Ontwikkelaars van software en ‘security by design’…

Ontwikkelaars van software en ‘security by design’…

Regelmatig hebben we het over beveiligingsrisico’s bij eindgebruikers. Het blijkt dat die groep voornamelijk door kennisgebrek en het gebrek aan bewustzijn een relatief makkelijk doelwit is. Maar het zijn zeker niet alleen de eindgebruikers bij wie het beter moet…

Toeval

Dat blijkt wel weer uit het nieuws van afgelopen maand dat van naar schatting tussen de 170.000 en 250.000 leaserijders de gegevens kinderlijk eenvoudig te achterhalen was. Dit werd bij toeval ontdekt door onze vrienden van ESET, ontwikkelaar van beveiligingssoftware. Het bedrijf was bezig met het zoeken van een nieuw leasemaatschappij voor hun eigen wagenpark en controleerde daarbij de systemen op de meest basale kwetsbaarheden; iets wat eigenlijk ieder bedrijf dat security hoog in het vaandel heeft staan even zou moeten doen. 

Cijfertje veranderen en weten waar u werkt, woont, wanneer u jarig bent, in welke auto u rijdt en waar u zoal tankt…

De klantportalen van twee verschillende maatschappijen werden gecontroleerd en tot hun verbazing waren de klantgegevens kinderlijk eenvoudig te benaderen. Bij een van de portalen hoefde je niet eens ingelogd te zijn. Als je de URL wist, was het een kwestie van simpel een cijfer veranderen. Bij dat portaal bleek ook dat je toegang kon krijgen tot de databaseserver die er achter zat. Deze server wordt door 52 maatschappijen gedeeld en ook al die gegevens waren toegankelijk. Beide portalen waren door ‘third-party’ softwareontwikkelaars gebouwd.

Overigens komt dit vaker voor dan je zou mogen denken. Wij zien met grote regelmaat SQL injecties en ook deze vorm van ‘Insecure Direct References’ voorbij komen, wat het voor onbevoegden mogelijk maakt om kinderlijk eenvoudig gegevens uit een database in te kunnen zien. Als er dan onvoldoende monitoring/logging op de systemen aanwezig is, is dit een dodelijke combinatie, want het is niet te achterhalen of het datalek eerder al misbruikt is. Het wordt dus extra pijnlijk als de gegevens nu in handen blijken te zijn van onbevoegden. De fabrikant van de software geeft aan dat niet bekend is of de data daadwerkelijk is buitgemaakt…

Kosten

Dit laat zien dat ook bij software ontwikkelaars de security nog niet altijd goed geregeld is. Veel software wordt vanuit functioneel perspectief gebouwd en wordt er nog te weinig rekening gehouden met bedrijfs- en veiligheidsrisico’s, ondanks dat met hun software veel persoonsgegevens gemoeid zijn. De schade van deze lekken kunnen groot zijn. In dit geval niet alleen voor de leaserijders, maar ook voor de ontwikkelaars zelf. Denk aan de kosten voor het oplossen van de problemen maar ook imagoschade, wat kan leiden tot het verlies van (nieuwe) klanten.

ThreadStone moet hierbij zelf ook denken aan een (grote) webdeveloper, waar bij een ThreadScan op het bedrijfsnetwerk bleek dat alle sourcecode, bedrijfsdata etc. kinderlijk eenvoudig toegankelijk bleek voor onbevoegden. Na onze scan werd het probleem direct opgelost, maar het feit dat dit soort kwetsbaarheden bij dit soort partijen bestaan, geeft te denken.

Testen

Dit soort zwakheden moeten eigenlijk al in de ontwikkelingsfase naar voren komen. Daarom is het ook voor ontwikkelaars noodzakelijk om periodiek te testen op zwakheden in de beveiliging, zowel tijdens de ontwikkeling als wanneer de software in gebruik is. Met de ThreadScan hadden deze zwakheden al in de eerste fase ontdekt kunnen worden. 

Daarnaast moet ook bij ontwikkelaars het bewustzijn dat ze altijd een risico lopen omhoog. Gebruiksvriendelijkheid is niet meer alléén het belangrijkste aspect van software. Veiligheid moet daar minimaal naast staan. Bovendien is de investering in regelmatige security scans vele malen lager dan wanneer je dit soort problemen (achteraf) moet gaan oplossen.