"Witte Huis op Drupal bedreigt nationale veiligheid"
Het Witte Huis zal voortaan op het opensource CMS Drupal gaan draaien, waarbij de Amerikaanse overheid wil laten zien dat het voor transparantie staat, maar volgens een bekende beveiligingsexpert is dit of een marketingtruc of heel slecht voor de nationale veiligheid. "Dezelfde Drupal met 12 pagina's aan beveiligingslekken sinds het verscheen. Ik weet zeker dat dit de opensource gemeenschap heel blij heeft gemaakt", zegt Robert 'RSnake' Hansen. "Maar ik zie dit als een grote fout."
Volgens Dries Buytaert, de bedenker en projectleider van Drupal, is dit een duidelijk signaal dat de Amerikaanse overheid beseft dat opensource geen risico's ten opzichte van gesloten software met zich meebrengt. "Dit is een complete drogreden. Sterker nog, het is gevaarlijk dat niet-security mensen hun kennis van beveiliging etaleren alsof het een feit is", merkt Hansen op. Als er wordt gekeken naar het aantal lekken per code kan hij zich nog wel in de uitspraak van Buytaert vinden. "Maar zo werkt de echte wereld niet."
Pentest
Er zit namelijk een gigantisch verschil tussen opensource en gesloten applicaties. "Ik kan Drupal de hele dag pentesten zonder een enkel pakketje naar Whitehouse.gov te sturen." Daarnaast zou een buitenlandse overheid voor weinig geld een klein leger van pentesters kunnen inhuren dat elk mogelijk lek zal proberen te vinden, zonder dat de intrusion detection systemen van het Witte Huis alarm slaan.
Hansen vindt het alleen een grote fout als het Witte Huis dezelfde Drupal installeert die iedereen kan downloaden en installeren. "Ja, dan is het gewoon idioot." Toch is dat zeer onwaarschijnlijk en zal het waarschijnlijk om een zwaar gestripte versie gaan en is de server zo zwaar beveiligd dat het upgraden niet eens zonder toestemming van het Congres kan, grapt de expert. "Alleen hoe verschilt een zwaar aangepaste variant van Drupal ten opzichte van een gesloten oplossing? Spring dus niet al te snel van vreugde. Ofwel dit is een marketingtruc of het loopt heel slecht af voor de nationale veiligheid."
*KUCH* *PROEST* *KUCH*
Verder begrijpt de klager het niet. Open source gebruikt bv ook het Amnerikaanse leger, om de eenvoudige reden dat zij iedere regel code kunnen inzien, kunnen aanpassen en zolang men het niet buiten het bedrijf (leger in dit geval) verspreidt, hoeft men ook de veranderingen/verbeteringen (broncode) niet vrij te geven. Lijkt mij dus dat het WH juist een veiliger programma gebruikt.
Wat voor onzin is dit nu weer? Alsof je met gesloten software geen pentests uit kan voeren.
Ieder gesloten alternatief kan evenzogoed op dezelfde manier onderzocht worden als hierboven beschreven. Het enige wat niet mogelijk is, is het analyseren van de broncode, maar dat is voor veel pentest helemaal niet nodig.
Verder wijst de praktijk uit dat gesloten software echt niet minder gaten bevat dan Open Source alternatieven. De enige situatie waarin dit argument van dit stuk schimmel op zou kunnen gaan is wanneer het Witte Huis haar eigen HTTP server en CMS zou gaan ontwikkelen. Iets wat volgens mij ook niet een echt verstandig idee zijn, al was het maar omdat het Witte Huis het echt niet voor elkaar zal krijgen om de top op het gebied van internet security voor haar karretje te spannen.
Als Hansen werkelijk gezegd heeft wat het artikel vermeldt en het niet uit zijn verband is getrokken, dan heeft deze man zich toch echt gediskwalificeerd als security expert.
Ik ben het eens met de stelling dat Drupal geen slimme keuze is waar het om veiligheid gaat. Het argument van deze meneer Hanson slaat echter helemaal nergens op.
zo vragen ze toch op p0wn3d te worden..
en wie willen ze dan weer uitnodigen voor levenslange vakantie?
Ik denk dat de auteur closed source pakketten verwart met custom-build software. Indien je niet beschikt over de software, is het ook lastig om de software op een eigen server te testen.
Mja. Closed scource. De Nederlandse politie/justitie moest opgenomen telefoontaps wissen van hun systemen. Men weet niet hoe dit moet omdat het closed scource is en alleen de Israeli's het kunnen/mogen bedienen. Willen we dat dan liever?
Je maakt jezelf afhankelijk van één bedrijf wat er morgen wel niet meer kan zijn.
Hetzelfde geldt voor b.v. de stemcomputers. Is ook closed scource. Iedereen kan er mee rommelen en niemand kan het nakijken. Is dat een goede zaak? Nee dus naar mijn mening. Het doet vermoeden dat men iets te verbergen heeft. Ik moet daarbij aan sjoemelen denken.
Ik denk dat de auteur closed source pakketten verwart met custom-build software. Indien je niet beschikt over de software, is het ook lastig om de software op een eigen server te testen.
Dat is volledig juist; en dat gebeurt dan ook heel regelmatig door verschillende partijen. Whitehouse.gov is waarschijnlijk al een heel kritische klant wat security betreft; maar je mag er zeker van zijn dat de banken die Drupal gebruiken (wij hebben zo'n klant) de code ook grondig laten controleren.
