OWASP - webes alkalmazások biztonsága

A webes alkalmazások, a vonatkozó fejlesztések biztonságával foglalkozik az OWASP (Open Web Application Security Project), a nemzetközi szervezet magyar tagozatának megalakulása volt az OWASP Day Hungary 2012 november 28-i rendezvényén, számos szakmai résztvevővel.  

A webes alkalmazások biztonsága az utóbbi években került a figyelem középpontjába, köszönhetően azok széleskörű elterjedésének, s annak a fejleménynek, hogy a 2010-es évek óta már elsősorban a szoftverekben lévő, rejtve maradt hibák kínálják a hacker-támadások számára a biztonsági réseket. Az évtized elején a biztonsági szakemberek még a határvédelemre koncentráltak, a cégek rengeteget költöttek effajta védelemre, a hackerek akkor inkább az alkalmazások hibái felé fordultak. Ezek a rendellenességek a vállalati környezetben is főként a programozók által hagyott hibákból adódnak, a mai programok jóval összetettebbek, mint 10-20 évvel ezelőtt. A megrendelői oldal még nem ismerte fel, hogy maga és ügyfelei számára csak a fejlesztési folyamatba illesztett biztonsági ellenőrzés jelenthet valódi biztonságot, azaz, határvédelem helyett biztonságos fejlesztésre van szükség.

 Fekete Tibor és Szabó Bálint , mindketten a Cloudbreaker cég munkatársai, az OWASP magyarországi tagozatának indítói, vállalták a biztonságos fejlesztéssel foglalkozó világhírű szervezet magyar tagozatnak gondozását, ennek propagálását szolgálta a rendezvény.

A szaksajtó számára tartott tájékoztatójukban kifejtették, az OWASP és a biztonsági cégek számára is kiemelten fontos, elérendő cél a megrendelők szemléletváltása, amely elengedhetetlen a vállalati és felhasználói adatok biztonságának valódi garantálásához. Ezt kell kiegészítenie a törvényhozói oldal által meghozott szabályozásnak. 

A határvédelemre való korábbi összpontosítást felváltó új szemléletmódban a védelem vezér-egyéniségeivé egyre inkább az alkalmazásbiztonsági szakértők válnak, akik fejlesztés közben a hacker szemével monitorozzák a tervezett és a készülő programokat. A biztonság és az alkalmazásbiztonság új struktúrájának hatékonyabb, megelőző elemekben gazdagabb módon kell megjelennie, miközben az utólagos ellenőrzések szintjét is tartani szükséges. 

Fentiek szerint, az elmúlt két évtized elsődleges kiber védelmi alapelve a "határvédelem" volt. Ebben a modellben a védett hálózat külső forgalmából szűrték ki a potenciális támadásokat, a belső hálózatban pedig zónákat hoztak létre. A külső zónában helyezték el pl. a web-szervereket, a belsőkben pedig az érzékeny adatokat és a szolgáltatásokat. A szakemberek abban bíztak, hogy a támadók fennakadnak a kerítésen és az ellenőrzött kapukon. Ezzel párhuzamosan, a 2000-es években végbement egy korszakváltás, a szoftveriparban megjelent és a semmiből indulva, a biztonsági büdzsék 20-30%-át hasította ki a korábban szinte teljesen hiányzó funkcionális tesztelés, ami már komoly lépést jelentett a biztonság felé.

 Napjainkban újabb korszakváltásnak vagyunk tanúi: a határvédelemről és az utólagos tesztelésről, amilyen például az etikus hacking, és főleg a penetrációs tesztek, Nyugat-Európában és az Egyesült Államokban a figyelem egyre inkább a preventív alkalmazásbiztonságra terelődik. Nem csoda, hiszen a fejlesztés folyamatába illesztett biztonsági ellenőrzés és szakértelem sokkal jobb hatékonyságot és valóságosabb biztonságot, nem csupán hamis biztonságérzetet jelent. Emellett, a számos országban már létező adatvédelmi törvényi kötelezettségek miatt, a preventív alkalmazásbiztonság az egyetlen út, ami valóban megvédheti a piaci szereplőket és ügyfélkörüket a betolakodóktól.

A fejlett országokban mára a biztonsági büdzsék 20%-át fordítják alkalmazásbiztonságra, legnagyobb részben etikus hackingre, de folyamatosan nő a preventív megelőzés részaránya is. Magyarországon ez az arány ma még nem éri el az 5%-ot, ami a hazai, mintegy 25 milliárd Ft-os biztonsági piacot alapul véve, körülbelül 1 milliárd Ft-os ráfordítást jelent.

