Till dig som är utvecklare eller designer av system

Kära utvecklare och desingers av system!

Jag skriver till er på förekommen anledning med något som om och om igen dyker upp nämligen att sårbarheter och informationsläckage implementeras när system utvecklas och alldeles för många gånger är det uppenbart att det borde vara en red flag.

Jag vill inte på något sätt klanka ner på varken utvecklare eller designers för det finns så många olika scenarion och anledningar till att säkerhetsrisker slinker igenom och som förhoppningsvis uppdagas längs vägen, så meningen är inte att förolämpa någon utan lyfta något som vi MÅSTE ta tag i tillsammans.

Ett par av de sakerna är att se över är vilken information som lagras i logg/debug-filer och framför allt VART sparas dessa filer.

För en tid sen hittade jag ett webbsystem som jag spårat till minst 100 installationer där fel- och debugfiler finns tillgängliga öppet på internet och till och med refererats till med länkar från felsidor. Jag kommer åtekomma med ett annat inlägg kring detta men det är allvarligt vilken information jag kan få tag på via dessa filer.

Så jag ber ödmjukast om att vi alla som är inblandade i ett systems livscykel från idé till utveckling och drift tar ansvar för att hjälpa till att undvika dessa fel. Jag använder ofta uttrycket ”Think like a hacker” och det kommer väl till pass framförallt när det gäller webbaserade system där man genom ett enkelt script kan scanna ”hela” internet efter känslig information. Dessutom om den som hackar systemet kan läsa felloggarna så blir det betydligt enklare att se vad som inte funkade och hur man går runt det.

**Så reflektera (och ta action) på följande**

– Vilken information skriver ni till loggfilerna?

– Finnas det känslig information där som lösenord till databasen (connection string), personuppgifter (GDPR), API-nycklar

– Vart är loggfilerna lagrade? och viktigast av allt, är de tillgängliga publikt?

Av de 100 installationerna av systemet jag nämnde ovan så hittar jag information såsom fullständiga personnummer, namn, lösenord till databas, SQL-uttryck med data och som avlöjar databasstruktur….och mycket mer. Det är infomrmation som inte hör hemma i den typen av filer och definitivt inte om de är öppna mot internet.

Vill poängtera att ingen hackning av systemen har gjorts för att komma åt informationen, som etisk hackare måste vi ha tillstånd för att kunna göra penetrationstester. Företagen som är drabbade samt programutvecklingsbolaget kommer informeras genom så kallad Responsible Disclosure så det kan åtgärdas.

Låt oss tillsammans göra det svårare för busarna <3

Behöver du mer information så är du alltid välkommen att höra av dig till mig.

Du kanske också gillar

Bristande cybersäkerhet ett ”samhällsproblem”

Hur kan du veta mitt lösenord…?

Vad händer bakom ryggen på oss i våra appar?