Sécurité du développement d'applications COBOL | Secure Code Warrior
Il semble presque comique qu'en 2019, nous devions parler de travailler avec un langage informatique inventé en 1959. De nos jours, peu de séminaires ou de conventions sont consacrés à l'art de refiler les machines à coudre Singer classiques ou de remplacer le carter d'huile d'une Chevrolet Parkwood ou d'une Triumph Herald. La plupart de ces outils vieillissants ont depuis longtemps été retirés du marché et remplacés par de nouveaux modèles plus efficaces. Pourtant, ici, dans un monde technologique censé être à la pointe de la technologie par rapport à d'autres secteurs, nous travaillons toujours avec des langages comme le COBOL, qui est sorti à peu près à la même époque.
Bien entendu, il y a de très bonnes raisons à cela. Le langage commun orienté vers les affaires (COBOL) a peut-être 60 ans, mais il a été si bien construit qu'il est toujours d'actualité et largement utilisé aujourd'hui.
Le COBOL a été créé comme un moyen relativement simple, utilisant un langage clair regroupé en phrases et syntaxes spécifiques, pour programmer des systèmes dorsaux afin d'effectuer des tâches mathématiques et des formules. Pourquoi existe-t-il encore aujourd'hui ? En d'autres termes, il fait très bien son travail. D'une certaine manière, il fait désormais partie de la structure informatique de nombreux systèmes centraux et principaux dans des secteurs aussi divers que le secteur financier et l'industrie manufacturière.
Des mises à jour progressives ont été apportées au COBOL au fil des ans, notamment en 2002, lorsqu'il a été transformé en langage orienté objet afin de rendre la programmation de nouvelles applications un peu plus fluide. Mais dans l'ensemble, COBOL reste aujourd'hui ce qu'il était à l'époque : un héros méconnu et un langage de programmation hors pair qui fonctionne en arrière-plan pour étayer de nombreuses applications modernes au niveau du mainframe.
Dans quelle mesure le COBOL est-il sécurisé ?
Malheureusement, il n'y avait pas beaucoup de considérations de sécurité lorsque COBOL a été créé pour la première fois. Par exemple, de nombreuses applications COBOL disposent d'un programme de mot de passe qui les protège, mais elles ne sont presque jamais renforcées contre des éléments tels que la protection contre la force brute pour empêcher le craquage. Ajoutez à cela le fait que de nombreux outils de sécurité modernes qui surveillent le trafic réseau ne savent pas comment gérer ou évaluer les fonctions exécutées dans des programmes écrits dans des langages professionnels tels que le COBOL, et vous êtes confronté à un réel problème sur le point de se produire. De nombreuses violations modernes ont été couronnées de succès en raison de l'absence de supervision de la sécurité des systèmes utilisant des langages informatiques classiques. En 2015, les données de plus de quatre millions d'employés fédéraux américains ont été exposées lorsque le Bureau de la gestion du personnel (OPM) a été piraté, avec la faute en revient à leur utilisation de COBOL, invoquant une incapacité à mettre en œuvre des mesures de sécurité modernes sur un système aussi archaïque.
Il y a des années, la sécurité était assurée par une armée de programmeurs qui connaissaient le COBOL et d'autres langages populaires de l'époque. Dans les années 1960, COBOL était comme Java ou .Net d'aujourd'hui, et ceux qui le connaissaient étaient les stars de leur département. En 2019, ces personnes ont probablement pris leur retraite depuis longtemps, même si ce n'est pas le cas des systèmes qu'elles protégeaient.
