Hoe veilig is uw software? Beveiliging verdient een centrale plaats

Brenno de Winter

Vaak wordt de mens als de zwakste schakel genoemd wanneer het om security gaat. Toch wordt bijna ieder beveiligingsprobleem veroorzaakt door de gebruikte software. Alle grote publiek geworden beveiligingsincidenten van de laatste vijf jaar hadden in de kern iets te maken met verouderde of zwakke software. Wie de risico’s in de hand wil houden, zal dus iets moeten doen met de kwaliteit van de programmatuur. Dat is meer dan alleen een technisch verhaal, waarbij de vraag luidt: hoe temt de opdrachtgever de leverancier in dit kader en de leverancier de opdrachtgever? Hoe kun je controle krijgen en houden?

Veel landen, waaronder ook Nederland, beschikken over een cyberleger. Binnen dat leger zijn experts dagelijks in de weer om op basis van technologie bij een aanval te kunnen terugslaan of juist proactief een aanval te kunnen uitvoeren. Inmiddels beschikken we in ons land over offensieve wapens op internet: tools waarmee lekken in software kunnen worden misbruikt. Dit misbruik is mogelijk omdat we kunnen vertrouwen op de zwakheid van onze programmatuur. Vooral onbekende lekken – zogenaamde zero days – zijn nuttig. Want een slachtoffer kan zich lastig verdedigen als hij niet weet waar de aanval zal plaatsvinden en met welke middelen.

 

Arsenaal aan hacks

Inlichtingendiensten, zoals de NSA, sturen actief aan op het verzwakken van programmatuur. Toch heeft de betere aanvaller dergelijke aansporingen niet eens nodig. In de meeste gevallen zijn er genoeg zwakheden te vinden in broncode om binnen te kunnen dringen. Internetter van het eerste uur, beveiligingsexpert en XS4ALL-oprichter Rop Gonggrijp onderschrijft dat de slechte kwaliteit van programmatuur de hoofdoorzaak is van onze huidige omvangrijke en talrijke beveiligingsproblemen. “De aanvaller, of die wel of geen kwaad in de zin heeft, heeft een arsenaal aan hacks op matig geschreven software tot zijn beschikking. Met enkele standaard hulpmiddelen kan hij de lekken naar believen uitbuiten en misbruiken. Wie een opleiding tot penetratietester heeft gevolgd, kan dat soort hulpmiddelen maken.”

 

Lektober

De slechte kwaliteit van software kwam op pijnlijke wijze aan het licht toen uw auteur in oktober 2011 de maand omdoopte in Lektober en een publieke oproep deed aan ethische hackers om de lekken die bij hen bekend waren te melden. In totaal werden in die maand en de maanden erna bijna 700 lekken gemeld, die uiteraard keurig aan de betrokken organisaties werden doorgegeven. In slechts achttien gevallen betrof het probleem een configuratiefout van de webserver en in twee gevallen was de software van de website fout geconfigureerd. In alle andere gevallen hadden privacygevoelige of bedrijfsgegevens op straat kunnen komen als gevolg van fouten in de gebruikte software.

In maart 2015 kwam IBM in het X-Force kwartaalrapport tot de conclusie dat het melden van lekken niet meer voldoet. De grote hoeveelheden zwakheden kan aanmerkelijk worden verminderd, als er meer automatisch zou worden getest, waardoor fouten in een eerder stadium worden gevonden. Het bedrijf onderzocht de producten van 2.600 leveranciers en vond daarin maar liefst 9.600 lekken. Een andere beveiligingsonderzoeker vond met een tool in de apps in de Google Play store in 2014 eveneens duizenden lekken. Het aantal gemelde problemen bij de app-bouwers steeg daardoor van 7.000 in 2013 naar ruim 30.000.

