Sfrutta inevitabilmente "il costo di fare affari su Internet"?

Naviga le tue risposte
5

Dopo l'ennesimo exploit e l'iniezione di malware nel suo sito web, l'ospite Leo Laporte della rete Twit ha recentemente affermato / dichiarato dal suo esperto di sicurezza che cadere vittima di tali attacchi è semplicemente il costo di fare affari su Internet, e che la cosa migliore da fare è reagire rapidamente, rimuovere il malware e correggere qualsiasi exploit, se possibile. La più grande colpa per questo è stata posta ai piedi di PHP, che è "intrinsecamente insicuro" con la sua architettura execute-files-in-any-folder.

Questa affermazione mi ha semplicemente fatto impazzire. È questo il miglior consiglio che un esperto di sicurezza può offrire? Anche se è certamente vero che PHP non è esattamente il linguaggio più stretto là fuori, e che ci sono quasi inevitabilmente degli exploit da qualche parte, specialmente se usi molti pacchetti pre-fab drop-in, la più grande colpa dovrebbe ancora essere attribuita a incompetenti programmatori e amministratori di server. No?

È davvero un compito insormontabile per uno sviluppatore attento alla sicurezza che sa cosa sta facendo per sviluppare un sito web moderatamente complesso privo di exploit in un ragionevole lasso di tempo? Mentre sono sicuro che i sistemi che ho sviluppato non sono al 100% bug gratuiti, mi prendo molta cura di tutto ciò che può consentire a un utente malintenzionato di modificare il mio server in qualsiasi modo; e finora non ho avuto a che fare con l'iniezione di malware. Lo stato dello sviluppo web è tale che l'unica soluzione per l'iniezione di codice è quella di pulire costantemente dopo i cattivi? Esistono dati reali su questo problema?

    
posta deceze 18.03.2012 - 11:00
fonte

2 risposte

3

No, non è vero. Le vulnerabilità sul web non sono un fatto inevitabile della vita sul web che devi semplicemente sederti lì passivamente e accettare. Seguendo le pratiche di sviluppo web corrette e sicure, si può ridurre notevolmente la probabilità / incidenza delle vulnerabilità. È una di quelle situazioni "paga ora o paga dopo"

Naturalmente, si dovrebbe anche essere pronti a reagire rapidamente, ma si può ridurre la necessità di "esercitazioni antincendio" usando in anticipo metodi adeguati. Sembra che l'esperto di Laporte lo accetti implicitamente, quando dice che parte del problema è l'uso di PHP. Se l'uso di PHP fosse effettivamente la causa principale della maggior parte delle vulnerabilità sul web, allora si potrebbe semplicemente evitare l'uso di PHP (per esempio). In realtà non accetto la sua premessa che l'uso di PHP sia la causa principale della maggior parte delle vulnerabilità sul web, ma il tema più ampio è corretto: le pratiche che usi durante lo sviluppo influenzano la probabilità / frequenza delle vulnerabilità di sicurezza in seguito.

Per ulteriori informazioni sulle buone pratiche di sviluppo web, puoi dare un'occhiata a OWASP. Vedi anche:

risposta data 18.03.2012 - 18:22
fonte
3

Direi che non è tanto che gli exploit siano inevitabili, ma che il settore della sicurezza per molto tempo si sia concentrato più o meno esclusivamente sull'idea di prevenire gli exploit e non abbia messo abbastanza sforzi per rilevare o reagire ai problemi quando si verificano.

Sfortunatamente ciò che è traspirante è che gli sforzi preventivi (in molti casi) non sono abbastanza buoni, il che dipende da una serie di fattori come la scarsa comprensione di cosa significa "sicuro" in un dato setup, privo di incentivi economici per investire correttamente nelle buone pratiche di sicurezza dello sviluppo, la prevalenza di "olio di serpente" nelle vendite di prodotti di sicurezza ("Qui compra questa scatola nera e sarai" sicuro "!"), ecc. ecc.

Il risultato è che molte aziende ora stanno diventando compromesse, in quanto gli aggressori si muovono più velocemente dei difensori in molti casi e i difensori hanno accumulato anni di debito di sicurezza a causa di investimenti insufficienti.

Quindi direi che è sensato suggerire alle aziende di rendersi conto che è probabile che subiranno una violazione e pianificheranno di conseguenza.

Se vuoi maggiori informazioni sullo stato di avanzamento, ti consiglio i report Verizon Data Breach, i report Mandiant M-Trends e lo stato di Veracode dei report sulla sicurezza del software, tra gli altri.

    
risposta data 18.03.2012 - 12:23
fonte

Leggi altre domande sui tag

Sicurezza per server domestico, wiki Best practice per la creazione di una politica IPS iniziale