Ugyanakkor az alkalmazásbiztonsági piac minden jel szerint dinamikus növekedés előtt át, hiszen ma már a támadások 80%-a az alkalmazásokat, a szoftverekben hagyott réseket és nem a határvédelmet veszi célba. Ezeket a javításokat pedig a szokványos garanciális keretek között a fejlesztők nem szokták elvégezni, már csak azért sem, mert az utólagos tesztelésekre sokszor az általánosan szabott 3 hónapos garanciális határidőn túl kerül sor.

 Az adatbiztonság növelését az OWASP hazai tagozatának alapítói, a Cloudbreaker szakértői szerint részben az eddig halogatott törvényi szabályozással, részben a megrendelői oldal szemléletváltásával lehetne elősegíteni.  

Míg a törvényi szabályozás egyelőre várat magára, a megrendelői oldalon kívánatos szemléletváltást részben az OWASP tevékenysége hivatott előmozdítani. Fekete Tibor szerint a megrendelői oldal és így a hazai internethasználók számára már két fontos lépés is jelentősen nagyobb biztonságot eredményezhetne. Annak kikötése, hogy az OWASP által folyamatosan frissített és publikált Top 10 hiba kiküszöbölése követelmény legyen a fejlesztéseknél.

Ezt szem előtt tartva hozta létre a Cloudbreaker SEQA (Security QA, Security Quality Assurance) nevű termékét, a megrendelői oldal számára létrehozott minőségbiztosítási eljárásrendet. Amennyiben a megrendelői oldalon eszerint írják ki a beszerzéseket és kötnek szerződést a fejlesztőkkel, akkor biztosítható, hogy a biztonsági hibákat a beszállítók már a fejlesztés során, megelőző módon folyamatosan kiküszöböljék, így elkerülhető, hogy a hiányosságokra csak az utólagos tesztelések során derüljön fény, ami a hibák egy jelentős részénél már túl késő, a javítás nem, vagy csak nagyon körülményesen és külön ráfordításokkal lehetséges.  

 

Az Open Web Application Security Project, a browserekből használható (webes) technológiájú alkalmazások biztonságával foglalkozik.  Az OWASP nyílt közösség, nonprofit szervezet, önkéntesek és tagságot vállalók dolgoznak benne, s azzal a céllal jött létre, hogy más szervezetek számára lehetővé tegye megbízható alkalmazások fejlesztését, vásárlását és karbantartását. Minden OWASP eszköz, dokumentum, fórum és helyi tagozat nyitott bárki számára, akit érdekel az alkalmazások biztonságának (appsec) javítása.   

A szervezet tagjai nem jótékonykodásból vállalják a munkát, hanem azzal a céllal, hogy a vonatkozó piac a webes biztonság növekedésével fejlődhessen. .

A szervezet gondozói vallják, az alkalmazásbiztonság elsősorban emberi, folyamatszervezési és technológiai probléma, amelyre van megoldás. A szervezet küldetése az alkalmazások biztonságának "láthatóvá" tétele, hogy a szervezetek világszerte képesek legyenek jól informált döntéseket hozni a szoftverek jelentette kockázatok kapcsán. A szervezet munkájában a kulcs-kifejezés a projekt, elkötelezett tagjai projekteket indítanak különböző eszközök és termékek létrehozására, azért dolgoznak, hogy ingyenesen elérhető módszerekkel, eszközökkel és technológiákkal, pl. fejlesztői guide-al  segítsék a szakembereket a biztonságos szoftverek fejlesztésében, beszerzésében és üzemeltetésében, abban, hogy a megrendelő megkövetelje beszállítójától a biztonságos szoftvert. A szervezet  támogatja a kereskedelmi biztonsági technológiák megfelelő ismereteken alapuló alkalmazását, de teljes mértékben független a technológiai beszállítóktól. Tutoriálokat hoznak létre a felhasználók számára a webes alkalmazások sérülékenységi tesztelésére. Hasonlóan a nyílt forrású szoftver projektekhez, az OWASP különféle anyagai közös, nyílt munka eredményeként jönnek létre. Anyagai szabadon, ill. a nyílt forráskódú licencek alkalmazásának megfelelően használhatók.
Az OWASP leginkább az időközönként frissített TOP 10-es listáról ismert, amely a webes alkalmazások ellen elkövetett 10 leggyakrabban használt támadási módszert mutatja be, javaslatokat adva a védekezéshez. 

A szervezet vár mindenkit, akit érdekel a webes alkalmazások biztonsága.  

 www.owasp.org/index.php/Hungary

www.cloudbreaker.co/

 Harmat Lajos