研究網頁應用安全超過10年的Caleb Sima,是ISS X-force團隊中第一個滲透測試研究人員。其後自己創立SPI Dynamics(於2007年被HP收購),也是第一個開發出白箱測試產品的團隊。如今他加入原始碼檢測廠商阿碼科技並成為執行長,對產品研發有新的期望,以下是接受本刊專訪摘要:
問:為何加入阿碼科技,這代表阿碼科技產品有何新走向?
我來自黑箱測試的世界,對我來說,這10年來,雖然企業對網頁安全防護已有進步,但其實沒有攻不進去的網站,只是所需耗費的時間長短而已,現在的程式更複雜、有各種變數,而變數就會導致新的安全問題。當你深入了解網頁應用程式的問題,就明白問題根源來自於原始碼。哪裡有問題,就要從哪裡下手解決。黑箱測試還是有其作用,但我們每次要不斷警告別人這裡、那裡有問題,我已經覺得很煩,所以希望接下來不只能來幫他們找出問題,還能協助他們去解決。
問:為什麼SQL injection這些網頁應用程式的老問題,卻仍不斷出現?
程式人員對於安全程式碼的認知仍然不足。以100個程式設計師為例,其中10個是資深的,這當中5~6個也許會知道安全漏洞的問題,他們知道如何撰寫安全程式碼。其他95%什麼都不知道,90%只知道作例行性工作,寫出需要的功能,但不會去follow最新漏洞與問題。
對程式人員做教育訓練是絕對必要的,但實務上來說,教育訓練是非常花費時間的解決辦法,做一次訓練可能2~3個會改進,再送一次訓練可能7~10個有進步,但企業需要每隔段時間不斷送去受訓,這樣就必須犧牲生產力。就算一半的人學會了,還有一半的人寫的還是不安全的程式。
我希望將來的產品能幫助他們很快找出問題,程式設計師不需要管安全問題,只管寫出他們要的功能,好的安全設計是直接隱藏內建在平台裡面的,不會中斷他們的作業。
原始碼檢測與網頁安全一直以來都是一連串很複雜的過程,如何把它簡化、更容易使用,讓人不會察覺,這就是我希望能讓阿碼產品進一步研發的方向。讓安全融入在每個階段中,讓大家可以很輕易達到這件事,並且是可執行的(actionable)。
問:所謂可執行的產品意指?
過去原碼檢測可能一掃,掃出3000個不同的弱點,報表產出雖可讓你按照弱點優先次序解決,但有些是組織客製化的,因此也無法完全解決,企業只好再花錢請顧問來檢視弱點報表,就算簡化到80~100個,也必需靠自己的程式人員去驗證false/positive,然後再分派問題給不同的開發人員去解決。然而不同的開發人員卻有不同解決方式。導致同一個問題,可能有好幾種解決方式。關鍵來了,有些人是正確解決了,有些人改寫後卻還是有錯誤。還是被SQL injection!所以就算你花了十萬美金買了檢測產品,卻沒有帶來多大的價值。
對我來說,可執行(actionable)的產品就是掃出來之後,不需要花錢請顧問,自動產出的報表就可讓所有程式人員直接用正確相同的方式去修改。
問:現在熱門的行動上網、雲端運算對於網頁應用安全是否帶來改變?
行動上網基本上也是連上一樣的網站,使用一樣的瀏覽器,沒太大的改變,也都會有一樣的弱點。除了Nokia phone的WML是新的技術之外,沒太大不同。但最近iPhone是有傳出一個新的弱點,iPhone上有特別的handler可以讓你更新iPhone,這時如果有人送一個連結給你,看起來像從apple傳過來的,一點擊下去你以為可以更新修補程式,但其實卻被安裝了惡意軟體。所以手機瀏覽器的handler已成為駭客可以利用的工具,可用來改變proxy的設定。
其實,不管是行動運算、雲端運算,這些新技術都會讓網頁應用程式安全一直不斷演變,你今天改好了你的程式,不代表以後就沒事。網頁應用安全不是只有SQL injection, XSS問題,而是跟著新的技術不斷動態改變,保持安全是永無止盡的一天。