image

Column: Belang beveiligingsbeleid nog té vaak onderschat

woensdag 6 mei 2009, 10:34 door Paul Derksen, 6 reacties

Op 6 april jongstleden maakte de NOS bekend dat de website van de Geschillencommissie een jaar lang slecht beveiligd is geweest. Tien dagen na het incident is de website nog steeds afgesloten voor het publiek. Dat getuigt dat de commissie niet kon voorkomen, maar ook niet kan genezen. Met een goed opgesteld en nageleefd beveiligingsbeleid was de blamage vermeden.

Een journalist van het NOS journaal ontdekte dat hij toegang kon krijgen tot afgeschermde dossiers op de website van de Geschillencommissie. De techniek die hij hiervoor toe paste staat al jarenlang bekend als ‘parameter tampering’. Peter Moerkens, directeur van de Geschillencommissie, was echter ‘verbijsterd’ over het bestaan van dit lek in de beveiliging. In een reactie meldde hij dat de website door drie afzonderlijke beveiligingsbedrijven als veilig was bestempeld.

Zo blijkt wederom dat in het land der blinden, eenoog koning is. Parameter tampering is namelijk een van de meest basale manieren om beveiligingsmaatregelen te omzeilen. Hackers maken misbruik van het feit dat veel programmeurs voor de beveiliging uitsluitend vertrouwen op statische codes in het internetadres. Door deze code handmatig te veranderen creëren hackers een nieuw internetadres dat naar andere ogenschijnlijk afgeschermde webpagina’s leidt.

De vraag rijst daarom of er binnen de commissie wel voldoende aandacht was voor de analyses van de internetbeveiliging. In de praktijk blijkt vaak dat bedrijven hiervoor weinig of geen budget beschikbaar stellen. Meestal is het onderzoek niet meer dan een geautomatiseerde beveiligingsscan. Die leveren weinig meer op dan een vals gevoel van zekerheid.

Een grondige analyse van de website van de Geschillencommissie had gewezen op de kwetsbaarheid. Ook de programmeur van deze website had verdergaande maatregelen moeten nemen. Door een gedegen beveiligingsbeleid op te stellen en op te volgen, was parameter tampering onmogelijk geweest. Toegangsbeveiliging, dataversleuteling en bescherming tegen internetaanvallen moeten een integraal onderdeel zijn van het ontwerpen, programmeren en testen van iedere website of applicatie.

Een dikke twee weken na het incident is de website van de Geschillencommissie nog steeds afgesloten. Ook dat getuigt ervan dat het de organisatie ontbreekt aan goed beveiligingsbeleid. De website van de Geschillencommissie kon al op 6 april veilig toegankelijk zijn. Een vestigingsmuur om de website zou gebruikers die in het dossier van derden willen kijken al aan de poort tegenhouden. Alleen door beide ogen te openen voor het belang van een stringent beveiligingsbeleid kan de Geschillencommissie weer koning worden over het eigen domein.

Door Paul Derksen, Solution Architect en ethical hacker bij Motiv.

Reacties (6)
06-05-2009, 10:40 door SirDice
[taalnazi mode]
Het is tè (teh) niet té (tee).
[/taalnazi mode]

Meestal is het onderzoek niet meer dan een geautomatiseerde beveiligingsscan. Die leveren weinig meer op dan een vals gevoel van zekerheid.
Inderdaad. Bij een dergelijke site zou een audit op de code ook niet misstaan.
06-05-2009, 11:52 door Anoniem
Het pleidooi voor een betere opzet en test van de applicatie lijkt me logisch; de koppeling naar het beveiligingsbeleid lijkt er een beetje met de haren bijgesleept. Dat de testen niet goed aangevraagd of uitgevoerd zijn, hoeft niets met het beveiligingsbeleid te maken te hebben; hetzelfde geldt voor het al dan niet weer beschikbaar zijn van de website. Zonder dat we weten wat er in een eventueel beveiligingsbeleid staat, lijkt enige uitspraak daarover me speculatief.

@SirDice - toepasselijk, zo net na Bevrijdingsdag; ook taalnazi's zitten er wel eens naast: http://taal.web-log.nl/taaladviesdienst/2007/02/accent_aigu.html
06-05-2009, 14:41 door Anoniem
Door Anoniem:
@SirDice - toepasselijk, zo net na Bevrijdingsdag; ook taalnazi's zitten er wel eens naast: http://taal.web-log.nl/taaladviesdienst/2007/02/accent_aigu.html
Het accent grave wordt gebruikt in algemeen gangbare woorden van Franse herkomst, zoals à, scène en misère, en om de uitspraak van de letter e aan te geven, zoals in hè en blèren. Maar wees getroost: bij de volgende uitgave van het witte en groene boekje wordt het allemaal weer anders en misschien dat er zelfs nog een kleurtje bijkomt.
06-05-2009, 23:50 door Anoniem
Door SirDice: [taalnazi mode]
Het is tè (teh) niet té (tee).
[/taalnazi mode]

Meestal is het onderzoek niet meer dan een geautomatiseerde beveiligingsscan. Die leveren weinig meer op dan een vals gevoel van zekerheid.
Inderdaad. Bij een dergelijke site zou een audit op de code ook niet misstaan.


Mooi dat er mensen zijn die ook op dit soort details letten. Jammer genoeg heeft er geen 'audit' op de ethische en historische code plaatsgevonden. "Taalnazi" ???!!! Hoe ongepast, hoe onethisch en hoe weinig historisch besef ! Kies a.u.b.in hemelsnaam een andere naam !!!
07-05-2009, 10:21 door SirDice
Door Anoniem: @SirDice - toepasselijk, zo net na Bevrijdingsdag; ook taalnazi's zitten er wel eens naast: http://taal.web-log.nl/taaladviesdienst/2007/02/accent_aigu.html
Niet helemaal waar... Vergelijk hè met hé.. Groen/wit whatever... Ik schrijf niveau ook nog op z'n ouderwets, oké?

Mooi dat er mensen zijn die ook op dit soort details letten. Jammer genoeg heeft er geen 'audit' op de ethische en historische code plaatsgevonden. "Taalnazi" ???!!! Hoe ongepast, hoe onethisch en hoe weinig historisch besef ! Kies a.u.b.in hemelsnaam een andere naam !!!
Misschien moet je je er toch eens in de term taalnazi verdiepen...
11-05-2009, 11:53 door Anoniem
"Belang beveiligingsbeleid nog té vaak onderschat"

Tjongejonge, het voorbeeld heeft met falende applicaties, waarschijnlijk door falend ontwerp, ondermaatse ontwikkel- en go-live processen, testen, kennismanagement, toezicht etc. te maken, maar wat is de relatie met beleid? Oh, dat dat er allemaal in voorgeschreven staat? Doe normaal - dat zijn verhaaltjes voor de vaak. De hele beleidsexercitie is geldverspilling om in hoog abstracte bewoordingen te schrijven dat je het goed moet doen, en het goede. Zo generiek dat je beter gewoon een boek uit de kast kunt trekken. Noem deze verzameling open deuren best practices en stuur de beleidsconsultants naar huis.

Heb nog een goede tip: verbied als je toch bezig bent ook het nemen van verkeerde besluiten en het maken van fouten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.