De groeiende risico’s van open source software

Open source is al sinds jaar en dag populair, vooral voor toepassingen als databases, storage, analytics, cloud management tools en in toenemende mate ook security. Hoewel open source vanaf de start juist werd geroemd om het hogere veiligheidsniveau zijn de risico’s door een combinatie van populariteit en een flinke toename van kwetsbaarheden flink gestegen. Het is tijd voor maatregelen.

Open broncode speelt tegenwoordig een belangrijke rol in grote vernieuwingsprojecten zoals digitale-transformatieprojecten. Volgens onderzoek van Red Hat speelt open source bij 40 procent van dit soort grote veranderingstrajecten een aanzienlijke rol. Dat open source serieuze business is geworden waarin grote bedragen omgaan, zie je ook af aan de recente aankoop van Red Hat door IBM. En wat te denken van de acquisitie van GitHub door het concern dat juist op gesloten software zijn succes heeft gebouwd: Microsoft.

Zorgwekkend

Er zit een flinke keerzijde aan de wijdverbreidheid van open source. De uitkomsten van een andere studie door open source security platform Snyk, onder 500 respondenten die verantwoordelijk zijn voor onderhoud van open source software, zijn zorgwekkend. Omdat sommige open source frameworks en applicaties veel in gebruik zijn, zijn ze uitgegroeid tot een aantrekkelijk doelwit voor hackers. Aan aanvalsmogelijkheden geen gebrek. In twee jaar tijd is er een groei van 88 procent waar te nemen in het aantal kwetsbaarheden. En alleen al in 2018 vonden onderzoekers 500 kwetsbaarheden.

Net als bij reguliere software denken veel gebruikers dat de ontwikkelaars security serieus nemen. Maar terwijl een zeer ruime meerderheid van gebruikers van open source verwachten dat ontwikkelaars prioriteit geven aan security in hun softwarecode, denken slechts drie op de tien ontwikkelaars dat ze voldoende kennis hebben van beveiliging. En bijna vier op de tien developers testen dan ook helemaal niet op security gedurende continuous integration (CI). Verbaast het dan nog dat het bij open source gemiddeld meer dan twee jaar duurt voordat een gesignaleerde kwetsbaarheid wordt verholpen?

Uitblijvende patches

Aan de gebruikerskant is het automatisch aanbrengen van patches problematisch. Voor op Windows en Linux gebaseerde applicatielandschappen zijn er tal van volwassen oplossingen voor automatisch patch management voorhanden. In veel gevallen worden deze volledig ondersteund door de softwareleverancier, zodat de window of opportunity voor kwaadwillenden beperkt blijft. Maar voor open source zijn deze oplossingen dun gezaaid, waardoor veel systemen onnodig lang gevaar lopen. Dit komt dus nog bovenop de al eerdergenoemde twee jaar voordat er een oplossing voor een fout opgeleverd wordt.

Zo kon het credit ratings bureau Equifax – en meer dan 140 miljoen argeloze consumenten in de VS, Canada en het VK – in 2017 slachtoffer worden van een van de meest omvangrijke datadiefstallen ooit, door een remote code execution die kon worden ingezet vanwege een ontbrekende patch in Java webapplicatie-software van Apache. Een inbraak die eenvoudig voorkomen had kunnen worden, ware het niet dat de relevante verantwoordelijken bij Equifax even niet zaten op te letten – en al helemaal niet beschikten over een automatische patch-oplossing.

Als de enthousiaste open source community daarom eens één procent van zijn tijd in volwassen patch-oplossingen zou investeren, zou zij die reputatie kunnen hooghouden, ofschoon het genoemde Snyk, dat ontwikkelaars helpt kwetsbaarheden vóór te zijn, zeker een stap in de goede richting is. Dit soort hulpmiddelen zijn onontbeerlijk om adequaat zicht te krijgen op de afhankelijkheden tussen open source softwarebibliotheken en de risico’s die hieruit voortkomen.

Intellectueel eigendom

Ook de onduidelijke intellectuele-eigendomsstructuur van open source is reden tot zorg. Zoals bijna alle software een opeenstapeling is van code afkomstig van diverse bronnen, is dit juist bij open source een complicerende factor. Wie commerciële software afneemt, is met één klik op de gebruikerslicentie van eventueel gedoe bevrijd.

