Wat kunnen we leren van de afgelopen veiligheidsproblemen met websites?
De veiligheid van jouw website/webshop is natuurlijk een heel belangrijk gegeven, maar toch is dit niet altijd de topprioriteit van vele eigenaars of productowners.
Er wordt al snel verondersteld dat het eigen webplatform wel veilig zal zijn en je niet waardevol genoeg bent als doelwit van een aanval.
Toch kwam de beveiliging van online platformen de afgelopen weken weer centraal in het nieuws en is het belangrijk dat we hier allen de juiste lessen uithalen.
#Panamapapers
Op zondagavond heeft een wereldwijd consortium van mediabedrijven de lont aangestoken van het kruitvat rond de zogenaamde Panamapapers.
In totaal zijn er 11,5 miljoen documenten gelekt naar het media-consortium, waarin zij nu al enkele maanden zoeken naar bruikbare informatie (mbv. een custom zoekmachine en social media netwerk). Over de ethiek van het publiekelijk uitbrengen van deze informatie spreek ik me even niet uit.
Hier gaan we de komende tijd nog wel wat van horen #panamapapers https://t.co/pctnBZRm7l pic.twitter.com/wDZ5wEZxJT
— Wouter van Noort 🤖 (@WvNoort) 3 april 2016
De wijze les uit dit verhaal is de omvang en de eenvoud waarmee een dergelijke bron aan gegevens nu op straat komt te liggen.
Natuurlijk is er hierover nog weinig duidelijkheid en is het in het belang van Mossack Fonseca om over hackers te spreken en niet over interne klokkenluiders, maar toch zijn er hierbij vragen te stellen.
Stealing documents in the movies: Tom Cruise, laser beams, hacker-in-a-van.
— Benedict Evans (@benedictevans) 3 april 2016
In reality: temp walks out with 40 years of data on a $20 USB.
Een juiste security/beveiligingsstrategie van jouw webplatform en IT-landschap is dus meer dan een puur technische beveiliging, maar start ook bij een goed rechtenbeheer en opvolging hiervan.
Wie heeft er toegang tot de backend van jouw platform? Zitten daar nog ex-werknemers of stagiairs (van 2 jaar geleden) bij? Welke apps/3rd party tools/interfaces hebben toegang tot jouw gegevens?
Wanneer we naar het Panamapapers verhaal kijken, blijken er toch heel wat mogelijkheden geweest te zijn voor een daadwerkelijke hack van hun platformen.
FORBES discovered the firm ran a three-month old version of WordPress for its main site, known to contain some vulnerabilities, but more worrisome was that its portal used by customers to access sensitive data was run on a three-year-old version of Drupal, 7.23. That platform has at least 25 known vulnerabilities at the time of writing, two of which could have been used by a hacker to upload their own code to the server and start hoovering up data.
Een mooie analyse die gisterenavond online verscheen wijst met de vinger naar 1 bepaalde verouderde Wordpress plugin.
#WordPress Revolution Slider Plugin Possible Cause in #PanamaPapers - https://t.co/EvqNBm0ANv
— Adam McCombs (@mccombs_io) 8 april 2016
"I dared two expert hackers to destroy my life. Here’s what happened."
Een ander verhaal dat de afgelopen weken rondging op de grote techblogs is onderstaande video, waarbij een journalist een securityspecialist uitdaagde om te kijken hoe ver hij zou geraken.
Het vervolgverhaal leest als een ware technothriller. De securityspecialist verkrijgt toegang krijgt tot alle mogelijke accounts en de laptop van de journalist door onder meer gebruik te maken van social engineering.
Real Future: What Happens When You Dare Expert Hackers To Hack You (Episode 8)
Als webshop/webplatform/SaaS-aanbieder heb je een plicht naar je gebruikers toe, meer bepaald wat betreft de veilige opslag van hun gegevens, maar ook de implementatie van de juiste interne procedures en processen.
Hoe kan je een paswoord resetten? Kan dit telefonisch? Hoe veilig moet een gebruikerswachtwoord zijn?
How to hack an election?
Wanneer je denkt genoeg technotrillers gelezen te hebben, is er nog dit verhaal van afgelopen week.
Een team van securityexperten heeft decenia lang verkiezingen in Latijns-Amerika op alle mogelijke manieren gemanipuleerd voor de hoogste bieder. Zo werden kleine donorwebsites of mailservers gehacked om met deze informatie de publieke opinie van kant te doen wisselen.
How to hack an election https://t.co/XU6wrmy2zB pic.twitter.com/DnZ0Kq6rEY
— Businessweek (@BW) 31 maart 2016
Sepúlveda’s first hacking job, he says, was breaking into an Uribe rival’s website, stealing a database of e-mail addresses, and spamming the accounts with disinformation. He was paid $15,000 in cash for a month’s work, five times as much as he made in his previous job designing websites.
DDoS
Een ander recent voorbeeld is de DDoS-aanval van hackerscollectief Down Sec op BNP Paribas Fortis van afgelopen woensdag. PC Banking en de app Easy banking gaven toen enkele uren niet thuis. Collega Tom schreef eind vorig jaar al een erg gesmaakte blogpost over DDoS attacks.
Encryptie en privacy is nu een verkoopsargument geworden
Data privacy en security nemen zo hun plaats in als verkoopsargument voor webplatformen en webservices.
Het laatste voorbeeld hiervan is WhatsApp, die sinds enkele dagen een volledige end-to-end-encryptie voorzien en daar maar al te graag mee uitpakken.
Het beveiligen van een website is een allesomvattende strategie
Het beveiligen van een webplatform gaat verder dan een kortstondige focus tijdens het uittekenen van een website/webplatform/e-commerce shop.
En neen, een HTTPS-certificaat installeren is niet de wonderoplossing voor een veilig webplatform.
Tijdens de meeste van onze SEO-audits ontdekken we zelfs bij de best beveiligde webplatformen onbeveiligde staging-platformen die gewoon te gebruiken zijn voor het testen van een hackmethode.
Een recent voorbeeld hiervan is een Indische developer die onlangs een mooie bountyhunt ontving van Facebook. De man toonde via beta.facebook.com een kritisch beveiligingslek aan.
Wat hebben wij geleerd?
Bij Intracto trekken we steeds lessen uit dergelijke gevallen en passen we procedures aan (rond bvb. automated testing en het antwoorden op een DDoS aanval). Dit passen dan toe op de bedrijfsgegevens en de webplatformen van onze klanten.
Zo investeerden we in een eigen ontwikkelde tool. Die houdt onze Git repositories in de gaten en geeft mogelijke security updates/patches aan voor bvb. Symfony/Drupal.
Daarnaast gebruiken we nu ook een externe security scanner waarmee we websites volledig doorlichten. Dit doen we nu al op maandelijkse basis voor verschillende van onze klanten. Zo bekomen we een onafhankelijke security audit.
Aan de hand van deze onafhankelijke rapportage ondernemen we dan verdere stappen (remember "Security is geen product" ;-) ).
In het snel veranderend online landschap is het als agency belangrijk om procedures steeds aan te passen aan nieuwe inzichten. Het is bij Intracto dan ook een topprioriteit om steeds te leren uit elk nieuw veiligheidsprobleem.