Elke maandagavond ga ik een uurtje mijn mail doorspitten naar artikelen/blogs over security-zaken.
1. 18 december 2024, publicatie Techrepublic, SQL injectie waarmee je op de luchthaven niet door de veiligheidscontrole hoeft
De video (7 minuten) kun je op deze pagina van eSecurityPlanet.com bekijken. Voor een kleine maatschappij is een deel van de website via een inlogscherm toegankelijk gemaakt. Maar de developer heeft geen goede SQL injection-controle in de verwerking van de ingevoerde data, waardoor je met wat pielen met je invoer van gebruikersnaam en wachtwoord "in het systeem kunt komen". Het bedrijf waar dit speelde heeft het probleem gefixt, maar na de tijd "de mogelijke schade" een beetje gebagatelliseerd: "het zou wel meevallen". Een ethische hacker houdt zich aan de regels en mag/kan bepaalde zaken niet doen. Ik vermoed dat na zo'n reactie en zoals het in de video getoond wordt, de handen van degene die het lek gevonden heeft toch wel eens gaan jeuken. In ieder geval, toen ik in 2001 afstudeerde aan de opleiding Hogere Informatica wist ik niet wat SQL injection was. We hadden geleerd hoe je moest programmeren, het internet en databases stond nog een beetje in de kinderschoenen (classic ASP, PHP), dat was iets wat toen nog niet zo speelde. Maar de jaren daarna wel. Rond 2006 werd ik door security-scans bij een website die "we" gebouwd hadden voor ING geconfronteerd met SQL injection. Ik mag hopen dat IT-ers die nu afstuderen dit wel bekend is. Of dat A(rtificial) I(ntelligence) inmiddels zo slim is om deze zaken in je code te herkennen. In de OWASP top 10 met security-zaken stond SQL Injection op plaats 1, inmiddels op plaats 3. Maar het blijft dus nog steeds relevant!
Onder deze video staan nog een paar andere artikelen, mijn oog valt op het item over Deloitte. Deloitte is een accountantskantoor, toen ik nog Accountancy aan de HEAO studeerde zijn mijn klasgenoten en ik in Amsterdam bij de vestiging daar geweest. Hebben we ook nog iets van een opdracht gedaan. En ik heb er nog steeds een mooie paraplu van. In deze video beweert een hackersinitiatief dat ze binnen in het netwerk van Deloitte UK zijn en dat ze 1 TB aan data hebben, Deloitte ontkent tot nu toe. Hoewel ik hoop dat dit inderdaad zo is, ben ik bang dat het toch gebeurd is. Want waarom zou een hackersgroep dit roepen als ze niet binnen zijn? Je kunt misschien wat zaken faken, maar uiteindelijk komt toch uit dat je de boel "voor de gek gehouden hebt" en wordt je niet meer serieus genomen. Want de beweringen doen zijn niet zo vergezocht. Ik kan me best voorstellen dat er zaken binnen het netwerk van Deloitte niet allemaal gepatched zijn. Dat er misschien nog ergens oude software draait. En dat via-via deze groep binnengekomen is. Bekijk hier de video.
En dankzij deze link heb ik ook weer een interessante site gevonden, https://www.esecurityplanet.com/ komt in mijn bookmarks te staan.
2. 1 januari 2025, Patch Tuesday bij Microsoft
Elke 2e dinsdag van de maand voert Microsoft hun patches door. Security-issues die gefixt zijn en nog wat andere zaken die ook mee kunnen. Een beschrijving hiervan staat op deze pagina van Techrepublic. Ik volg dat niet zo actief, maar mijn automatische updates staan aan, dus zo nu en dan wordt mijn Windows ook bijgewerkt. Ik ben een gebruiker van Microsoft Powertoys (erg handig!) en ook die update ik regelmatig. Het vervelende daarvan is dat na een update Powertoys niet automatisch start, dus dat moet je dan zelf weer handmatig doen. In ieder geval, in dit artikel van TR staat ook een link naar de Security Update Guide en dat is een handig overzicht! Techrepublic wijdt schijnbaar elke maand een blogpost aan de patches, zo ook dit artikel over de update van 10 december 2024. Hieruit blijkt maar weer dat als iemand "binnen komt" er via-via (buffer overflow, aanroep van applicatie die niet ondersteund wordt) er nare acties uitgevoerd kunnen worden.
3. 2 januari 2025, hack van het Ministerie van Financiën van Amerika
Een hackersgroep die gelieerd zou zijn aan de Chinese overheid heeft toegang gekregen tot geheime documenten via een derde partij. Het "smeuïge" daaraan is dat die derde partij een cybersecurity provider is, BeyondTrust. Een bepaalde sleutel, waarmee BeyondTrust toegang had zou in hun bezig gekomen zijn en op die manier zijn de gegevens in hun handen gekomen. De Chinese overheid ontkent trouwens haar betrokkenheid. Het artikel kun je hier lezen.
En voor de ZZP-ers en eigenaren van bedrijven in het Midden- en Klein Bedrijf (MKB) check de (voor de hand liggende) tips op deze pagina.
Samengevat, als je een pc met Windows hebt, zorg dat je regelmatig je updates doorvoert. Er kan "iets open staan" waardoor ongewenste personen op jouw systemen kunnen komen. Als je een website hebt, laat deze zo nu en dan controleren of er geen issues uit de OWASP top 10 op jouw website uitgebuit kunnen worden. En als er "iemand" jouw onderhoud doet en toegang heeft tot jouw systemen of inlogs, hoe heeft hij/zij de zaken geregeld? Hangen de wachtwoorden open en bloot op papiertjes op posts-its op zijn/haar beeldscherm? Of kan hij/zij via Remote Desktop bij je binnenkomen met het superveilige wachtwoord "Welkom123"?
Overal zijn bedreigingen... in deze tijd is het dus niet verkeerd om paranoïde te zijn!