Securitysoftware moet beschermen tegen digitale dreigingen en heeft daarvoor diepgaande rechten nodig. Daardoor wordt securitysoftware zelf doelwit. Bovendien valt er op de kwaliteit wel wat aan te merken.
Onlangs was het weer raak: de veelgebruikte wachtwoorden-app LastPass ging voor de bijl. Gatenjager Tavis Ormandy van Googles speciale security-onderzoeksteam Project Zero had diverse bugs in LastPass ontdekt. Het was daarlangs mogelijk om op afstand kwaadaardige code uit te voeren. Na stille melding heeft LastPass de fouten verholpen en zijn de kwetsbaarheden geopenbaard.
“Zeer onder de indruk van hoe snel @LastPass reageert op meldingen van kwetsbaarheden”, tweette Ormandy na zijn openbaarmaking in maart. “Waren alle leveranciers maar zo responsief”, verzuchtte hij daarbij. De beruchte beveiligingsexpert van Google krijgt namelijk uiteenlopende reacties op zijn meldingen. Project Zero onderzoekt veelgebruikte software en systemen, om de ict-wereld uiteindelijk veiliger te maken.
Het gevaar van bescherming
Eerder al beoordeelde Ormandy diverse veelgebruikte securitypakketten als ondermaats. Achtereenvolgens zijn grote namen als Symantec, Kaspersky Lab, Palo Alto Networks, McAfee, Trend Micro, Avira, Comodo, AVG, FireEye, ESET, Avast en anderen geïnformeerd dat hun securityproducten voor insecurity zorgen. Dit trof Windows en in sommige gevallen ook macOS. Dit betreft geen zeldzame incidenten. Sterker nog: de meeste securityproducten zijn makkelijker te misbruiken dan eindgebruikers, stelt ict-onderzoeksbureau Forrester. “De legendarische ‘eindgebruikersmuisklik’ krijgt veel aandacht als ingang voor aanvallers. Maar het blijkt dat securityleveranciers tekort schieten in zichzelf beschermen tegen zowel basale als geavanceerde aanvallen”, schrijven de Forrester analisten.
Blind vertrouwen
Zij hebben het niet over hacks gericht op de leveranciers zelf, maar op hun producten.
Het rapport ‘Your Security Products Aren’t Secure’ waarschuwt gebruikers dat juist hun bescherming tegen digitale dreigingen gevaar kan opleveren. Het nachtmerriescenario wordt realiteit nu vertrouwde securitymerken en -technologieën falen wanneer ze direct worden aangevallen. Het is volgens de Forrester-onderzoekers dan ook hoogste tijd om niet langer blindelings te vertrouwen op securityproducten. In plaats daarvan is een kritischere houding nodig, om te voorkomen dat beveiligingsproducten voor onveiligheid zorgen.
Ironisch genoeg gaat het in veel gevallen om juist het soort kwetsbaarheden waar securitysoftware en -appliances bescherming tegen beloven. Niet alle leveranciers die verdienen aan security nemen het zo serieus als zou moeten. Sommigen leveren zelfs software met basale beveiligingsproblemen, verklaart Forrester. In bepaalde gevallen is het hierdoor mogelijk om kwaadaardige code op afstand uit te voeren.
Drie eisen
Forrester raadt gebruikers aan drie eisen te stellen. Ten eerste moet security van begin af aan zijn ingebouwd. Dit betreft ook de supply chain met bijvoorbeeld open source-componenten. Deze kunnen immers al kwetsbaar zijn, zoals aangetoond door het grote Heartbleed-datalek in OpenSSL. Ten tweede moeten leveranciers constant monitoren op nieuwe kwetsbaarheden, wat ook bugpremies en red team-oefeningen omvat. En ten derde moeten gebruikers van hun securityleveranciers eisen dat die snel reageren op nieuw ontdekte kwetsbaarheden.
