100% waterdichte online security is absoluut onmogelijk

Online-security-protocol
Online-security-protocol
Home / Blog & Nieuws / Security / 100% waterdichte online security is absoluut onmogelijk

Een security protocol ontwikkelen is één ding, ervoor zorgen dat je webapplicatie, website of webshop écht goed beveiligd is, is een tweede. Het zal je misschien verbazen dat er nog steeds organisaties zijn die hun online security (nog) niet op orde hebben. Systemen zijn niet up-to-date, plug-ins zijn verouderd en wachtwoorden zijn niet veilig genoeg. Vreemd, want er wordt veel over geschreven en veel voor gewaarschuwd. Toch loopt menig organisatie met enorme kwetsbaarheden rond. De grote vraag is: hoe kun je jouw platform en/of applicatie wapenen tegen boosdoeners? Wij vroegen het aan Patrick, security engineer bij True.

Social engineering

Kwaadwillenden kunnen je op meerdere manieren aanvallen. Een voorbeeld is ‘social engineering’. Daarmee proberen boosdoeners je authenticatiegegevens te achterhalen. Hierbij wordt misbruik gemaakt van de goedgelovigheid van mensen, waarbij de boosdoeners zich voordoen als mensen die je kunt vertrouwen. Zo presenteren zij zich soms als leverancier en vragen ze om je authenticatiegegevens (bijvoorbeeld telefonisch). Nu hoor ik je al denken: ‘ja, maar daar trap ik toch niet in!’ Niets is daarentegen minder waar. Volgens Patrick, moet je ‘social engineering’ niet onderschatten. “Een boosdoener zal willen inspelen op je gevoel, hij/zij zal zich op een nette en juiste manier presenteren waardoor je eerder geneigd bent om hem/haar te geloven.” Dit hoeft niet eens online te gebeuren, maar kan ook fysiek. “Iemand die zich netjes kleedt, kan (met een goed verhaal) bij de receptie van een organisatie al gauw worden doorgelaten. Het komt voor dat mensen met de juiste uitstraling en het juiste charisma gewoon door mogen lopen en toegang krijgen tot de organisatie.”

Er bestaan ook veel methoden op online vlak. Zo kunnen kwaadwillenden proberen om gebruikers door te laten klikken naar malafide links en websites. Als de software van de gebruiker of van de applicatie niet up-to-date is, kan vanaf deze sites malware geïnstalleerd worden. Die malware kan vervolgens weer worden gebruikt om gegevens van de computer/browser te stelen. Patrick: “Online vind je tal van waarschuwing, maar veel daarvan worden niet/onvoldoende opgevolgd.” Wanneer dit bij een organisatie zou gebeuren, is er mogelijk sprake van een ‘datalek’. Deze dienen zo snel mogelijk gemeld te worden bij de Autoriteit Persoonsgegevens en (afhankelijk van de hevigheid) bij alle contactpersonen waarvan mogelijk data is gestolen, met een hoge boete als consequentie.

Malware en ransomware

Naast social engineering kan een hacker ook gebruik maken van malware. Malware is een veelvoorkomend begrip en is welbekend. Toch wordt het gevaar onderschat. Een variant op malware is bijvoorbeeld ransomware, waarbij het systeem op de computer, een aantal bestanden of een combinatie van beiden, gegijzeld wordt. Tegen betaling kun je vervolgens weer toegang krijgen tot de gegijzelde attributen. Scheepvaartbedrijf Nicoverken ondervond dit onlangs. Patrick noemt de aanval van de Carbanak cybercriminelen als ander voorbeeld. Deze professionele criminelen werkten samen om ruim 100 banken in dertig verschillende landen digitaal te beroven. Daarbij is meer dan 1 miljard dollar gestolen. Dit deden zij door het personeel van de banken bloot te stellen aan Carbanak malware. Met die malware konden de criminelen op schermen van medewerkers meekijken en zien welke vertrouwelijke gegevens werden ingevuld (video).

Wat je volgens Patrick hieraan kunt doen? “Een goede virusscanner installeren; daarvan kun je online genoeg vergelijkingsites van vinden.” Toch is het zo dat een virusscanner lang niet alle dreigingen vindt. Patrick: “Iemand met een (verouderde) Flash of Java kan nog steeds geïnfecteerd worden. Of zelfs het gebruik van een zeroday; een nog niet bekend beveiligingslek. Het is aan te raden om bijvoorbeeld malwarebytes over het systeem te halen als aanvullende scan.” Patrick onderstreept daarbij nogmaals het belang van awareness. Wanneer je bewust bent van de mogelijke gevaren, kun je daar op inspelen.

Een andere manier om malware te voorkomen is door Flash en Java niet standaard te activeren in een browser. Patrick: “Kun je niet zonder? Maak dan gebruik van twee browsers, waarbij een van de twee wel gebruik maakt van deze plugins/software. Mocht je dan bepaalde content willen bekijken, waar dit voor nodig is, dan kun je dat altijd in de andere browser zetten zodat het wel zichtbaar wordt. Voor organisaties is het tevens aan te raden om een Intrusion Detection System (IDS) op te zetten. Deze houdt in de gaten of er malafide verkeer over het netwerk gaat, kan deze blokkeren en slaat vervolgens alarm.”