Maar wie er zeker van wilde zijn dat er bij het gebruik van open source geen rechten worden geschonden, moest tot voor kort handmatig allerlei documentatie doorpluizen, omdat open source regelmatig op zogenaamde dual-licensed projects is gebaseerd. Sommige open source licenties verplichten organisaties die deze code voor hun project gebruiken het resultaat te delen met de community door de broncode openbaar te maken.

Broncode scannen

Als een organisatie voor een belangrijk deel gebruik maakt van open source software is het verstandig om met een scan van de broncode veiligheidsrisico’s in kaart te brengen. Frequente inzet van software composition analysis (SCA) kan hier een oplossing voor zijn. Daarmee verzeker je je ervan dat software die in ontwikkeling is of reeds wordt gebruikt, voldoet aan beveiligingsstandaarden, juridische vereisten én regulering.

METRI heeft in samenwerking met partner Cast een dienst ontwikkeld, die gebruik maakt van het product Cast Highlight. Deze SaaS-oplossing voert een scan van de broncode uit op applicaties die op open source gebaseerd zijn. De tool scant de werkelijke bron van de software die in gebruik is, en kijkt daarbij zowel naar compliance, kwetsbaarheden en verouderde code door de code te vergelijken met een enorme database van meer dan 20 miljoen open source componenten en 3 miljard file fingerprints.

Met deze informatie en check kan open source op een verantwoorde wijze een belangrijke rol blijven spelen in de vernieuwing van IT en digitalisering van de business.

Meer informatie over deze dienst en Cast Highlight.

Bedenk goed wat je met andermans data doet

GDPR: weer een afkorting waar we in het komende jaar meer dan ons lief is mee te maken krijgen. Wie is er verantwoordelijk voor het beveiligen van de gegevens? Ik, jij, wij, mijn leverancier, de dienstverlener of gewoon de eigenaar? En als ik het dan weet, hoe regel ik dat dan?

Na het lezen van de algemene richtlijnen van de General Data Protection Regulation (of AVG, de Algemene Verordening Gegevensbescherming) wordt al snel duidelijk dat iedereen die gezien kan worden als een verwerker van persoonsgegevens (iets wat kan leiden tot de identificatie van een persoon) verantwoordelijk is voor de uitvoering van de GDPR. Het delegeren van de activiteit verplaatst de verantwoordelijkheid hierover zeker niet. Bepaalde bedrijven worden zelfs verplicht om iemand aan te nemen die ervoor moet zorgen dat de persoonsgegevens volgens de regels beheerd worden. Deze Data Protection Officer (DPO) is dus voor bepaalde bedrijven een verplicht in te vullen vacature of rol. Maar ook de DPO is niet verantwoordelijk als de regels niet worden nageleefd. Het bedrijf dat de persoonsgegevens verzamelt is en blijft verantwoordelijk voor de uitvoering van de GDPR.

De zwakste schakel

De digitalisering van de westerse wereld stelt bedrijven in staat grote prestaties te leveren, diensten te optimaliseren en tijdslijnen enorm te verkorten. De kracht van IT is ook meteen de zwakste schakel. Burgers hebben geen invloed meer op het gebruik van persoonlijke informatie en gevaren liggen op de loer. Data wordt gestolen, wachtwoorden zijn zomaar openbaar en bedrijven nemen ongevraagd contact op. Vraag en aanbod lijkt steeds meer te gaan naar Aanbod en Afwijzing. Sociale media draaien de wereld om. Ik plaats een bericht zodat de hele wereld dit kan lezen. Het hebben van informatie om personen te bereiken is dus de toekomst. Alleen wil ik daar als individuele consument wel inspraak hebben in de manier waarop bedrijven met mijn persoonsgegevens omspringen. Een digitale NEE/JA sticker, maar dan ben ik als consument wel de eigenaar van de sticker.

De GDPR heeft als doel om de verwerking van persoonsgegevens meer aan banden te leggen. Consumenten krijgen meer inspraak en de eisen voor privacy en veiligheid worden strenger. In 2009 waren er al schattingen dat personen geregistreerd waren in 1000 bestanden. Dat was 10 keer zoveel als in 1989. Het moge duidelijk zijn dat dit aantal sterk nog veel meer is toegenomen in de afgelopen jaren. Al die bedrijven binnen de EU die over onze persoonsgegevens beschikken dienen vanaf mei 2018 te voldoen aan de GDPR.

