Natuurlijk kan ik me als security manager geen vals gevoel van veiligheid veroorloven, dus heb ik een tijdje terug uitgezocht wat er nou precies allemaal gaande is op onze webservers. En toen bleek dat veel aanvallen ongemerkt door onze firewall heen wandelden. Hoe lang dat al gaande is, zullen we waarschijnlijk nooit meer achterhalen.

Het is niet altijd eenvoudig om precies te weten te komen hoe effectief je beveiligingsmaatregelen zijn. We moeten altijd maar een beetje raden met welke bedreigingen we te maken hebben en uit welke richting ze komen, en we komen er niet altijd achter hoe goed we geraden hebben en wat we precies over het hoofd hebben gezien.

Webcrawlers van de concurrentie

De front-end webservers bij mijn bedrijf, die direct achter de firewall verbindingen van het internet accepteren, zijn een kwetsbaar gebied in ons netwerk. De firewall en IDS geven ons een aardig idee van wat er gaande is, maar zijn ze echt in staat actieve content-based aanvallen op te sporen? Om daar achter te komen installeerde ik een webapplicatie firewall in de DMZ van ons bedrijf die ons op het spoor moest brengen van actieve aanvallen die wellicht niet door onze andere apparaten zouden zijn opgemerkt. Ik had hem ingesteld op monitor mode - je kunt hem ook zo instellen dat hij aanvallen blokkeert, maar ik wilde juist zien wat er nou precies gebeurde. Ik wilde weten wat zich allemaal afspeelt in de verbindingen naar die webservers.

Wat ik ontdekte was dat onze websites ‘leeggeschraapt’ worden door andere bedrijven – door onze concurrenten, om precies te zijn! Een deel van de informatie op onze sites is waardevol intellectueel eigendom. Het wordt online, maar afgeschermd (met wachtwoorden etc.) aangeboden aan onze klanten. Maar dat soort beperkingen zijn niet zo moeilijk te omzeilen voor de webcrawlers van onze concurrentie, omdat webmasters meestal nu eenmaal niet zo gek veel kaas hebben gegeten van beveiliging. Ze doen een paar halfslachtige pogingen om gevoelige bestanden te beveiligen met wachtwoorden of beperkte rechten, maar helaas zit hun beveiliging vaak niet zo best in elkaar.

Met het bewijs in handen stapte ik naar onze CIO. Onze juridische afdeling overweegt momenteel er een zaak van te maken, hoewel het ernaar uitziet dat een rechtszaak te moeilijk en te duur zou worden in de huidige economische omstandigheden. In elk geval is duidelijk dat onze webontwikkelaars beter hun best moeten doen om de toegang tot gevoelige informatie te beschermen. We bestuderen de aard van het probleem om te bepalen hoe we de dingen beter kunnen aanpakken. Iedereen werkt nu samen om het probleem op te lossen, en dat geeft me in elk geval een heel bevredigend gevoel.

SQL injectie-aanvallen

Onze webapplicatie firewall ontdekte ook nog wat andere problemen. Zo krijgenb we bijvoorbeeld honderden SQL injectie-aanvallen per dag te verwerken. Tot nu toe is er nog niet één succesvol gebleken, maar het enorme aantal alleen al overvalt me toch. Ik kan me niet voorstellen dat iemand de tijd heeft om een beetje met SQL-injectie-aanvallen te spelen tegen willekeurige webservers, dus ga ik ervan uit dat deze aanvallen afkomstig zijn van automatische scripts. Het zijn in elk geval typische voorbeelden van SQL-injectie, die elk verschillende combinaties van SQL-code aflopen die in HTML zijn opgenomen. Het lijkt erop dat we de beveiliging van onze webapplicaties voor dit soort aanvallen goed hebben geregeld, maar het blijft altijd een beetje verontrustend om zoveel aanvallers op je deur te horen bonken.

Vertrouwen is gevaarlijk

Daarnaast zien we nog her en der andere content-gebaseerde aanvallen, maar het lijkt erop alsof we die tot nu toe allemaal hebben weten af te slaan. Toch zorgt dat er wel voor dat ik opnieuw besef hoe gevaarlijk het is om volledig te vertrouwen op portbased firewall rules die niet applicatiebewust zijn, en op signature-based intrusion detection systemen die bepaalde soorten kwaadaardig verkeer simpelweg niet zien. Zoals mijn recente exercitie aantoont is het verdraaid lastig je te beschermen tegen problemen waar je geen weet van hebt.

De auteur is security manager en wenst, evenals zijn werkgever, anoniem te blijven. Dit artikel is eerder verschenen op Computerworld.com. Bron: Techworld