Hackers azen op websites

6 februari 2009
Dat blijkt uit een rapport van IBM’s beveiligingslaboratorium X-Force. In het zogeheten 2008 X-Force Trend and Risk-rapport stellen de onderzoekers vast dat bedrijven voor hun websites ofwel standaardsoftware gebruiken die vol zit met beveiligingslekken of dat men werkt met maatwerkapplicaties die op hun beurt ook fouten bevatten. Extra complicerend is dat in die zelfgebouwde software patches nog veel moeilijker zijn toe te passen dan in de standaardsystemen. Uit het onderzoek blijkt dat meer dan de helft van de zwakke plekken die vorig jaar zijn gevonden, zich in webapplicaties bevindt. Bijna driekwart daarvan is niet gepatcht.

Criminelen richten zich zo intensief op webapplicaties omdat ze via websites sneller machines van eindgebruikers kunnen infecteren. Bezoekers van de bedrijfswebsites zijn hun feitelijke doelwit, niet de sites die ze infecteren.
Hackers maken voor hun doeleinden nog steeds volop gebruik van de inmiddels tien jaar oude technologie van SQL-injecties. Hierbij kunnen hackers kleine kwaadaardige scripts plaatsen op een database die informatie geeft aan de website. Zodoende wordt malware geplaatst op kwetsbare websites. Hoewel deze technologie al door en door bekend is – en de remedie ook – kan hij nog steeds volop gebruikt worden door de vele zwakke, ongepatchte plekken in de webapplicaties. Het gebruik van geautomatiseerde SQL-injecties is vorig jaar zelfs met ruim 130 procent toegenomen.

Daarmee is het bij de criminelen populairder dan cross-site scripting (XSS). Dat is voor hen minder lucratief, omdat cross-site scripting slechts voorziet in cookiediefstal, waarmee aanvallers toegang krijgen tot rekeningen van een slachtoffer op de getroffen website. SQL-injecties leveren veel meer informatie op.
In totaal nam het aantal gepubliceerde beveiligingslekken in 2008 met 13,5 procent toe tot 7406 stuks. Gunter Ollman, topman van IBM’s X-Force, benadrukt dat dit alleen de gepubliceerde lekken zijn. Het lijdt volgens hem weinig twijfel dat er “veel, veel meer zwakke plekken ontdekt zijn in 2008 die niet bekend zijn gemaakt en die waarschijnlijk ook nooit bekendgemaakt zullen worden.”

Daarvan is 19,4 procent te vinden in besturingssystemen. Opmerkelijk is dat het als zo veilig beschouwde Apple met OS X Server en OS X van alle besturingssystemen juist de meeste bekendgemaakte lekken bevat. Beide zijn goed voor 14,3 procent van de gevonden lekken. Apple staat al drie jaar in de top vijf van besturingssystemen van IBM’s X-Force naar het aantal lekken. Dat het bedrijf toch zo’n veilig imago heeft weten te behouden, heeft vooral te maken met het nog altijd veel kleinere marktaandeel dan dat van Microsoft. Daardoor was het tot voor kort niet aantrekkelijk genoeg voor criminelen om grootscheepse aanvallen op Apple­-software te lanceren.
Linux Kernel en Sun Solaris leveren respectievelijk 10,9 en 7,3 procent van de beveiligingslekken. Microsoft, dat zo vaak beschimpt wordt om zijn vermeende onveilige software, komt pas op de vijfde plaats, met Windows XP, dat goed is voor 5,5 procent van de lekken.

Voor ruim de helft van de lekken die in 2008 zijn gevonden, was eind december nog geen patch beschikbaar. Ook veel kwetsbare plekken uit 2006 en 2005 waren toen nog niet gedicht. Voor de kwetsbaarheden uit 2006 was eind december vorig jaar voor 46 procent nog geen patch voorhanden van de leverancier. Dat geldt ook voor 44 procent van de lekken uit 2007.

Beveiliging lijdt onder kredietcrisis
Steeds vaker komt vertrouwelijke informatie op straat te liggen. KPMG, dat hier onderzoek naar heeft gedaan, wijst met de beschuldigende vinger naar de kredietcrisis. “In het laatste kwartaal van 2008 waren er net zoveel incidenten als in de eerste negen maanden. Er is dus een explosieve stijging, wat mede komt door de financiële crisis”, zegt onderzoeker Peter Kornelisse van KPMG IT Advisory.

Wereldwijd waren er vorig jaar 427 grote incidenten waarvan 83 miljoen mensen slachtoffer werden. “Er worden steeds meer ICT-systemen gebruikt en steeds meer gegevens getransporteerd. Zonder maatregelen zullen we in 2009 nog meer ellende meemaken”, aldus Kornelisse. Dit jaar dreigen meer dan 190 miljoen personen het slachtoffer te worden van openbaarmaking van vertrouwelijke informatie.

Directe en indirecte kosten omhoog
De kosten van datadiefstal zijn in 2008 met 2,5 procent gestegen tot 202 dollar per bestand. Dat heeft het Amerikaanse onderzoekbureau Ponemon Institute becijferd. Dat bedrag bestaat uit directe kosten voor het verlies van de data.
Daarnaast zijn in dit bedrag kosten verdisconteerd voor onder meer het waarschuwen van slachtoffers, de inzet van informatieve telefoonlijnen, voor onderzoek, administratie en juridische kosten.

Terwijl tegelijkertijd computer­criminelen hun aanvallen intensiveren, zijn nog altijd de meeste gevallen van dataverlies te wijten aan slordigheid.
Daarnaast zorgt de groei van het gebruik van draagbare media voor een toename van het aantal data­verliesincidenten.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!