Élargir les lignes de défense de première ligne des COBOL
Un bon nombre de ces soi-disant barbes grises ont été ramenés dans leurs organisations en tant que sous-traitants pour défendre les mêmes ordinateurs centraux sur lesquels ils travaillaient auparavant. Dans bien des endroits, ils ont existé de manière un peu anormale : une cabale secrète de sorciers vieillissants dans un coin arrière du bureau, leur tenue étrange (cravates larges et costumes trois pièces) et leurs manières étrangement polies qui ne correspondaient pas vraiment à celles de tous les hipsters modernes arborant des jeans skinny et des brioches pour homme. Pourtant, ils étaient absolument nécessaires, car peu de programmeurs modernes créaient du code en COBOL et dans d'autres langages anciens. Malheureusement, même ces dernières sentinelles sorcières sont en train de disparaître pour finalement rendre l'âme et déménager à Boca Raton, où elles profitent d'une véritable retraite.
Il existe donc un besoin urgent de personnes qui comprennent les langues anciennes et les failles de sécurité qu'elles contiennent. Même si les jeunes ne savent pas comment écrire du code dans des langages classiques, ils devraient au moins comprendre leur fonctionnement et leurs vulnérabilités potentielles. Parce que si le développement du COBOL est resté relativement stable, les menaces qui pèsent sur les réseaux ont continué d'évoluer. Essayer d'utiliser d'anciennes techniques de cybersécurité programmées il y a soixante ans, comme l'application de mot de passe COBOL susmentionnée, pour défendre un ordinateur central contre des attaquants modernes revient à déployer une phalange de lanciers pour combattre un peloton de Space Marines. À moins d'un miracle hollywoodien, cela va mal se terminer pour les gars aux lances.
Qu'il soit ancien ou nouveau, il doit également être sécurisé.
C'est pourquoi nous croyons en l'importance d'un système de formation avancé qui couvre une large gamme de langages et de frameworks de programmation. Vous voyez, l'un des problèmes flagrants liés à de nombreuses options de formation à la sécurité est que les informations sont tout simplement trop génériques, ou pire encore, totalement hors de propos dans le travail quotidien du développeur qui y participe. Passer une demi-journée à découvrir les vulnérabilités qui ne concernent que Java n'aidera pas un développeur COBOL à renforcer son système, et cela ne fera que perpétuer l'idée que la « sécurité » est un exercice à cocher à oublier une fois le cours obligatoire terminé. J'ajouterais que former quelqu'un aux bogues de sécurité Java n'est pas toujours applicable à un développeur Java Spring. Le codage sécurisé est simplement différent dans chaque langue, même au niveau du framework.
Dans le cadre de notre mission visant à permettre à tous les développeurs de devenir des super-héros de la sécurité, nous n'oublierons pas un langage informatique valide qui est toujours utilisé dans certaines des installations les plus ciblées et les plus critiques au monde. En explorant notre plateforme, vous trouverez des défis pratiques et des formations modernes liés au COBOL, proposés ainsi que certains des outils de programmation les plus modernes disponibles aujourd'hui, tels que Golang de Google. Cette flexibilité garantit que la formation est adaptée à un individu et contextuelle, imitant son environnement de travail pour un engagement et une efficacité maximaux. Après tout, la mise en place d'une solide culture de la sécurité est primordiale dans la lutte contre les cybermenaces. La formation doit donc être pratique (et amusante, bien sûr !).
Nous voulons que notre secteur parvienne à un stade où peu importe que des menaces de sécurité soient proférées contre des systèmes utilisant des langages vieillissants ou contre les applications de mobilité les plus modernes. Nous voulons que chaque développeur dispose des meilleures informations sur ces vulnérabilités, sur les outils et les techniques utilisés par les attaquants pour les exploiter et sur la manière de les stopper. Nous ne céderons jamais et ne renoncerons jamais face aux menaces de cybersécurité. Quelle que soit la modernité ou l'ancienneté des menaces ou des vulnérabilités, vous pouvez toujours vous tourner vers Secure Code Warrior pour apprendre à les vaincre, à chaque fois.
PS : Vous pensez qu'un langage ancien échappe à la sensibilité à l'injection SQL ? Détrompez-vous. Voyez si vous pouvez localisez-en un et corrigez-en un en COBOL en ce moment.