Drupal werd zo gebouwd, zodat het in zijn architectuur veilig is. Je mag dan nog zo veel pentesten als je wil; je zal er niet doorgeraken.
Jo Wouters - Krimson
Wat voor onzin is dit nu weer? Alsof je met gesloten software geen pentests uit kan voeren.
Ieder gesloten alternatief kan evenzogoed op dezelfde manier onderzocht worden als hierboven beschreven. Het enige wat niet mogelijk is, is het analyseren van de broncode, maar dat is voor veel pentest helemaal niet nodig.
Verder wijst de praktijk uit dat gesloten software echt niet minder gaten bevat dan Open Source alternatieven. De enige situatie waarin dit argument van dit stuk schimmel op zou kunnen gaan is wanneer het Witte Huis haar eigen HTTP server en CMS zou gaan ontwikkelen. Iets wat volgens mij ook niet een echt verstandig idee zijn, al was het maar omdat het Witte Huis het echt niet voor elkaar zal krijgen om de top op het gebied van internet security voor haar karretje te spannen.
Als Hansen werkelijk gezegd heeft wat het artikel vermeldt en het niet uit zijn verband is getrokken, dan heeft deze man zich toch echt gediskwalificeerd als security expert.
Ik ben het eens met de stelling dat Drupal geen slimme keuze is waar het om veiligheid gaat. Het argument van deze meneer Hanson slaat echter helemaal nergens op.
Eerst lezen dan commentaar geven en niet andersom ! Zie http://ha.ckers.org/ (artikel van 25 oktober 2009)
[...] maar je mag er zeker van zijn dat de banken die Drupal gebruiken (wij hebben zo'n klant) de code ook grondig laten controleren.
Drupal werd zo gebouwd, zodat het in zijn architectuur veilig is. Je mag dan nog zo veel pentesten als je wil; je zal er niet doorgeraken.
Jo Wouters - Krimson
1. Ik heb nog geen security announcements gezien met Krimson of een bank als "Reported by" credit. Ik neem aan dat er niets is gevonden in de audit. Het lijkt me echter sterk dat er in de huidige core geen vulnerabilities zitten.
2. Drupal is in zijn "architectuur" niet veilig. De manier waarop string escaping aan de arme developers wordt overgelaten, garandeert een gestage stroom van cross site scripting problemen.
De DB API & Form API daarentegen hebben al hopen issues voorkomen (SQL injection, option injection, CSRF).
1. Ik heb nog geen security announcements gezien met Krimson of een bank als "Reported by" credit. Ik neem aan dat er niets is gevonden in de audit. Het lijkt me echter sterk dat er in de huidige core geen vulnerabilities zitten.
Ik kom regelmatig kleine security issues tegen in Third Party Drupal modules. altijd meld ik ze braaf aan de auteur. Soms volgt daar een security release op. Soms een stille bugfix release (en we fixten stilletjes ook een XSFR maar dat zeggen we niet). soms komt er helemaal geen reactie op.
2. Drupal is in zijn "architectuur" niet veilig. De manier waarop string escaping aan de arme developers wordt overgelaten, garandeert een gestage stroom van cross site scripting problemen.
Deze zin doet vermoeden dat het onveilig is. "Niet Veilig" betekent hier echter ook niet "onveilig". Die gestage stroon aan XSS (en nog vaker voorkomend, maar minder vaak gezien: XSFR) zijn:
a) zelden een écht veiligheidsrisico voor de grote meerderheid der sites. Ik zie regelmatig CMSen die bijvoorbeeld in de admin-backend geen/nauwelijks checken op invoer. Iets dat bij Drupal als kritiek lek gezien word, maar bij veel CMSen een "By design" is.
b) meestal te vinden in de "custom code" van een project: ofwel onkundig gepruts of "klant wil het zo, dus dan maar even snel op die manier" van de developers. Veelal, in de theme laag, meestal in eigen zelfgemaakte modules.
c) gevolg van (erg) lelijke en slechte implementaties van eigenlijk mooie zaken. Door ontwikkelaars die een concept niet snapten en daarmee bijvoorbeeld het gehele menusysteem openbreken, door klanten die persé een bepaalde oplossing willen zien, zelfs als dat in Drupal betekent dat veilige zaken "opengebroken" moeten worden enzovoort.
Dus Drupal is in zijn architectuur wel degelijk veilig. Goed, het kán altijd veiliger, maar de kern (Drupal core) is écht goed dichtgetimmerd. Maar zo geredeneerd: welk framework of CMS kan niet "nog net ietsje veiliger"?
Ik denk dat de Auteur bedoelt dat pruts-developers niet genoeg handreikingen en beperkingen krijgen om veiliger te bouwen (iets dat bijv. symphony of Rails al beter doet). Maar nogmaals: dat zegt niet dat Drupal zélf onveilig is.
Interessant: http://www.computable.nl/artikel/ict_topics/ecm/2871629/1277020/open-source-cmsen-hip-maar-onveilig.html
Voor inhoudelijke informatie over de veiligheid van Drupal, lees het boek 'Cracking Drupal' eens (Bol of Amazon).
Baris Wanschers
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
