Access Granted

De laatste weken staat het nieuws bol van hacks, lekken en ontvreemde data.  Gerenomeerde organisaties zoals Yahoo, PricewaterhouseCoopers (PwC), en de Amerikaanse democratische partij (DNC) bleken ondermeer het doelwit. We zouden interessante discussies verwachten over een meer veilige  toekomst van bedrijfsnetwerken en het  Internet, maar dat gebeurd niet. Jammer, een gemiste kans. We zoomen even kort in op een paar cases.

Yahoo

Yahoo liet eind 2016 in een statement weten dat in augustus 2013 een hack-aanval had plaats gevonden. De gegevens van meer dan een biljoen accounts werden buit gemaakt. In een eerdere verklaring van het bedrijf bleken in 2014 ook al meer dan 500 miljoen accounts gestolen. Het gaat om namen, email-adressen, telefoonnummers, geboorte data, logins en vragen die kunnen helpen je paswoord te herinneren. In sommige gevallen zouden ook gecrypte paswoorden zijn ontvreemd. Het bedrijf moest toegeven dat “hackers may have developed a way of accessing accounts without a password by stealing Yahoo's secret proprietary source code to learn how to forge cookies." Yahoo nam de beveiliging niet altijd serieus genoeg uit angst om gebruikers kwijt te raken, die door veiligheidsmaatregelen verminderd gebruikersgemak zouden kunnen ervaren. Yahoo speculeerde openlijk over een buitenlandse mogendheid als aanvaller.

PwC

Onderzoekers van het bedrijf ESNC uit Munchen publiceerden over een fout in de security-tool ACE van het auditing en accountancy bedrijf PwC. Hierdoor zou een hacker ongeautoriseerde toegang kunnen krijgen tot een SAP implementatie, onder toezicht van de ACE tool. De bug “allows injection and execution of malicious code on the remote SAP system.”  Na de publicatie dreigde PwC aanvankelijk met juridische stappen tegen ESNC, hoewel PwC al 3 maanden eerder op de hoogte was gebracht van het probleem en de kans had gekregen het gat te dichten. De bug werd tevens gebagitaliseerd maar gelukkig ook aangepakt.

DNC

De gemiddelde krantenlezer gaat er ondertussen vanuit dat het een feit is, dat Poetin de democratische partij (DNC) heeft gehackt en de mails ter publicatie aan Wikileaks heeft gegeven. Binnen de security- en IT-expert community bestaat echter heel veel scepsis (zie hier, hier, hier, hier of hier). Waar geen twijfel over bestaat, is dat echt bewijs voor een Russische hack ontbreekt in de gedeclassificeerde rapporten, waarin slechts ‘indicatoren’ staan. Een mogelijk intern lek, Hillary’s zoek geraakte laptop, of inbrekers van ander pluimage, worden niet in ogenschouw genomen.  Dat het aanwijzen van de juiste daders in geval van een hack, nagenoeg onmogelijk is, vat John McAfee krachtig samen: “….attribution for a hack, in this day and age, is statistically, a near impossibility…. sophisticated Nation State can perpetrate any hack and make it point to any Nation or agency that they choose.“ En zo is het helaas, weten we mede door Edward Snowden.

Gemiste kans

Het uiten van beschuldigingen, een 'kill the messenger' reactie of gebeurtenissen bagataliseren/stilhouden, dient wel politieke of economische doelen, maar heeft met de gebeurde feiten of het beter beschermen van belangrijke gegevens, weinig te maken. Een gemiste kans, want hoe onze infrastructuur en netwerken in de toekomst beter te beveiligen, is een belangrijke discussie.

Beveiligen tegen cybercriminelen natuurlijk, maar óók tegen overheids surveillance en censuur. Het aan de macht komen van autocratische partijen is immers niet hypothetisch. Het is een hele uitdaging gevoelige data van organisaties, klanten, gebruikers en medewerkers goed te beveiligen. Gebruiker-transacties zouden volgens de hoogste standaarden versleuteld moeten kunnen worden. Het een en ander ook gebruiksvriendelijk en doorzoekbaar houden voor bevoegden, is daarbij nog een hele klus. Het veiligheidsbewustzijn moet omhoog en menselijke fouten bespreekbaar. Een organisatie moet in staat zijn technische fouten snel te detecteren en te dichten.

Allemaal zaken waar de discussie wél over zou moeten gaan. Therp en (deels) de community volgen dan ook procedures om aan het bovengenoemde voor het Odoo-ecosysteem invulling te geven.

Security by default
 
De bedoeling is om de standaard-instellingen van programmatuur zo te zetten dat een maximaal veiligheids/privacy-niveau gegeven is, en het een bewuste keuze van gebruikers of beheerders moet zijn om deze instellingen te verzwakken. Hier helpt Therp haar klanten ook met de bijhorende overwegingen: Zijn bepaalde handelingen sowieso toegestaan gezien Europese en Nederlands wetgeving? Kan het doel ook anders bereikt worden? Wordt alleen toegankelijk gemaakt wat bedoeld is of is er achter de schermen nu meer toegankelijk?
 
Responsible disclosure
 
Therp zelf, de Odoo community association  en Odoo SA moedigen alle bij Odoo betrokkenen personen aan om veiligheidsproblemen te melden in plaats van de boodschapper juridisch te bedreigen. Voor Odoo core code kan dat via de guidelines for responsible diclosure, voor community- en Therp-modules helpen wij graag met een oplossing.
 
Opleiden van gebruikers
 
Het beste IT-veiligheidsconcept helpt niet als de gebruikers zich niet bewust zijn van de effecten van bepaalde handelingen. Door uitleg over deze effecten kan ervoor gezorgd worden dat niet onbedoeld gegevens op plekken belanden waar zij niet thuis horen.
 
Bijscholing van technici
 
IT-veiligheid is een thema dat continu evolueert, en de best practices van vandaag kunnen de veiligheidslekken van morgen zijn. Therp besteedt veel tijd aan het op de hoogte blijven van nieuwe inzichten en deelt de hierbij verworven kennis ook met alle geinteresserde partijen in de community.