Legacy COBOL, bien qu'il s'agisse d'un langage informatique plus ancien, est toujours efficace à ce jour. Pour en savoir plus sur le développement d'applications sécurisées COBOL, consultez Secure Code Warrior.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Il semble presque comique qu'en 2019, nous devions parler de travailler avec un langage informatique inventé en 1959. De nos jours, peu de séminaires ou de conventions sont consacrés à l'art de refiler les machines à coudre Singer classiques ou de remplacer le carter d'huile d'une Chevrolet Parkwood ou d'une Triumph Herald. La plupart de ces outils vieillissants ont depuis longtemps été retirés du marché et remplacés par de nouveaux modèles plus efficaces. Pourtant, ici, dans un monde technologique censé être à la pointe de la technologie par rapport à d'autres secteurs, nous travaillons toujours avec des langages comme le COBOL, qui est sorti à peu près à la même époque.
Bien entendu, il y a de très bonnes raisons à cela. Le langage commun orienté vers les affaires (COBOL) a peut-être 60 ans, mais il a été si bien construit qu'il est toujours d'actualité et largement utilisé aujourd'hui.
Le COBOL a été créé comme un moyen relativement simple, utilisant un langage clair regroupé en phrases et syntaxes spécifiques, pour programmer des systèmes dorsaux afin d'effectuer des tâches mathématiques et des formules. Pourquoi existe-t-il encore aujourd'hui ? En d'autres termes, il fait très bien son travail. D'une certaine manière, il fait désormais partie de la structure informatique de nombreux systèmes centraux et principaux dans des secteurs aussi divers que le secteur financier et l'industrie manufacturière.
Des mises à jour progressives ont été apportées au COBOL au fil des ans, notamment en 2002, lorsqu'il a été transformé en langage orienté objet afin de rendre la programmation de nouvelles applications un peu plus fluide. Mais dans l'ensemble, COBOL reste aujourd'hui ce qu'il était à l'époque : un héros méconnu et un langage de programmation hors pair qui fonctionne en arrière-plan pour étayer de nombreuses applications modernes au niveau du mainframe.
Dans quelle mesure le COBOL est-il sécurisé ?
Malheureusement, il n'y avait pas beaucoup de considérations de sécurité lorsque COBOL a été créé pour la première fois. Par exemple, de nombreuses applications COBOL disposent d'un programme de mot de passe qui les protège, mais elles ne sont presque jamais renforcées contre des éléments tels que la protection contre la force brute pour empêcher le craquage. Ajoutez à cela le fait que de nombreux outils de sécurité modernes qui surveillent le trafic réseau ne savent pas comment gérer ou évaluer les fonctions exécutées dans des programmes écrits dans des langages professionnels tels que le COBOL, et vous êtes confronté à un réel problème sur le point de se produire. De nombreuses violations modernes ont été couronnées de succès en raison de l'absence de supervision de la sécurité des systèmes utilisant des langages informatiques classiques. En 2015, les données de plus de quatre millions d'employés fédéraux américains ont été exposées lorsque le Bureau de la gestion du personnel (OPM) a été piraté, avec la faute en revient à leur utilisation de COBOL, invoquant une incapacité à mettre en œuvre des mesures de sécurité modernes sur un système aussi archaïque.
Il y a des années, la sécurité était assurée par une armée de programmeurs qui connaissaient le COBOL et d'autres langages populaires de l'époque. Dans les années 1960, COBOL était comme Java ou .Net d'aujourd'hui, et ceux qui le connaissaient étaient les stars de leur département. En 2019, ces personnes ont probablement pris leur retraite depuis longtemps, même si ce n'est pas le cas des systèmes qu'elles protégeaient.