Verantwoordelijkheid

Security wordt hiermee een steeds groter onderdeel binnen de IT. Het gaat allang niet meer alleen over het al dan niet verlenen van toegang voor specifieke gebruikers op geselecteerde onderdelen binnen de organisatie. Bedrijven koppelen zichzelf aan de wereld en creëren bewust openingen van buiten naar binnen de vestigingsmuren van een organisatie. Hiermee neemt de verantwoordelijkheid van bedrijven ook toe. Het beveiligen van gegevens doet zich voor op alle niveaus binnen een organisatie. Zowel binnen als buiten IT. Het controleren van alle mogelijke veiligheidsrisico’s is enorm belangrijk. Een van de grootste risico’s blijven we natuurlijk gewoon zelf. Bedenk dus goed wat je met andermans data doet.

Volg jij ons al?


Verbeter de IT-Security, begin bij jezelf

Wie geen virussen wil oplopen, kan de hele dag paracetamol slikken, een dikke muts en shawl dragen en niemand de hand schudden, om van kussen maar helemaal te zwijgen. Hij kan ook voor het eten en na een toiletbezoek zijn handen wassen. Zo werkt het ook bij IT-security. Het begint bij jezelf.

Voor METRI is security een belangrijk fenomeen. Wij bemiddelen al voor klanten die een beveiligingspartner zoeken maar we gaan binnenkort vaker en op meer security-aspecten benchmarken. Daar hoort bij: maturity, ofwel hoe volwassen is een organisatie en hoeveel impact heeft die volwassenheid (of het gebrek daaraan) op het securitybeleid? Voor veel organisaties is dat goed om te weten. Veel organisaties willen weten welke partij of welk middel ze het best kan beschermen tegen de gevaren van buitenaf.

Maar nu even onder ons: de beste partij die u kan helpen met de bescherming tegen alle online gevaren, dat bent u zelf. Ik hoef niemand uit te leggen dat er ontzettend veel bedreigingen zijn, net als in het echte leven. En je kunt je echt niet overal tegen beschermen. Misschien wel tegen veel, maar dan betaalt u wel torenhoge kosten. Vraag dat maar aan Geert Wilders.

Bedrijven die zich tegen alle mogelijke gevaren willen beschermen, wat een utopie is, kijken vaak bij de concurrenten of branchegenoten wat zij aan veiligheidsmaatregelen nemen. Intussen zijn er security-partijen die aan bangmakerij doen en niet kijken naar uw risico’s. Met als centrale boodschap: dek elk risico af! Prioriteit nummer één is echter: kijk goed hoe uw (bedrijfs-)informatie eruitziet; welke informatie moet u goed beschermen vanuit privacy-oogpunt of met het oog op bedrijfsgeheimen? Classificeer die informatie en bepaal welke risico’s er aan die informatie kleven en wat kunt u doen om dat alles te mitigeren?

Natuurlijk kun je aan de hand van een risicoprofiel, dat u door een specialist laat bepalen, middelen kopen en inzetten. Maar nogmaals, je kunt je niet overal tegen beschermen. Maar je kunt wel zelf maatregelen nemen. Om de parallel te trekken met het gewone leven: u eet en drinkt ook niet alles, toch? En u neemt toch ook een basis hygiëne in acht? Dat zou ook voor uw mensen moeten gelden als het om onlinegedrag gaat. En dan niet alleen binnen uw bedrijfsmuren, maar vooral erbuiten. Wat heeft u afgesproken met uw mensen die vaak buiten de deur werken? Hoe gaan jullie om met phishing mails? Het is cruciaal dat er bewustzijn is als het gaat om internetgebruik. Daar begint alles. Doordring uw mensen ervan dat datgene wat zij buiten het bedrijf doen een potentieel gevaar is voor het bedrijf. Dat criminelen met phishing via hun mailaccount uiteindelijk bij bedrijfsgeheimen kunnen komen? Wat dat betreft is een awareness-sessie van een halve dag een aanrader. Zodat ze weten: dit kan er gebeuren als mijn profiel zomaar rondzwerft op internet. Laatst keek ik met mijn dochter mee op Instagram. Zij is 14 en heeft haar account keurig afgeschermd. Goed opgevoed ja, u haalt de woorden uit m’n mond. Veel mensen weten echter niet eens dat je een account kunt afschermen. Eigenlijk zouden ze dat op scholen al moeten doceren.

