Wie heeft uw software geschreven?

Een publicatie van: dhr ing Robin Louwerse

Het is heel verleidelijk om een website of app in Aziatische landen als India of dichterbij de Baltische staten te laten ontwikkelen. Of dichter bij huis, een schoolverlater of stagiaire een aanpassing te laten maken aan de website.

Negen van de tien keer niets aan de hand. Maar een klein dingetje over het hoofd zien en het heeft mega gevolgen. Het gebruik van Wordpress en Joomla en meer van dat CMS geweld leidt er toe dat de gebruiker geen benul heeft van hoe het CMS pakket werkt. Je moet het kunnen bedienen en daarmee eindigd de kennis. Zo moeten voor het toevoegen van afbeeldingen bepaalde mappen bepaalde rechten hebben.

Stel even dat de map /wp-content/uploads/ de rechten heeft om bestanden te mogen uploaden. En stel even dat die security door de stagiare is ingericht. Grote kans dat de schrijfrechten een beetje ruim zijn toegekend.

Omdat iedereen weet dat die rechten een dingetje kan zijn zal een aanvaller proberen of er vanaf afstand geschreven mag worden naar die directory. Vervolgens kan een bestand als Marvins.php in de directory worden geplaatst. Marvins is een PHP webshell, die de directory scant en op de gevonden bestanden en mappen zichzelf rechten kan toekennen. Vervolgens heeft de aanvaller rechten op alle bestanden en mappen op het systeem van de website. De aanvaller kan dan directory lijst opvragen, rechten op bestanden aanpassen, bestanden toevoegen en verwijderen. Het is dan ook mogelijk, om bestanden toe te voegen, als iedereen slaapt, en die weer weg te halen als we weer wakker zijn.

Wat merk je daar van? Nou, eigenlijk helemaal niets. Zeker niet als de aanvaller er subtiel mee omgaat. Waar het uiteindelijk om te doen is is om een server aan te vallen en ermee gaan spammen. Het is bovendien ook nog eens heel makkelijk om de config bestanden van je database te vinden en adressenlijsten op te vragen. Daarnaast kunnen aanvallers je bestanden zien en bedrijfsvitale gegevens buitmaken.

Het aanvallen houdt daar niet op. Op een Wordpress website kunnen reacties worden geplaatst. Die reacties kunnen onder bepaalde omstandigheden javascript bevatten. Daarmee kunnen gegevens van de gebruiker worden gestolen.

Het is dus bij mainstream CMS systemen extra opletten, omdat deze wereldwijde bekendheid hebben over de innerlijke werking van de systemen.

Zo was het jarenlang mogelijk om een lijst met Wordpress gebruikers op te vragen via het admin paneel. En als je de gebruikernaam al kent kan je proberen om het wachtwoord te vinden door eindeloos combinaties uit te proberen. Op een webserver systeem is meestal wel fail2ban geinstalleerd, maar je wordpress is gewoon een webpagina. Fail2ban zal daar niet standaard op reageren. Het is uiteraard wel mogelijk om daar een plugin voor te installeren waarmee je je Wordpress en Woocommerce beschermd, maar het is wel een extra stap waar een stagiaire niet meteen aan zal denken.

En dan het outsourcen nog even aanhalen. Wanneer je software outsourced dan moet je zelf de specificatie maken. En in India doen ze alleen dat he! Die gaan zelf niet nadenken over verbeteringen aan je specificatie. Daarbij zal die spam en oplichtingsfabriek gewoon in hetzelfde pand gehuistvest zijn als die software productie maatschappij.

Een goede specificatie is dus heel belangrijk. Het afschermen van directories, inlogpogingen limiteren en IP adressen bannen is een vak apart.

Denk nog even met me mee. Ik kan alle IP adressen in Nederland achterhalen aan de hand van de IP ranges. Daarmee kan ik een server aanvallen en uitgaande van standaard practices voor Fail2Ban een te hoog aantal pogingen doen vanuit alle IP adressen in de range. Daarmee heb ik een denial of service uitgevoerd. Alle IP adressen zijn gebanned. Het is even wat werk, maar technisch kan het. Daarom zal de technische specialist fail2ban incremental inrichten. Immers de reguliere gebruiker moet ook een foutje kunnen maken.

Let dus even op als je een online productie door een stagiaire of outsource partij laat ontwikkelen. En mocht je tijdens het maken van een backup een melding van je anti virus krijgen dat er een PHP bestand als malware wordt aangeduid, even wakker blijven. Marvins.php kan natuurlijk ook gewoon een andere naam hebben om minder op te vallen.

Heb je zelf security vragen met je online productie? Heb je last van SPAM of wordt er SPAM gestuurd vanaf je e-mail server? Of heb je geen idee? Dan is het wellicht verstandig om even een expert een onderzoekje te laten doen.

Voorkomen is beter dan genezen!