Kod

Najczęstsze błędy bezpieczeństwa w rozwoju oprogramowania

Oryginał po rosyjsku: blog.skillbox.by
Najczęstsze błędy bezpieczeństwa w rozwoju oprogramowania

Spis treści:

Bezpłatny kurs: „Szybki start w Pythonie”

Dowiedz się więcej

Szef ds. bezpieczeństwa w ManyChat Armenia. Lubi sport, zwłaszcza koszykówkę i górskie wędrówki, co pomaga mu utrzymać dobrą kondycję fizyczną i rozwijać ducha zespołowego.

Linki stanowią ważny element internetu, zapewniając połączenia między różnymi zasobami i stronami. Odgrywają kluczową rolę w nawigacji użytkownika i optymalizacji pod kątem wyszukiwarek. Skuteczne linki pomagają poprawić widoczność witryny w wyszukiwarkach, przyczyniając się do wyższych pozycji w wynikach wyszukiwania. Ważne jest, aby używać trafnych tekstów kotwic, które dokładnie odzwierciedlają treść linkowanej strony. Warto również rozważyć linki wewnętrzne, które ułatwiają nawigację w witrynie i promują głębsze indeksowanie treści. Linki zewnętrzne z kolei mogą zwiększyć autorytet witryny, jeśli prowadzą do wiarygodnych i wysokiej jakości zasobów. Prawidłowe wykorzystanie linków pomaga nie tylko poprawić pozycję w wynikach wyszukiwania, ale także poprawić doświadczenia użytkownika, co ostatecznie wpływa na sukces projektu online.

Luki w zabezpieczeniach oprogramowania stale ewoluują. Organizacja OWASP, założona w 2001 roku, analizuje aktualne trendy i typowe luki w zabezpieczeniach aplikacji internetowych i mobilnych. Okresowo prowadzi badania i publikuje zaktualizowane listy istotnych błędów. Ostatnia aktualizacja listy OWASP Top 10 miała miejsce w 2021 r. Materiały te stanowią ważne źródło informacji dla deweloperów, umożliwiając im identyfikację i zapobieganie potencjalnym zagrożeniom bezpieczeństwa w ich projektach.

Obecnie istotne zagrożenia bezpieczeństwa obejmują:

— Złośliwe oprogramowanie, w tym wirusy, oprogramowanie szpiegujące i ransomware, które może spowodować poważne szkody w komputerach i sieciach.
— Phishing, czyli oszukańcze próby uzyskania danych osobowych użytkowników za pomocą fałszywych wiadomości e-mail lub stron internetowych.
— Luki w zabezpieczeniach oprogramowania, które atakujący mogą wykorzystać do uzyskania nieautoryzowanego dostępu do systemów i danych.
— Ataki typu DoS (DoS) mające na celu przeciążenie serwerów i uniemożliwienie użytkownikom dostępu do usług.
Zagrożenia związane z Internetem Rzeczy (IoT), w którym urządzenia o niewystarczających zabezpieczeniach mogą stać się celem ataków.

Te zagrożenia wymagają zwiększonej uwagi i wdrożenia skutecznych środków bezpieczeństwa w celu zapobiegania incydentom i zapewnienia bezpieczeństwa danych.

  • Nieprawidłowa implementacja systemów uwierzytelniania i autoryzacji;
  • Błędy konfiguracji w komponentach aplikacji;
  • Ataki typu server-side request forgery, gdy atak na infrastrukturę wewnętrzną jest przeprowadzany za pośrednictwem serwera zewnętrznego.

Wstrzyknięcia (injections) pozostają jednym z najczęściej omawianych tematów w dziedzinie bezpieczeństwa aplikacji internetowych. W ostatnich latach ich popularność nieco spadła, ponieważ wiele nowoczesnych frameworków oferuje wbudowane mechanizmy ochrony. Technologie te pomagają programistom unikać typowych błędów związanych z wstrzykiwaniem (injections), zwiększając tym samym poziom bezpieczeństwa aplikacji. Należy jednak pamiętać, że chociaż wbudowana ochrona znacznie zmniejsza ryzyko, nie jest możliwe całkowite wyeliminowanie możliwości wystąpienia wstrzyknięć. Programiści muszą zachować czujność i regularnie aktualizować swoją wiedzę na temat technik ochrony przed wstrzykiwaniem, aby skutecznie chronić swoje aplikacje przed potencjalnymi zagrożeniami.

