Wat kunnen we leren van de afgelopen veiligheidsproblemen met websites?

#Panamapapers

Op zondagavond heeft een wereldwijd consortium van mediabedrijven de lont aangestoken van het kruitvat rond de zogenaamde Panamapapers.

In totaal zijn er 11,5 miljoen documenten gelekt naar het media-consortium, waarin zij nu al enkele maanden zoeken naar bruikbare informatie (mbv. een custom zoekmachine en social media netwerk). Over de ethiek van het publiekelijk uitbrengen van deze informatie spreek ik me even niet uit.

De wijze les uit dit verhaal is de omvang en de eenvoud waarmee een dergelijke bron aan gegevens nu op straat komt te liggen.

Natuurlijk is er hierover nog weinig duidelijkheid en is het in het belang van Mossack Fonseca om over hackers te spreken en niet over interne klokkenluiders, maar toch zijn er hierbij vragen te stellen. 

Een juiste security/beveiligingsstrategie van jouw webplatform en IT-landschap is dus meer dan een puur technische beveiliging, maar start ook bij een goed rechtenbeheer en opvolging hiervan.

Wie heeft er toegang tot de backend van jouw platform? Zitten daar nog ex-werknemers of stagiairs (van 2 jaar geleden) bij? Welke apps/3rd party tools/interfaces hebben toegang tot jouw gegevens?

Wanneer we naar het Panamapapers verhaal kijken, blijken er toch heel wat mogelijkheden geweest te zijn voor een daadwerkelijke hack van hun platformen.

FORBES discovered the firm ran a three-month old version of WordPress for its main site, known to contain some vulnerabilities, but more worrisome was that its portal used by customers to access sensitive data was run on a three-year-old version of Drupal, 7.23. That platform has at least 25 known vulnerabilities at the time of writing, two of which could have been used by a hacker to upload their own code to the server and start hoovering up data. 

Een mooie analyse die gisterenavond online verscheen wijst met de vinger naar 1 bepaalde verouderde Wordpress plugin.

"I dared two expert hackers to destroy my life. Here’s what happened."

Een ander verhaal dat de afgelopen weken rondging op de grote techblogs is onderstaande video, waarbij een journalist een securityspecialist uitdaagde om te kijken hoe ver hij zou geraken.

Het vervolgverhaal leest als een ware technothriller. De securityspecialist verkrijgt toegang krijgt tot alle mogelijke accounts en de laptop van de journalist door onder meer gebruik te maken van social engineering.

Als webshop/webplatform/SaaS-aanbieder heb je een plicht naar je gebruikers toe, meer bepaald wat betreft de veilige opslag van hun gegevens, maar ook de implementatie van de juiste interne procedures en processen. 

Hoe kan je een paswoord resetten? Kan dit telefonisch? Hoe veilig moet een gebruikerswachtwoord zijn?

How to hack an election?

Wanneer je denkt genoeg technotrillers gelezen te hebben, is er nog dit verhaal van afgelopen week.

Een team van securityexperten heeft decenia lang verkiezingen in Latijns-Amerika op alle mogelijke manieren gemanipuleerd voor de hoogste bieder. Zo werden kleine donorwebsites of mailservers gehacked om met deze informatie de publieke opinie van kant te doen wisselen.

Sepúlveda’s first hacking job, he says, was breaking into an Uribe rival’s website, stealing a database of e-mail addresses, and spamming the accounts with disinformation. He was paid $15,000 in cash for a month’s work, five times as much as he made in his previous job designing websites.

DDoS

Een ander recent voorbeeld is de DDoS-aanval van hackerscollectief Down Sec op BNP Paribas Fortis van afgelopen woensdag. PC Banking en de app Easy banking gaven toen enkele uren niet thuis. Collega Tom schreef eind vorig jaar al een erg gesmaakte blogpost over DDoS attacks.

Encryptie en privacy is nu een verkoopsargument geworden

Data privacy en security nemen zo hun plaats in als verkoopsargument voor webplatformen en webservices.

Het laatste voorbeeld hiervan is WhatsApp, die sinds enkele dagen een volledige end-to-end-encryptie voorzien en daar maar al te graag mee uitpakken. 

Het beveiligen van een website is een allesomvattende strategie

Het beveiligen van een webplatform gaat verder dan een kortstondige focus tijdens het uittekenen van een website/webplatform/e-commerce shop.

En neen, een HTTPS-certificaat installeren is niet de wonderoplossing voor een veilig webplatform.

Tijdens de meeste van onze SEO-audits ontdekken we zelfs bij de best beveiligde webplatformen onbeveiligde staging-platformen die gewoon te gebruiken zijn voor het testen van een hackmethode.

Een recent voorbeeld hiervan is een Indische developer die onlangs een mooie bountyhunt ontving van Facebook. De man toonde via beta.facebook.com een kritisch beveiligingslek aan.

Wat hebben wij geleerd?

Bij Intracto trekken we steeds lessen uit dergelijke gevallen en passen we procedures aan (rond bvb. automated testing en het antwoorden op een DDoS aanval). Dit passen dan toe op de bedrijfsgegevens en de webplatformen van onze klanten.

Zo investeerden we in een eigen ontwikkelde tool. Die houdt onze Git repositories in de gaten en geeft mogelijke security updates/patches aan voor bvb. Symfony/Drupal.

Daarnaast gebruiken we nu ook een externe security scanner waarmee we websites volledig doorlichten. Dit doen we nu al op maandelijkse basis voor verschillende van onze klanten. Zo bekomen we een onafhankelijke security audit.

Aan de hand van deze onafhankelijke rapportage ondernemen we dan verdere stappen (remember "Security is geen product" ;-) ).

In het snel veranderend online landschap is het als agency belangrijk om procedures steeds aan te passen aan nieuwe inzichten. Het is bij Intracto dan ook een topprioriteit om steeds te leren uit elk nieuw veiligheidsprobleem.