Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Core » Wetenschap » 'Onderschat veiligheidsproblemen bij XML niet'

'Onderschat veiligheidsproblemen bij XML niet'

Door Tamara van Hal, dinsdag 30 maart 2004 14:09
Bron: ZDNet, views: 13.238

Nu XML steeds meer gebruikt wordt door bedrijven om hun informatie te delen, waarschuwen analisten dat het bedrijfsleven zich nog niet genoeg bewust is van de gevaren van de opmaaktaal. Veiligheidsanalist John Pescatore denkt dat XML een aantal nieuwe veiligheidrisico's met zich meebrengt, maar dat ook een aantal oudere gevaren voor last kunnen zorgen. Op ZDNet lezen we dat de risico's van het XML-gebruik op dit moment beperkt zijn, omdat de webservices die gebruik maken van de extensive markup language vaak enkel te gebruiken zijn door medewerkers van het bedrijf zelf en door vertrouwde derde partijen. Zo gauw het XML echter meer gebruikt gaat worden tegenover de onbekende klant, is het van belang zeker te weten dat de boel erachter goed beveiligd is.

De gevaren stoppen namelijk niet bij het simpelweg platleggen van een website, maar via het bedrijfsnetwerk en de gebruikte applicaties met XML kan een kwaadwillende zijn handen leggen op gevoelige bedrijfsinformatie. Beveiliging tegen XML-aanvallen zijn moeilijk, mede doordat XML-berichten verpakt zijn in een IP-pakketje dat door de firewall wel wordt gescand maar waarbij niet bewust naar de inhoud van het pakketje wordt gekeken. Ook is het mogelijk om met XML een DDoS-aanval uit te voeren, waardoor een wellicht belangrijke netwerkserver op z'n gat gaat. Op dit moment zijn hackers nog niet zo bezig met het aanvallen van XML-doelen, onder andere doordat deze nog vrij weinig gebruikt worden.

Virus / worm / veiligheidslek / security / hackersBovendien is voor het hacken van XML-targets veel kennis nodig, waardoor de gemiddelde scriptkiddy niets kan beginnen en de schade vooral wordt veroorzaakt door professionele getrainde hackers. Analisten waarschuwen bedrijven nu dat ze moeten uitkijken naar gespecialiseerde XML-beveiligingsproducten en hun kennis over veiligheidsissues moeten verhogen. Men verwacht dat door stabielere en duidelijkere standaarden voor webservices de boel ook beter en makkelijker te beveiligen zal zijn.

Volgende 14:16 'Intel ontkent vertraging LGA775-processors'
Vorige 12:05 Muziekverkoop wordt niet beïnvloed door file-sharing
Advertentie

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 40 reacties zichtbaar400 Off-topic / Irrelevant: 39 reacties zichtbaar39+1 On-topic: 34 reacties zichtbaar34+2 Informatief: 16 reacties zichtbaar16+3 Spotlight: 5 reacties zichtbaar5
«  1  2  »

Door traviandus, dinsdag 30 maart 2004 14:11

Score: 3
XML is toch niets meer als een standaard manier om informatie door te geven. Als er vervolgens veiligheidsrisico's zijn, dan ligt dat toch aan de applicatie die die informatie interpreteerd en niet aan XML :?

Door riddles, dinsdag 30 maart 2004 14:14

Score: 3
Inderdaad... In het artikel staat gewoon dat als je data accepteert van "untrusted parties", dat dat gevaarlijk is. Het is mij niet duidelijk wat XML daarmee te maken heeft (in vergelijking met het uitwisselen van text, csv, html, edi bestanden of zelfs e-mail).

Door glashio, dinsdag 30 maart 2004 15:40

Score: 1
Wat is "gevaarlijk" ??

<XML>
<ACTION>explode<ACTION>
<TARGET>bomb</TARGET>
<LOCATION>random</LOCATION>
</XML>

dit sturen naar "xml.al-qaeda.org" ? }>

Door justice strike, dinsdag 30 maart 2004 17:19

Score: 2
nieuwe headline:

"TXT bestanden mogelijke bron van veiligheidsproblemen"

ja duh, zo kan ik er nog wel een paar :)

Door gustafa|IA, woensdag 31 maart 2004 15:08

Score: 1
zoiets als: "Computers vaak mogelijke bron van veiligheidsproblemen"? ;)

Door RM-rf, dinsdag 30 maart 2004 14:24

Score: 3
XML is niet enkel een statische taal, maar in zichzelf al een applicatie, die bepaalde standaard gedragingen van een document documenteerd:

de op security focus beschreven aanval betreft een External Entity Attack:
http://www.securityfocus.com/archive/1/297714

het betreft het includen van een <!ENTITY name SYSTEM "URI"> in de DTD.
op de plek van URI kan een verwijzing staan naar een lokaal programma op de server dat hier ge-initieerd kan worden, en dan uitgevoerd wordt met lokale berechtiging.

Een belangrijke tegenmethode moet zijn dat serverbeheerders ook goed zicht houden op welke parsing toegestaan wordt per service, of external entities worden meegeparsed of per applicatie worden beperkt.
Juist die extra belasting op de serverbeheerder, qua zicht op welke toestemmingen parsers hebben is het gevaar.

Door Weakling, dinsdag 30 maart 2004 15:51

Score: 3
DTD is geen XML, het is zelfs geen XML variant, maar de "ouderwetse" SGML manier om data te beschrijven.

De DTD interpreter zorgt ervoor dat er een veiligheidslek kan ontstaan door dit soort URI ongein, maar dat heeft niets met XML te maken.

XML heeft niet in zichzelf al een applicatie. Dat veel mensen DTD (ipv XSD, wat wel een XML variant is) gebruiken om een XML document te valideren staat daar helemaal buiten.

Door papmetklonten, dinsdag 30 maart 2004 14:15

Score: 0
waarom word er tegenwoordig zo weinig op veiligheid gelegd. We geven tegenwoordig steeds meer prijs op de computer. Maar de gemiddelde scriptkiddie kan overal inkomen. Ik wou dat er eens wat gedaan werd aan de beveiliging ipv steeds nieuwe produten op de markt te brengen.

Door Ximinez, dinsdag 30 maart 2004 14:28

Score: 1
Niet alleen tegenwoordig. Alleen door aandacht in de media en het toegenomen computer gebruik hebben het onder aandacht gebracht van het grote publiek.

Maar het probleem is niet zozeer een technische als wel een sociale. Ten eerste is er de wil om in te breken, waar vroeger kleine jongetjes een vuurtje gingen stoken gebruiken ze nu de computer. Maar vooral belangrijk is het ontbreken van de wil tot het beveiligen van gegevens een belangrijke factor. Mensen die nonchalant omgaan met bijv. hun portefeuille of autosleutels zullen achter de computer ook niet zorgvuldig omspringen met zaken die van waarde zijn.

Dat gedrag verander je niet door het beschikbaar stellen van beveiligingsproducten voor de computer in het algemeen. Ik ken genoeg mensen in mijn omgeving die geen wachtwoord op de computer instellen omdat zij dat lastig vinden. Ja dan kan je net zo goed je huissleutel in het slot laten zitten en dan wel aan de buitenzijde van de deur.

Het is een fact of live en daaraan zal weinig tot geen verandering in optreden.

Elke vorm van informatie uitwisseling op welk abstract niveau dan ook zal altijd veiligheidsrisico's met zich meebrengen. De vraag rijst wat acceptabel is en wat niet.

Door RetepV, dinsdag 30 maart 2004 15:29

Score: 2
Ik denk dat je ook eerlijk moet zijn en toe moet geven dat het voor veel mensen allemaal een beetje te snel gaat. Het gaat namelijk niet alleen om services bij bedrijven, maar ook bij de mensen thuis. XML parsing wordt door Microsoft tegenwoordig overal in gestopt.

De mensen thuis willen hun computer gewoon gebruiken, dus die kijken misschien ééns in de maand of er een update is (als ze al weten dat dat kan). Terwijl er minstens 3 security vulnerabilities per maand worden gemeld.

Als je software aan gewone mensen gaat verkopen moet je niet alleen aan je eigen portemonnaie denken, maar ook aan het feit dat voor die mensen hun computer niet het centrum van hun leven is. Dat vergeten ze bij Microsoft regelmatig, en ook bedrijven die client- en serverapplicaties maken denken daar vaak niet goed over na.

Hardstikke fout, natuurlijk, maar er is niemand die die bedrijven op hun vingers tikt.

Door Tha Man, dinsdag 30 maart 2004 14:16

Score: 1
Wat volgens mij ook nog speelt, jammer genoeg, is dat als Microsoft XML als haar eigen standaard gaat zien, er veel mensen zullen zijn die deze standaard onderuit proberen te halen. Dat slaat natuurlijk als een tang op een varken, maar dat zie je wel meer, zoals bij alle grote beveiligingslekken van microsoft. Ook toen Hotmail net was overgenomen door microsoft waren er ineens veel lekker snel gevonden terwijl die daarvoor natuurlijk ook allang aanwezig waren.