Élargir les lignes de défense de première ligne des COBOL
Un bon nombre de ces soi-disant barbes grises ont été ramenés dans leurs organisations en tant que sous-traitants pour défendre les mêmes ordinateurs centraux sur lesquels ils travaillaient auparavant. Dans bien des endroits, ils ont existé de manière un peu anormale : une cabale secrète de sorciers vieillissants dans un coin arrière du bureau, leur tenue étrange (cravates larges et costumes trois pièces) et leurs manières étrangement polies qui ne correspondaient pas vraiment à celles de tous les hipsters modernes arborant des jeans skinny et des brioches pour homme. Pourtant, ils étaient absolument nécessaires, car peu de programmeurs modernes créaient du code en COBOL et dans d'autres langages anciens. Malheureusement, même ces dernières sentinelles sorcières sont en train de disparaître pour finalement rendre l'âme et déménager à Boca Raton, où elles profitent d'une véritable retraite.
Il existe donc un besoin urgent de personnes qui comprennent les langues anciennes et les failles de sécurité qu'elles contiennent. Même si les jeunes ne savent pas comment écrire du code dans des langages classiques, ils devraient au moins comprendre leur fonctionnement et leurs vulnérabilités potentielles. Parce que si le développement du COBOL est resté relativement stable, les menaces qui pèsent sur les réseaux ont continué d'évoluer. Essayer d'utiliser d'anciennes techniques de cybersécurité programmées il y a soixante ans, comme l'application de mot de passe COBOL susmentionnée, pour défendre un ordinateur central contre des attaquants modernes revient à déployer une phalange de lanciers pour combattre un peloton de Space Marines. À moins d'un miracle hollywoodien, cela va mal se terminer pour les gars aux lances.
Qu'il soit ancien ou nouveau, il doit également être sécurisé.
C'est pourquoi nous croyons en l'importance d'un système de formation avancé qui couvre une large gamme de langages et de frameworks de programmation. Vous voyez, l'un des problèmes flagrants liés à de nombreuses options de formation à la sécurité est que les informations sont tout simplement trop génériques, ou pire encore, totalement hors de propos dans le travail quotidien du développeur qui y participe. Passer une demi-journée à découvrir les vulnérabilités qui ne concernent que Java n'aidera pas un développeur COBOL à renforcer son système, et cela ne fera que perpétuer l'idée que la « sécurité » est un exercice à cocher à oublier une fois le cours obligatoire terminé. J'ajouterais que former quelqu'un aux bogues de sécurité Java n'est pas toujours applicable à un développeur Java Spring. Le codage sécurisé est simplement différent dans chaque langue, même au niveau du framework.
Dans le cadre de notre mission visant à permettre à tous les développeurs de devenir des super-héros de la sécurité, nous n'oublierons pas un langage informatique valide qui est toujours utilisé dans certaines des installations les plus ciblées et les plus critiques au monde. En explorant notre plateforme, vous trouverez des défis pratiques et des formations modernes liés au COBOL, proposés ainsi que certains des outils de programmation les plus modernes disponibles aujourd'hui, tels que Golang de Google. Cette flexibilité garantit que la formation est adaptée à un individu et contextuelle, imitant son environnement de travail pour un engagement et une efficacité maximaux. Après tout, la mise en place d'une solide culture de la sécurité est primordiale dans la lutte contre les cybermenaces. La formation doit donc être pratique (et amusante, bien sûr !).
Nous voulons que notre secteur parvienne à un stade où peu importe que des menaces de sécurité soient proférées contre des systèmes utilisant des langages vieillissants ou contre les applications de mobilité les plus modernes. Nous voulons que chaque développeur dispose des meilleures informations sur ces vulnérabilités, sur les outils et les techniques utilisés par les attaquants pour les exploiter et sur la manière de les stopper. Nous ne céderons jamais et ne renoncerons jamais face aux menaces de cybersécurité. Quelle que soit la modernité ou l'ancienneté des menaces ou des vulnérabilités, vous pouvez toujours vous tourner vers Secure Code Warrior pour apprendre à les vaincre, à chaque fois.
