Vorige week hadden we het over Broken Authentication. Inmiddels is dit fenomeen geen mysterie meer voor u. In tegendeel, u heeft er ongetwijfeld tijdens de VrijMiBo van vorige week van alles over verteld. Nu begrijpen wij best dat u zich zorgen begint te maken over de aanstaande borrel. U wilt tenslotte toch weer goed uit de verf komen met een interessant verhaal. Zoals altijd kunt u bouwen op uw vrienden van Rootsec. Deze week behandelen we namelijk nummertje 3 in de OWASP top-10. Wat is Sensitive Data Exposure?
Als u de Engelse taal een beetje beheerst dan geeft de benaming van deze kwetsbaarheid al snel aan waar het om draait. Sensitive data, ofwel gevoelige data, vind je tegenwoordig overal wel. Nagenoeg elk bedrijf verwerkt gevoelige informatie in bijvoorbeeld de vorm van credentials, medische gegevens, financiële cijfers en nog veel meer. We gaan uw intelligentie niet beledigen door dit verder uit te leggen. Het ‘exposure’ gedeelte is waar het ons voornamelijk om te doen is. Want hoe kan het dat er zoveel data blootgesteld wordt aan gevaren en risico’s? Je zou toch zeggen dat, omdat het om zulke belangrijke informatie gaat, dit goed beveiligd wordt. Klopt, dit zou je zeggen maar in de praktijk werkt dit vaak heel anders helaas.
Het onderwerp van vorige week was redelijk simpel uit te leggen. Persoon X bemachtigd, op welke manier dan ook, inloggegevens en gaat vervolgens allerlei narigheid uithalen. Deze week is het net even wat complexer, maar we gaan ons best doet het zo gemakkelijk mogelijk voor u te houden. Het verschil in de beide methodieken zit in de manier van uitbuiten. Bij Broken Authentication is het een directe manier van aanvallen, benutten en weer weg. In het geval van Sensitive Data Exposure wordt er getracht een kwetsbaarheid te benutten op indirecte wijze. Een voorbeeld hiervan is een man-in-the-middle-attack. Dit is een vorm van data-onderschepping waarbij een derde persoon (de aanvaller) data onderschept tussen twee communicerende partijen. Deze twee partijen merken hier niets van. De berichten kunnen daarbij mogelijk gelezen en veranderd worden. Ook kunnen berichten worden verzonden die niet door de andere partij zijn geschreven. Voorbeelden hiervan zijn het onderscheppen van e-mail en ander dataverkeer tussen twee of meerdere computers. Ook het onderscheppen van brieven en telefoongesprekken kan men zien als man-in-the-middle-aanvallen.
U zult begrijpen dat deze vorm van aanvallen dus voornamelijk plaatsvindt op plekken waar veel data van links naar rechts wordt verzonden. Ironisch genoeg zijn dit ook vaak de plekken die minder goed of zelfs helemaal niet beveiligd zijn. Zie het als een tunnel van A naar B. Je verwacht niet dat er nog een derde persoon halverwege de tunnel zich verstopt heeft en met jouw data zit te knoeien. Voorbeelden in de praktijk hiervan zijn bijvoorbeeld data-overdracht via een HTTP- of FTP-verbinding. Of, misschien nog erger, data-overdracht in clear-text. Data in clear-text hoeft namelijk niet ontcijferd te worden en kan direct worden gemanipuleerd. Deze vorm van aanvallen komt ook voor op databases, hetzij wel in mindere mate. Voornamelijk oudere databases waarbij nog gebruik wordt gemaakt van zeer eenvoudige hashes, zijn kwetsbaar voor deze vorm van aanvallen. Een hash is een mengelmoesje van cijfers, tekens en letters die gebruikt wordt om informatie veilig van A naar B te sturen. Hashes kunnen echter wel worden gekraakt. Dus hoe eenvoudiger te hash, des te makkelijker voor de aanvaller.
De gevolgen van deze vorm van aanvallen is zeer vergelijkbaar met die van vorige week. Eigenlijk is het compleet afhankelijk van de data die uw organisatie beheert. Hoe gevoeliger deze informatie is, des te groter de gevolgen. Zo zijn de gevolgen van een soortgelijke aanval bij een marketing bedrijf minder groot dan voor een grote bank. Bij de bank gaat er namelijk veel meer gevoelige financiële informatie rond. Dit kan aardig wat claims ten gevolgen hebben. Bij het marketingbedrijf zal dit hoogstens resulteren in ‘wat’ imago-schade . Nog steeds niet heel wenselijk, maar minder vervelend.
Het lijkt misschien een lastige opgave om op al die plekken waar data in doorvoer is de boel dicht te timmeren. Maar dit valt eigenlijk best wel mee. De oplossingen om bijvoorbeeld, een man-in-the-middle-aanval, te voorkomen zijn redelijk voor de hand liggend. Sterker nog, dit zijn eigenlijk regels die bij elk bedrijf standaard doorgevoerd zouden moeten zijn. Dit heeft echter weer heel veel te maken met beleid, iets waar onze partners van Beschermheren dan weer heel goed in zijn. Allereerst dien je de data te classificeren. Met andere woorden, welke data is er in doorvoer (en opgeslagen) en welke mate van beveiliging is hierbij nodig. Medische dossiers dienen bijvoorbeeld anders beveiligd te worden dan e-mailadressen die je hebt vergaart tijdens een marketingcampagne.
De belangrijkste vorm van beveiligen tegen sensitive data exposure is encryptie. Op het moment dat alle data sterk versleuteld is, heeft een aanvaller eigenlijk niks meer te winnen van deze vorm van aanvallen. Het kraken van een hash kost hem dan zoveel tijd dat het simpelweg niet meer de moeite waard is. Nog veel te vaak zien wij bij onze klanten dat het A) heel simpel is om data te onderscheppen, en B) deze data zonder al te veel moeite wordt gekraakt door onze tools. Tot slot een laatste maatregel die genomen kan worden is eigenlijk enorm voor de hand liggend, maar toch vaak vergeten. Sla niet meer data op dan nodig. Iets dat er niet is kan tenslotte ook niet gestolen worden.
Benieuwd geworden naar hoe dit geregeld is voor uw bedrijf? Neem contact op met Rootsec en wij vertellen u graag meer over onze Security Assessment. Een nieuwe dienst waarbij we onder andere kijken naar de sterkte van uw encryptie en hoe gemakkelijk het is voor ons om data te onderscheppen.
Automated page speed optimizations for fast site performance