Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 3. marts 2006.
Scanningsværktøjer kan forbedre softwaresikkerheden, men de skal bruges med omtanke.
Softwaresikkerhed kan forbedres på mange måder. Eksperter er enige om, at det begynder med et sikkert design og kræver dygtige, sikkerhedsbevidste udviklere at implementere sikker kode. Derudover kan man så supplere med forskellige værktøjer, der kan hjælpe med at få luget sårbarheder væk fra koden og checke applikationer for sikkerhedshuller.
For tiden har nogle profet-tegninger på forunderlig vis sat ekstra fokus på især webapplikationers sikkerhed.
- Vores kunder er ikke blevet ramt, men vi har da kommunikeret mere med dem end normalt, siger Ulf Munkedal, leder af sikkerhedsfirmaet FortConsult.
Der er normalt dobbelt så mange alvorlige sårbarheder i en webapplikation, der kører på en webserver end i infrastrukturenheder, ifølge Ulf Munkedal.
FortConsult anvender en række værktøjer til at identificere sårbarheder i webapplikationer. Blandt andet WebInspect og AppScan.
En anden dansk sikkerhedsekspert, Henrik Lund Kramshøj fra Security6.net, nævner også WebInspect som et godt værktøj. Han fremhæver også værktøjet Nessus og understreger, at valg af værktøj afhænger af, hvilken opgave man står overfor
I sidste måned udtalte sikkerhedseksperten Bruce Schneier sig pessimistisk om software-sikkerhed.
- Generelt bliver tingene værre, ikke bedre, sagde Bruce Schneier til deltagerne på sikkerhedskonferencen RSA i San José.
Grunden er, at sikkerhed koster penge og it-firmaerne ikke har noget incitament til at ofre ekstra ressourcer på sikkerheden. Samtidig er køberne ikke i stand til at vurdere, hvor god, eller ringe sikkerheden er i softwareprodukterne. Det får dem til at købe de billigste produkter, hvor der ikke er investeret i sikkerhed. Sikkerhedsorienterede firmaer sænker derfor deres sikkerhedskrav for at kunne konkurrere på markedet, lyder argumentet fra Bruce Schneier.
Ulf Munkedal forstår godt Bruce Schneiers argument, men han mener ikke, at softwaresikkerhed behøver at være så dyrt:
- Hvis man gør det rigtigt fra starten, vil det kun være et par procent dyrere. Hvis man derimod sætter ind med sikkerhed senere, vil det blive dyrere, siger Ulf Munkedal.
Henrik Lund Kramshøj mener, at softwarefirmaerne har et incitament til at fokusere på sikkerhed:
- De kan miste så meget i troværdighed, hvis deres produkter har så dårlig sikkerhed, at virksomhederne er tvunget til at investere selvstændigt i sikkerhed, siger Henrik Lund Kramshøj.
Microsoft er et godt eksempel på en virksomhed, der i de seneste par år har fokuseret mere på sikkerhed på grund af mange sikkerhedshuller.
Hos Microsoft anvender man en række værktøjer til at tjekke koden for sikkerhedshuller. Når udviklerne af Vista eksempelvis afleverer kode til det centrale kode-repository, bliver der kørt en række automatiske tjek af koden.
På sin blog maner Michael Howard, der arbejder med softwaresikkerhed hos Microsoft, dog til forsigtighed med at se værktøjerne som det, der skal redde software-industrien.
- Sådanne værktøjer, som vi har inkluderet i Visual Studio 2005, er meget brugbare, men de kan ikke erstatte menneskelig intelligens. Hvis en udvikler ikke ved, hvordan man koder sikkert, eller en designer ikke ved, hvordan man designer sikre systemer, og testere ikke ved, hvordan man validerer sikkerhedsaspektet i koden, så vil værktøjerne give meget lidt hjælp - hvis det overhovedet giver nogen, skriver Michael Howard.
Den holdning bakkes op af Ulf Munkedal.
- Vi bruger værktøjer og en række manuelle metoder, der er baseret på vores erfaring. Samtidig holder vi workshops for udviklere, hvor vi sammen sætter fokus på sikkerhedsproblemstillingerne, siger Ulf Munkedal.
- Udviklerne vil gerne implementere sikkerhed i deres applikationer. De kan se fornuften i det. De er måske blot ikke opmærksomme på, hvad de bør gøre.
Boks:
Microsofts tilgang til sikker kode
Sikkerhedseksperten Michael Howard, der arbejder for Microsoft, har blandt andet skrevet bogen "Writing secure code". På hans blog er mange gode tips om, hvordan man skriver sikker kode.
Læs mere http://blogs.msdn.com/michael_howard
om nessus
Nessus er et af verdens mest populære sårbarhedsscanner - over 75.000 virksomheder og organisationer anvender produktet. Oprindeligt var det open source, men det bevæger sig over i et mere lukket format.
Læs mere på www.nessus.org
