs under september 2008).
Mitt intryck så här tre månader senare är att OWASP är en ganska ung organisation byggd på engagemang och kärlek till tekniken. Det är mer fokus på att träffas och prata än att dra på sig slipsen och putsa på detaljer. OWASP-sfären är fokuserad på att säkra system, inte knäcka dem, vilket skiljer organisationen och konferenserna från en del andra.
Applikationssäkerhet 2008
Så vad har hänt inom applikationssäkerhet under året? Mina reflektioner ...
Vad väntar efter nyår? Vi har planerat att köra 2009 års första seminariekväll kring skiftet januari/februari med tema Cross-site scripting och Cross-site request forgery. Kanske till och med lite Clickjacking. Jag själv är väldigt sugen på en kväll med tema utvecklarverktyg som applikations- och kodanalys. Och sen tidigare har vi pratat om temat monokulturer, dvs där en plattform är väldigt styrd av en leverantör som t ex Apple. Vad händer med säkerheten då?
AppSec Europe 2010 i Stockholm
I Computer Sweden-intervjun från december 2007 sade jag "På ett par års sikt hoppas jag att Sverige och Stockholm kan stå värd för den europeiska Owasp-konferensen". En förhoppning som besannats. Vi i OWASP Sweden kommer stå värdar för världens största konferens om applikationssäkerhet - AppSec Europe 2010 i Stockholm.
För att klara det behövs all hjälp som går att uppbringa. Vi behöver sponsorer, talare och folk som hjälper till med det praktiska. Under våren kommer vi börja arbeta mer konkret. Jag ser framför mig en konferens med .NET-spår, Java-spår, pentestarspår och metodikspår. Med världens bästa talare så klart. Det ska bli grymt kul!
Rent personligt
Så hur har 2008 varit för John själv? Ja, jag kommer minnas det som året då tre av mina favoritmusiker dog - Esbjörn Svensson, Isaac Hayes och Arne Domnérus :(. Det var också året då jag började producera och lägga ut min egen musik på nätet. Jag satte därtill in tandställning, sprang Stockholm halvmarathon och gav min sista(?) Javatenta för IT-studenterna vid Linköpings universitet.
Tack!
Efter ett stort tack till alla våra talare under året:
Nu ska jag vara ledig i tre veckor och vill önska er alla god jul och gott nytt år. Vi ses 2009!
Mvh, John Wilander, chapter leader
Över 200 medlemmar
När vi startade i oktober förra året var vi bara en handfull medlemmar. Jag tjatade in ett antal kollegor men det fanns en oro för att vi inte skulle nå ut. Vi har nu 216 medlemmar! Siffrorna på OWASP-kartan uppdateras lite oregelbundet men vi bör nu vara fjärde största chaptret i Europa, tätt efter Turkiet, Belgien och London.
Computer Sweden skriver
Under rubriken Ett Mecka för säker programmering skrev Computer Sweden om vårt nystartade chapter i december 2007. Det var en milstolpe som vi ville nå innan vi drog igång seminariekvällar. Vi måste ge folk en chans att veta att vi finns. Mycket riktigt fick medlemstalet en skjuts framåt.
Kick-off första april
Första seminariekvällen. Folk får inte bli besvikna. Vad ska vi ha för presentationer? Var ska vi vara? Jag är turligt nog begåvad med chefer som också ville att OWASP Sweden skulle lyfta så de betalade för att hyra World Trade Center med mat, vin och öl.
Jag hörde av mig till två kollegor från forskningstiden som jag vet är bra - Andrei Sabelfeld och Per Mellstrand - och så tipsade en kollega om Michael Anderberg. Alla tre tacka ja och vi hade fått ihop ett mixat program med akademisk forskning, industriforskning och en av de stora mjukvarudrakarna.
Under själva kick-offen noterade jag något jag inte räknat med. Medlemmarna gillar att mingla :). Det var svårt att samla alla deltagarna igen efter pauserna. Det diskuterades koncentrerat och många kände varann sedan tidigare. Vi fick liksom en community-känsla på köpet.
Temakvällar
Med kick-offen var vi igång. Jag och Mattias Bergling samlade en ledningsgrupp med Robert Malmgren, Predrag Mitrovic, och Robert Carlsson för att få input och bredda nätverket. Tillsammans kom vi fram till att vi borde ordna träffar kring avgränsade teman.
Den 27:e maj sponsrade Inspect it en kväll med tema kärnverksamhet. SQL-injektion och OWASP-verktyg. Patrik Karlson och Johannes Gumbel stod på scenen. Framme i oktober ville Robert Malmgren hålla en kväll om säkerhet i open source-processen. Simon Josefsson och Daniel Stenberg berättade om sina erfarenheter från utveckling av säkerhetskritiska, fria program. Anders Karlsson berättade om MySQL ur ett säkerhetsperspektiv.
Och årets sista seminariekväll handlade om säkra kortbetalningar på nätet och standarden PCI DSS som ju refererar direkt till OWASP topp tio. Mats Henriksson, Pål Göran Stensson och Bengt Berg belyste ämnet ur olika perspektiv. Intresset var så stort att vi fick ha väntelista och tyvärr tacka nej till folk som ville komma.
Seminariekvällarna är alltid något jag ser fram emot. Vid det här laget börjar man känna igen folk och vi lyckas alltid locka riktigt duktiga talare.
