Encryptie vaak onjuist geïmplementeerd
Dat concluderen onderzoekers van het in encryptie gespecialiseerde beveiligingsbedrijf Veracode op basis van evaluatie van meer dan 200.000 toepassingsprogramma's. Het betreft hier zowel maatwerk-applicaties van bedrijven als commercieel verkrijgbare pakket-software. De evaluaties door Veracode waren zowel dynamisch als statisch en waar nodig ook 'handmatig'.
Shutterstock
Shutterstock
Daarbij bleken cryptografische missers de op een na meest voorkomende oorzaak van kwetsbaarheden, vaker optredend dan bijvoorbeeld gevoeligheid voor cross-site scripting, SQL-injectie of directory-doorgifte.
Ontwikkel-kits
Het onderzoek van Veracode richtte zich nadrukkelijk op het gebruik van standaard cryptografische modules, die worden meegeleverd met ontwikkel-kits voor Java en .NET. Juist door het ogenschijnlijke 'kant-en-klaar'-karakter van deze bibliotheken onderschatten software-engineers bijkomstige aandachtspunten die cruciaal zijn voor een waterdichte implementatie. Fouten die daarvan het gevolg zijn, zijn onder meer: onjuiste validering van de TLS-certificaten, vastlegging van gevoelige informatie in tekst, hard gecodeerde encryptysleutels, ontoereikende lengte van encryptiesleutels, ontoereikende entropie, niet-willekeurige initialisatie-vectoren en niet goed sluitende verificatie van cryptografische handtekeningen.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee