Meer dan drieduizend organisaties hebben deze week schade geleden door het lekken van interne data op het Darkweb. De schuldigen? Ransomwarebendes. Maar ook zonder cybercriminaliteit kan software kwetsbaarheden vertonen. In deze blog vertelt Eamon Nerbonne, Senior Programmer bij Progress Onderwijsondersteuning, hoe wij ons weren tegen de boze buitenwereld.
Nieuwe ogen zien nieuwe dingen
Elke applicatie kent potentiële risico’s en kwetsbaarheden, daar zijn we ons bij Progress terdege van bewust. Om die risico’s zo klein mogelijk te houden, huren wij op regelmatige basis een wisselende groep experts in om onze applicatie te testen op zwakheden. Door middel van zogenaamde pentests (penetratietesten) maken zij inzichtelijk wat wij kunnen doen om onze applicaties nog veiliger te maken. Misschien vraag je je af of wij zelf ons systeem niet kunnen testen. Dat doen wij zeker, daar heeft collega John van der Molen al eens een mooie blog over geschreven. Maar nieuwe ogen zien nieuwe dingen en pentesten is een vak apart. Daarom laten wij ons graag ondersteunen door externe specialisten.
Verwarring
Bij zo’n pentest zorgen wij dat er een duplicaat van onze software klaarstaat voor de testers, inclusief verschillende accounts en toegang tot ons portaal en de website. Vervolgens proberen zij op de meest vreemde manieren in te loggen of toegang tot onze data te krijgen. Als er iets aan het licht komt dat niet de bedoeling is, rapporteren zij dat. Dat hoeft niet per se een beveiligingsrisico te zijn, het kan ook zijn dat iets er verwarrend uitziet of dat er bepaalde informatie bij de verkeerde mensen terecht komt.
Misverstanden zijn het begin van een beveiligingsrisico
Het is niet altijd duidelijk wat precies een beveiligingsrisico is. Dat kan ook een kwestie van perspectief zijn. Een aantal jaar geleden bleek het, dankzij een pentest, mogelijk om een overzicht van de vakken van een onderwijsorganisatie op te vragen zonder ingelogd te zijn. Is dat erg? Nee, iedereen mag weten welke vakken er gegeven worden aan een instelling en zolang er geen persoonsgegevens op zo’n lijst staan, is er niets aan de hand. Klopt als een bus, maar als je iets op kunt vragen wat je niet op zou moeten kunnen vragen, is dat toch in zekere mate een beveiligingsrisico. Want wat is er dan nog meer op te vragen zonder ingelogd te zijn? Het moet voor iedereen duidelijk zijn wat opvraagbaar is en wat niet. Als dat niet duidelijk is, ontstaan er misverstanden en misverstanden zijn in potentie het begin van een security-incident.
Erfenis
Onze software bestaat al sinds de late jaren 80 van de vorige eeuw, dat is al langer dan dat het world wide web bestaat. Sommige stukjes code zitten al sinds dag één in onze applicatie. Dat betekent dat we soms tegen een interessante erfenis aanlopen. Zo had een pentester eens een fictieve student aangemeld via Studielink. In deze fictieve naam kwamen bepaalde speciale tekens voor. Onze applicatie zelf kon daar prima mee omgaan, maar in het studentenscherm van het online portaal werd deze naam ineens als een stukje code geïnterpreteerd. Dat kan in theorie betekenen dat er een script uitgevoerd gaat worden, en dat is uiteraard niet de bedoeling. Gelukkig weten onze pentesters dat soort oneffenheden haarfijn te ontdekken. Wel zo'n veilig gevoel, toch?
Meer weten?
Wil je ook graag met ons aan de slag of mogen we in 10 minuten ons systeem aan je uitleggen? Bel of mail ons: 050 - 205 35 30 | info@progressonderwijs.nl.