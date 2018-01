De slechte beveiliging van veel zakelijke software kan sterk worden verbeterd zonder hoge kosten die gepaard gaan met de programmatische equivalenten van autogordels en airbags. Het Cyber Independent Testing Lab (CITL) bouwt een beoordelingssysteem dat openbare rapporten publiceert van duizenden softwarepakketten.

Beveiliging ongebruikt

Voormalig hoofd cybersecurity van DARPA en 10pht-hacker Peiter Zatko (ook bekend als 'Mudge') heeft het lab opgericht en een van de geldschieters is de Amerikaanse luchtmacht. Afgelopen december presenteerde hij de methodologie en eerste resultaten van CITL op hackerscongres CCC in Duitsland.

Tim Cartsens, directeur van CITL, noemt de huidige beveiliging van zakelijke software 'absurd'. "Op de enterprise-schaal heb je honderdduizenden binary's op verschillende plaatsen. Een fractie daarvan heeft recente beveiligingsfeatures en het meeste is zo gecompileerd dat die features niet worden gebruikt."

Testen op ASLR en DEP

Basale compile-time beveiligingsfeatures als ASLR en DEP zijn dan wel geen heilige middelen, ze zorgen er wel voor dat het werk van een aanvaller een stuk moeilijker wordt. De grote meerderheid van het laaghangende fruit dat malafide hackers te pakken krijgt, is niet meer beschikbaar met minimale middelen die door bedrijfs-IT'ers zonder hoge kosten kunnen worden ingezet.

"Op grote schaal zijn veel van de basale beveiligingsmiddelen niet aanwezig", vertelt Carstens. "Software van grote leveranciers heeft geen heap overflow-bescherming of stack execution-beveiliging en dit is software met een groot aanvalsoppervlak."

Om dit beter aan te pakken heeft de CITL een checklist van compile-time best practices op het gebied van security. "De hoofdvraag die we stellen aan softwareleveranciers is hoe ze hun eind-image bereiken", zegt de CITL-directeur. "Hoe ziet hun hun pre-release checklist eruit? Kijk naar compiler hardening-features als ASLR en dingen in die klasse."

Publiceren resultaten

Om leveranciers te stimuleren om beveiliging een hogere prioriteit te geven, is het CITL begonnen met het testen van duizenden publiek beschikbare binary's aan de hand van de checklist en de resultaten daarvan worden gepubliceerd als Consumentenbond-achtige rapporten. IT'ers kunnen deze rapporten gebruiken om kwetsbare plekken in hun infrastructuur te detecteren om zo betere software te eisen.

"Weet jij welke software er draait in je omgeving?" vraagt Carstens aan informatiebeveiligers. "Hoeveel weet je over die software? Zorg ervoor dat je een proces of programma hebt die je kunt aanzetten om de antwoorden op die vragen in te zien."

Hierna: Hoe ziet de CITL-checklist eruit?