PS : Vous pensez qu'un langage ancien échappe à la sensibilité à l'injection SQL ? Détrompez-vous. Voyez si vous pouvez localisez-en un et corrigez-en un en COBOL en ce moment.
Il semble presque comique qu'en 2019, nous devions parler de travailler avec un langage informatique inventé en 1959. De nos jours, peu de séminaires ou de conventions sont consacrés à l'art de refiler les machines à coudre Singer classiques ou de remplacer le carter d'huile d'une Chevrolet Parkwood ou d'une Triumph Herald. La plupart de ces outils vieillissants ont depuis longtemps été retirés du marché et remplacés par de nouveaux modèles plus efficaces. Pourtant, ici, dans un monde technologique censé être à la pointe de la technologie par rapport à d'autres secteurs, nous travaillons toujours avec des langages comme le COBOL, qui est sorti à peu près à la même époque.
Bien entendu, il y a de très bonnes raisons à cela. Le langage commun orienté vers les affaires (COBOL) a peut-être 60 ans, mais il a été si bien construit qu'il est toujours d'actualité et largement utilisé aujourd'hui.
Le COBOL a été créé comme un moyen relativement simple, utilisant un langage clair regroupé en phrases et syntaxes spécifiques, pour programmer des systèmes dorsaux afin d'effectuer des tâches mathématiques et des formules. Pourquoi existe-t-il encore aujourd'hui ? En d'autres termes, il fait très bien son travail. D'une certaine manière, il fait désormais partie de la structure informatique de nombreux systèmes centraux et principaux dans des secteurs aussi divers que le secteur financier et l'industrie manufacturière.
Des mises à jour progressives ont été apportées au COBOL au fil des ans, notamment en 2002, lorsqu'il a été transformé en langage orienté objet afin de rendre la programmation de nouvelles applications un peu plus fluide. Mais dans l'ensemble, COBOL reste aujourd'hui ce qu'il était à l'époque : un héros méconnu et un langage de programmation hors pair qui fonctionne en arrière-plan pour étayer de nombreuses applications modernes au niveau du mainframe.
Dans quelle mesure le COBOL est-il sécurisé ?
Malheureusement, il n'y avait pas beaucoup de considérations de sécurité lorsque COBOL a été créé pour la première fois. Par exemple, de nombreuses applications COBOL disposent d'un programme de mot de passe qui les protège, mais elles ne sont presque jamais renforcées contre des éléments tels que la protection contre la force brute pour empêcher le craquage. Ajoutez à cela le fait que de nombreux outils de sécurité modernes qui surveillent le trafic réseau ne savent pas comment gérer ou évaluer les fonctions exécutées dans des programmes écrits dans des langages professionnels tels que le COBOL, et vous êtes confronté à un réel problème sur le point de se produire. De nombreuses violations modernes ont été couronnées de succès en raison de l'absence de supervision de la sécurité des systèmes utilisant des langages informatiques classiques. En 2015, les données de plus de quatre millions d'employés fédéraux américains ont été exposées lorsque le Bureau de la gestion du personnel (OPM) a été piraté, avec la faute en revient à leur utilisation de COBOL, invoquant une incapacité à mettre en œuvre des mesures de sécurité modernes sur un système aussi archaïque.
Il y a des années, la sécurité était assurée par une armée de programmeurs qui connaissaient le COBOL et d'autres langages populaires de l'époque. Dans les années 1960, COBOL était comme Java ou .Net d'aujourd'hui, et ceux qui le connaissaient étaient les stars de leur département. En 2019, ces personnes ont probablement pris leur retraite depuis longtemps, même si ce n'est pas le cas des systèmes qu'elles protégeaient.
