Dat application security niet bij de ontwikkeling van een website of andere service ontbreken mag heeft deze thema 10-daagse geprobeerd duidelijk te maken. Je zou als bedrijf toch niet willen dat een of andere Oost-Europese crimineel er met je klantgegevens vandoor gaat. Iets wat vaker voorkomt dan veel mensen beseffen. De meeste bedrijven die aangevallen worden doen echter uit uit angst voor mogelijke schadeclaims of beschadiging van het imago, geen aangifte bij politie of andere instanties. Je wilt toch niet bekend staan als de onderneming die met grote neonlichten voor inbrekers aangeeft waar de sleutels tot de kluis liggen. Het is misschien een rare vergelijking, feit is wel dat veel ontwikkelaars security niet in hun ontwerp meenemen, waardoor zaken als SQL injectie en cross site scripting nog altijd gebruikt worden.

Nu is een goed beveiligd programma één ding, mensen security bewust maken een ander. Bewustzijn is misschien geen direct onderdeel van het brede "application security" spectrum, het mag zeker niet vergeten worden. Sociaal engineering is namelijk nog altijd springlevend. Zelf beschouwde ik social engineering altijd als de reclame slogan van Kevin Mitnick. De hervormde hacker, en nu goed betaalde spreker, deed zich tijdens zijn hack-activiteiten vaak voor als medewerker of ander persoon om zo wachtwoorden en andere vertrouwelijke gegevens te achterhalen. Mitnick heeft van social engineering een soort religie gemaakt, die hij graag predikt. Je zou hierdoor de werkelijke dreiging van social engineering kunnen vergeten, maar die is echt aanwezig.

Hushmail was het laatste slachtoffer van een kunstige social engineer. Aanvallers wisten via een slordige werknemer gegevens van Network Solutions lost te peuteren, om uiteindelijk de DNS gegevens van het domein te wijzigen. De fout werd snel hersteld, maar het blijft onbegrijpelijk dat dit bij een bedrijf als Network Solutions kan voorkomen. De website is namelijk het gezicht van veel bedrijven, en dat je online aanwezigheid als bedrijf door een goedgelovige werknemer teniet wordt gedaan, is onaanvaardbaar. Natuurlijk heeft Network Solutions security maatregelen ingevoerd die dit soort situaties moeten voorkomen. Toch worden ze niet streng nageleefd, iets wat ook T-Mobile het geval is.

Aanvallers wisten, door zich uit te gegeven als supervisor van het hoofdkantoor, de logingegevens tot de klantendatabase te krijgen, waarna bekendheden als Paris Hilton en Laurence Fishburne gehackt konden worden. Een eenvoudig iets als het laten terugbellen door de werknemer zou dit voorkomen hebben. En zo zijn er nog veel meer eenvoudige regels die het leven van een social engineer een stuk lastiger kunnen maken. Het invoeren en handhaven van dit soort regels heeft helaas geen prioriteit.

Vooral grote bedrijven waar communicatie over allerlei schijven en via verschillende personen loopt lijken kwetsbaar. Daar komt bij dat mensen vaak te goed van vertrouwen zijn en onnodig veel informatie verstrekken aan een willekeurige beller. Zo belde ik laatst naar een bedrijf, maar de persoon die ik moest hebben was niet aanwezig. De persoon die de telefoon opnam wist te vertellen dat degene die ik moest hebben een aantal weken met zwangerschapsverlof was en later zou terugkomen.

Informatie waar ik niet om had gevraagd, maar toch kreeg. Misschien als ik wat verder had gevraagd, had ik nog wat meer gegevens kunnen achterhalen, waarna ik dan weer contact met de helpdesk had op kunnen nemen om bijvoorbeeld logingegevens te ontfutselen.

Een veilige voorkant is belangrijk, de gebruikers die ermee werken mogen ook niet vergeten worden. Aangezien mensen nog altijd te makkelijke wachtwoorden kiezen en hier onzorgvuldig mee omgaan, hebben social engineers, nu hun dreiging nog steeds onderschat wordt, vrij spel. Concrete cijfers ontbreken, er worden geen "logs" bijgehouden hoeveel social engineers er in het afgelopen uur gebeld hebben, toch moeten bedrijven en werknemers op hun hoede zijn. Anders heb je een goed beveiligde voorkant, terwijl het open huis bij de achterkant is.