Błędy i zalecenia dotyczące ich rozwiązywania można znaleźć w społeczności OWASP. Ta społeczność udostępnia cenne zasoby służące poprawie bezpieczeństwa aplikacji internetowych, w tym wskazówki dotyczące identyfikacji i usuwania luk w zabezpieczeniach. Znajomość materiałów OWASP pomoże programistom i specjalistom ds. bezpieczeństwa lepiej chronić swoje projekty przed potencjalnymi zagrożeniami.

Czego potrzebujesz, aby chronić się przed atakiem

Hakerzy, jak wszyscy inni, dążą do maksymalnej efektywności. Jeśli znajdą niezabezpieczony panel administracyjny z hasłem, które zostało naruszone w wyniku wycieku danych z jakiejś usługi online, z pewnością to wykorzystają. Wielu pracowników często używa tych samych haseł, co czyni takie ataki jeszcze bardziej atrakcyjnymi dla atakujących. Takie podejście do hakowania jest znacznie łatwiejsze niż żmudne analizowanie kodu w poszukiwaniu złożonych luk w zabezpieczeniach. Podkreśla to wagę stosowania unikalnych i złożonych haseł oraz wdrażania solidnych systemów bezpieczeństwa, aby zapobiec nieautoryzowanemu dostępowi.

Aby chronić się przed podstawowymi, nieukierunkowanymi atakami, gdy atakujący nie dysponuje znacznymi zasobami, aby zaatakować Twoją firmę, wystarczy przestrzegać podstawowych zasad cyberhigieny. Te proste środki znacznie poprawią bezpieczeństwo Twoich informacji i systemów. Regularne aktualizacje oprogramowania, stosowanie silnych haseł, szkolenia pracowników z zakresu bezpieczeństwa oraz właściwe zarządzanie dostępem do danych to kluczowe czynniki w zapobieganiu cyberatakom. Ważne jest również przeprowadzanie regularnych audytów bezpieczeństwa i ocen podatności, aby zapewnić szybką reakcję na potencjalne zagrożenia. Przestrzeganie tych zaleceń stworzy niezawodną barierę przed większością prostych ataków i ochroni Twoje zasoby przed intruzami.

  • Używaj VPN, aby uzyskać dostęp do kluczowych usług;
  • Używaj agentów EDR na stacjach roboczych i serwerach;
  • Zainstaluj programy antywirusowe i narzędzia bezpieczeństwa na komputerach;
  • Używaj systemów antyspamowych, które pomagają filtrować wiadomości phishingowe;
  • Skonfiguruj uwierzytelnianie wieloskładnikowe (MFA) w celu uzyskania dostępu do kluczowych systemów i paneli administracyjnych;
  • Terminowo instaluj poprawki dla różnych elementów systemu – systemu operacyjnego, aplikacji i oprogramowania serwerowego;
  • Skanuj systemy w poszukiwaniu znanych luk w zabezpieczeniach;
  • Aktualizuj biblioteki open source innych firm, gdy zostaną wydane poprawki luk w zabezpieczeniach.

Wiele korporacji inwestuje znaczne kwoty w bezpieczeństwo, ale często ignoruje podstawowe zasady cyberhigieny. Potwierdzają to niedawne incydenty, takie jak błąd konfiguracji serwera bez hasła w firmie Microsoft w 2019 roku, który doprowadził do dużego wycieku danych z systemu chmurowego. Skuteczne cyberbezpieczeństwo wymaga nie tylko dużych inwestycji finansowych, ale także przestrzegania podstawowych zasad, które mogą zapobiec poważnym wyciekom i innym zagrożeniom.