Élargir les lignes de défense de première ligne des COBOL
Un bon nombre de ces soi-disant barbes grises ont été ramenés dans leurs organisations en tant que sous-traitants pour défendre les mêmes ordinateurs centraux sur lesquels ils travaillaient auparavant. Dans bien des endroits, ils ont existé de manière un peu anormale : une cabale secrète de sorciers vieillissants dans un coin arrière du bureau, leur tenue étrange (cravates larges et costumes trois pièces) et leurs manières étrangement polies qui ne correspondaient pas vraiment à celles de tous les hipsters modernes arborant des jeans skinny et des brioches pour homme. Pourtant, ils étaient absolument nécessaires, car peu de programmeurs modernes créaient du code en COBOL et dans d'autres langages anciens. Malheureusement, même ces dernières sentinelles sorcières sont en train de disparaître pour finalement rendre l'âme et déménager à Boca Raton, où elles profitent d'une véritable retraite.
Il existe donc un besoin urgent de personnes qui comprennent les langues anciennes et les failles de sécurité qu'elles contiennent. Même si les jeunes ne savent pas comment écrire du code dans des langages classiques, ils devraient au moins comprendre leur fonctionnement et leurs vulnérabilités potentielles. Parce que si le développement du COBOL est resté relativement stable, les menaces qui pèsent sur les réseaux ont continué d'évoluer. Essayer d'utiliser d'anciennes techniques de cybersécurité programmées il y a soixante ans, comme l'application de mot de passe COBOL susmentionnée, pour défendre un ordinateur central contre des attaquants modernes revient à déployer une phalange de lanciers pour combattre un peloton de Space Marines. À moins d'un miracle hollywoodien, cela va mal se terminer pour les gars aux lances.
Qu'il soit ancien ou nouveau, il doit également être sécurisé.
C'est pourquoi nous croyons en l'importance d'un système de formation avancé qui couvre une large gamme de langages et de frameworks de programmation. Vous voyez, l'un des problèmes flagrants liés à de nombreuses options de formation à la sécurité est que les informations sont tout simplement trop génériques, ou pire encore, totalement hors de propos dans le travail quotidien du développeur qui y participe. Passer une demi-journée à découvrir les vulnérabilités qui ne concernent que Java n'aidera pas un développeur COBOL à renforcer son système, et cela ne fera que perpétuer l'idée que la « sécurité » est un exercice à cocher à oublier une fois le cours obligatoire terminé. J'ajouterais que former quelqu'un aux bogues de sécurité Java n'est pas toujours applicable à un développeur Java Spring. Le codage sécurisé est simplement différent dans chaque langue, même au niveau du framework.
Dans le cadre de notre mission visant à permettre à tous les développeurs de devenir des super-héros de la sécurité, nous n'oublierons pas un langage informatique valide qui est toujours utilisé dans certaines des installations les plus ciblées et les plus critiques au monde. En explorant notre plateforme, vous trouverez des défis pratiques et des formations modernes liés au COBOL, proposés ainsi que certains des outils de programmation les plus modernes disponibles aujourd'hui, tels que Golang de Google. Cette flexibilité garantit que la formation est adaptée à un individu et contextuelle, imitant son environnement de travail pour un engagement et une efficacité maximaux. Après tout, la mise en place d'une solide culture de la sécurité est primordiale dans la lutte contre les cybermenaces. La formation doit donc être pratique (et amusante, bien sûr !).
Nous voulons que notre secteur parvienne à un stade où peu importe que des menaces de sécurité soient proférées contre des systèmes utilisant des langages vieillissants ou contre les applications de mobilité les plus modernes. Nous voulons que chaque développeur dispose des meilleures informations sur ces vulnérabilités, sur les outils et les techniques utilisés par les attaquants pour les exploiter et sur la manière de les stopper. Nous ne céderons jamais et ne renoncerons jamais face aux menaces de cybersécurité. Quelle que soit la modernité ou l'ancienneté des menaces ou des vulnérabilités, vous pouvez toujours vous tourner vers Secure Code Warrior pour apprendre à les vaincre, à chaque fois.
