'Xss-lekken vaak ongevaarlijk'
Gepubliceerd: Donderdag 14 mei 2009
Auteur: Loek Essers
Volgens een beveiligingsexpert van Kaspersky zijn xss-lekken niet altijd even gevaarlijk. "Waar maken we ons soms druk over?"
Volgens Eddy Willems, beveiligingsexpert bij Kaspersky, zijn er een heleboel sites die gevoelig zijn voor xss-aanvallen. Bij een xss (of cross site scripting)-aanval voeren kwaadwillenden code uit op een site. Dit kan gevaarlijk zijn voor de informatie die op die site bewaard wordt. Vooral bij bijvoorbeeld banken kan dit problematisch zijn omdat er veel privacygevoelige informatie gebruikt wordt, zoals bankgegevens en inloggegevens maar ook persoonlijke informatie.
"De ernst van het lek wordt soms uit zijn verband wordt gerukt", zegt Willems. Volgens hem is de mogelijkheid voor het uitvoeren van een xss-aanval nog niet wil zeggen dat er sprake is van een heel groot gevaar. "Dat is compleet misplaatst." Volgens Willems toont de mogelijkheid wel aan dat er "een gaatje" is. "Maar dat gaatje is niet altijd de doorgang tot de grote database of tot het misbruiken van bepaalde gegevens die op de site staan. Soms denk ik: ocharm jongens, waar maken we ons hier eigenlijk druk over?"
Malware is ernstiger
Willems vindt dat sites waarop foute code of malware te vinden is in essentie een groter probleem dan xss-lekken. Volgens hem is het er bij hackers is het er altijd om te doen om aan te tonen dat ze iets gevonden hebben. Willems vergelijkt een xss-lek met een schroef in een website. Je kunt er wel eentje uithalen, maar dan blijven er nog steeds een stuk of dertigduizend andere schroeven over.
Volgens Zarco Zwier, de beveiliger die begin dit jaar ontdekte dat er zes Nederlandse banken waren die last hadden van hetzelfde xss-lek, loopt deze analogie van Willems enigszins scheef. Volgens Zwier zijn niet alle xss-lekken zo ongevaarlijk. Bovendien vindt hij dat de aanwezigheid van xss-lekken duidt op slecht programmeerwerk. Dat kan volgens hem wel degelijk gevaarlijk zijn.
Niet bagatelliseren
"Ik vind het gevaarlijk om dit soort dingen te bagatelliseren", zegt Zwier. Volgens hem is Ieder lek is potentieel gevaarlijk, indien er waardevolle informatie te halen is. Wel zijn beide heren het met elkaar eens dat de effecten van een xss-lek gekoppeld zijn aan het doel van een website. Zo zouden vooral banken en gemeenten beter moeten opletten. Het gaat erom wat iemand wil achterhalen en wat die informatie waard is.
"Je kan ook een cross site scripting probleem gaan opzoeken zonder dat er achter dat lek een probleem zit", aldus Willems. Volgens de beveiligingsexpert schort die duiding er nog wel eens aan. Volgens hem gaat het vooral ook om sites als Ebay of sites waar grote verkoopacties op draaien. "Als die sites massaal getroffen zouden worden dan hebben we een structureel probleem. Ik zie dat het voorkomt op sites waar databases compleet gescheiden zijn." Willems zegt dat de lekken van geval tot geval bekeken moeten worden.
Zwier vindt toch dat deze problemen niet hoeven voor te komen. "Zeker als je een heel programmeerteam hebt."