Betekent het dat je door bewustzijn en het in acht nemen van een basishygiëne verder geen maatregelen moet nemen? Uiteraard niet. Maar voordat u een fort bouwt om het bedrijf, met gepantserde muren en kogelvrije vesten, kijk dan eerst wat uw mensen doen. Hoe gedragen zij zich? Denk na over te nemen maatregelen en het opstellen van protocollen, die voor iedereen gelden. Ofwel: was je handen voor het eten en na een toiletbezoek. En vraag aan de specialist wat je verder nodig hebt op basis van je risico-analyse.

Youp en de hackers: wees gewaarschuwd!

Youp van ’t Hek had het hok toch ook goed dicht gedaan? Zoals hij elke avond deed? En toch was Flappie verdwenen. Ik had mijn deur ook echt goed op slot gedaan, volgens de daarvoor geldende processen. En toch ben ik twee laptops en
een camera kwijt. En Sony en ASML zijn intussen gehackt. Hoe gaat u om met security in 2015?

Bij mij is er laatst ingebroken. Dat heeft mij best verrast, want ik heb een appartement dat nog maar drie jaar terug is opgeleverd. Dan ga je er toch vanuit dat alles veilig is. Klaarblijkelijk heeft de vooruitgang ook inbrekers bereikt en zijn de nieuwe methodes zo geavanceerd dat je niet kunt bouwen op de beveiliging van drie jaar terug. Ze komen zo je huis binnen, als je niet de allernieuwste spullen hebt om ze buiten te houden. Ik had, zo werd me later duidelijk, geen antikerntrekbeslag voor mijn slotcilinder, dat er voor zorgt dat dieven er niets in kunnen doen. Maar ik ben niet de enige die dat niet heeft, dit geldt voor 90% van de bevolking. Binnen een halve minuut waren ze binnengekomen, wist de politie me te verzekeren.

Maar ik ben niet de enige gedupeerde, ook bij Sony is ingebroken en zijn vijf nog uit te brengen speelfilms gehackt. En AMSL werd gehackt door, naar verluidt Chinese legereenheden. Van zulke bedrijven verwacht je toch dat ze hun zaakjes goed op orde hebben, dat ze op z’n minst de virtuele versie van antikerntrekbeslag in huis hebben. Het probleem is: je weet als bedrijf gewoon niet of je alles wel goed op orde hebt. Wat vandaag werkt, is morgen al weer achterhaald. Bedrijven verdiepen zich in de materie, stuiten op ingewikkelde diensten en termen als SIEM, SOC, PKI, Access en Token authentication en zoeken snel een specialist die ze kan adviseren op het gebied van security. Vaak komt die vraag terecht bij een bedrijf dat security-diensten ook levert en die zegt natuurlijk dat u ze allemaal moet hebben. Als ik voor mijn huis morgen naar een beveiligingsexpert ga, moet ik ook ineens van alles aanschaffen. Bij hem, uiteraard.

Zorg er dus voor dat je in zee gaat met een objectieve partij. En laat bijvoorbeeld eens in het kwartaal of halfjaar een goede check doen. Dat is echt noodzakelijk, want er gebeuren zoveel nieuwe dingen, er zijn op dit gebied zoveel nieuwe ontwikkelingen, dat is voor bedrijven zelfstandig niet bij te houden.

Security is binnen het bedrijf vaak een zaak van een afdeling binnen de onderneming en een leverancier. Naast die twee moet één onafhankelijke partij de veiligheid toetsen en de security-afdeling dus challengen en dat gebeurt te weinig. Voor je het weet ben je aan de beurt. En je merkt er niets van, het gebeurt geruisloos op een onbewaakt moment. Net als bij mij thuis. Veel bedrijven doen een jaarlijkse audit, maar daarin wordt voornamelijk gekeken of alles procesmatig goed zit. Ik kan u vertellen: bij mij thuis zat het procesmatig ook goed. De deur was dicht. En op slot. En toch ben ik alles kwijt. Gelukkig snapt Obama het wel. Wees gewaarschuwd!