Sikkerhet i utvikling

Nivero er stolte over å kunne tilby gode tjenester til våre kunder. Men som fagpersoner innen teknologi stilles det krav langt utover funksjonaliteten som brukeren opplever.

Det er fort gjort i dag å ta gode IT-løsninger for gitt, løsninger som er tilgjengelige, stabile og sikre. Når man tar teams-møtet fra hytta, så ligger det en forventning fra bruker om at man skal ha minst mulig problemer med samtalen, og fra arbeidsgiver en forventning om at uvedkommende ikke skal kunne lytte til samtalen.

Det er et viktig ansvar som utviklere, at våre partnere skal føle seg trygge på at våre løsninger er trygge og stabile.

I NSM sin risikorapport står det

For det første øker gapet mellom trusselen og sikkerhetsnivået i norske virksomheter og samfunnsfunksjoner… For det andre ser vi at sårbarheter i verdikjeder utnyttes mer målrettet… For det tredje ser vi at taktskiftet i cyberaktivitet mot Norge skjerper den digitale risikoen… Sikkerheten i IKT-systemene i norske virksom- heter må derfor styrkes. --RISIKO 2022

For å kunne si seg fornøyd med sikkerheten på et produkt, er det viktig å tenke som en skurk. Med kunnskapen om hvordan man skal angripe applikasjoner og utnytte seg av vanlige feil kan man selv sikre seg mot slike angrep. På web’en er det flere kjente angrepsvektorer man vil teste, og årlig legger OWASP ut en rapport over top 10 risikoer. Det å gjøre seg kjent med disse er en veldig god start på å forstå det fiendtlige miljøet Internett kan være.

En gjenganger er XSS, eller “Cross site scripting” som er relevant for programmer som lagrer data og viser det til andre brukere.

Om vi tar Twitter som eksempel, så kan man i teorien lage en nøye gjennomtenkt post som når den blir vist til din datamaskin eller mobil vil bli tolket som kode. Og når nettleseren din tolker dette som kode fra twitter, så vil den ha tilgang til twitter som deg, og kan f.eks tweete den samme posten til alle dine følgere.

Når man har en slik svakhet som kan replikere seg, så kalles det en “worm”. Et godt eksempel er Samy, som laget et script som fulgte dette scenariet på MySpace. De infiserte ble lagt til som venn, fikk siden sin endret til å si "but most of all, samy is my hero", samt at siden inneholdt scriptet som igjen gjorde at det kunne spre seg videre. Etter 20 timer hadde Samy over 1 million "venner"/beundrere, noe som ikke var dårlig til å være 2005.

Dette er bare toppen på isfjellet over sikkerhetsrisikoer som man må forholde seg til på Internett, og det blir alltid oppdaget nye feil og angrep. Så det er en tidkrevende og komplisert oppgave å holde seg oppdatert.

For å kunne føle oss sikre på at produktene vi lager er gode nok, så tester vi dem mot vanlige feil og angrep. Vi har også en in-house sikkerhetsansvarlig, som har som ansvar å holde seg og bedriften oppdatert på hva som beveger seg der ute av trusler og best-practice.

Det kan være så enkelt som å sjekke at en vanlig bruker ikke har tilgang til administratorfunksjonalitet, og helt ned til å gjøre offensive tester/angrep mot våre egne produkter og ansatte.