ICT beveiligers vertonen zelf vaak ook lekken
Haarlem, 30 januari 2001Na bijna 2 maanden geleden een onderzoek te hebben gedaan naar ICT organisaties die beveiligingsdiensten en producten leveren, maken we bij deze het rapport openbaar.
Wij gaan er van uit dat bedrijven afdoende beveiligingsmaatregelen hebben kunnen treffen, zeker gezien het feit dat er een lijst is gepubliceerd die gebaseerd was op een eerdere versie van ons onderzoek. Afgezien hiervan mag je er van uit gaan dat bedrijven die informatiebeveiligingsdiensten leveren, zelf niet gevoelig zijn voor gaten die al ruim 6 maanden bekend zijn.
PERSBERICHT:
ICT dienstverleners die informatiebeveiligingsdiensten en/of producten leveren zijn vaak zelf ook lek. Zij zouden veel meer aandacht moeten besteden aan de informatiebeveiliging in hun eigen organisatie. Dit is de voornaamste conclusie van een onderzoek dat HIT2000 informatiebeveiliging eind 2000 heeft verricht onder 98 ICT beveiligingsbedrijven, die hun diensten en/of producten in Nederland aanbieden.
ICT beveiligingsbedrijven zullen in de nabije toekomst een belangrijke rol gaan
spelen in het beveiligen en veilig houden van infrastructuur die zich in
Nederland bevindt. Om die reden is het te verwachten dat zij op termijn een zogenoemde
highprofile target worden - plek/onderdeel die door cybercriminelen als eerste worden
getarget. Cybercriminelen gebruiken zo'n plek als opstap om het einddoel
te bereiken - b.v. het doorbreken van beveiliging van een klant van zo'n
bedrijf.
Slechts 49 procent van de onderzochte sites was duidelijk afdoende beveiligd
tegen de in ons onderzoek gebruikte methode, de overige 51 procent waren
overtuigend lek.
Het is treurig om te zien dat ICT beveiligingsbedrijven zelf ook nog niet
goed doorhebben hoe zij hun eigen infrastructuur moeten beschermen. Veel bedrijven
downloaden hun patches en
informatie omtrent beveiliging bij zulke bedrijven.
Cybercriminelen hoeven, na het aanleggen van een profiel, eenvoudigerwijs slechts
op een paar plekken patches te voorzien van Trojaanse paarden, of
beveiligingsadviezen dusdanig te manipuleren dat men - de ICT
beveiligers/systeembeheerder - er onbewust een lek/omstandigheden genereert
waarbij doorbreken van beveiliging wel mogelijk is, zodra men die
informatie gaat toepassen.
Aangezien de bedrijven die genoemd zijn bij meer dan 75 procent van de
organisaties producten of diensten hebben geleverd, lijkt het ons dat men
direct met deze informatie aan de slag dient te gaan, om te voorkomen dat
cybercriminelen deze highprofiles gaan gebruiken om hun doelen te bereiken.
Ook is het opmerkelijk te noemen dat de website van 's wereld grootste encryptie technologie leverancier -RSA security- ook lek is, de gevolgen zijn niet te overzien indien hier foutieve informatie of patches/try-out software te downloaden is die voorzien is van Trojaanse paarden.
Wij zijn zeer geschrokken van de resultaten van ons onderzoek, zeker gezien
het feit dat vele organisaties in onze ogen zeer nalatig zijn geweest, en
kennelijk niet capabel zijn om fouten die al langer dan 6 maanden bekend
zijn, en waarvoor meerdere malen is gewaarschuwd en waar nota bene een patch voor
uitgegeven is, op te lossen.
Indien dit kenmerkend is voor het niveau van informatiebeveiliging in
Nederland van sommige organisaties, houden wij ons hart vast over de
mogelijke beveiligingsadviezen en oplossingen die deze organisaties overal
in ons land hebben geleverd.
Ook is het opmerkelijk te noemen dat er geen enkele beveiligingslek is gevonden
bij bedrijven die hackers in dienst hebben. Kennelijk beschikt men daar wel
over de juiste mentaliteit om de hoogste mate van beveiliging, ook voor
eigen organisatie, na te streven.
HIT2000 informatiebeveiliging is een bedrijf dat zijn oorsprong heeft in de
Nederlandse hackers scene.
Nadat er 2 evenementen werden georganiseerd Nederlandse Hackers Meeting in
1998 (NHM'98) en HIT2000 in 1999 zijn er vele bedrijven geweest die ons
verzochten hun beveiliging te onderzoeken.
In het begin kon dit nog dit wel op vrijwillige basis, wij vonden het leuk om te doen.
Maar na verloop van tijd werd het aantal aanvragen te
groot en was het niet meer mogelijk om dit op
vrijwillige basis te blijven doen, gezien het tijdsaspect. Na interne overleg is toen besloten om onze
diensten tegen vergoeding te leveren.
Ondertussen is HIT2000 informatiebeveiliging wereldwijd bekend en staat zij
bekend om haar technische kennis en de vele door haar medewerkers ontdekte
fouten in software en organisaties.
Meer geschiedenis vindt u op onderstaande URLs:
http://www.hit2000.org/media
http://viper.dmrt.com/files/=Hit2000/Media/1998/