Blog

Developers met een Hacker-Mindset

Door: Raymond Jetten

 

Elke week is het wel raak: een groot bedrijf dat het slachtoffer is van een cyber-aanval. Dit soort aanvallen zorgen voor grote economische schade en zijn vaak te voorkomen. Er ligt namelijk altijd een menselijke fout aan ten grondslag. Soms is een geslaagde aanval het gevolg van social engineering (bijvoorbeeld een goed geschreven phishing email) en soms is het een gevolg van kwetsbaarheden die in software zitten. 

Die kwetsbaarheden in software komen daar natuurlijk niet vanzelf. Ze zijn het gevolg van een developer die een of meerdere fouten heeft gemaakt tijdens het ontwerpen en bouwen van de betreffende software. Dat kunnen we developers niet eens kwalijk nemen. Tijdens hun opleiding en training wordt er vooral aandacht besteed aan het ontwikkelen van software die goed in elkaar steekt op het gebied van gebruiksgemak en architectuur. Ook zal de gemiddelde student software-engineering meer dan genoeg kennis opdoen met de processen rond het ontwikkelen zelf (zoals Agile werken, het verzamelen van requirements, enz). Allemaal belangrijke items om goede software te ontwikkelen maar er kunnen nog flinke stappen gemaakt worden als het gaat om studenten te leren om veilige software te bouwen. 

Met Raymond sparren over Security?

Contact

De hackers mindset

Hoe kunnen wij als softwarebedrijf er dan voor zorgen dat onze developers software bouwen die veilig is? Garanties kun je immers nooit geven. We zijn dan wel Rocksterren maar we blijven mensen! Door onze developers kennis te laten maken met de technieken die hackers tegen de door hun gebouwde software inzetten kunnen zij leren om hun software beter te beschermen tegen deze aanvallen.

Onder begeleiding van een ervaren instructeur hebben zo’n 20 van onze developers hier een aantal weken geleden kennis mee gemaakt. In de challenges die zij kregen werd hun vaardigheid om code te lezen en daar kritisch naar te kijken op de proef gesteld. Aan de hand van de broncode van een kleine (speciaal daarvoor ontwikkelde) applicatie konden zij proberen deze applicatie te compromitteren. Iets dat hackers dagelijks doen met de door hunzelf ontwikkelde software. Daarin werd voor de deelnemers al snel duidelijk hoe makkelijk het kan zijn om software onbedoelde dingen te laten doen.

Veiligere developers

Drie uurtjes in de avonduren stoeien met onveilige software heeft ervoor gezorgd dat het niveau van cybersecurity-bewustzijn bij de deelnemers aanzienlijk verhoogd is. Dat het onderwerp ook daarna nog speelt werd al snel duidelijk: tijdens de eerstvolgende borrel kwam al snel een laptop met een van de optionele “huiswerk-opdrachten” boven tafel om met collega-Rockstars te discussiëren over de oplossing. Ook bij de Rockstars die niet aan de training hadden deelgenomen was de Hacker-Mindset training het gesprek van de avond! 

Belangrijkste leerpunten

  • Gebruikersinput hoeft niet altijd te zijn wat je verwacht. Als je een String verwacht, dwing die dan af. 
  • Frontend security is geen security. 
  • Code kunnen lezen en begrijpen wat er precies gebeurt komt de veiligheid van je applicatie ten goede, ongeacht de gebruikte programmeertaal. 

Geïnspireerd? Deel dit artikel

Ga naar de bovenkant