Audyt bezpieczeństwa rozwija własną firmę
O bezpieczeństwie aplikacji internetowych pisałem już poprzednio w ramach opisywanego artykułu o uzyskiwaniu certyfikatu bezpiecznej strony. Tym razem skupię się na tym, że jeśli jesteśmy programistami i/lub mamy firmę internetową, która tworzy zaawansowane systemy dla zewnętrznych zleceniodawców, to powinniśmy zadbać także o to, aby inna (nie zrzeszona z nami firma) sprawdziła nasze oprogramowanie.
Kiedyś myślałem, że jest to zbędne i jeśli wyuczy się odpowiednich praktyk w pisaniu bezpiecznego kodu PHP, to nic nie grozi atakowanej witrynie. Dzisiaj wiem, że nie do końca miałem rację. Dlaczego? Ponieważ „stojąc w miejscu cofasz się” – jeśli nie rozwijamy się dalej w kierunku jeszcze bardziej wydajniejszego i bezpieczniejszego tworzenia serwisów www, to po prostu stajemy się mniej atrakcyjni dla pracodawcy (czy zleceniodawców) i z czasem coraz mniej zleceń będziemy otrzymywać.
Pisałem 2 artykuły poniżej o tym, że taki RSS/XML/XSL jest także podatny na ataki. Problem zostałby najprawdopodobniej wyeliminowany, gdybyśmy skorzystalibyśmy z usług audytu bezpieczeństwa przeprowadzonego przez jakąś zewnętrzną firmę. Mówię tutaj oczywiście o sytuacji, kiedy jesteśmy firmą i stać nas na tego typu „inspekcję oprogramowania”. Audyt bezpieczeństwa przeprowadza się dla naprawdę poważnych projektów. Trudno, aby dla prostej domowej strony zatrudniać firmę, którze „przetrzepie ją” w poszukiwaniu luk. To się mija z celem i szkoda na to pieniędzy. Ale portale pokroju onet.pl, wp.pl, nasza-klasa.pl i inni, którzy oprócz zabezpieczeń w skryptach PHP muszą także dbać o bezpieczne przechowywanie danych osobowych zarejestrowanych w tych serwisach ludzi powinni przeprowadzać okresowe badania bezpieczeństwa ich stron. n-k.pl już raz „oberawało” od GIODO, kiedy dzięki napisanemu skryptowi w Perlu można było wyciągnąć cała bazę danych użytkowników :]
Oprócz tego, że jakaś firma przetestuje oprogramowanie, to na koniec dostaniemy szczegółowe podsumowanie/raport tego gdzie jest i gdzie ewentualnie może być luka w systemie. A dzięki takiemu raportowi mamy bardzo dokładne informacje luk w wiedzy jaką posiadamy. Tego nie powie nam żaden test w internecie, żaden kurs, certyfikat, itp. Jest to wręcz bezcenne źródło wiedzy o nas samych, które spowoduje, że będziemy mogli dalej się rozwijać :] Jeśli tylko zastosujemy się do uwag jakie firma zgłosiła, to staniemy się jeszcze lepszymi specjalistami w swojej dziedzinie. To się po prostu opłaca!
Firm oferujących przeprowadzenie testu aplikacji można znaleźć na pęczki. Wybór nie będzie prosty, ale wybierając odpowiednich sprzemierzeńców warto pokierować się tym jakie referencje mają, oraz jak szeroki wachlarz możliwości oferują. Ciężko powiedzieć mi coś więcej na ten temat, ponieważ nigdy nie interesowałem się tym, oraz nie wiem jak wygląda proces uzgadniania szczegółów takich testów. Na pewno wszystko jest dostosowywane do indywidualnej specyfikacji produktu jaką testerzy otrzymują do zbadania. Aplikacja sprawdzana jest na różnych poziomach włamań. Whitebox to testowanie z dostępem do kodów źródłowych, testy penetracyjne, podczas których specjaliści testują bezpieczeństwo systemu behawioralnie, tzw. blackboxing, czyli bez dostępu do wiedzy o systemie, a w szczególności kodów źródłowych.
Teraz najważniejsze – cena. Długo, ale to naprawdę długo szukałem w google nawet orientacyjnych cen wykonania takiej usługi. Niestety, ale nie znalazłem żadnych konkretnych danych. Google nie potrafiło odpowiedzieć mi na tego typu pytanie.
Dlatego prośba do czytelników – jeśli ktokolwiek korzystał z takich rozwiązań i może mi podać konkretny przykład, wraz z cennikiem to będę bardzo, ale to bardzo wdzięczny :]