Zdjęcie: Drazen Zigic / Shutterstock

Brak szkoleń pracowników w zakresie bezpieczeństwa może prowadzić do ataków phishingowych, które są jedną z najprostszych i najtańszych metod włamań. Takie ataki można przeprowadzić w zaledwie 30 minut. W tym celu tworzy się formularz imitujący konto osobiste i wysyła wiadomości e-mail z linkiem do niego. W dużych firmach prawdopodobieństwo, że pracownik wpisze swoją nazwę użytkownika i hasło w takim formularzu, znacznie wzrasta. Szkolenie pracowników w zakresie podstaw cyberbezpieczeństwa i zwiększenie świadomości mogą znacząco zmniejszyć ryzyko związane z phishingiem i innymi zagrożeniami.

Dlaczego ważne jest, aby inżynierowie infrastruktury przyjaźnili się ze specjalistami ds. bezpieczeństwa (i odwrotnie)

Infrastruktura IT jest kluczowym elementem całego stosu technologicznego. Dlatego dział bezpieczeństwa aktywnie współpracuje z jednostką odpowiedzialną za infrastrukturę. Skuteczna interakcja między tymi dwoma obszarami zapewnia niezawodność i ochronę danych oraz minimalizuje ryzyko związane z cyberzagrożeniami. Taka synergia pozwala organizacjom osiągnąć wysoki poziom bezpieczeństwa i odporności swoich systemów IT.

Inżynierowie infrastruktury muszą rozumieć mechanizmy bezpieczeństwa w utrzymywanych przez siebie systemach. Jednak ich głównym celem jest często zapewnienie stabilnego działania infrastruktury. Dlatego dla efektywnego funkcjonowania infrastruktury IT ważna jest ścisła współpraca zespołu ds. bezpieczeństwa informacji i zespołu ds. inżynierii infrastruktury. Wspólne zrozumienie aspektów bezpieczeństwa pomoże zapobiegać zagrożeniom i zapewnić niezawodną ochronę danych i systemów.

Kubernetes, systemy operacyjne, sprzęt sieciowy i dostawcy usług chmurowych są obecnie wyposażeni w wiele wbudowanych mechanizmów bezpieczeństwa. Mechanizmy te są złożonymi systemami, które wymagają dogłębnego zrozumienia sposobu ich działania. Ważne jest, aby szczegółowo przestudiować działanie tych narzędzi, aby zrozumieć zarówno ich korzyści, jak i potencjalne ryzyko związane z aktywacją każdego z nich. Zrozumienie tych aspektów pomoże zapewnić niezawodną ochronę infrastruktury IT i zminimalizować zagrożenia bezpieczeństwa.

Jeśli witryna korzysta z przestarzałego protokołu TLS 1.0, jego wyłączenie może być prostym procesem. Należy jednak wziąć pod uwagę, że spowoduje to niedostępność witryny dla pewnej części użytkowników korzystających ze starszych systemów operacyjnych. Ocena wpływu na bazę klientów jest ważna dla zapewnienia bezpieczeństwa i trafności zasobu internetowego.

Inżynierowie infrastruktury muszą posiadać wiedzę na temat bezpieczeństwa swoich platform, ale dział cyberbezpieczeństwa zazwyczaj odgrywa główną rolę w aktywowaniu i konfigurowaniu mechanizmów ochrony. Wynika to z faktu, że aktywowanie komponentów bezpieczeństwa infrastruktury IT wymaga ich stałego wsparcia, co nie zawsze jest priorytetem dla działów operacyjnych. Dlatego interakcja między inżynierami infrastruktury a zespołem ds. cyberbezpieczeństwa ma kluczowe znaczenie dla skutecznego zapewnienia bezpieczeństwa i stabilności systemów.

