Geschreven door: Bert Alting

Steeds vaker lees je in het nieuws over datalekken. Neem als voorbeeld het datalek bij autobedrijven van vandaag. Mocht het aantal van 7,3 miljoen gestolen datapunten kloppen, dan is het een van de grootste Nederlandse datalekken ooit.

Gelukkig worden ook veel datalekken voorkomen. Voordat een applicatie of website live gaat kan deze eerst uitvoerig worden getest door één of meer ethical hackers. Dit gaat door middel van een pentest wat staat voor Penetratie test. Door middel van deze test probeert men binnen te dringen om bij gegevens te komen die afgeschermd hadden moeten zijn, dit in opdracht van een klant uiteraard.

Hoe gaat dat precies in zijn werk?  Bert Alting, Ethical Hacker bij Networking4all vertelt u hier meer over.

Wat is jouw eerste reactie op dit soort nieuwsberichten?

Mijn eerste reactie is, “Alweer! Wat zonde.” Waarschijnlijk had dit voorkomen kunnen worden. Zeker als je later leest op welke manier meestal het datalek ontstaan is. Door a) simpele menselijk fouten en b) achterstallige security. Onder het mom van: “Het gebeurt ons toch niet.”

Hoe kan je dit zo goed mogelijk voorkomen?


Voordat je omgaat met belangrijke data is het een must om er zo zeker mogelijk van te zijn dat die data goed afgeschermd is. De gevolgen van een datalek kunnen enorm zijn, sterker nog: zijn enorm! 

Het begint uiteraard al bij het ontwerp van een applicatie. “Security by design”, noem je dat.  Dit betekent dat softwareproducten vanaf de basis zijn ontworpen om veilig te zijn. Maar in de praktijk zie je nog te vaak dat dat niet gebeurt. Applicaties worden opgeleverd onder tijdsdruk of er is hiervoor niet voldoende budget gereserveerd. Hackers weten waar ze moeten zoeken en er is vaak maar één foutje nodig om van daaruit verder te gaan. 

Naast “security by design” is het meer dan raadzaam om de applicatie te laten testen door securityspecialisten.  Dit kan door het scannen van de broncode, het testen met een account om te zien of je meer kan opvragen dan zou moeten, of vanaf de buitenkant zonder enkele accounts.

Maar er kunnen meer zaken spelen, zoals bijvoorbeeld de webserver waar de applicatie of database op draait; ook hier kunnen kwetsbaarheden aanwezig zijn waar men misbruik van kan maken. Hierbij mag de website dan veilig zijn, maar als een hacker via een andere service of poort binnen kan komen, is de website/database alsnog erg kwetsbaar.

Welke datalekken heb je dit jaar voorkomen?


Ons team heeft dit jaar al een groot aantal datalekken voorkomen. Zo hebben we diverse SQL injecties gevonden in nieuwe en reeds opgeleverde software bij klanten. Met deze kwetsbaarheid wordt een query niet goed afgesloten en kan een hacker door middel van extra input informatie uit de database lezen die niet voor hen bedoeld was. In sommige gevallen is het zelfs mogelijk om in de database te schrijven.

Daarnaast is het zelfs mogelijk om met een SQL-injectie een zogeheten shell te verkrijgen. 

Een shell is een terminal (venster) waarbij de aanvaller allerlei commando’s kan uitvoeren en vervolgens schade kan aanrichten. Dit houdt in dat je veel meer dan alleen een database kunt uitlezen, denk aan bestanden die op de server staan, dus ook configuratiebestanden met daarin bijvoorbeeld wachtwoorden zodat de applicatie connectie kan maken met de database. Een shell kan zelfs zo ver gaan, afhankelijk van hoe het systeem beveiligd en up-to-date is, dat een kwaadaardige hacker volledige toegang heeft tot de webserver, met alle gevolgen van dien. 

Betekent het lek bij de autobedrijven dat er helemaal geen pentest is gedaan of andere maatregelen zijn genomen?

Ik heb nog niet vernomen wat dit specifieke datalek heeft veroorzaakt, maar als je kijkt naar de meeste grote datalekken van de afgelopen periode, dan heeft men overal zaken nagelaten. Hetzij dat een standaard gebruiker te veel rechten had, er te simpele wachtwoorden gebruikt zijn of dat personen in een phishingmail getrapt zijn. 

Als het gaat om security moet je alle zaken aanpakken. Een hacker zal altijd zoeken naar de zwakste plek. Maar het begint natuurlijk met een waterdichte applicatie, de rest is vaak een beleid en een naleving hierop. Het is dus ook niet geheel onverstandig om zo nu en dan een zogeheten awareness training te doen voor uw medewerkers, zodat ze phishing bijvoorbeeld sneller zouden kunnen herkennen.

Ik zie dat veel securitybedrijven wachtwoord checks als extra optie aanbieden. Best vreemd, persoonlijk vind ik dat een pentest op alle vlakken en op alle onderdelen moet testen, of het nu gaat om wachtwoorden / services / applicaties etc. Bij Networking4all voeren wij deze pentests al vanaf de eerste dag zo uit, zonder extra opties of extra kosten.

Je ziet vaker dat ICT bedrijven verantwoordelijk zijn of achteraf verantwoordelijk worden gesteld, wat zijn de gevolgen voor deze bedrijven?

De gevolgen zijn vaak enorm, denk aan imagoschade, misbruik van de data zoals identiteitsfraude, het offline brengen van de applicatie en ga zo maar door. Een ICT bedrijf kan zeker aansprakelijk worden gesteld. Onlangs was er nog een uitspraak van de rechter dat deze het de dienstverlener aanrekent aan dat er geen afspraken over de netwerkbeveiliging op schrift zijn gezet. Een ICT-leverancier heeft een wettelijke zorgplicht naar zijn klanten toe.

Bron: https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBAMS:2018:10124

Er zijn de laatste tijd steeds meer nieuwsberichten over hacks en datalekken. Gebeurt dit nu steeds vaker of is het gewoon vaker in het nieuws?


Je ziet een grote verschuiving qua criminaliteit. De “normale” criminaliteitscijfers dalen al jaren en de digitale criminaliteit heeft de “normale” cijfers al ingehaald.  Dit heeft onder andere de volgende redenen: er zijn veel minder risico’s aan verbonden, je hoeft niet fysiek ergens heen en er zijn steeds meer tools beschikbaar voor criminelen, waardoor het benodigde niveau van technische kennis lager is en als crimineel is de hele wereld je speelveld. Zo kunnen ook criminelen vanuit de hele wereld bij jouw website aankloppen. Naast datalekken is ransomware op dit moment een enorm groeiend probleem en voor criminelen een makkelijke en snelle manier van veel geld “verdienen”. 

Daarbovenop zien hackers ook dat veel medewerkers nu thuiswerken en dat servers meestal achterblijven in kantoren/gebouwen, waardoor het patchen van deze servers meestal achterwege blijft. 

Slotwoord


Security is een continu verbeterproces en omvat niet enkel applicaties, maar ook het trainen van gebruikers, het opstellen van een beleid en het naleven hierop. Daarnaast moet je als organisatie klaar zijn voor het geval er iemand toch binnen is gedrongen. Dat moet je dan per direct weten zodat je gepaste maatregelen kan treffen.  

Wil je meer weten over penetratietesten, awareness trainingen of eens een vrijblijvend gesprek over je situatie, neem dan contact met ons op.


Deel artikel via: