Denne uken har jeg vært i Glasgow på konferansen Cyber Security 2018, hvor Halldis Søhoel har presentert sin masteroppgave
OWASP top ten – What is the state of practice among start-ups?
Halldis har studert 5 oppstartsbedrifter som alle tilbyr en webapplikasjon, for å se i hvilken grad de er klar over og har tatt hensyn til OWASP top ten. Etter intervjuer med bedriftene har hun så testet applikasjonene med fritt tilgjengelige verktøy. På grunn av forsinkelsen med offisiell publisering av OWASP top ten 2017, måtte Halldis basere seg på versjonen fra 2013, men heldigvis er forskjellene så små at det ikke påvirker resultatene vesentlig.
Bedrift A – prosjektstyringsløsning
Lagrer sensitiv informasjon om ansatte, kunder og finansielle detaljer. Gründerne har bakgrunn i økonomi og administrasjon. Utviklingen er satt ut til andre.
Største frykt: Autentisering og aksesskontroll. Lekkasje av sensitiv informasjon.
Bedrift B – crowdsourcing av opplæringsmateriale
Hver bruker får privilegier basert på tillit ved å bidra til nettstedet. Gründerne er informatikkstudenter.
Største frykt:Ødeleggelse og økte privilegier.
Bedrift C – klesvask-booking
Lagrer ikke brukerinformasjon, bortsatt epostadresser brukt som brukernavn. Gründerne er erfarne utviklere, dette er et hobbyprosjekt ved siden av fulltidsjobber.
Største frykt: Tyveri av epostadresser, spam, ødeleggelse.
Bedrift D – kommunikasjonsplatform for medisinsk personell og pasienter
Lagrer personlig og sensitiv informasjon om pasienter. Gründerne har bakgrunn fra informatikk og andre områder.
Største frykt: Informasjonslekkasje
Bedrift E – leksehjelp for barneskolen
Lagrer informasjon om elevenes karakterer og lærernes vitnemål. Gründerne har bakgrunn fra informatikk og relaterte områder.
Største frykt: Utpresningsvare – få data kryptert og bli tvunget til å betale bitcoin for å få dem tilbake.
Oppsummering
Resultatene etter testene vises i illustrasjonen over – selv om det er stor variasjon, er det ingen av bedriftene som kan skryte av at de har alt på stell. Det er dessverre ikke overraskende at økonomene i Bedrift A gjør det relativt dårlig på sikkerhet, og det harmonerer bra med tidligere forskning at studentene i Bedrift B gjør det dårligst av alle.
Den viktigste lærdommen er:
- Ta hensyn til sikkerhet fra starten av utviklingen
- (Mange) oppstartsbedrifter lager mer sikre applikasjoner fordi de er motiverte
- Sørg for å verifisere sikkerheten til tredjepartskode og kodeeksempler man finner på nettet
Artikkelen finner du her: http://jaatun.no/papers/2018/owasp-paper.pdf
Hele masteroppgaven kan leses her: https://brage.bibsys.no/xmlui/handle/11250/2487106