Aanvalstechnieken

Social engineering is daarentegen 1 van de vele voorbeelden waarbij informatie wordt achterhaald. Wanneer er sprake is van een échte hack, zijn er veel verschillende manieren om in te breken en gegevens te stelen. Redenen om te hacken kunnen variëren van overheids- en bedrijfsspionage, financiële redenen, concurrentie en in sommige gevallen zelfs voor de lol en/of als prestatie. Aan wat voor aanvalstechnieken moet je dan bijvoorbeeld denken? Patrick noemt hierbij een aantal veel voorkomende problemen en aanvalsmethoden die gebruikt worden om in te breken op je webapplicatie:

  • SQL injecties: de cyberaanvaller zal bij een SQL-injectie de achterliggende database van de website/-applicatie bevragen en deze proberen uit te lezen. In sommige gevallen kan deze database zelfs worden verwijderd. Zo kan de hacker vertrouwelijke gegevens stelen.
  • Cross-site scripting (XSS): Dit houdt in dat de aanvaller kwaadaardige scripts uitvoert in de browser van het slachtoffer. Denk hierbij aan een hijack usersession, het defacen van websites en ervoor zorgen dat de gebruiker wordt doorverwezen naar malafide websites.
  • Cross-Site request forgery (XSRF): De gebruiker wordt gedwongen om bepaalde instellingen te veranderen door middel van HTTP-aanvragen. Omdat de webbrowser denkt dat dit legitieme aanvragen van de gebruiker zijn, gaat deze daarmee akkoord. Een cyberaanvaller kan op deze manier bijvoorbeeld wachtwoorden veranderen zonder dat de gebruiker het door heeft.
  • Uitbuiten van kwetsbaarheden en security misconfiguraties: Vaak maken boosdoeners gebruik van zwaktes en kwetsbaarheden in software frameworks en/of plugins. Tevens vormen misconfiguraties in de webapplicatie, het framework, de applicatieserver, webserver, databaseserver en algehele webomgeving een groot security risico.

5 tips van Patrick om je webapplicatie beter te beveiligen:

  1. Houd je plug-ins, het CMS en de gebruikte thema’s zoveel mogelijk up-to-date en verwijder niet gebruikte (gedeactiveerde) plug-ins
  2. Zorg voor een strikt en stevig wachtwoordenbeleid.
  3. Doe een review van alle rechten die gebruikers en bestanden binnen de applicatie hebben.
  4. Review de bestandenrechten en zorg ervoor dat er geen .php bestanden kunnen worden geüpload (bijv: bij het uploaden van afbeeldingen of bepaalde documenten bij sollicitaties)..php bestanden zouden ook niet uitvoerbaar moeten zijn in een upload map, waar gebruikers bestanden zouden kunnen plaatsen (mocht er een malafide bestand geplaatst worden dan kan deze alsnog niet uitgevoerd worden).
  5. Bepaal welke bestanden en formaten kunnen en mogen worden geüploadet. Zorg ervoor dat de juiste bestanden gevalideerd en gewhitelist worden. Zo sluit je malafide bestanden uit.

False positives & false negatives

Volgens Patrick zijn er meerdere manieren waarop je de beveiliging van je online platform kunt optimaliseren. Hij noemt daarentegen dat het uitbuiten van kwetsbaarheden in verouderde software een veelvoorkomend probleem is. Nieuwe versies van bijvoorbeeld een CMS systeem dicht de gaten en lekken die in de oudere versies waren gevonden. Patrick: “daarnaast is het van groot belang dat je niet elke plug-in klakkeloos installeert. Probeer deze alleen van vertrouwde bronnen te halen. Het komt voor dat betaalde plug-ins, gratis worden aangeboden. Het installeren van deze add-ons is daarmee een security risico op zich.” Hij refereert daarbij naar zogenaamde ‘scriptkiddies’. Patrick: “Dit zijn kwaadwillenden die achterdeurtjes inbouwen in de applicatie of plug-in. Zij zijn de enigen die daar toegang toe hebben.”. Ook is het verstandig om niet gebruikte plug-ins te verwijderen, mocht een plug-in in bijvoorbeeld WordPress gedeactiveerd worden, dan worden er geen updates meer voor uitgevoerd en zijn de bestanden nog wel beschikbaar op de webserver. Wat ervoor kan zorgen dat kwaadwillenden nog steeds misgebruik van deze plug-in kunnen maken.

Online vind je genoeg gratis en betaalde scans die jouw website onder de loep nemen. Daarbij proberen zij alle fouten te vinden en daar een rapportage van uit te draaien. Het probleem is echter dat deze rapportages ellenlang zijn (soms wel 100 pagina’s of meer), met alleen maar technische informatie. Patrick: “daar moet dan nog eens bij komen dat het vaak vol staat met false positives. Zo kan het rapport bijvoorbeeld aangeven dat een plug-in een security risico vormt, terwijl dit helemaal niet waar is. Je kunt dus een verkeerd pad op worden gestuurd. De vraag is dus of je er überhaupt wat aan hebt.” Al met al zou je als organisatie bewust moeten omgaan met de security van jouw organisatie en/of jouw webapplicatie. Eén ding is zeker: 100%, waterdichte garantie van online veiligheid is absoluut onmogelijk. Je kunt er daarentegen wél zelf ontzetten veel aan doen om te voorkomen dat je ten prooi valt aan boosdoeners.

True presenteerde op donderdag 6 oktober 2016 een webinar over security, security protocollen en hoe je de beveiliging van je webapplicatie kunt verbeteren. Nieuwsgierig? Bekijk dan hier de webinar recording.

E-book: Security & compliance voor digitale organisaties

Wereldwijd nemen digitale aanvallen in rap tempo toe en de nieuwe privacywet staat voor de deur. In dit e-book lees en leer je:

  • praktische tips voor betere websecurity;
  • wat de privacywet betekent voor webbouwers;
  • wat je van een hostingprovider mag verwachten.
e-book-security-en-compliance
True Ligan
Managed hosting sinds 2000