Blogginlägg -

Kompetenshelg: Developing Security with Siren Hofvander

Under ett par underbara dagar i slutet av maj besökte vi återigen sköna Örenäs slott, för att här medverka på en av Websteps kompetenshelger.

Kompetenshelg på Örenäs Slott Ämnet denna gång var Säkerhet & Hotmodellering: något som jag personligen brinner för. Webstep hade här bjudit in Siren Hofvander, säkerhetsansvarig (eller som hon säger själv ”Professional glitter wizard”) på Verisure, som föreläsare för att leverera en intressant blandning av kunskap och paranoia.

Innan själva kursen tog fart hade vi Fredagkvällen på oss att njuta av det vackra Örenäs slott, här bjöds på fantastisk mat och en bar som såg till att det var hög stämning hela vägen fram in på småtimmarna. Efter en gedigen frukost var det så äntligen dags att inleda lördagens program.

Siren inledde med en genomgång om hotmodellering med fokus på verktygen STRIDE och DREAD.

STRIDE används för att hitta olika kategorier av hot som kan finnas på ett givet system..

  • Spoofing
  • Tampering
  • Repudiation
  • Information Disclosure
  • Denial of Service
  • Elevation of Privilege

STRIDE är ett verktyg som låter användaren fokusera på relevanta delarna inom varje riskområde, som t.ex. processor (CPU), data lagring, data och flöden samt entiteter (Entitys). Men för att någon ska ge oss tid att ta hand om dessa hot så behöver vi något sätt att väga dom mot varandra så vi kan prioritera dom på ett vettigt sätt och det är här DREAD kommer in.

DREAD är ett verktyg som mäter påverkningen av hot, genom..

  • Damage
  • Reproducibility
  • Exploitability
  • Affected users
  • Discoverability

Siren delade sen in oss i flera olika grupper där vi gavs ett diagram över en fiktiv webbshop, där vi skulle lösa ett antal uppgifter. För att göra sceneriet mer realistiskt så blev vi dock snabbt avbrutna av en marknadsansvarig som hade en väldigt viktig kampanj som skulle tas hand om, eller en utvecklingschef som plötsligt fick problem med sina servrar. Vårt mål blev därför att identifiera potentiella problem via STRIDE och sedan använda DREAD för att ha nödvändig information för att kunna övertala ledningen av e-handelslösningen om att man har valt rätt lösning.

Poängen med denna övning var helt enkelt att visa oss att det inte räcker att man hittar säkerhetsluckorna i ett system, det krävs ofta en del övertygande för att få tid och resurser att fixa dom också.

Siren Hofvander, Säkerhetsexpert Verisure Under eftermiddagen bytte vi fokus från hotmodellering till mer specifika tips riktat mot back-end utveckling.

Närhelst man designar en applikation så gäller det göra det på en så liten yta så att man kan reagera snabbare om/när man blir attackerad. Stäng här av funktioner på en server som inte används, blockera alla portar som inte används, minimera in-/ut trafiken etc.


Validera alltid all input som den kommer från din värsta fiende.

Se till att säkerheten ligger på alla nivåer, det räcker inte att man bara säkrar sin front-end klient, säkerheten måste också finnas på API och även på databasnivå.

Något som kanske verkar dumt, men ändå är väldigt viktigt: - "När man hittar säkerhetsfel så måste man också se till att åtgärda dom".

Siren Hofvander spoke about security in the code and mentioned how SQL Injections are still considered as one of the top 10 web application vulnerabilities. Personally I think that this topic is brought up in all of the security discussions and meetups that I attend. Still, to me, it’s so strange that developers are not paying enough attention to this simple, yet important topic as it deserves.” – säger Maryam Sarrafkia, konsult hos Webstep

Efter en genomgång av dessa, och många fler tips, var det dags att ta en titt på OWASP topp 10 lista över vanligaste förekommande säkerhetsproblem. 

Listan speglar vårt digitala landskap och utgår från rapporter från företag över hela världen

  • INJECTIONS
    • (både SQL och andra former av skriptinjektions)
  • BROKEN AUTHENTICATION AND SESSION MANAGEMENT
    • (vilket ofta betyder att folk kan missbruka login systemet till att antingen skapa många sessioner som överbelastar en server eller ger dom rättigheter dom inte borde ha)
  • CROSS-SITE SCRIPTING (XSS)
    • (vilket kan ha otroligt många användningsområden, i stil med keyloggers, länkar, DOM, javascript mm. som ofta lurar användaren till att ”logga in igen” och ge bort sin kontoinformation)

Siren Hofvander avslutade kompetenshelgen med ett råd: om vi inte tog något annat med oss från hela kursen så var det att ”alltid validera allting”. 

Alldeles för många säkerhetsproblem kan lösas eller undvikas genom stark och genomgående validering av både input och output.

Relaterade länkar

Ämnen

  • Data, Telekom, IT

Kategorier

  • stride
  • dread
  • kompetenshelg
  • webstep
  • malmö
  • örenäs slott
  • siren hofvander
  • louis hansen
  • hotmodellering

Kontakter

Jakob Cardell

Presskontakt VD Sverige +46 70 515 75 59

Relaterad media

Kompetenshelg: Developing Security with Siren Hofvander
  • Kompetenshelg: Developing Security with Siren Hofvander
  • Licens: All rights reserved
    Innehållet får bara användas av Mynewsdesk. Det är alltså inte tillåtet för någon annan att ladda ner, kopiera, sprida eller på annat sätt använda Innehållet (annat än för privat bruk i den mån det följer av lag).
  • Filformat: .pdf
Inte nedladdningsbar
  • Kompetenshelg: Developing Security with Siren Hofvander
  • Licens: All rights reserved
    Innehållet får bara användas av Mynewsdesk. Det är alltså inte tillåtet för någon annan att ladda ner, kopiera, sprida eller på annat sätt använda Innehållet (annat än för privat bruk i den mån det följer av lag).
  • Filformat: .docx
Inte nedladdningsbar

Relaterat innehåll

KOMPETENSBIO - Lightning Talks + Do I know you?

På plats bjuder vi på tre fantastiska "lightning talks" och följer upp med en presentation av Louis Hansen, för att sen avsluta med bioaktuella Captain America: Civil War

Kompetensutveckling – Varför & hur?

Jag skulle kunna vara så krass och säga för att du skall ha ett jobb kvar om 5-10 år, så behöver du hänga med i svängarna, för snart kommer alla 90-talister att blåsa om oss ”gamlingar”.

En sak jag sällan missar är våra kompetenskvällar

Kort om kompetenskvällar: dessa workshops består i att någon av våra kollegor på Webstep som är duktiga och brinner för ett ämne skapar en presentation och berättar om detta i våra lokaler.

Reflektioner kring Websteps Kompetenshelg med en av de bästa inom Continuous Delivery

​En disig lördagsmorgon i början av februari bar det iväg hemifrån Roslagen. Destinationen var Nynäs Havsbad och en av våra återkommande kompetenshelger, denna gång en tvådagars kurs i ämnet DevOps eller Continuous Delivery som kursledaren hellre ville beskriva det som.