PS : Vous pensez qu'un langage ancien échappe à la sensibilité à l'injection SQL ? Détrompez-vous. Voyez si vous pouvez localisez-en un et corrigez-en un en COBOL en ce moment.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 표시데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Il semble presque comique qu'en 2019, nous devions parler de travailler avec un langage informatique inventé en 1959. De nos jours, peu de séminaires ou de conventions sont consacrés à l'art de refiler les machines à coudre Singer classiques ou de remplacer le carter d'huile d'une Chevrolet Parkwood ou d'une Triumph Herald. La plupart de ces outils vieillissants ont depuis longtemps été retirés du marché et remplacés par de nouveaux modèles plus efficaces. Pourtant, ici, dans un monde technologique censé être à la pointe de la technologie par rapport à d'autres secteurs, nous travaillons toujours avec des langages comme le COBOL, qui est sorti à peu près à la même époque.
Bien entendu, il y a de très bonnes raisons à cela. Le langage commun orienté vers les affaires (COBOL) a peut-être 60 ans, mais il a été si bien construit qu'il est toujours d'actualité et largement utilisé aujourd'hui.
Le COBOL a été créé comme un moyen relativement simple, utilisant un langage clair regroupé en phrases et syntaxes spécifiques, pour programmer des systèmes dorsaux afin d'effectuer des tâches mathématiques et des formules. Pourquoi existe-t-il encore aujourd'hui ? En d'autres termes, il fait très bien son travail. D'une certaine manière, il fait désormais partie de la structure informatique de nombreux systèmes centraux et principaux dans des secteurs aussi divers que le secteur financier et l'industrie manufacturière.
Des mises à jour progressives ont été apportées au COBOL au fil des ans, notamment en 2002, lorsqu'il a été transformé en langage orienté objet afin de rendre la programmation de nouvelles applications un peu plus fluide. Mais dans l'ensemble, COBOL reste aujourd'hui ce qu'il était à l'époque : un héros méconnu et un langage de programmation hors pair qui fonctionne en arrière-plan pour étayer de nombreuses applications modernes au niveau du mainframe.
Dans quelle mesure le COBOL est-il sécurisé ?
Malheureusement, il n'y avait pas beaucoup de considérations de sécurité lorsque COBOL a été créé pour la première fois. Par exemple, de nombreuses applications COBOL disposent d'un programme de mot de passe qui les protège, mais elles ne sont presque jamais renforcées contre des éléments tels que la protection contre la force brute pour empêcher le craquage. Ajoutez à cela le fait que de nombreux outils de sécurité modernes qui surveillent le trafic réseau ne savent pas comment gérer ou évaluer les fonctions exécutées dans des programmes écrits dans des langages professionnels tels que le COBOL, et vous êtes confronté à un réel problème sur le point de se produire. De nombreuses violations modernes ont été couronnées de succès en raison de l'absence de supervision de la sécurité des systèmes utilisant des langages informatiques classiques. En 2015, les données de plus de quatre millions d'employés fédéraux américains ont été exposées lorsque le Bureau de la gestion du personnel (OPM) a été piraté, avec la faute en revient à leur utilisation de COBOL, invoquant une incapacité à mettre en œuvre des mesures de sécurité modernes sur un système aussi archaïque.
Il y a des années, la sécurité était assurée par une armée de programmeurs qui connaissaient le COBOL et d'autres langages populaires de l'époque. Dans les années 1960, COBOL était comme Java ou .Net d'aujourd'hui, et ceux qui le connaissaient étaient les stars de leur département. En 2019, ces personnes ont probablement pris leur retraite depuis longtemps, même si ce n'est pas le cas des systèmes qu'elles protégeaient.