W każdej skali, niezależnie od wielkości firmy, specjaliści IT muszą zwracać uwagę na bezpieczeństwo. Duże organizacje mogą mieć wiele serwerów, podczas gdy małe – tylko kilka. Jednak każda z tych struktur ma zasoby wymagające ochrony. Bezpieczeństwo informacji i systemów jest kluczowym aspektem pracy specjalistów IT, ponieważ minimalizuje ryzyko wycieków danych i ataków, zapewniając niezawodne funkcjonowanie firmy.

Opracowanie standardu konfiguracji sprzętu sieciowego lub systemu operacyjnego dla różnych infrastruktur, dużych i małych, wiąże się z podobnymi wyzwaniami. Głównym wyzwaniem jest koordynacja wszystkich parametrów bezpieczeństwa i sformułowanie jasnych zasad konfiguracji i testowania systemów, takich jak system operacyjny Linux, Kubernetes czy usługi chmurowe. Ustawienia te muszą być wdrożone w taki sposób, aby nie zakłócały działania głównej aplikacji. Ważne jest uwzględnienie skalowalności, ponieważ prawidłowo opracowany standard można dostosować zarówno do małej, jak i dużej liczby serwerów, co jest kluczowym aspektem efektywnego zarządzania infrastrukturą IT.

Podejście do bezpieczeństwa w korporacjach i małych firmach IT

Jestem pracownikiem ManyChat, międzynarodowej organizacji średniej wielkości. Moje wcześniejsze doświadczenie w dużej korporacji zatrudniającej 70 000 pracowników pozwala mi doskonale zrozumieć różnice w podejściach do bezpieczeństwa danych i zarządzania informacjami. Ten kontrast doświadczeń pomaga mi wnosić cenny wkład w bezpieczeństwo i wydajność procesów w ManyChat.

Firmy SaaS koncentrują się na rozwiązaniach chmurowych, infrastrukturze wewnętrznej i systemach biznesowych. Na rynku dostępnych jest wiele rozwiązań bezpieczeństwa opartych na chmurze, które można szybko wdrożyć. W niektórych przypadkach okazują się one skuteczniejsze i bezpieczniejsze niż systemy wewnętrzne, dzięki większej liczbie użytkowników testujących i ulepszających te rozwiązania. Ponadto firmy SaaS kładą nacisk na bezpieczne tworzenie i analizę kodu, co pomaga minimalizować ryzyko i zwiększać ogólne bezpieczeństwo produktów programowych.

Zdjęcie: Andrey_Popov / Shutterstock

Duże organizacje zazwyczaj tworzą systemy wewnętrzne, a w wyjątkowych przypadkach uciekają się do korzystania z chmur CRED. To podejście wymaga szczególnej uwagi w budowaniu systemów bezpieczeństwa. Działy badawczo-rozwojowe są często przenoszone do spółek zależnych lub zlecane na zewnątrz. Chociaż ten trend stopniowo zanika, rozwój nadal nie zawsze jest uważany za podstawową działalność firmy.

Małe firmy mają znacznie mniejszą infrastrukturę niż duże korporacje. Jednak zarówno duże przedsiębiorstwa, jak i niezależne firmy SaaS mogą obsługiwać setki milionów klientów. Wkład cyberbezpieczeństwa w procesy biznesowe i ochronę danych klientów w obu przypadkach pozostaje porównywalny. Podkreśla to znaczenie inwestowania w cyberbezpieczeństwo dla wszystkich typów organizacji, niezależnie od ich wielkości.

W mniejszych firmach rola specjalistów ds. bezpieczeństwa może być znacznie ważniejsza niż w większych organizacjach. Na przykład, gdy Facebook przejął WhatsApp, firma zatrudniała zaledwie 50 pracowników i korzystała z kilkuset serwerów, ale zapewniała ochronę danych milionów użytkowników. Wdrożenie systemu antyfraudowego w małej firmie może mieć takie same skutki, jak w dużych przedsiębiorstwach, ponieważ skuteczność ochrony klienta zależy od specyfiki systemu i jego integracji z procesami biznesowymi.

