– Min største frykt som utvikler: Å bli hacket!
– Selv om jeg er ganske trygg på at koden jeg skriver er sikker, så ligger alltid usikkerheten der og murrer i bakhodet, skriver Kurt i ukens nyhetsbrev, om uka full av sikkerhetsnyheter.
Dette har vært en uke i sikkerhetens tegn.
Ikke bare gikk den store Sikkerhetsfestivalen av stabelen på Lillehammer – vi har også hatt mye sikkerhetsstoff på kode24.no:
- På onsdag skrev vi om Melvin Langvik som lagde sikkerhetsverktøyet TeamFiltration – bare for å oppleve at kriminelle misbrukte verktøyet hans til å gjennomføre et angrep mot 80.000 Entra ID-kontoer.
- Vi skrev også om Zack Korman som fant en svakhet i Copilot for Microsoft 365 som ga tilgang til innhold i dokumenter, uten at revisjonsloggene viste at noen har lest de aktuelle filene.
- Og sist, men ikke minst – den oppsiktsvekkende nyheten om sårbarheten som gjorde det mulig for hackere å åpne en hvilken som helst pakkeboks.
1. oktober starter jeg i ny jobb for å bli utvikler på heltid. I den forbindelse må jeg innrømme at det som utvikler er én ting jeg frykter mer enn alt annet: At tjenesten jeg har laget blir hacket og at det er min skyld.
Jeg mener selv at jeg har kunnskapen til å bygge robuste og sikre løsninger – jeg har gjort det før. Men uansett erfaringsnivå, så gjør folk feil.
Nylig oppdaget jeg en alvorlig sårbarhet i nettsidene til en av mine kunder, gamle nettsider jeg hadde overtatt fra en tidligere utvikler: Et token som ga skriverettigheter til et CMS var tilgjengelig på klienten. Sårbarheten hadde heldigvis aldri blitt utnyttet av noen, og jeg fikk tettet sikkerhetshullet. Kjapp fiks.
Det som skremmer meg var at sårbarheten ble laget av en erfaren utvikler som rett og slett bare hadde tabbet seg ut.
Det som skremmer meg var at sårbarheten ble laget av en erfaren utvikler som rett og slett bare hadde tabbet seg ut. Kanskje det var noe testkode ment for lokal utvikling, eller kanskje koden var skrevet av en AI og ikke sjekket grundig nok? Ikke vet jeg – men det jeg vet er at denne utvikeren i likhet med meg bare er et menneske. Og mennesker gjør feil.
Jeg vet også at hackere av det kaliberet som hacker pakkebokser sitter på enormt mye kunnskap og ressurser til å kunne finne sårbarheter og svakheter de fleste utviklere kanskje ikke ser umiddelbart. Pakkeboks-hackeren var heldigvis en snill whitehat-hacker, slik er det ikke alltid.
Så ja, selv om jeg er ganske trygg på at koden jeg skriver er sikker, så ligger alltid usikkerheten der og murrer i bakhodet. Er det noe jeg ikke har tenkt på?
Heldigvis tror jeg denne usikkerheten bare er bra, og holder meg skjerpet.
Ukas beste saker fra kode24.no:
🎒 Her hacker han opp pakkeboksen
To nordmenn har lenge kunnet åpne hvilken som helst Posten- og PostNord-pakkeboks. Nå jobbes det på spreng for å tette hullet.
🌽 Melvins verktøy misbrukt av kriminelle – angrep over 80.000 kontoer
Melvin Langvik lagde TeamFiltration for å teste sikkerheten i Microsoft365/Entra ID, men kriminelle hadde andre planer. – Ikke uventet, mener utvikleren.
🧃 Copilot lot Zack lese hemmelige filer uten spor: «Skremmende!»
Zack Korman fant ut at man kan be Microsoft 365 Copilot omgå revisjonsloggen, men Microsoft vil hverken betale dusør eller offentliggjøre svakheten. – Det er ganske skremmende, mener CTO-en.
🍉 Mener det offentlige blåser i krav om lærlinger: – Jeg blir irritert!
Offentlige prosjekter må inkludere lærlinger, men mange mener oppdragene deres er for kompliserte for dem. – Som å si at et sykehus er for komplisert for en medisinstudent, mener Sigurd Heggemsnes.
🥼 Seniorutviklere leverer 2,5x mer AI-kode enn juniorer
Mens juniorer foretrekker å skrive koden selv, overlater seniorerutviklere en mye større del av kodingen til AI, viser en fersk undersøkelse fra Fastly.
God helg!
Sårbarheter i kode kan eksistere i åresvis før de blir oppdaget, og det kan være svært erfarne utviklere som har skrevet den sårbare koden.
For eksempel ble en av de alvorligste sårbarhetene noensinne i et rammeverk oppdaget i mars i år. En sårbarhet i Next.js kunne gjort det mulig for en angriper å få tilgang til ruter i applikasjonen din som normal krever innlogging. Sårbarheten berørte flere kjente autentiseringsløsninger, og den hadde vært der lenge uten at noen hadde oppdaget den.
Dette beviser bare at alle utviklere gjør feil, og at det dessverre finnes noen usannsynlig smarte hackere der ute som ikke vil oss vel.
Mitt råd for å minimere risikoen for at den neste sårbarheten er din feil, er å alltid ha sikkerhet i bakhodet når du koder. Spesielt om du bruker AI-assistenter til å hjelpe deg med kodingen. Få gjerne en kollega til å ta en kikk på koden din også. Og er det snakk om virkelig kritiske systemer, få inn en pentester – en "white-hat hacker".
God, sikker helg!
– Kurt 🤓
