Nieuws

Onderzoekers hekelen veiligheidskeurmerk websites

donderdag 27 november 2014, 11:56 door Redactie, 5 reacties

Websites met een veiligheidskeurmerk zijn niet per definitie veiliger dan websites zonder keurmerk en zouden zowel consumenten als eigenaren dan ook een vals gevoel van veiligheid geven, zo stellen onderzoekers die tien verschillende keurmerken onderzochten (PDF). Het gaat dan om "zegels" van onder andere Norton Secured, McAfee Secure en Hack Proof. Het onderzoek bestond uit drie onderdelen.

Ten eerste werd er gekeken naar de aanwezigheid of afwezigheid van negen beveiligingsmaatregelen, zoals het gebruiken van bepaalde attributen om cookies te beschermen. Uit deze test kwam naar voren dat websites met een veiligheidskeurmerk niet significant veel veiliger zijn dan websites zonder zegel, aangezien de beveiligingsmaatregelen niet vaker werden gebruikt.

Als tweede besloten de onderzoekers een handmatige penetratietest uit te voeren. Hiervoor benaderden ze duizend websites met een keurmerk. Slechts een handvol websites gaven een reactie en uiteindelijk stonden negen websites de penetratietest toe. Bij zeven van de negen websites werden beveiligingslekken aangetroffen, die in veel gevallen eenvoudig waren te vinden.

Webshop

Voor het derde en laatste onderdeel van de test werd er een opzettelijk kwetsbare webshop opgezet met allerlei lekken. Vervolgens lukte het om van acht partijen een zegel te krijgen. In twee gevallen kon het zegel direct op de website worden geplaatst, aangezien de partijen geen kwetsbaarheden aantroffen. Uit de serverlogs bleek dat deze keurmerken slechts beperkte scans met Nmap en Nessus hadden uitgevoerd. De overige zes partijen ontdekten wel verschillende lekken, maar de meeste kwetsbaarheden bleven onopgemerkt.

Naast het missen van de lekken zorgen de zegels er ook voor dat websites en gebruikers kunnen worden aangevallen, zo merken de onderzoekers op. Ze beschreven vier aanvalsscenario's waardoor een aanvaller via het zegel een aanval kan uitvoeren. De onderzoekers halen dan ook hard uit in hun conclusie. Ten eerste zouden veiligheidskeurmerken een vals gevoel van veiligheid geven. Daarnaast denken de eigenaren van de websites ten onrechte dat hun websites veilig zijn, waardoor ze niet meer investeren in het veiliger maken van hun website.

CBP tikt ziekenhuis op vingers wegens Windows XP

Amerikaan ontloopt 440 jaar cel wegens brute force-aanval

Reacties (5)

27-11-2014, 12:50 door eMilt

Mooi onderzoek en het bevestigt helemaal het idee wat ik al had over dergelijk keurmerken. Geldklopperij en valse veiligheid.

27-11-2014, 13:27 door Flashback956

Keurmerken? Noem nu eens een keurmerk dat écht te vertrouwen is. Precies, die bestaan niet. Het plakken van een sticker op een product zegt helemaal niks. Wat in mijn ogen een vooruitgang zou zijn is dat je op de 'sticker' kunt klikken en een uitgebreid rapport krijgt. Wat is er getest? Hoe hebben we dat gedaan?

27-11-2014, 13:38 door Anoniem

Ik dacht altijd dat web beheerders dit er zelf opzetten om de indruk te wekken dat het een goede website is. Maar er zit dus daad werkelijk een bedrijf achter die deze keurmerken verstrekt. Zo leer je nog eens wat. Maar goed de waarde blijft nul voor dit soort keur merken het kost alleen geld. Wat heb je geleerd. Kijk niet naar keurmerken maar gebruik je gezonde verstand.

27-11-2014, 14:56 door Anoniem

Een veiligheidskeurmerk is leuk voor marketing. In de praktijk zegt het helaas weinig.

27-11-2014, 15:02 door Anoniem

Wat in mijn ogen een vooruitgang zou zijn is dat je op de 'sticker' kunt klikken en een uitgebreid rapport krijgt. Wat is er getest? Hoe hebben we dat gedaan?

Of je dat soort testrapporten zelf moet vrijgeven is de vraag; daar staat immers ook gevoelige informatie in welke misbruikt kan worden. Maar transparantie over de gebruikte methodieken en dergelijke, wat ten grondslag ligt aan het verkrijgen van een keurmerk, zou wel goed zijn.

Die methodiek zou wat verder moeten gaan dan alleen het afgaan van een checklist, bijvoorbeeld door verplichte penetratie testing en dergelijke. Ook zou de certificerende instantie medeverantwoordelijkheid moeten dragen indien zaken toch minder veilig blijken te zijn, dan wordt beweerd aan de hand van het keurmerk.

De vraag of ze dit op de goede manier aanpakken, staat los van de vraag of jij en ik toegang kunnen krijgen tot het rapport met de resultaten. Bij de bank wil je ook dat de veiligheid goed op orde is. Toch zou ik het vrijgeven van rapportages over hun beveiliging (en de daarbij eventueel aangetroffen problemen) in het publieke domein niet willen adviseren ;)

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer