1. 16 januari 2025, Publicatie van Techrepublic over ChatGPT.
Niet zo zeer security gerelateerd, het bevat een samenvatting over wat ChatGPT is en hoe je het kunt gebruiken. Het bevat ook een verwijzing naar het "bug bounty program". Als jij ergens een "gat" kunt vinden waardoor accountgegevens, betalingsgegevens, chats van andere bezoekers openbaar gemaakt kunnen worden, dat is iets wat je kunt melden en als het inderdaad een issue is, dan krijg je daar een beloning voor. En terecht, want als zoiets misbruikt wordt, dan is dat erg schadelijk voor ChatGPT.
2. 30 december 2024, via Techrepublic, Windows security updates via USB-stick houdt andere updates tegen.
Een vreemde bug, als je een bepaalde update via fysieke media installeerde op een pc, voert de pc later geen security-updates meer door. Als een hacker de code van deze update in handen krijgt en kan bepalen waar dat door komt, kan hij/zij deze "bug" in een eigen programma toevoegen om te zorgen dat als iemand dat programma uitvoert er geen security-updates meer doorgevoerd worden. Dit issue staat beschreven op de pagina met Windows 11 24H2 issues.
3. 1 augustus 2024, via eSecurityPlanet.com overzicht Cybersecurity bedrijven.
39 stuks, de 40e konden ze waarschijnlijk niet vinden ;) Met een inkoppertje als "Microsoft voor Windows". Maar voor de rest wel een handig overzicht. Mocht ik ooit wat security-gerelateerds nodig hebben of zoeken, dan kun je even door deze lijst heen lopen.
4. 19 december 2024, tips van DZone om je API-endpoints (beter) te beveiligen.
Omdat API's vaak gebruikt worden om de front-end (de weergave) en de back-end (de data die over de lijn gaat) met elkaar te verbinden, is het vaak een kwestie van een ApiController aanmaken, wat [Authorize]-tags plaatsen en denken dat je dan klaar bent. Zoals in dit artikel te lezen is, houdt het wel wat meer in dan "alleen dat". Als je het daar bij zou laten, is het te verwachten dat je "ooit" een issue met security krijgt. Daarom zet ik hier even de hoofditems neer, zodat op het moment dat ik met een API aan de slag ga (zelf bouwen) ga kijken of ik aan al die eisen kan voldoen.
| Use Strong Authentication and Authorization Methods |
|---|
| OAuth and OpenID Connect zijn geschikt voor authenticatie. RBAC voor authorisatie. |
| Enforce Encryption |
| Encryptie in het verkeer (HTTPS), gevoelige informatie in de database zou geëncrypt opgeslagen moeten worden. |
| Validate All Inputs |
| Valideer de invoer. Opschonen invoer, formaat-controle, hiermee moet je SQL injection en cross-site scripting (XSS) tegen kunnen houden. |
| Apply Rate Limiting and Throttling |
| Als je geen rate limiter op je API hebt staan, is het wachten op de eerste DDOS-aanval. |
| Implement Security Headers |
| Met security headers zorg je dat de browser zaken gaat controleren/valideren/blokkeren. Content Security Policy, X-Content-Type-Options en X-Frame-Options security headers voorkomen clickjacking, MIME-sniffing en cross-site scripting. |
| Regularly Update and Patch APIs |
| Net zoals er gaten in nuget-packages kunnen zitten die je moet updaten, zul je ook je API's bij de tijd moeten houden. Je gebruikt bijvoorbeeld een bepaalde versie van Newtonsoft.Json. In niet al te oude versies zijn security-issues opgedoken, dus je moet de versie weer updaten om "veilig te blijven". |
| Security Testing |
| Penetratietesten, vulnerability scanning, controleer hoe robuust je systeem is. |
| Log and Monitor API Activity |
| Zet monitoring op je API endpoints. Zodat je (vreemde) patronen kunt ontdekken en ook mogelijke lekken. |
| Use API Gateways for Security |
| Een API gateway zit tussen je client en je service. Daar regel je de rate-limiting, authenticatie, logging, monitoring. Op een centrale plek. Ik moet kijken hoe je dat dan doet. |
| Education of Developers on API Security |
| En als je developers niet "op de hoogte zijn van security-zaken", kiezen ze de makkelijkste/snelste weg die werkt, maar die mogelijk niet de meest veilige is. Developers moeten dus "bij de tijd" gehouden worden. |
| Gebruik API-keys |
| En zorg dat je die ook kunt "revoken" / weigeren: zodat bij misbruik je de boel snel dicht kunt gooien. |
| Third parties en services |
| De codebibliotheken die je gebruikt, zorg dat die van "betrouwbare bronnen" zijn en ook actief onderhouden worden. |
| Access Tokens |
| Gebruik access tokens om de aanvrager toegang te geven tot bronnen of acties. Zorg dat access tokens een korte levensduur hebben. |
| API Documentatie |
| Zet de security-informatie ook in de API documentatie, zoals de authenticatiemechanismes, de limieten, de responsecodes. Daardoor kan een ontwikkelaar op een goede manier met jouw code aan de slag gaan. |
Er wordt nog verwezen naar deze pagina voor "developers". Daar staat bijna hetzelfde, maar die items heb ik hierboven ook nog toegevoegd.
5. 5 december 2024, via Techrepublic, de uitspraak van het Engelse hoofd van UK Cyber Risks over de onderschatting van cyberrisico's.
Hij meldt dat de hoeveelheid, intensiteit van cyberaanvallen is toegenomen en ook de kwaliteit van de code die daarbij gebruikt wordt. We zien dit ook in Nederland. De universiteit van Eindhoven die heeft ontdekt dat er zaken niet kloppen, waardoor studenten niet van hun mail e.d. gebruik kunnen maken (tentamens worden uitgesteld). De DDOS-aanvallen op SURF, de instantie die vaak door hogescholen gebruikt wordt (dat was al rond 2000 het geval toen ik nog studeerde aan de Noordelijke Hogeschool Leeuwarden).