TERUG NAAR OVERZICHT PUBLICATIES

Wie heeft uw software geschreven?

Stagiares en lage lonen productie landen

Een publicatie van: dhr ing Robin Louwerse

Het is heel verleidelijk om een website of app in Aziatische landen als India of dichterbij de Baltische staten te laten ontwikkelen. Of dichter bij huis, een schoolverlater of stagiaire een aanpassing te laten maken aan de website.

Negen van de tien keer niets aan de hand. Maar een klein dingetje over het hoofd zien en het heeft mega gevolgen. Het gebruik van Wordpress en Joomla en meer van dat CMS geweld leidt er toe dat de gebruiker geen benul heeft van hoe het CMS pakket werkt. Je moet het kunnen bedienen en daarmee eindigd de kennis. Zo moeten voor het toevoegen van afbeeldingen bepaalde mappen bepaalde rechten hebben.

Stel even dat de map /wp-content/uploads/ de rechten heeft om bestanden te mogen uploaden. En stel even dat die security door de stagiare is ingericht. Grote kans dat de schrijfrechten een beetje ruim zijn toegekend.

Omdat iedereen weet dat die rechten een dingetje kan zijn zal een aanvaller proberen of er vanaf afstand geschreven mag worden naar die directory. Vervolgens kan een bestand als Marvins.php in de directory worden geplaatst. Marvins is een PHP webshell, die de directory scant en op de gevonden bestanden en mappen zichzelf rechten kan toekennen. Vervolgens heeft de aanvaller rechten op alle bestanden en mappen op het systeem van de website. De aanvaller kan dan directory lijst opvragen, rechten op bestanden aanpassen, bestanden toevoegen en verwijderen. Het is dan ook mogelijk, om bestanden toe te voegen, als iedereen slaapt, en die weer weg te halen als we weer wakker zijn.

Wat merk je daar van? Nou, eigenlijk helemaal niets. Zeker niet als de aanvaller er subtiel mee omgaat. Waar het uiteindelijk om te doen is is om een server aan te vallen en ermee gaan spammen. Het is bovendien ook nog eens heel makkelijk om de config bestanden van je database te vinden en adressenlijsten op te vragen. Daarnaast kunnen aanvallers je bestanden zien en bedrijfsvitale gegevens buitmaken.

Het aanvallen houdt daar niet op. Op een Wordpress website kunnen reacties worden geplaatst. Die reacties kunnen onder bepaalde omstandigheden javascript bevatten. Daarmee kunnen gegevens van de gebruiker worden gestolen.

Het is dus bij mainstream CMS systemen extra opletten, omdat deze wereldwijde bekendheid hebben over de innerlijke werking van de systemen.

Zo was het jarenlang mogelijk om een lijst met Wordpress gebruikers op te vragen via het admin paneel. En als je de gebruikernaam al kent kan je proberen om het wachtwoord te vinden door eindeloos combinaties uit te proberen. Op een webserver systeem is meestal wel fail2ban geinstalleerd, maar je wordpress is gewoon een webpagina. Fail2ban zal daar niet standaard op reageren. Het is uiteraard wel mogelijk om daar een plugin voor te installeren waarmee je je Wordpress en Woocommerce beschermd, maar het is wel een extra stap waar een stagiaire niet meteen aan zal denken.

En dan het outsourcen nog even aanhalen. Wanneer je software outsourced dan moet je zelf de specificatie maken. En in India doen ze alleen dat he! Die gaan zelf niet nadenken over verbeteringen aan je specificatie. Daarbij zal die spam en oplichtingsfabriek gewoon in hetzelfde pand gehuistvest zijn als die software productie maatschappij.

Een goede specificatie is dus heel belangrijk. Het afschermen van directories, inlogpogingen limiteren en IP adressen bannen is een vak apart.

Denk nog even met me mee. Ik kan alle IP adressen in Nederland achterhalen aan de hand van de IP ranges. Daarmee kan ik een server aanvallen en uitgaande van standaard practices voor Fail2Ban een te hoog aantal pogingen doen vanuit alle IP adressen in de range. Daarmee heb ik een denial of service uitgevoerd. Alle IP adressen zijn gebanned. Het is even wat werk, maar technisch kan het. Daarom zal de technische specialist fail2ban incremental inrichten. Immers de reguliere gebruiker moet ook een foutje kunnen maken.

Let dus even op als je een online productie door een stagiaire of outsource partij laat ontwikkelen. En mocht je tijdens het maken van een backup een melding van je anti virus krijgen dat er een PHP bestand als malware wordt aangeduid, even wakker blijven. Marvins.php kan natuurlijk ook gewoon een andere naam hebben om minder op te vallen.

Heb je zelf security vragen met je online productie? Heb je last van SPAM of wordt er SPAM gestuurd vanaf je e-mail server? Of heb je geen idee? Dan is het wellicht verstandig om even een expert een onderzoekje te laten doen.

Voorkomen is beter dan genezen!

 


Heeft u vragen? Neemt u dan vrijblijvend contact met ons op. Wij helpen u graag verder.

Neem vrijblijvend contact op via onderstaand formulier

Via het contact formulier aanvraag gratis consult kunt u contact opnemen met de auteur van de publicatie. Het contact opnemen is gratis en verplicht u tot niets. De specialist zal zelf aangeven vanaf wanneer de kosten gaan lopen en wat deze kosten zijn. Het beste kunt u de met de specialist afgesproken kosten laten vastleggen in een email of een offerte. Volgens de algemene voorwaarden van dit platform houdt onze dienstverlening daar op. Wij zullen je wel vragen het contact met de specialist te waarderen door middel van een e-mail met daarin 3 vragen. Hoe waardeer je het (professionele) contact met de specialist, hoe waardeer je het contact inhoudelijk op het gebied van kennis van zaken, hoe waardeer je de snelheid van handelen / leveren van de specialist. Deze drie scores houden wij bij op de profielpagina van de specialist in een anomiem gemiddeld cijfer / score voor deze specialist zodat anderen er gebruik van kunnen maken. Wij stellen uw feedback dan ook erg op prijs.

Fleximaal.com meer klanten, beter online krachtiger ondernemen.
Software Development I3C Basecode Breda
uitgelicht
Basecode

Software onwikkeling sneller en goedkoper door modulair maatwerk. Op maat voor uw proces door onze software developers.

Basecode Software en AI

Fleximaal.com de ontbrekende schakel voor bedrijven.

Visitors

14.935

Pages served

2.142.452

Retention

10.5 min

Interactions

15.810

Updated 30-05-2024

Waarom fleximaal?

Zichtbaar & Vindbaar in Google

Je eigen website hoger in Google door collectieve SEO.

Snellere lancering nieuws

Dagelijks nieuwe content. Hoger in Google.

Extra marketing kanaal

Maandelijks tienduizenden bezoekers. Hoge retentie. Leads via je content.

Laagdrempelig in contact met je doelgroep

Voeg spelvormen (gamification) toe om drempels te verlagen en het eerste contact makkelijker te maken.

Marketing terwijl je werkt voor je klanten

Marketing automatisering voor MKB.

Marketing speeltuin voor ondernemers en marketeers

Wat werkt en wat werkt niet in je marketing, je test het snel met Fleximaal gesprinte marketing.

Competentie management en verbindingsmakelaar

"On the go" leren door modulair maatwerk.

Sneller schakelen workforce

Sneller schakelen, sneller schalen. Vacatures en detachering.

Leeds en projecten

Gaten in je cashflow? Doe mee aan projecten.