Column: Belang beveiligingsbeleid nog té vaak onderschat
Op 6 april jongstleden maakte de NOS bekend dat de website van de Geschillencommissie een jaar lang slecht beveiligd is geweest. Tien dagen na het incident is de website nog steeds afgesloten voor het publiek. Dat getuigt dat de commissie niet kon voorkomen, maar ook niet kan genezen. Met een goed opgesteld en nageleefd beveiligingsbeleid was de blamage vermeden.
Een journalist van het NOS journaal ontdekte dat hij toegang kon krijgen tot afgeschermde dossiers op de website van de Geschillencommissie. De techniek die hij hiervoor toe paste staat al jarenlang bekend als ‘parameter tampering’. Peter Moerkens, directeur van de Geschillencommissie, was echter ‘verbijsterd’ over het bestaan van dit lek in de beveiliging. In een reactie meldde hij dat de website door drie afzonderlijke beveiligingsbedrijven als veilig was bestempeld.
Zo blijkt wederom dat in het land der blinden, eenoog koning is. Parameter tampering is namelijk een van de meest basale manieren om beveiligingsmaatregelen te omzeilen. Hackers maken misbruik van het feit dat veel programmeurs voor de beveiliging uitsluitend vertrouwen op statische codes in het internetadres. Door deze code handmatig te veranderen creëren hackers een nieuw internetadres dat naar andere ogenschijnlijk afgeschermde webpagina’s leidt.
De vraag rijst daarom of er binnen de commissie wel voldoende aandacht was voor de analyses van de internetbeveiliging. In de praktijk blijkt vaak dat bedrijven hiervoor weinig of geen budget beschikbaar stellen. Meestal is het onderzoek niet meer dan een geautomatiseerde beveiligingsscan. Die leveren weinig meer op dan een vals gevoel van zekerheid.
Een grondige analyse van de website van de Geschillencommissie had gewezen op de kwetsbaarheid. Ook de programmeur van deze website had verdergaande maatregelen moeten nemen. Door een gedegen beveiligingsbeleid op te stellen en op te volgen, was parameter tampering onmogelijk geweest. Toegangsbeveiliging, dataversleuteling en bescherming tegen internetaanvallen moeten een integraal onderdeel zijn van het ontwerpen, programmeren en testen van iedere website of applicatie.
Een dikke twee weken na het incident is de website van de Geschillencommissie nog steeds afgesloten. Ook dat getuigt ervan dat het de organisatie ontbreekt aan goed beveiligingsbeleid. De website van de Geschillencommissie kon al op 6 april veilig toegankelijk zijn. Een vestigingsmuur om de website zou gebruikers die in het dossier van derden willen kijken al aan de poort tegenhouden. Alleen door beide ogen te openen voor het belang van een stringent beveiligingsbeleid kan de Geschillencommissie weer koning worden over het eigen domein.
Door Paul Derksen, Solution Architect en ethical hacker bij Motiv.
Het is tè (teh) niet té (tee).
[/taalnazi mode]
@SirDice - toepasselijk, zo net na Bevrijdingsdag; ook taalnazi's zitten er wel eens naast: http://taal.web-log.nl/taaladviesdienst/2007/02/accent_aigu.html
@SirDice - toepasselijk, zo net na Bevrijdingsdag; ook taalnazi's zitten er wel eens naast: http://taal.web-log.nl/taaladviesdienst/2007/02/accent_aigu.html
Het is tè (teh) niet té (tee).
[/taalnazi mode]
Mooi dat er mensen zijn die ook op dit soort details letten. Jammer genoeg heeft er geen 'audit' op de ethische en historische code plaatsgevonden. "Taalnazi" ???!!! Hoe ongepast, hoe onethisch en hoe weinig historisch besef ! Kies a.u.b.in hemelsnaam een andere naam !!!
Tjongejonge, het voorbeeld heeft met falende applicaties, waarschijnlijk door falend ontwerp, ondermaatse ontwikkel- en go-live processen, testen, kennismanagement, toezicht etc. te maken, maar wat is de relatie met beleid? Oh, dat dat er allemaal in voorgeschreven staat? Doe normaal - dat zijn verhaaltjes voor de vaak. De hele beleidsexercitie is geldverspilling om in hoog abstracte bewoordingen te schrijven dat je het goed moet doen, en het goede. Zo generiek dat je beter gewoon een boek uit de kast kunt trekken. Noem deze verzameling open deuren best practices en stuur de beleidsconsultants naar huis.
Heb nog een goede tip: verbied als je toch bezig bent ook het nemen van verkeerde besluiten en het maken van fouten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
