Web 2.0 vraagt om nieuwe beveiliging

882a
Web 2.0 biedt allerlei nieuwe mogelijkheden, maar het verkeer tussen client en server wordt er wel complexer van. Al dat verkeer moet tegen hackers beschermd worden. Dat vraagt om een nieuwe kijk op beveiliging.

Het eerste waar bezoekers van Infosecurity London, een van de grootste computerveiligheidsbeurzen van Europa, vorige week bij binnenkomst op stuitten was de stand van Google. Het bedrijf stond er niet om haar anti-malware oplossingen aan te prijzen, zoals alle andere exposanten, maar om duidelijk te maken dat haar producten veilig zijn. De zeer interactieve webapplicaties van web 2.0 bieden namelijk ook ongekende nieuwe mogelijkheden voor hackers.

En die mogelijkheden hebben ze nodig, want bedrijven zijn steeds beter beschermd tegen het traditionele gespuis van virussen en dergelijke. Het aantal meldingen dat PriceWaterhouseCoopers (PWC) signaleert in zijn tweejaarlijkse onderzoek naar het Britse bedrijfsleven, is na een piek in 2006 terug op het niveau van 2002. De schade als gevolg van beveiligingsincidenten is terug op het niveau van 2004. Dat zegt echter niet alles. Cybercriminelen schieten niet langer met hagel, maar proberen gericht bepaalde data te stelen. Daardoor is de kans van ontdekking kleiner.

‘Bedrijven die aan beveiliging doen, rapporteren meer incidenten, omdat hen meer opvalt’, aldus Andrew Beard, directeur adviesdiensten van PWC. ‘Het komt regelmatig voor dat we op een incident in de veiligheid stuiten, terwijl we eigenlijk op zoek zijn naar iets anders. Bedrijven vinden dataprotectie wel belangrijk, maar ze doen er te weinig tegen.’

Protocollen

Dat virusscanners en versleutelde draadloze verbindingen een absoluut minimum zijn, is inmiddels tot bedrijven doorgedrongen, maar andere maatregelen blijven uit, zoals het standaard versleutelen van de harde schijven van laptops. Met gestolen laptops vonden in 2007 enkele ruim door de media gerapporteerde incidenten plaats. Ook stevige authenticatie, bijvoorbeeld met smartcards, dringt slechts mondjesmaat door. De grote uitdaging, ook voor de industrie zelf, zit echter in het complexe dataverkeer van web 2.0 applicaties.

Een traditionele webpagina is vooral eenrichtingsverkeer van de server naar de client, met af en toe een ingevuld formuliertje terug. In web 2.0 applicaties is het verkeer intensiever. Gebruikers werken hun blog of wiki bij, gebruiken een tekstverwerker op afstand, zoals Google’s Writely, of verzamelen allerlei widgets op persoonlijke startpagina’s als Netvibes. Veel webpagina’s zijn van zichzelf al combinaties van stukjes software die van elders worden geladen, al is het maar Google Maps. Het gevolg is een druk heen en weer verkeer van data en actieve content tussen client en server.

‘Op dit moment richt het grootste aantal aanvallen zich op de server, daarna de browser en plug-ins en dan pas de client’, vertelt Danny Allan, hoofd van de afdeling veiligheidsonderzoek van IBM. ‘Dat is aan het veranderen. Steeds meer aanvallen richten zich op de client, op het kapen van de protocollen, omdat web 2.0 steeds meer functionaliteit van de server naar de client duwt. De aanvallen op de server blijven natuurlijk, maar het type aanval is hetzelfde.’

Widget

De trend heeft gevolgen voor zowel ontwerpers van webapplicaties als voor de gebruikers ervan. Ontwerpers moeten zorgen dat ze goed zicht houden op het verkeer dat ze genereren tussen client en server en er rekening mee houden dat dit gekaapt kan worden. Een hacker kan de serverkant benaderen met andere software dan de ontwerper bedacht heeft, om zwakheden af te tasten.

De gebruiker aan de clientzijde zal zich bij iedere applicatie moeten afvragen of hij die voldoende vertrouwt. Dat is vooral lastig bij sites die meerdere widgets combineren, omdat volstrekt onduidelijk kan zijn wiens actieve content er allemaal opstaat. Zelfs een grote site als Microsofts live.com bleek vorig jaar kwetsbaar voor malware-widgets.

‘Hackers proberen mensen ook te bewegen malware op hun site te zetten’, zegt Yuyal Ben-Itzhak, chief technology officer van Finjan, die tijdens Infosec een gedetailleerd inzicht gaf in de instrumenten van hackers 2.0. ‘Dat doen ze bijvoorbeeld door lucratieve advertenties aan te bieden. Webloggers denken dat ze een goede deal hebben voor inkomsten, maar in werkelijkheid is het stukje code dat ze op hun blog zetten malware dat hun bezoekers besmet. De beste hackers schrijven tegenwoordig code die bij iedere keer opvragen muteert, zodat traditionele virusscanners niet werken.’

Nominatie

In het onderzoek van PWC duiken nieuwe technologieën vooral op als bedreiging voor de productiviteit, omdat instant messaging, sociale netwerken en andere veelgebruikte 2.0 toepassingen nog zelden in bedrijfsprocessen worden ingezet. De lijst van voornaamste gaten in de beveiliging wordt voor een belangrijk deel aangevoerd door slechte interne beveiliging. Dat wil zeggen: geen maatregelen om te voorkomen dat medewerkers vertrouwelijke informatie per mail verzenden of op een usb-stick meenemen, en slechte beveiliging van computers tegen diefstal. Bij grote bedrijven was diefstal van apparatuur de belangrijkste oorzaak van veiligheidsincidenten in 2007.

Het ligt voor de hand aan te nemen dat na de virusscanner en firewall strengere authenticatie van gebruikers en versleutelen van harde schijven als eerste op de nominatie om gemeengoed te worden. Grote bedrijven, doorgaans de trendsetters, zijn al een eind op weg in die richting. Zij, en zeker de financiële instellingen onder hen, zijn immers het lievelingsdoelwit van criminelen, die inmiddels meer dan de helft van alle incidenten voor hun rekening nemen.

Het zal dus nog wel even duren voor de zorg om specifieke veiligheidsrisico’s van web 2.0 applicaties doorbreekt. Dat zal ongetwijfeld pas zijn, nadat de toepassing grootschaliger is geworden en er enkele ernstige incidenten hebben plaatsgevonden. Op dat moment zullen veel bedrijven al in de situatie zitten dat ze niet van het ene op het andere moment hun 2.0 toepassing tijdelijk kunnen uitschakelen. Iets om rekening mee te houden bij het verkennen van de opties. En daar wil Google dan waarschijnlijk dolgraag bij helpen.

Eerder verschenen in Computable nr 24, 2008.