Problemy bezpieczeństwa oprogramowania open source – i jak ich unikać

Obecnie oprogramowanie open source odgrywa kluczową rolę w rozwoju większości produktów. Jest wykorzystywane w wielu obszarach, w tym w systemach o znaczeniu krytycznym i komercyjnych. Na przykład przeglądarka Chrome korzysta z wielu darmowych bibliotek i komponentów zewnętrznych. Biblioteki te są ze sobą powiązane, a obecność luk w jednym z ich elementów może wpłynąć na bezpieczeństwo całej aplikacji. Dlatego ważne jest, aby zwracać uwagę nie tylko na wybór rozwiązań open source, ale także na ich regularną aktualizację i sprawdzanie pod kątem ewentualnych luk w zabezpieczeniach.

Problemy bezpieczeństwa związane z otwartymi bibliotekami pozostają istotne. Istnieją regularnie aktualizowane listy „niebezpiecznych” bibliotek publikowane przez dostawców zajmujących się bezpieczeństwem open source. Zagrożenia ukryte w takich bibliotekach można podzielić na dwa główne typy:

Pierwszy typ obejmuje luki w zabezpieczeniach, które mogą zostać wykorzystane przez atakujących do atakowania aplikacji lub systemów wykorzystujących dane biblioteki. Drugi typ obejmuje złośliwy kod, który może zostać wstrzyknięty do biblioteki, zagrażając bezpieczeństwu użytkowników i ich danych.

Ważne jest, aby być na bieżąco z aktualizacjami zabezpieczeń i zaleceniami, aby zminimalizować ryzyko związane z korzystaniem z bibliotek open source.

  • Slogany. Na przykład wyświetlanie komunikatu wszystkim użytkownikom na wierzchu wszystkich okien.
  • Sabotaż. Na przykład usuwanie danych, gdy biblioteka wykryje, że są one pobierane z określonych adresów IP.

Aby wprowadzić zmiany w produkcie open source, wystarczy zatwierdzić zmiany kilkoma linijkami kodu. Śledzenie tych zmian może być jednak trudne, ponieważ większość dzisiejszych rozwiązań IT w dużym stopniu opiera się na projektach open source. Na przykład biblioteka React, podobnie jak wiele innych frameworków, opiera się na licznych bibliotekach zewnętrznych. To sprawia, że ​​zarządzanie zależnościami i aktualizacjami jest bardziej złożonym procesem, wymagającym ostrożnego podejścia i ścisłego monitorowania.

Zautomatyzowane narzędzia do identyfikacji problematycznych bibliotek zazwyczaj działają post hoc. Oznacza to, że problem staje się zauważalny dopiero po tym, jak dotknięty zostanie co najmniej jeden klient. Po otrzymaniu zgłoszenia od klienta, usługi aktualizują swoje bazy danych, opracowują aktualizacje i stosują je u innych użytkowników. W ten sposób mogą zapobiec ponownemu wystąpieniu problemu lub ostrzec o potencjalnym ryzyku związanym z aktualizacją do najnowszej wersji danej biblioteki. Skuteczne wykorzystanie tych narzędzi pomaga zminimalizować ryzyko i zapewnić bezpieczeństwo oprogramowania.

Firmy, które koncentrują się na bezpieczeństwie bibliotek open source, mają dużą bazę klientów i wywierają znaczący wpływ na biznes, szybko informując swoich subskrybentów o potencjalnych zagrożeniach. W rezultacie wiele organizacji waha się przed aktualizacją swoich bibliotek natychmiast po wydaniu nowych wersji. Wolą poczekać trochę – od tygodnia do dwóch – aby zapewnić bezpieczeństwo aktualizacji i zminimalizować potencjalne zagrożenia. Ta przewidywalność pozwala firmom podejmować świadome decyzje, chroniąc swoje systemy przed lukami w zabezpieczeniach.

Aktualizowanie oprogramowania bez oczywistej potrzeby staje się rzadkością. Ważne jest, aby zrozumieć, która konkretna funkcjonalność nowej wersji biblioteki jest niezbędna dla Twojego projektu i aktualizować ją tylko w razie potrzeby. Często bardziej rozsądnym i bezpiecznym podejściem jest analiza poszczególnych fragmentów kodu wprowadzonych w nowej wersji. Po ich przeanalizowaniu możesz zdecydować, czy zintegrować je z kodem, co pomoże uniknąć potencjalnych problemów i utrzymać stabilność aplikacji.