Konferensen i New York
Utöver vårt egna OWASP Sweden så var vi ett litet gäng som åkte till konferensen OWASP AppSec New York i september - världens största inom applikationssäkerhet. Under fyra dagar fick vi en hel del intressanta föredrag och diskussioner till livs. Det blev också premiären för OWASP Sweden-bloggen (läs under september 2008).
Mitt intryck så här tre månader senare är att OWASP är en ganska ung organisation byggd på engagemang och kärlek till tekniken. Det är mer fokus på att träffas och prata än att dra på sig slipsen och putsa på detaljer. OWASP-sfären är fokuserad på att säkra system, inte knäcka dem, vilket skiljer organisationen och konferenserna från en del andra.
Applikationssäkerhet 2008
Så vad har hänt inom applikationssäkerhet under året? Mina reflektioner ...
- Full disclosure har kommit på skam. Det verkar finnas en uppfattning om att det inte har lett till den höga säkerhet som man ville ha. Jag tror det har skett i samma takt som svarthattarna blivit kommersiella.
- Applikationslagret allt viktigare. Mycket säkerhetsfokus har tagits från operativsystem och nätverk till applikationer. Standardprodukter har fått högre kvalitet och bättre patchhantering. Därför har systemutvecklare som sitter in-house blivit avgörande för it-säkerheten. Ett patchat OS räddar inte ett egenutvecklat webbgränssnitt fullt av SQL-injektionsproblem.
- Penetrationstestning fick ett ansikte i Sverige. Agda lön och deras säkerhetsproblem gjorde att svenska pentestare klev in i rampljuset. Alla kan förstå vad ett lönesystem är och att det inte lämpar sig om vem som helst kan ändra lönerna. Money talks.
Vad väntar efter nyår? Vi har planerat att köra 2009 års första seminariekväll kring skiftet januari/februari med tema Cross-site scripting och Cross-site request forgery. Kanske till och med lite Clickjacking. Jag själv är väldigt sugen på en kväll med tema utvecklarverktyg som applikations- och kodanalys. Och sen tidigare har vi pratat om temat monokulturer, dvs där en plattform är väldigt styrd av en leverantör som t ex Apple. Vad händer med säkerheten då?
AppSec Europe 2010 i Stockholm
I Computer Sweden-intervjun från december 2007 sade jag "På ett par års sikt hoppas jag att Sverige och Stockholm kan stå värd för den europeiska Owasp-konferensen". En förhoppning som besannats. Vi i OWASP Sweden kommer stå värdar för världens största konferens om applikationssäkerhet - AppSec Europe 2010 i Stockholm.
För att klara det behövs all hjälp som går att uppbringa. Vi behöver sponsorer, talare och folk som hjälper till med det praktiska. Under våren kommer vi börja arbeta mer konkret. Jag ser framför mig en konferens med .NET-spår, Java-spår, pentestarspår och metodikspår. Med världens bästa talare så klart. Det ska bli grymt kul!
Rent personligt
Så hur har 2008 varit för John själv? Ja, jag kommer minnas det som året då tre av mina favoritmusiker dog - Esbjörn Svensson, Isaac Hayes och Arne Domnérus :(. Det var också året då jag började producera och lägga ut min egen musik på nätet. Jag satte därtill in tandställning, sprang Stockholm halvmarathon och gav min sista(?) Javatenta för IT-studenterna vid Linköpings universitet.
Tack!
Efter ett stort tack till alla våra talare under året:
- Michael Anderberg, Microsoft Sverige
- Bengt Berg, Cybercom Sweden East
- Johannes Gumbel, TrueSec
- Mats Henriksson, Pan Nordic Card Assoc
- Simon Josefsson, SJD
- Patrik Karlson, Inspect it
- Anders Karlsson, MySQL och Sun Microsystems
- Per Mellstrand, Sony Ericsson och Blekinge tekniska högskola
- Andrei Sabelfeld, Chalmers
- Daniel Stenberg, daniel.haxx.se
- Pål Göran Stensson, Defensor Sverige
- Inspect it
- Omegapoint
- Romab
Nu ska jag vara ledig i tre veckor och vill önska er alla god jul och gott nytt år. Vi ses 2009!
Mvh, John Wilander, chapter leader
tisdag 25 november 2008
NSA om .NET-säkerhet
National Security Agency (NSA) har precis släppt en 300-sidig publikation om .NET 2.0 Framework Security. Verkar vara digert material, mestadels om konfiguration och säker drift.
Efter att publikationen annonserats ut på Secure Coding Mailing List så utbröt ett mindre krig om designprincipen least privilege och Code Access Security i .NET (motsvarigheten till Javas SecurityManager osv).
Eftersom brasan redan brann så slängde jag in en känga om Javas säkerhetspolicy-mekanism. Kanske blir jag hängd i cyberrymden nu :).
Efter att publikationen annonserats ut på Secure Coding Mailing List så utbröt ett mindre krig om designprincipen least privilege och Code Access Security i .NET (motsvarigheten till Javas SecurityManager osv).
Eftersom brasan redan brann så slängde jag in en känga om Javas säkerhetspolicy-mekanism. Kanske blir jag hängd i cyberrymden nu :).
Prenumerera på:
Inlägg (Atom)