Digi-Terras.
Beste lezers, vandaag gaan we in onze wekelijkse Digi-Terras blog weer een aantal belangrijke ICT-zaken bespreken die van belang zijn voor de gebruikers c.q. consument. Deze week gaan we het hebben over de vele en niet veilige applicaties die door vele gebruikers, en consumenten worden gebruikt. Het is een hardnekkig probleem die maar moeilijk een oplossing vindt. De reden daarvan is dat er een tekort is aan goeie ICT'ers, en bij dat tekort krijg je een situatie waarbij de oudere generatie het liever bij het oude houdt wat tevens ook begrijpelijk is. Wij van Digi-Terras vinden ook dat je niet alles tot in het extreme moet digitaliseren. (VB. Wifi op een airfryer). Maar goed, wij van Digi-Terras hebben al eens eerder aangegeven dat vele ICT-zaken zo kwetsbaar en niet veilig zijn, en toch worden gebruikers min of meer gedwongen om er gebruik van te maken, denk hierbij aan applicaties binnen de zorg, bij banken, en bij het algemene bedrijfsleven. In deze Digi-Terras blog zullen we even wat verder ingaan op de details waar het mis gaat, en wat eventueel de oplossing zou kunnen zijn.
Één derde van alle applicaties is niet veilig, wat is geconstateerd door ethische hackers.
De beveiliging van online applicaties is nog steeds geen topprioriteit voor organisaties (NL). Dit is geconstateerd door cybersecurity specialist Computest Security. Ethische hackers hebben bij 30 procent van de applicaties die zij hebben getest zelfs kritieke kwetsbaarheden geconstateerd. Die vereisen directe aandacht. Dit omdat deze een groot risico vormen voor de beveiliging. Of voor de data privacy of bedrijfscontinuïteit.
Nog steeds geen multifactorauthenticatie.
Ook vonden ethische hackers in bijna een derde van de onderzochte applicaties kwetsbaarheden in het autorisatiemechanisme waardoor kwaadwillenden hier mogelijk toegang tot kunnen krijgen. De kwetsbaarheden zijn het gebruik van verouderde software die niet meer wordt ondersteund, het niet uitvoeren van updates en het ontbreken van multifactorauthenticatie. Voor het onderzoek zijn de resultaten van ruim 300 security testen die gedurende een jaar zijn uitgevoerd op applicaties van verschillende organisaties, geanalyseerd. Hiermee ontstaat een beeld van de belangrijkste risico’s rond de veiligheid van applicaties. Uit de analyse blijkt dat een applicatie gemiddeld twaalf kwetsbaarheden bevat. Deze kwetsbaarheden kunnen grote impact hebben op de organisaties en eventueel derden.
Gevoelige data.
Opvallend was dat bij 32 procent van de testen één van de meest kritische kwetsbaarheden werd gevonden. Namelijk cross-site scripting (XSS). Hierbij kan de aanvaller kwaadaardige code injecteren in de applicatie. En die vervolgens uitgevoerd wordt zodra iemand de applicatie gebruikt. Op deze manier kan gevoelige data worden gestolen of kunnen gebruikers ongemerkt worden doorgestuurd naar een malafide website. Voor deze kwetsbaarheid gold dat deze in bijna 60 procent van de gevallen zelfs misbruikt kon worden zonder een account voor de applicatie te hebben.(Met andere woorden, de gebruiker denkt dat hij veilig is in de applicatie maar loopt het risico opgelicht te worden, en als het gaat om financiële zaken kan dat vervelende gevolgen hebben).
Kwetsbaarheden in autorisatie en authenticatie.
De ethische hackers vonden bij bijna 30 procent van de applicaties kwetsbaarheden in het autorisatiemechanisme. Dit betekent dat men niet op de juiste wijze controleert of de ingelogde medewerker het recht heeft de gevraagde functionaliteit te gebruiken. Bij één op de tien testen bleek het zelfs mogelijk om beheertaken uit te voeren vanuit een normale gebruiker. Hiermee kan de aanvaller in bepaalde gevallen de volledige applicatie overnemen. Verder liet bij 34 procent van de geteste applicaties de security van de authenticatie te wensen over. Bij 19 procent van de applicaties werd bovendien nog geen gebruikgemaakt van multifactorauthenticatie (MFA) of was dit niet juist geïmplementeerd.
Verouderde software van derden
De oorzaken van kwetsbaarheden zijn het gebruik van verouderde software. Dit naast het niet doorvoeren van de benodigde updates. En het ontbreken van sterke authenticatie-oplossingen. Zo vonden de ethische hackers van Computest Security in bijna 70 procent van de testen kwetsbaarheden in dergelijke componenten. Daarbij constateerde men bij 39 procent van de testen bovendien dat men de betreffende software helemaal niet meer ondersteunt met security updates.( Denk aan het voorbeeld wat we in het verleden hebben gegeven omtrent de niet beveiligde kopieermachine in het kantoor waar op werd gewezen door een ethische hacker, maar de eigenaar vond het belangrijker om op vakantie te gaan, maar bij thuis komst was de boel gehackt en op slot gegooid, met andere woorden een duur geintje om weer bij betaling overal bij te kunnen).
Het beste om risico’s te verkleinen.
Het compleet voorkomen van kwetsbaarheden is en blijft lastig. Maar organisaties kunnen met de juiste maatregelen wel de risico’s verkleinen. Dit begint aan de basis bij het ontwikkelen of aankopen van de juiste software (Secure by design principe). Door deze principes mee te nemen bij het aankopen, ontwikkelen en integreren van software kan men het risico op kwetsbaarheden verkleinen. Verder is het essentieel sterkte authenticatietools en een updatebeleid te hebben.
Ok mensen, dit was weer de wekelijkse Digi-Terras blog met daarin de besproken applicaties die te wensen over laat.
Mvg,
Marcello. Android & Apple.
John. Linux & Windows.
Walther. Public Relations.
Kevin. Hub Base Web Design.
(Voor vaste klanten bereikbaar op Whatsapp en Telegram).
(Digi-Terras zoekt tevens ICT vrijwilligers en freelancers op het gebied van webdesign, Linux en Windows).
