Dexia en ING kwamen onlangs in de media met een inbraak door de Roemeense hacker Unu. Unu is een "ethische" hacker die kwetsbaarheden in websites van "grote namen" vindt en ze vervolgens door middel van screenshots op zijn blog publiceert zonder er misbruik van te maken. Naast Dexia en ING in België kregen ook […]

Advertentie

 

Dexia en ING kwamen onlangs in de media met een inbraak door de Roemeense hacker Unu. Unu is een "ethische" hacker die kwetsbaarheden in websites van "grote namen" vindt en ze vervolgens door middel van screenshots op zijn blog publiceert zonder er misbruik van te maken. Naast Dexia en ING in België kregen ook HSBC in Frankrijk, de Italiaanse Post, Symantec en Kaspersky al af te rekenen met Unu.

De kwetsbaarheden die Unu opspoort, zijn heel eenvoudig te identificeren en te misbruiken. Het zijn namelijk kwetsbaarheden die bij een standaardkwaliteitscontrole ook gemakkelijk te vinden zijn. Het probleem is dat dergelijke controles niet gebeuren. Niet door de web agency die de applicatie ontwikkelt, noch door de opdrachtgever. De hoofdreden daarvoor is dat beide partijen niet voldoende op de hoogte zijn van mogelijke kwetsbaarheden, zoals cross-site-scripting, SQL injection enzovoort. Bovendien kunnen betreffende partijen – wanneer er een update is van een bepaalde applicatie – niet voldoende garanties geven dat die applicatie ook effectief veilig is.

Die situatie toegepast in een bedrijfsomgeving kan volgend scenario opleveren: De marketingafdeling wil toegevoegde waarde aanbieden op de website. De huidige site is al een paar jaar oud en heeft niet echt securityproblemen gekend, maar is niet sexy en dynamisch genoeg. Marketing neemt contact op met een reclamebureau of web agency dat een online shop of een sexy web 2.0-applicatie in elkaar knutselt. Meestal zal het reclamebureau of web agency de applicatie zelf hosten om de applicatie snel online te krijgen. Anders moeten er te veel procedures in verband met continuïteit en veiligheid worden gevolgd van het bedrijf zelf (sic). Marketing laat een link plaatsen op de publieke website naar de nieuwe applicatie en hackers kunnen hun slag slaan.

Wat ik met bovenstaand voorbeeld wil aantonen, is dat het voor de audit- en securityafdeling van een groot bedrijf niet evident is om op de hoogte te zijn van alle interne IT-veranderingen: de communicatiedoorstroming over gewijzigde situaties loopt vaak mank. Ze worden meestal aanzien als een "noodzakelijk kwaad" en een zware budgettaire kost. Je kunt je bijkomend de vraag stellen wat de kost is van negatieve publiciteit in geval van een inbraak.

Ik vind het positief dat Unu de bewustwording rond web application security probeert te verhogen, een beetje zoals RedAttack tien jaar geleden. Hij was echter geen ethische hacker, want toen was er sprake van misbruik, namelijk inbraak op een netwerk. Waar we wakker van moeten liggen, zijn de hackers die succesvol inbreken, gevoelige informatie stelen en dat niet publiceren op een blog. Wat zou de reactie in de media zijn als dergelijke geslaagde hacks uitkomen? We moeten vermijden naar een situatie te evolueren zoals in de States het geval is, namelijk dat dergelijke hacks schering en inslag worden.
 

 

Advertentie