Gepubliceerd: Vrijdag 19 oktober 2007
Beveiligingsspecialist Jacco van Tuijl claimt dat diversie overheidswebsites kwetsbaarheden bevatten die SQL-injecties en aanvallen met cross-site scripting (XSS) mogelijk maken.
Toon volledig artikel
Er werken bij de overheid geen computerexperts. Al die sites e.d. worden door externe partijen beheerd.
Verbaasde mij ook, dit artikel. Want als je een webproject voor de overheid wil doen, moet je doorgaans eerst door een flink pak papieren en een gedetailleerde keuring heen. Maar blijkbaar als je eenmaal een opdracht binnenhebt, kun er daarna met de pet naar gooien.
Voor belangrijke zaken (en websites zijn daar tegenwoordig ook een voorbeeld van) moet je vertrouwen op lange termijn relaties, waarvan je weet dat ze kwaliteit zullen bieden.
De overheid echter vergelijkt via dikke pakken specificaties alleen de eigenschappen van de software en van het bedrijf; uit alles wat voldoet, wordt vervolgens de goedkoopste geselecteerd. Zo heb je dus wisselende partners ... met alle gevolgen van dien!
Jullie modden hem weg, maar hij heeft wel een goed punt.
Er werken gerust een paar capabele webdevvers bij de overheid, maar in de regel wordt alles uitbesteed. Zowel grote als kleine bedrijven komen aan bod. De overheid hecht vast veel waarde aan veiligheid op papier, bijvoorbeeld aan allerlei keurmerken die amper relevant zijn.
Webapplicatie maken is een vak apart. Veel bedrijven die dit doen, leveren slechte code op, zowel client side als server side. Als beveiliging niet direct wordt meegenomen, zit het flink mis. En ik ben ervan overtuigd dat er veel overheid-sites gemaakt worden door bedrijven die het net niet begrepen hebben: bedrijven die wel addslashes toepassen, en nog nooit van mysql_real_escape_string hebben gehoord.
Komt er ook een achter. Ik ben zelf ook aardig bezig met beveiliging van sites, en ik heb de laatste tijd eens goed gelet op overheids sites, o.a. die van gemeentes enzo. Ik heb rond de 50 sites van gemeentes gevonden die simpelweg XSS hadden in hun zoekmachine of inlog, etc. Ook veel ministeries en de site van de politie hebben er last van. (o.a. XSS en SQL injection)
Ook heb ik vorig jaar een ernstige SQL injection gevonden in de site van de gemeente Groningen. Toen ik dat meldde waren ze echter niet zo blij en hebben ze me geregistreerd bij govcert. Als zo'n professionele specialist het meld zijn ze echter wel blij en doen ze er wel wat aan. Dit geld niet alleen voor overheids sites, ook voor bv. Youtube.com waar ik een tijd geleden een XSS fout in heb gemeld, ze geven een boze reactie en fixen het vervolgens een paar dagen erna.
Vreemd dat men zo reageert op je aantijgingen. Wellicht ligt het aan je manier van communiceren richting de sites? (schouten en nelissen heeft daar wel wat voor ;-)
In ieder geval niet netjes zoals groningen heeft gedaan. Ze hadden je beter flink kunnen bedanken! Eventueel hadden ze een cadeautje (al is het maar een bloemetje) aan je kunnen geven, als dank.
Men stelt het niet zo op prijs wanneer iemand ongevraagd iets bij jou gaat testen. Als er iedere dag iemand aan de slot van je voordeur gaat morrelen om te kijken of het wel goed werkt, dan wordt je daar ook niet blij van. Ongeacht het feit of je goede bedoelingen had of niet.
Hij heeft de fouten toch niet publiek bekendgemaakt? Hij zei alleen dat het "overheidssites" waren. Welke sites weten we niet. Je zou natuurlijk nu zelf op zoek kunnen gaan naar de fouten, maar dat kon je van tevoren ook al.
Dat je niet wilt dat mensen aan jouw voordeur gaan morrelen kan ik me goed voorstellen, maar een computer is geen huis. Het is een vergelijking die helemaal mank gaat. Het inbreken is eventueel vergelijkbaar, maar het controleren op fouten totaal niet.
Het verschil is dat indien 'het slot' door een onverlaat makkelijk geopend kan worden de maatschappij (bijvoorbeeld de inwoners van de gemeente Groningen) dan schade ondervindt. Zo draait de gemeente (= de maatschappij) op voor de kosten om de boel te beveiligen. Of persoonsgegevens komen op straat te liggen (inwoners van Groningen hebben privacy-belang). Het is mij niet duidelijk of die gekoppeld zijn aan de online database, maar als je het hebt over een SQL injection en logins dan mag je toch stellen dat de deur wagenwijd openstaat. Zeker als de onderzoeker er direct baat bij heeft (hij is inwoner van Groningen) kun je spreken van een belang. Dan nog heb je wmb gelijk, maar om een andere reden: op z'n minst vraag je zoiets eerst. En dreigen met full disclosure is chantage. Geef die mensen rustig de tijd, en/of geef ze een deadline. Staat ook meteen een stuk professioneler.
snap ook niet waarom men geen gebruik maakt van asp.net.. kun je het allemaal heel snel en simpel oplossen in de controle laag. de validatie in .net is zo easy gewoon..
maarja....
.NET neemt hoop zorgen weg, maar nog steeds dien je voorzichtig te zijn, er zijn genoeg voorbeelden van .net sites die toch vulnerable zijn gebleken. Mijn mening is dat je NOOIT uit mag gaan van 1 laag van van security.
En wat sql injectie betreft, het zou al heel veel schelen als bedrijven eens zorgvuldiger met rechten omgaan, je ziet toch erg veel dat de webconnectie user naar de database onnodig veel rechten krijgt (vaak administrative).
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
