Beheer

Security

Sites met veiligheidskeurmerk blijken juist onveiliger

5 december 2014
Onderzoek naar de kwaliteit van dure veiligheidskeurmerken gaf een onthutsend resultaat: In veel gevallen zijn deze sites kwetsbaarder dan een controlegroep.

De certificaten komen van een tiental IT-beveiligingsbedrijven waaronder Symantec, McAfee, Trust-Guard, en Qualys die daar tot meer dan 2000 dollar per jaar voor vragen. Om het certificaat te mogen tonen moet de organisatie een periodiek scan van de beveiliging en het beheer van de site met goed resultaat doorstaan. Het doel is de bezoeker het vertrouwen te geven dat de betreffende site aan de geldende beveiligingsstandaarden voldoet en dat het dus veilig is daarop zaken te doen.

Een onderzoek, uitgevoerd door de Katholieke Universiteit Leuven en Stony Brook University in New York, geeft aan dat de periodieke scans ernstig tekort schieten. Zowel in de zorgvuldigheid van de scans als het aantal kwetsbaarheden waarop wordt gezocht zijn ondermaats. "Wij hebben verschillende rudimentaire kwetsbaarheden in websites gevonden die het veiligheidscertificaat bezitten. We hebben aangetoond dat website die dergelijke certificaten niet beter de standaard veiligheidsmaatregelen in acht nemen dan sites die zo'n certificaat niet hebben", zeggen de onderzoekers in hun wetenschappelijk artikel dat werd gepubliceerd door securitee.org.

De onderzoekers hebben zelfs een nieuwe aanvalsmethodiek bedacht waarbij een specifiek veiligheidscertificaat juist adverteert op welke kwetsbaarheden niet wordt gescand, wat een hogere slaagkans voor criminelen oplevert.


Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.