Élargir les lignes de défense de première ligne des COBOL
Un bon nombre de ces soi-disant barbes grises ont été ramenés dans leurs organisations en tant que sous-traitants pour défendre les mêmes ordinateurs centraux sur lesquels ils travaillaient auparavant. Dans bien des endroits, ils ont existé de manière un peu anormale : une cabale secrète de sorciers vieillissants dans un coin arrière du bureau, leur tenue étrange (cravates larges et costumes trois pièces) et leurs manières étrangement polies qui ne correspondaient pas vraiment à celles de tous les hipsters modernes arborant des jeans skinny et des brioches pour homme. Pourtant, ils étaient absolument nécessaires, car peu de programmeurs modernes créaient du code en COBOL et dans d'autres langages anciens. Malheureusement, même ces dernières sentinelles sorcières sont en train de disparaître pour finalement rendre l'âme et déménager à Boca Raton, où elles profitent d'une véritable retraite.
Il existe donc un besoin urgent de personnes qui comprennent les langues anciennes et les failles de sécurité qu'elles contiennent. Même si les jeunes ne savent pas comment écrire du code dans des langages classiques, ils devraient au moins comprendre leur fonctionnement et leurs vulnérabilités potentielles. Parce que si le développement du COBOL est resté relativement stable, les menaces qui pèsent sur les réseaux ont continué d'évoluer. Essayer d'utiliser d'anciennes techniques de cybersécurité programmées il y a soixante ans, comme l'application de mot de passe COBOL susmentionnée, pour défendre un ordinateur central contre des attaquants modernes revient à déployer une phalange de lanciers pour combattre un peloton de Space Marines. À moins d'un miracle hollywoodien, cela va mal se terminer pour les gars aux lances.
Qu'il soit ancien ou nouveau, il doit également être sécurisé.
C'est pourquoi nous croyons en l'importance d'un système de formation avancé qui couvre une large gamme de langages et de frameworks de programmation. Vous voyez, l'un des problèmes flagrants liés à de nombreuses options de formation à la sécurité est que les informations sont tout simplement trop génériques, ou pire encore, totalement hors de propos dans le travail quotidien du développeur qui y participe. Passer une demi-journée à découvrir les vulnérabilités qui ne concernent que Java n'aidera pas un développeur COBOL à renforcer son système, et cela ne fera que perpétuer l'idée que la « sécurité » est un exercice à cocher à oublier une fois le cours obligatoire terminé. J'ajouterais que former quelqu'un aux bogues de sécurité Java n'est pas toujours applicable à un développeur Java Spring. Le codage sécurisé est simplement différent dans chaque langue, même au niveau du framework.
Dans le cadre de notre mission visant à permettre à tous les développeurs de devenir des super-héros de la sécurité, nous n'oublierons pas un langage informatique valide qui est toujours utilisé dans certaines des installations les plus ciblées et les plus critiques au monde. En explorant notre plateforme, vous trouverez des défis pratiques et des formations modernes liés au COBOL, proposés ainsi que certains des outils de programmation les plus modernes disponibles aujourd'hui, tels que Golang de Google. Cette flexibilité garantit que la formation est adaptée à un individu et contextuelle, imitant son environnement de travail pour un engagement et une efficacité maximaux. Après tout, la mise en place d'une solide culture de la sécurité est primordiale dans la lutte contre les cybermenaces. La formation doit donc être pratique (et amusante, bien sûr !).
Nous voulons que notre secteur parvienne à un stade où peu importe que des menaces de sécurité soient proférées contre des systèmes utilisant des langages vieillissants ou contre les applications de mobilité les plus modernes. Nous voulons que chaque développeur dispose des meilleures informations sur ces vulnérabilités, sur les outils et les techniques utilisés par les attaquants pour les exploiter et sur la manière de les stopper. Nous ne céderons jamais et ne renoncerons jamais face aux menaces de cybersécurité. Quelle que soit la modernité ou l'ancienneté des menaces ou des vulnérabilités, vous pouvez toujours vous tourner vers Secure Code Warrior pour apprendre à les vaincre, à chaque fois.
PS : Vous pensez qu'un langage ancien échappe à la sensibilité à l'injection SQL ? Détrompez-vous. Voyez si vous pouvez localisez-en un et corrigez-en un en COBOL en ce moment.
목차
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기Télécharger
%20(1).avif)
.avif)
