Software Security – introductie
4

Als inleiding voor een aantal online artikelen over software security, wil ik beginnen met een WAKEUP CALL !!

security1Weet jij wat een hacker kan aanrichten, waarom hij dat doet, en wat hij er mee verdient?
Echt kwaadwillende hackers willen sites kapot te maken, gestolen informatie lekken (bijv. om bedrijven in een kwaad daglicht te stellen of voor afpersing) en bedrijfsgeheimen stelen.
Voor andere hackers kan het stelen van informatie ook directe “cash” opleveren; de tabel links hiuernaast geeft al aan dat een “nachtje” hacken toch al een leuk zakcentje kan opleveren.

Als parttime ethical hacker weet ik dat het inbreken in een website soms maar enkele minuten hoeft te duren. Alleen het doorzoeken van de structuur van de database en het downloaden van bijvoorbeeld de klant- en creditcard gegevens kan wat langer duren …

Voor een ontwikkelaar, tester of manager van een IT afdeling is het erg belangrijk om te weten dat je eigen software “secure” is. Onderstaand “dashboard” geeft aan dat nog veel websites (86%) kwetsbaar zijn, dat er gemiddeld 56 kwetsbaarheden per site zijn, dat veel gevonden kwetsbaarheden niet snel opgelost worden (gemiddeld 193 dagen) en dat er veel informatie “gestolen” kan worden (55% van de websites).

Tabel 1 – Dashboard – Bron: SCMagazine.com
security-1

Stellen we onszelf de juiste vragen als het gaat over “security” van onze website en onze internetverbindingen.
Onder-kennen we wel alle mogelijke kwetsbaarheden?
Stel dat er toch kwetsbaarheden in zitten, hoe voorkomen we dan dat er informatie op straat komt….
En als er toch informatie gestolen wordt en op straat komt, wat is dan de imago-schade of onze aansprakelijkheid?

Stellen we ons de juiste vragen als het gaat om de veiligheid omtrent:

  • Intern gebruik van eigen software
  • Gebruik van standaard software¬pakketten zoals e-mail, blog, social media
  • Toegang tot de hardware en communicatiesystemen (WiFi, USB, Bluetooth)
  • Gebruik van mobiele devices zoals telefoons, IOT en BYOD binnen je netwerk
  • Fysieke toegang tot het bedrijf

Wist je bijvoorbeeld dat hackers gebruik maken van drones om via WiFi binnen te dringen in je netwerk? Dat printers niet voldoende beveiligd zijn en daardoor gebruikt kunnen worden om in een netwerk binnen te dringen? Dat USB het slechtst beveiligde communicatiemiddel van een computer is?

In de volgende artikelen ga ik in op de verschillende kwetsbaarheden in het algemeen en met name op de beveiliging van zelf ontwikkelde software binnen de dotNet omgeving. Immers, dotNet is de meestgebruikte omgeving voor websites (28%) en heeft gemiddeld de meeste kwetsbaarheden per website (11). Dus tijd om daar op in te gaan, toch?

Auteur: Jos Raijmakers / Bergler Competence Center © 2015