 

Trefzekere route

Uit onderzoek van Verizon, dat in april 2015 werd gepubliceerd in het Databreach Investigations Report, blijkt dat ruim 500 bekende lekken sinds 2013 meer dan 200 miljoen keer misbruikt zijn. Dat komt omdat enkele van deze lekken verscholen zitten in breed verspreide producten, wat bij misbruik direct een grote hoeveelheid slachtoffers treft. Van de bijna 80.000 onderzochte incidenten van misbruik van software blijkt dat in 99,9 procent van de gevallen het lek al langer dan een jaar bekend was. De onderzoekers trekken dan ook de conclusie dat we het aanvallers niet erg lastig maken. Ook dat blijkt uit de cijfers, want in 60 procent van alle gevallen duurt het inbreken slechts enkele minuten. Het heeft er dan ook alle schijn van dat het uitvoeren van aanvallen op basis van fouten in software een trefzekere route voor criminelen is. Er zijn genoeg problemen om uit te kiezen en veel organisaties zijn traag in het installeren van updates. Zo was de aanval bij Diginotar mogelijk, omdat de hacker via een webserver vol met fouten kon binnenkomen. Van sommige producten bleken er al zestien updates te zijn geweest, die niet waren uitgevoerd. Bij KPN kwam de hacker binnen via een bekend lek in de programmatuur en bleek het besturingssysteem op veel servers nog de versie uit 2006 te bevatten.

 

Updates

Het sluimerende probleem van slechte software wordt op schrijnende wijze tastbaar in de consumentenelektronica. Door de opmars van de ‘internet of things’ komen steeds meer apparaten online. Naast de box voor digitale televisie en de routers, zijn ook de blu-ray-speler, de versterker, de televisie en de koelkast verbonden met het internet. De meeste van deze apparaten worden zelden of nooit bijgewerkt door de consument en slechts een enkel apparaat werkt zichzelf bij. Maar zelfs de bewuste burger zal niet lang kunnen genieten van de beveiliging via updates, omdat deze slechts gedurende korte tijd beschikbaar worden gesteld. Is de ontwikkeling van een product klaar, dan houdt het maken van de updates al snel op. Wie up-to-date software wil gebruiken moet maar nieuwe hardware kopen. Ook bij mobiele telefoons blijft verouderde software met bekende problemen nog lang in gebruik. Het Amerikaanse beveiligingsbedrijf Proofpoint stelde in 2014 de eerste aanvallen via de internet of things vast. Spam vanaf de televisie en een DDoS-aanval uitgevoerd vanuit een gehackte koelkast.

 

Elektronica

Software-expert Armijn Hemel van Tjaldur Governance Solutions doet veel onderzoek naar programmatuur in hardware. Hij is bedreven in het analyseren van deze software en ontwikkelde zelf een programma waarmee hij onder meer de exacte softwareversie kan vaststellen met een aan zekerheid grenzende waarschijnlijkheid. Op basis van die kennis weet hij welke beveiligingslekken er zeer waarschijnlijk in die programmatuur zit. In het kader van het programma ‘Veilig door Innovatie’ van de Nationaal Coördinator Terrorisme Bestrijding maakte Hemel zijn software geschikt voor informatiebeveiliging. Het resultaat is als opensource beschikbaar en moet bedrijven helpen betere regie te voeren over de versies van software op de meest verborgen plaatsen. “Dit helpt beveiligingsonderzoekers met het sneller aantonen van lekken,” legt Hemel uit. “Veel software, zowel voor de zakelijke als de consumentenmarkt, blijft doorgaans jaren in gebruik. Juist de programmatuur die verborgen zit in elektronica-hardware is spannend. Gebruikers realiseren zich zelden dat daar een kwetsbaarheid ligt. Bij het introduceren van nieuwe hardware is vaak het design bepalender dan het bijwerken van de software. Op een kastje van 40 euro bedraagt de investering in softwareontwikkeling vaak nog minder dan één cent per apparaat.”

Dit hangt volgens Hemel samen met de wetten in de elektronicamarkt, waar time-to-market alles is. “Daar geldt namelijk de stelregel: de winner takes it all. Wie een bepaald product een week eerder dan zijn concurrent introduceert, krijgt doorgaans de meeste media-aandacht en heeft de grootste kans overal in de schappen te komen.” Hemel wijst erop dat de aandacht in die media vooral uitgaat naar functionaliteit en uiterlijk en nagenoeg nooit naar de beveiliging. “Niet alleen time-to-market, maar ook zo goedkoop mogelijk produceren kan het succes maken. Eén euro prijsverschil bij consumentenelektronica kan het verschil maken om succesvol of kansloos te worden in de markt. In zo’n competitieve markt is er weinig ruimte om voor goede beveiliging te zorgen.”

 

Onderzoek naar aanbestedingen

Bij het maken van consumentenelektronica wordt er zelden gekeken of een leverancier voldoet aan standaarden met betrekking tot beveiliging. Bij zakelijke oplossingen gebeurt dat gelukkig vaker. Hemel waarschuwt echter dat bij het schrijven van de software weliswaar op kwaliteit kan worden gelet, maar dat zwakheden doorgaans op een later moment aan het licht komen. Op het moment dat eventuele lekken worden ontdekt, ligt de focus van de organisatie alweer elders en krijgen deze problemen een lage prioriteit, als ze überhaupt al op de agenda komen. Dat bleek ook uit onderzoek van ICT/Magazine, waarbij we de beschrijvingen van vijftig ict-aanbestedingen bestudeerden. Met betrekking tot het ontwikkelen van programmatuur of de inkoop ervan wordt beveiliging soms wel genoemd, maar lang niet in alle gevallen. Bij geen van de aanbestedingen was er aandacht voor het oplossen van problemen uit het verleden of het bijwerken van software die reeds in gebruik was. Nu mag aan dit onderzoek geen wetenschappelijk status worden ontleend, maar desalniettemin stelt het beeld dat eruit voortkomt niet gerust.

 

Continuous Delivery

Toch geloven we dat er iets aan deze situatie van zwakke software en gebrek aan updates en aandacht voor beveiliging, gaat verbeteren. Veel van de hedendaagse softwareontwikkeling is gericht op websites en het aanbieden van apps. Die projecten zijn bij uitstek geschikt om de uitlevering van de software in kleine stappen te doen, volgens de methodiek van Agile Scrum of Continuous Delivery. Iedere verbetering is een kleine ontwikkelcyclus, waarbij ook wordt getest. Meer over deze methodiek kunt u lezen in de artikelen over DevOps op de pagina’s 6 en 7 in deze editie. Dat deze aanpak helpt bij het verbeteren van de softwarekwaliteit is ook de ervaring van Bernhard van Oranje.

Foto Bernard van Oranje blz 5

Hij is oprichter van Levi9, een bedrijf gespecialiseerd in het betaalbaar ontwikkelen van programmatuur met teams in diverse landen in Europa. “Continuous Delivery helpt zeker mee in het probleem rond security,” zegt hij tegenover ICT/Magazine. “Door securitytesten op te nemen in de keten weet je zeker dat deze volledig en eenduidig elke keer uitgevoerd worden.” Volgens Van Oranje is het grote voordeel dat er beter kan worden getest. Sommige van zijn klanten hebben daarvoor producten in hun keten opgenomen, zodat beveiliging standaard in de ontwikkelcyclus wordt mee genomen. Er vindt dan een test plaats bij iedere slag, waarbij dan wordt teruggekeken naar eerder ontwikkelde broncode. Iets wat anders zelden gebeurt. “Een ander groot voordeel van Continuous Delivery in combinatie met securitytesten is dat je in staat bent parallel diverse omgevingen te testen,” betoogt Van Oranje. Er is een veelvoud aan browsers en besturingssystemen die nu in alle combinaties volledig getest kunnen worden. Met andere woorden, bij iedere ontwikkelslag worden eventuele veranderingen in de omgeving of in besturingssystemen of browsers direct getest. Van Oranje: “Vroeger testte je op minimale combinaties. Nu is het mogelijk, zeker als de infrastructuur in de cloud draait, deze allemaal volledig te testen.”

 

Glasheldere verplichtingen

Continu testen is een van de manieren om de beveiliging van software naar een hoger niveau te tillen. Daarnaast maakt het ook uit met welke softwareleverancier zaken worden gedaan. De een werkt beter gestructureerd dan de ander. De kwaliteit van software verschilt dan ook van partij tot partij. Voor beveiliging zijn er enkele standaarden die wat zeggen over de ontwikkeling van veilige software en de kwaliteit van de markt partij. Een van de voornaamste is ISO/IEC 27034:2011. Van een leverancier die voldoet aan een dergelijke standaard mag je hoge beveiligingsnormen verwachten. Maar goede certificeringen bieden geen harde, opeisbare garanties. Daarbij sluit niet iedere standaard even goed aan op specifieke wensen van klanten, omdat het een generiek raamwerk is. Voor deze tekortkoming is er ‘Grip op Secure Software Development’, kortweg SSD. Deze methodiek wil stimuleren dat partijen afspraken met betrekking tot beveiliging in het contract opnemen. Grip op SSD omvat een set aan gratis toegankelijke documenten opgesteld door klanten en leveranciers, onder de vleugels van het Centrum voor Informatiebeveiliging en Privacybescherming, om de beveiliging in software die nog moet worden ontwikkeld beter te regelen. Er is een gemeenschap van practitioners en ondersteuning vanuit de markt om de methode goed in een organisatie te laten landen. Met harde afspraken is voor zowel de klant, de leverancier als de hoster meteen duidelijk wat er van iedere partij verwacht wordt. De uitgebreide methode is zodanig geschreven dat niet de techneut maar de software-afnemer centraal staat. Het maakt glashelder bij wie welke verplichtingen liggen qua beveiliging. Hoewel het een grote ondersteuning is voor de afnemer, biedt ook deze methodiek geen garanties. Nog altijd moet de eigen organisatie veel regelen om een project in goede banen te leiden. Daarbij speelt ook de volwassenheid van de organisatie een belangrijke rol.

 

Niet te laat

Ondanks de stortvloed aan bewijzen dat de meeste beveiligingsincidenten worden veroorzaakt door de slechte kwaliteit van software, lijkt het erop dat maar weinig organisaties dit voldoende beseffen. Een industrie die niet doordrongen is van de daadwerkelijk beveiligingsrisico’s die er spelen, is nog ver van volwassenheid verwijderd. Continuous Delivery, de diverse marktstandaarden en methoden als ‘Grip op SSD’ kunnen hier een belangrijke rol in spelen. De laatste brengt beveiligingsrisico‘s beter in kaart en met Continuous Delivery bouw je aan veiliger software van hogere kwaliteit. Bovendien helpt het om die kwaliteit over wisselende platformen te bewaken. Laten we dus, met de huidige ontwikkelmethodieken, beveiliging een centrale plaats geven in het hele software ontwikkeltraject. Het is nog niet te laat.

 

Kader:

Hoe de bankensector cybercrime aanpakt

Dat een adequaat antwoord op digitale bedreigingen niet uitsluitend in hoog kwalitatieve software ligt, bewijst het verhaal over de banken, dat in het Fd van 1 mei werd gepubliceerd. Daarin wordt verhaald hoe de Nederlandse banken tot voor kort gevoelige verliezen leden als gevolg van oplichtingstrucs met betaalpassen, creditcards en internetbankieren. In 2012 moesten de banken in dit kader bijvoorbeeld een recordbedrag van € 82 mln afschrijven. Hun aanpak lijkt in zijn doeltreffendheid eenvoudig, maar schijn bedriegt.

Door op het gebied van veiligheid elkaar niet langer te beconcurreren maar echt samen te werken, in de Betaalvereniging Nederland, heeft de financiële sector in Nederland het tij weten te keren. Vorig jaar bedroeg de totale schade nog ‘slechts’ € 17 mln, wat bijna een halvering betekende ten opzichte van 2013. Inmiddels is het verlies is tot nagenoeg nul gereduceerd, wat toch spectaculair mag worden genoemd.

De daling is om nog een andere reden opmerkelijk. Wereldwijd blijven de schadeposten van digitale misdaad explosief stijgen. Volgens een commissaris van de Londense politie, Adrian Leppard, zijn we op een punt aanbeland waarop cybercrime de samenleving meer geld kost dan drugscriminaliteit.

 

Betaalvereniging Nederland

In deze samenwerking, de Betaalvereniging Nederland geheten, hebben banken veel geïnvesteerd in de bewustwording van de consument. Denk aan publieksacties als ‘Je mag alles van me weten, behalve mijn pincode’ van enige tijd terug en meer recent ‘Hang op, klik weg, bel uw bank.’ Daardoor trapt de consument steeds minder vaak in de digitale trucs van criminelen.

Daarnaast wordt veel fraude en criminaliteit voorkomen dankzij geavanceerde data-analyse. Indicatoren van misstanden zijn onder meer: snel opeenvolgend gebruik van verschillende apparaten (pc, laptop, smartphone), gebruik van niet eerder gebruikte rekeningnummers en gebruik vanuit verschillende IP-adressen. Volgens de CIO van ABN Amro, Frans van der Horst, heeft de bank de fraudelast met deze beveiligingstechnieken tot bijna nul teruggebracht. Dat is 95% minder fraude dan tijdens het dieptepunt in 2012. Kortom, de financiële sector in Nederland heeft een voorsprong genomen in de aanpak van cybercrime. De eerlijkheid gebiedt ons melding te maken van het feit dat ook de internationale afspraken met de grote creditcardbedrijven aan dit succes hebben bijgedragen.

 

Niet achterover leunen

Naast de Betaalvereniging Nederland vindt een deel van de samenwerking plaats in de Electronic Crimes Taskforce (ECTF), in de volksmond ‘het Bankenteam’ genoemd. Naast de veiligheidsexperts van de grote Nederlandse banken, nemen hier het OM en de politie aan deel. Het hoofd van de landelijke recherche, Wilbert Paulissen, is zonder meer tevreden over de behaalde resultaten. Toch waarschuwt hij dat we nu niet achterover gaan leunen. “Het aantal doelwitten en potentiële bedreigingen neemt namelijk niet af.” Onder criminelen is de Nederlandse aanpak inmiddels ook bekend. Ronald Prins, directeur van beveiligingsbedrijf Fox-IT, meldt dat ze veel onderlinge communicatie van criminelen onderscheppen. “De boodschap is: laat Nederland links liggen, want daar valt nu even niets te halen.”

Dat is natuurlijk prachtig, voegt Paulissen daaraan toe, “maar bij iedere aanhouding geven we prijs wat we weten en wat we doen. Criminelen doen daar weer hun voordeel mee.”

De meeste criminelen houden zich schuil in het Oostblok en Azië. Volgens Paulissen is de volgende stap dan ook de landen in die gebieden te betrekken bij de opsporing. “Met Europol en INTERPOL zetten we steeds meer internationaal gecoördineerde acties op.”

Het is onvermijdelijk dat deze wedloop tussen de ‘good guys’ en de ‘bad guys’ leidt tot hogere beveiligingskosten. Volgens Prins is het zaak om in die strijd nooit je verdediging te laten zakken. “Doe je dat wel dan keert een probleem terug of duikt ergens anders op. Natuurlijk kost het geld, maar elke investering betaalt zich tot nu toe terug.”

Kennelijk zijn de Betaalvereniging Nederland en het Bankenteam in deze bereidheid om vertrouwelijke informatie over de aard van de misdaad met elkaar te delen uniek in de wereld. Er is dan ook groeiende belangstelling vanuit het buitenland om deze aanpak over te nemen.

 

Brenno de Winter

brenno de winter werkt al heel lang in IT

Geef een reactie

Gerelateerde berichten...