100% waterdichte online security is absoluut onmogelijk

Het ontwikkelen van een security protocol voor je organisatie is één ding, ervoor zorgen dat je webapplicatie/-site/-shop een optimale beveiliging heeft is een tweede. Het zal je misschien verbazen maar er zijn nog teveel organisaties die hun online security (nog) niet op orde hebben. Systemen zijn niet up-to-date, plugins zijn verouderd en wachtwoorden blijken niet veilig en lang genoeg. Vreemd, want er wordt veel over geschreven en veel voor gewaarschuwd. De gevaren en security risico’s zijn namelijk niet onbekend. Toch loopt menig organisatie met enorme kwetsbaarheden rond. De grote vraag is: hoe kun je jouw platform en/of applicatie wapenen tegen boosdoeners?

Uitstraling is alles

Ze kunnen je op meerdere manieren aanvallen. Een voorbeeld is ‘social engineering’. Daarmee proberen boosdoeners je authenticatiegegevens te achterhalen. Hierbij wordt misbruik gemaakt van de goedgelovigheid van mensen, waarbij de boosdoeners zich voordoen als mensen die je kunt vertrouwen. Zo presenteren zij zich soms als leverancier en vragen ze om je authenticatiegegevens (bijvoorbeeld telefonisch). Nu hoor ik je al denken: ‘ja, maar daar trap ik toch niet in!’ Niets is daarentegen minder waar. Volgens Patrick, security engineer bij managed hostingprovider True, moet je het niet onderschatten. “Een boosdoener zal willen inspelen op je gevoel, hij/zij zal zich op een nette en juiste manier presenteren waardoor je eerder geneigd bent om hem/haar te geloven.” Dit hoeft niet eens online te gebeuren, maar kan ook fysiek. Patrick gaat verder: “iemand die zich netjes kleedt, kan (met een goed verhaal) bij de receptie van een organisatie al gauw worden doorgelaten. Het komt voor dat mensen met de juiste uitstraling en het juiste charisma vrij snel door mogen lopen en toegang krijgen tot de organisatie.”

Er bestaan ook veel methoden op online vlak. Zo kunnen kwaadwillenden proberen om gebruikers door te laten klikken naar malafide links en websites. Als de software van de gebruiker of van de applicatie niet up-to-date is, kan vanaf deze sites malware geïnstalleerd worden. Die malware kan vervolgens weer worden gebruikt om gegevens van de computer/browser te stelen. Patrick: “Online vind je tal van waarschuwing, maar veel daarvan worden niet/onvoldoende opgevolgd.” Wanneer dit bij een organisatie zou gebeuren, is er mogelijk sprake van een ‘datalek’. Deze dienen mogelijk gemeld te worden bij de autoriteit persoonsgegevens en (afhankelijk van de hevigheid) bij alle contactpersonen waarvan mogelijk data is gestolen, met een hoge boete als consequentie.

Malware en ransomware

Naast social engineering kan een hacker ook gebruik maken van malware. Het is een veelvoorkomend begrip en is welbekend. Toch wordt het gevaar van malware onderschat. Een variant op malware is bijvoorbeeld ransomware, waarbij het systeem op de computer, een aantal bestanden of een combinatie van beiden, gegijzeld wordt. Tegen betaling kun je vervolgens weer toegang krijgen tot de gegijzelde attributen. Scheepvaartbedrijf Nicoverken ondervond dit onlangs. Patrick noemt de aanval van de Carbanak cybercriminelen als ander voorbeeld. Deze professionele criminelen werkten samen om ruim 100 banken in dertig verschillende landen digitaal te beroven. Daarbij is meer dan 1 miljard dollar gestolen. Dit deden zij door het personeel van de banken bloot te stellen aan Carbanak malware. Met die malware konden de criminelen op schermen van medewerkers meekijken en zien welke vertrouwelijke gegevens werden ingevuld (video). Ondanks het feit dat deze kwetsbaarheden onderhand zijn opgelost, komen dit soort praktijken nog steeds, regelmatig voor. Wat je volgens Patrick hieraan kunt doen? "Een goede virusscanner installeren; je kunt online genoeg vergelijkingen vinden van goede scanners. Tevens is awareness wel een heel belangrijk element. Zolang je rekening houdt met de risico's kun je daar op inspelen."