Korzystanie z oprogramowania open source może być bezpieczne, jeśli przestrzegasz odpowiednich praktyk. Niektórzy eksperci uważają, że jest ono nawet bezpieczniejsze niż oprogramowanie zastrzeżone. Dzieje się tak, ponieważ kod źródłowy open source jest dostępny dla wszystkich, co pozwala użytkownikom i programistom identyfikować i naprawiać luki w zabezpieczeniach. Z kolei oprogramowanie zastrzeżone jest tworzone przez konkretną firmę, co rodzi pytania o jakość testów podatności. Dlatego otwartość oprogramowania open source może ułatwić szybszą identyfikację i naprawę luk w zabezpieczeniach.

Nawet oprogramowanie open source, rozwijane przez dziesięciolecia, nadal może być narażone na poważne luki w zabezpieczeniach. Doskonałym przykładem jest biblioteka OpenSSL, która pomimo wieloletniego rozwoju i wsparcia ze strony dużej społeczności programistów, wciąż miała krytyczne luki w zabezpieczeniach. Ten przypadek podkreśla wagę ciągłego audytu i aktualizacji kodu, nawet w projektach z aktywną społecznością. Bezpieczeństwo pozostaje priorytetem w rozwoju oprogramowania, a użytkownicy powinni być świadomi takich kwestii, niezależnie od statusu projektu.

Niewłaściwą praktyką w zakresie cyberbezpieczeństwa jest podejście znane jako „bezpieczeństwo przez ukrywanie”. Metoda ta opiera się na koncepcji, że bezpieczeństwo systemu osiąga się poprzez ukrywanie informacji o jego mechanizmach bezpieczeństwa. Jednak takie podejście nie zapewnia niezawodnej ochrony i może prowadzić do luk w zabezpieczeniach. Skuteczne bezpieczeństwo musi opierać się na przejrzystych i solidnych metodach, które uwzględniają potencjalne zagrożenia i aktywnie im przeciwdziałają.

Korzystając z systemu operacyjnego bez dostępu do kodu źródłowego, nie możemy dokładnie wiedzieć, jak zaimplementowano mechanizmy bezpieczeństwa. W tym kontekście oprogramowanie open source ma wyraźne zalety. Ważne jest jednak, aby pamiętać o przestrzeganiu podstawowych zasad bezpieczeństwa, aby chronić dane i system przed potencjalnymi zagrożeniami. Korzystanie z rozwiązań open source pozwala na głębszą kontrolę nad bezpieczeństwem, ponieważ kod jest dostępny do analizy i modyfikacji. Użytkownicy powinni jednak przestrzegać najlepszych praktyk bezpieczeństwa, takich jak regularne aktualizacje, używanie silnych haseł i monitorowanie systemu pod kątem luk w zabezpieczeniach. Przestrzeganie tych zasad pomoże zwiększyć poziom ochrony i zmniejszyć ryzyko związane z korzystaniem z oprogramowania.

  • Nie aktualizuj do najnowszej wersji od razu;
  • Nie wykonuj automatycznych aktualizacji;
  • Używaj narzędzi do analizy składu oprogramowania, takich jak Snyk, Black Duck i inne.

Przeczytaj także:

  • Trzy poziomy cyberbezpieczeństwa
  • Jak zmienić stos i zdobyć pracę marzeń: programistka gier Nellie Hwang
  • Na dole: 4 języki programowania na skraju wyginięcia

Sąd postanowił zakazać działalności Meta Platforms Inc. w Rosji w związku ze sprzedażą produktów sieci społecznościowych Facebook i Instagram. Decyzja ta opiera się na oskarżeniach o działalność ekstremistyczną.

Zawód programisty Python

Dowiedz się więcej