Encryptie vaak onjuist geïmplementeerd
Dat concluderen onderzoekers van het in encryptie gespecialiseerde beveiligingsbedrijf Veracode op basis van evaluatie van meer dan 200.000 toepassingsprogramma's. Het betreft hier zowel maatwerk-applicaties van bedrijven als commercieel verkrijgbare pakket-software. De evaluaties door Veracode waren zowel dynamisch als statisch en waar nodig ook 'handmatig'.
Shutterstock
© Shutterstock
Daarbij bleken cryptografische missers de op een na meest voorkomende oorzaak van kwetsbaarheden, vaker optredend dan bijvoorbeeld gevoeligheid voor cross-site scripting, SQL-injectie of directory-doorgifte.
Ontwikkel-kits
Het onderzoek van Veracode richtte zich nadrukkelijk op het gebruik van standaard cryptografische modules, die worden meegeleverd met ontwikkel-kits voor Java en .NET. Juist door het ogenschijnlijke 'kant-en-klaar'-karakter van deze bibliotheken onderschatten software-engineers bijkomstige aandachtspunten die cruciaal zijn voor een waterdichte implementatie. Fouten die daarvan het gevolg zijn, zijn onder meer: onjuiste validering van de TLS-certificaten, vastlegging van gevoelige informatie in tekst, hard gecodeerde encryptysleutels, ontoereikende lengte van encryptiesleutels, ontoereikende entropie, niet-willekeurige initialisatie-vectoren en niet goed sluitende verificatie van cryptografische handtekeningen.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee