- Door
- Jeroen Mulder
- geplaatst op
- 23 december 2015 08:00 uur
Lekken in producten en diensten die door hosters veelvuldig worden gebruikt. Vorige week was het twee keer raak. Eerst Joomla: samen met WordPress bijzonder populaire CMS-software. In alle versies vanaf 1.5 – de huidige versie is 3.4 – bestaat de mogelijkheid om met code-injectie de software kwalijke commando’s uit te laten voeren binnen de databases achter de websites die binnen Joomla draaien. Maar er was meer. Juniper bijvoorbeeld.
Dat bedrijf ontdekte recent een ‘achterdeur’ in hun eigen besturingssysteem ScreenOS dat wordt gebruikt op de firewalls en VPN-routers van de fabrikant. Juniper is een van de grootste leveranciers van netwerkapparatuur in datacenters. Ook in dit geval gaat het om een lek dat vermoedelijk al sinds 2008 bestaat, al vanaf versie 6.2.0r15. Die versie kwam in 2008 op de markt.
Kritische veiligheidslekken die al jaren bestaan en nu ineens aan het licht komen. Toeval? Kunnen wij het antwoord niet op geven. Feit is dat security wel steeds meer op de agenda’s terechtkomt. Er wordt steeds serieuzer naar veiligheid gekeken door bedrijven: het besef dat criminelen grote schade kunnen aanrichten via het internet, begint echt door te dringen. Dat betekent ook dat fabrikanten van software en hardware worden gedwongen steeds beter naar hun eigen producten te kijken vanuit dat perspectief. De tijd van ‘systematisch achteraf patchen’ is eigenlijk wel
een beetje voorbij. Het product moet van meet af aan veilig zijn. Patchen als policy kan niet meer.
Is dat realistisch? Nee. Daar kunnen we wel heel duidelijk in zijn. Er zal nooit waterdichte software bestaan. Hoe veilig een huis ook: er is altijd een methode om toch binnen te komen. De vraag is alleen wat de gevolgen kunnen zijn als iemand eenmaal binnen is. Security was tot voor kort vooral gericht op het voorkomen dat kwaadwillenden binnen konden komen. Daar zijn Intrusion Detection en Intrusion Prevention op gericht: de dubbele nachtsloten en CCTV-camera’s ‘online’. Moeten we blijven doen, natuurlijk.
Maar security vraagt nu echt om een holistische benadering. Voorkomen op meer niveaus. Voorkomen dat mensen binnenkomen én voorkomen dat mensen die toch ongewenst binnen zijn, grote schade kunnen aanrichten. Dan heb je het over de plaatsen waar cruciale data wordt bewaard en of die data als dusdanig kan worden herkend. Encryptie: ja. Dat was die andere discussie die vorige week werd gevoerd. Terroristen versleutelen berichten. Is encryptie daarmee slecht? Natuurlijk niet. Apple-baas Tim Cook bepleitte vorige week juist dat encryptie noodzakelijk is, op alle lagen in een netwerk. Plus: goede bewaking van alle deuren in die lagen. Plus-plus. En dan nog… 100 procent veiligheid is een illusie. Ook dat moet iedereen beseffen. Ondernemers, hosters, fabrikanten van soft- en hardware, eindgebruikers.