"Penetratietest kan de vele zwakke plekken blootleggen"
Bedrijven die het web op willen met meer dan een virtueel uithangbord op het internet kunnen er met een penetratietest achter komen of hun systemen wel zo ondoordringbaar zijn als ze hopen. Meestal valt dat vies tegen.
Freek Blankena
"Er zit altijd een fout in", is de opvatting waarmee Hans van de Looy die systemen te lijf gaat. Met zijn bedrijf Madison Gurkha adviseert hij in beveiligingskwesties en voert hij zogeheten penetratietests uit, om te zien hoe waterdicht de systemen en internet-toepassingen van zijn opdrachtgevers zijn. En dat is nooit een routineklus, benadrukt Van de Looy. "Er is geen standaard-scan. Je kunt een zogenaamde expert wel een prachtig rapport laten uitdraaien op basis van scans van standaardapplicaties, maar dat is suboptimaal. Ik zie de laatste tijd meer fouten in de specifiek voor bedrijven gebouwde software, dan in standaardsoftware zoals Apache, IIS enzovoort."
Van de Looy wil altijd eerst weten wat zijn klant precies van hem wil. "Is er bijvoorbeeld een file dat je nooit te pakken mag krijgen?" Sommige bedrijven zijn ook geinteresseerd in een bredere aanpak, zodat bijvoorbeeld ook naar 'social engineering' gekeken wordt -- bijvoorbeeld het lospeuteren van wachtwoorden van medewerkers.
Bij een recente klant, een niet nader te noemen financiele dienstverlener, mochten Van de Looy en zijn collega's hun tanden zetten in een nieuwe, belangrijke internetapplicatie. De risk-manager van het bedrijf was zich bewust van het belang van een goede beveiliging. "Met ons nieuwe internet-product moeten mensen zelf kunnen inloggen en een officiele offerte kunnen krijgen" legt ze uit. "De Nederlandse bank legt natuurlijk normen op voor dit soort zaken. Beveiliging, integriteit en vertrouwen moeten goed geregeld zijn. We hebben ook binnen ons bedrijf een aantal eisen opgesteld waaraan applicaties moeten voldoen. Het grote gevaar is dat de internet-site ook is gekoppeld aan onze interne systemen, dus als je die site zou kunnen hacken zit je ook zo op de database van onze klanten."
Van de resultaten is ze erg geschrokken, zegt de risk-manager. "Het is een zeer nuttige ervaring geweest. De volgende keer zijn we iets voorzichtiger; gelukkig zijn we nog niet live gegaan."
Van de Looy begon met de fundamentele zaken: wie is de eigenaar van het domein, waar hosten ze het, hoe zijn de systemen ingericht, welke 'services' worden erop aangeboden, welke firewall is er gebruikt. "Voor het doorlopen van al die zaken zijn er standaard-scanners zoals NMap beschikbaar. Het kost je ongeveer een dag", zegt Van de Looy. Dan volgt een 'literatuurstudie': zijn er bekende zwakheden in de gevonden software ('exploits') en zijn de daarvoor beschikbare lapmiddelen ('patches') wel geinstalleerd? Op basis van die informatie kwam Van de Looy eenvoudig 'binnen' bij onze financiele dienstverlener.
Vervolgens pakt hij het maatwerk aan. "Applicatieprogrammeurs zijn nog iets minder gefocust op beveiliging. Ze kijken vooral naar de functionaliteit. Wij testen bijvoorbeeld of de applicatie doet wat hij niet zou moeten kunnen." Zogeheten buffer overflows zijn bijvoorbeeld aan de orde van de dag. "En in internet-applicaties verschijnen er vaak zaken in een URL die er niet in thuishoren en misbruikt kunnen worden in combinatie met andere informatie, zodat er een stuk van de broncode beschikbaar komt of zelfs gegevens van andere bezoekers."