Aanvalstechnieken

Social engineering is daarentegen één van de vele voorbeelden waarbij informatie wordt achterhaald. Wanneer er sprake is van een échte hack, zijn er veel verschillende manieren om in te breken en gegevens te stelen. Redenen om te hacken kunnen variëren van overheids- en bedrijfsspionage, financiële redenen, concurrentie en in sommige gevallen zelfs voor de lol en/of als prestatie. Aan wat voor aanvalstechnieken moet je dan bijvoorbeeld denken? Patrick noemt hierbij een aantal veel voorkomende problemen en aanvalsmethoden die gebruikt worden om in te breken op je webapplicatie:

• SQL injecties: de cyberaanvaller zal bij een SQL-injectie de achterliggende database van de website/-applicatie bevragen en deze proberen uit te lezen. In sommige gevallen kan deze database zelfs worden verwijderd. Zo kan vertrouwelijk en/of gevoelige informatie worden ontvreemd.
• Cross-site scripting (XXS): Dit houdt in dat de aanvaller kwaadaardige scripts kan uitvoeren in de browser van het slachtoffer. Denk hierbij aan een hijack usersession, het defacen van websites en ervoor zorgen dat de gebruiker wordt doorverwezen naar malafide websites.
• Cross-Site request forgery (XSRF): De gebruiker wordt gedwongen om bepaalde instellingen te veranderen door middel van http aanvragen. Omdat de webbrowser denkt dat dit legitieme aanvragen van de gebruiker zijn, gaat deze daarmee akkoord. Een cyberaanvaller kan op deze manier bijvoorbeeld wachtwoorden veranderen zonder dat de gebruiker dit door heeft.
• Uitbuiten van kwetsbaarheden en security misconfiguraties: Vaak maken boosdoeners gebruik van zwaktes en kwetsbaarheden in software frameworks en/of plugins. Tevens vormen misconfiguraties in de webapplicatie, het framework, de applicatie server, web server, database server en platform een groot security risico.

4 manieren om je applicatie beter te beveiligen:

1. Houd je plugins, het CMS en de gebruikte thema’s zoveel mogelijk up-to-date. De meest recente versies dichten namelijk gaten en exploits die zijn gevonden en verbeteren de beveiliging van je applicatie.
2. Zorg voor een strikt en stevig wachtwoordenbeleid. Bijvoorbeeld een beleid waarbij wachtwoorden tenminste één speciaal teken/symbool en een aantal cijfers verplicht zijn. Het wachtwoordenbeleid zou bijvoorbeeld ook moeten verbieden dat hetzelfde wachtwoord meerdere malen gebruikt kan worden binnen een bepaald tijdsbestek.
3. Doe een review van alle rechten die gebruikers binnen de applicatie hebben. Ga na welke gebruikers, waar bij kunnen. Zorg voor een stevige afbakening tussen verschillende rollen en functies binnen een organisatie, zodat de juiste mensen toegang hebben tot de juiste onderdelen en data.
4. Doe een review van de bestandenrechten. Zo zorg je ervoor dat er geen .php bestanden kunnen worden geuploadet naar een afbeeldinggallerij. Voorkom ook dat deze .php uitvoerbaar zijn. Een manier om dat effectief te doen is door de toegestane bestanden te whitelisten. Zo voorkom je dat jouw applicatie bestanden accepteert die van een ander formaat zijn dan hetgeen jij toestaat.

False positives & false negatives

Volgens Patrick zijn er meerdere manieren waarop je de beveiliging van je online platform kunt optimaliseren. Hij noemt daarentegen dat het uitbuiten van kwetsbaarheden in verouderde software een veelvoorkomend probleem is. Nieuwe versies van bijvoorbeeld een CMS systeem dicht de gaten en lekken die in de oudere versies waren gevonden. Patrick: “daarnaast is het van groot belang dat je niet elke plug-in klakkeloos installeert. Probeer deze alleen van vertrouwde bronnen te halen. Het komt voor dat betaalde plugins, gratis worden aangeboden. Het installeren van deze add-ons is daarmee een security risico op zich.” Hij refereert daarbij naar zogenaamde ‘scriptkiddies’. Patrick: “Dit zijn kwaadwillenden die achterdeurtjes inbouwen in de applicatie of plugin. Zij zijn de enigen die daar toegang toe hebben. Het moment dat jij die dus installeert, creëer je dus een nieuw lek in je applicatie.”

Daarnaast vind je online genoeg gratis (en betaalde scans) die jouw website onder de loep nemen. Daarbij proberen zij fouten te vinden en een rapportage daarvan uit te draaien. Het probleem is echter dat deze rapportages ellenlang zijn (soms wel 100 pagina’s of meer), met alleen maar technische informatie. Patrick: “daar moet dan nog eens bij komen dat het vaak vol staat met false positives en false negatives. Zo kan het rapport bijvoorbeeld aangeven dat een plugin een security risico vormt, terwijl dit probleem bij de ontwikkelaar al lang is opgelost. Met zo een rapport kun je dus het verkeerde pad op worden gestuurd. De vraag is of je daar überhaupt wat aan hebt." Al met al zou je als organisatie bewust moeten omgaan met de security van jouw organisatie en/of jouw webapplicatie. Eén ding is zeker: 100%, waterdichte garantie van online veiligheid is absoluut onmogelijk. Je kunt er daarentegen wél zelf ontzettend veel aan doen om te voorkomen dat je ten prooi valt aan boosdoeners.