Duizenden webapplicaties bevatten door gekopieerde code bekende secrets
Duizenden webapplicaties bevatten door gekopieerde en geforkte code zeer zwakke of bekende cryptografische secrets waar aanvallers misbruik van kunnen maken. En vaak weten softwareontwikkelaars niet dat hun applicatie risico loopt, zo waarschuwt The Shadowserver Foundation. De secrets zijn bijvoorbeeld keys, tokens en cookies waarmee er toegang tot gegevens en systemen kan worden verkregen.
Volgens The Shadowserver Foundation is de aanwezigheid van deze bekende of zwakke secrets vaak het gevolg van softwareontwikkelaars die code op het internet met een secret, bijvoorbeeld van een project op GitHub of in een handleiding, copy-pasten of forken. Daardoor belandt de gekopieerde secret ook in de applicatie van de betreffende ontwikkelaar. Aanvallers kunnen deze bekende secrets vervolgens op allerlei manieren misbruiken. Een bekende machine key maakt bijvoorbeeld remote code execution op een systeem mogelijk, zo waarschuwt Paul Mueller van Black Lantern Security.
Online scan
The Shadowserver Foundation is een stichting die zich met de bestrijding van cybercrime bezighoudt en geregeld onderzoek doet naar kwetsbare systemen die vanaf internet toegankelijk zijn. Onlangs werd er gescand naar applicaties die gebruikmaken van bekende of zwakke cryptografische secrets van verschillende platforms/frameworks. Het gaat specifiek om bekende cookies, tokens en keys van platforms zoals PeopleSoft, Django, Telerik en ASPNET. De scan van The Shadowserver Foundation leverde ruim 12.000 ip-adressen op met "bad secrets", waarvan bijna driehonderd in Nederland. Het grootste deel werd in de Verenigde Staten aangetroffen. In het geval van een bad secret wordt aangeraden die te vervangen.What could possibly go wrong!?
What could possibly go wrong!?
Softwareontwikkeling wordt steeds meer het aan elkaar plakken van (publieke) bibliotheken. “Beter goed gejat dan slecht verzonnen” was vroeger het adagium. Alleen blijkt uit exploits ook steeds vaker dat de “gejatte” code (opzettelijke) achterdeurtjes bevat.
Deze afbeelding is een zeer relevante in deze! https://xkcd.com/2347/
What could possibly go wrong!?
Gaat niet lukken denk ik. Men downloadt de code, en denk je dan echt dat er een review plaats gaat vinden van elke regel? Als de desbetreffende ontwikkelaar al kennis heef van hoe zo'n "secret" er uit moet zien, als die al niet geobfuscaat is
Dat zijn de onwetende gebruikers hoor!
Deze opmerking is dus eigenlijk ongepast.
What could possibly go wrong!?
Ach, om de haverklap komen de open deuren over "digidrammen" hier naar voren. Vroeger, toen was alles beter! De bekende appeal to nostalgia drogreden. Dat toen alles 30x langzamer ging, dossiers kwijtraakte, geen automatische checks plaatsvonden op integriteitsinconsistentie, de datasets nog niet in de miljoenen liep, reactietijden dramatisch waren, de kosten de spuigaten uitliepen door al het handwerk en rondschuiven van dossiers, informatie niet tijdig beschikbaar was... het was allemaal echt beter vroeger hoor. We hebben nu andere problemen. Het getuigt vooral van een gebrek aan historisch besef om op bepaalde punten terug te willen naar 1960.
Gaat niet lukken denk ik. Men downloadt de code, en denk je dan echt dat er een review plaats gaat vinden van elke regel? Als de desbetreffende ontwikkelaar al kennis heef van hoe zo'n "secret" er uit moet zien, als die al niet geobfuscaat is
Het is nog veel erger, complete minified js libraries (probeer die nog maar eens te onderzoeken!) of “bijzondere” fonts worden door menig website rechtstreeks vanaf de internetbron (current version) opgehaald door de browser van de websitebezoeker. Geen beheerder die kan controleren wat de websitebezoeker gepresenteerd krijgt, maar wel verantwoordelijk voor is. Vindt dit een zeer laakbare werkwijze.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technical Consultant (IGA)
Maak impact als Technical Consultant bij SITS | Traxion! Ontwerp en implementeer slimme IGA-oplossingen en vertaal complexe vraagstukken naar veilige systemen. Werk samen met IAM-specialisten uit diverse disciplines en draag bij aan digitale veilig-heid. Van lokale tot internationale projecten: jij krijgt de kans om te groeien én de toe-komst van cybersecurity vorm te geven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?