Het vinden van dergelijke gevoeligheden is vaak een kwestie van 'pure creativiteit', stelt Van de Looy. "Je kunt bijvoorbeeld ook kijken naar foutmeldingen. Daarin krijg je soms te veel informatie terug, die misbruikt kan worden." Een achilleshiel van internet-toepassingen is dat vaak met een invoerscherm gemanipuleerd kan worden. "Zo'n winkelwagenapplicatie bijvoorbeeld werkt vaak met cookies of met verborgen velden in de HTML-pagina. Met het manipuleren daarvan kun je bijvoorbeeld een door de applicatie vastgesteld kortingspercentage flink verhogen om er je voordeel mee te doen."
Een andere veel voorkomende zwakke plek is de inlogprocedure. "Het aantal keren dat ik kan inloggen met gebruikersnaam 'admin' en wachtwoord 'admin' is nog steeds talrijk", zegt Van de Looy. Precies die fout trof hij ook weer aan bij onze financiele dienstverlener. "We hebben die fout gebruikt om het systeem helemaal leeg te lepelen, waardoor nog meer aan het licht kwam."
Dat er 'wat dingen gevonden' zijn, noemt ook de risk-manager een understatement. "Het is de eerste keer dat we het doen. Onze onderneming doet niets zelf op IT-gebied; wij outsourcen alles volledig" zegt zij. "We hebben geen eigen beheer, geen eigen netwerk. In dit geval moeten wij vertrouwen op een externe partij die de externe hosting ook doet en de applicatie gebouwd heeft. Voor hun zijn ook een heleboel zaken nieuw. Dus het was belangrijk een audit te doen. Daarbij zijn een heleboel zaken gevonden en ik begrijp nu dat het beginnersfouten zijn. We hadden niet de meest recente software geinstalleerd, je kon allerlei passwords terugvinden in de scripts, de admin-admin-inlog was nog gewoon actief. Het is een zeer lijvig rapport geworden."
De virtuele aanval was een 'black-box-scan', wat inhoudt dat hij volledig op afstand plaatsvond, zonder informatie vooraf. "Je werkt volledig via het internet, het maakt niet uit waar de klant zit."
Het komt maar zelden voor dat Van de Looy ingeschakeld wordt voordat men is begonnen met het bouwen van een applicatie. Meestal is de te testen toepassing bijna af of zelfs al enige tijd in gebruik. In 40 procent van de gevallen mag hij adviseren omdat het bedrijf in kwestie al is geconfronteerd met een inbraak.
In 80 tot 85 procent van de gevallen lukt het Van de Looy zelf binnen te komen, soms binnen twee minuten, soms pas na uren of dagen. In werkelijkheid moet de scoringskans nog hoger liggen, meent hij. "Bedrijven die je inhuren hebben al onderkend dat security belangrijk voor ze is." Hij maakt na afloop een rapport in twee delen met een deel, in niet al te technische bewoordingen, voor het management en een deel voor de ICT-afdeling waarin aanpak en mogelijke oplossingen staan. De penetratietest wordt rustig herhaald, om te zien of die oplossingen ook werkelijk iets hebben uitgehaald. Dat is ook deze keer weer gebeurd. "Er is deze week een nieuwe audit geweest en dat ging heel goed", aldus de risk-manager. "Alle problemen zijn opgelost. Er zijn wel andere zaken teruggevonden, maar dat zijn geen beveiligingsproblemen. We kunnen dus live gaan. We hebben wel besloten te gaan zoeken naar een andere hosting-provider."
De nieuwe internet-activiteiten van de financiele dienstverlener zijn in een aparte bv ondergebracht. Het daarmee gepaard gaande uitbestedingsgedrag zorgt wellicht voor een mindere grip op de beveiligingsaspecten. "Wij hebben de hosting niet binnen de holding ondergebracht maar bij een externe partij gedaan, omdat dat goedkoper is. En het kostenaspect is belangrijker omdat het moeilijk is voet aan de grond te krijgen op het internet."
Uit: bijlage 'Beheer', Automatisering Gids, 19 oktober 2001
English text