Ik denk dus dat het in ieder z'n belang is om XML goed te leren beveiligen, zodat niet een bedrijf hier schuldig aan wordt bevonden, al of niet dat ergens op slaat (dat laat ik wijzelijk in het midden ;))

Door Klaas Baas, dinsdag 30 maart 2004 14:24

Score: 1
Het is naar mijn idee gewoon de ontvangende applicatie die ellende moet afvangen.
Er is ook meestal gewoon een validatie of het wel een valid XML message is voor die app.

En dan nog, je moet de hele structuur van deze
XML opmaak kennen. En dan weten welk veld je leuk kan hacken ??

Bank transfer van persoon X naar mij :-) !!

Door Herko_ter_Horst, dinsdag 30 maart 2004 14:25

Score: 1
Vervang in het artikel "XML" door "ASCII" en het wordt duidelijk hoe ver de plank hier wordt misgeslagen.

Door TukkerTweaker, dinsdag 30 maart 2004 14:37

Score: 3
Dat ben ik niet met je eens, een ASCII bestand kan geintrepeteerd worden door een server maar de hacker kan nooit weten welke waarden de onderliggende applicatie toepast.
Bij XML loert het gevaar vooral in openbare dtd's of schema's.

Door Herko_ter_Horst, dinsdag 30 maart 2004 14:59

Score: 2
Beveiligingslekken door het op de een of andere manier interpreteren van gegevens gelden altijd. Je zult voor alle gegevens die je binnenhaalt of uitstuurt moeten kijken naar beveiliging (authenticatie, authorisatie, integriteit).

XML is wat dat betreft niet gevaarlijker dan ASCII, integendeel: juist omdat er gedefinieerd is hoe je XML moet lezen (en wat er dan gebeurd) ben je veel minder afhankelijk van de luimen van een specifieke applicatie die ongedefinieerde betekenis kan toekennen aan een willekeurige reeks ASCII-tekens.

Door kalizec, dinsdag 30 maart 2004 15:40

Score: 2
Als je je gegevens in XML ook van zinloze naamgeving voorziet is het voor een hacker echt niet makkelijker om XML te interpreteren dan ASCII of zo.

XML is niets anders dan een standaard om gegevens in op te slaan.

Als het nou een protocol zou gaan, dan had je het inderdaad zinnig over veiligheid kunnen hebben, maar de enige zinnige boodschap van dit artikel is: "Huidige implementaties van XML vaak onveilig." Of zoiets. Wellicht dat dit ook iets meer in het dit news-item naar voren gehaald kan worden?

Door Bugu, woensdag 31 maart 2004 08:22

Score: 1
Als je je gegevens in XML gaat voorzien van zinloze naamgeving, waarom dan nog XML gebruiken? Want bij de naamgeving stopt het niet: de waarden zelf kunnen immers ook nog geïnterpreteerd worden. Met andere worden: jij geeft hier een argument om gebruik te maken van binaire dataformaten, omdat die eerst gedecodeerd moeten worden (en ten opzichte van human-readable garbage XML toch echt alleen voordelen bieden).

Wat hier gewoon moet gebeuren is dat men zich niet zo richt op de berichten zelf (want ieder human-readable berichtenformaat is kwetsbaar), maar de beveiliging van (1) het communicatiekanaal, (2) de applicatie en (3) de host. Die berichten zijn immers in mum van tijd te encrypten zodat een eavesdropper er al niets meer mee kan. Waar het nu nog aan schort zijn goede beveiligingsmethoden voor Web Services (WS-Security ziet er veelbelovend uit). Daarbij zijn de nu actieve Web Services van een dermate "trial"-kwaliteit dat er nauwelijks aandacht is besteedt aan STRIDE en dus beveiliging van applicatie en host.

Door wumpus, woensdag 31 maart 2004 11:15

Score: 1
Uhh...

XML berichten kan je toch evengoed coderen? Desnoods base64-encode en wrap je het in <ENCRYPTEDTEXT> oid en je hebt weer XML

<ENCRYPTED METHOD="idea" KEYSIZE=10240 ARMOR="base64">
19239329988298321998332985954985439853543
5435435435435454343435435435435435435435435
43543543543543543543543543543543543543543543
4334354354354543543543543543543554543543543
</ENCRYPTED>

Leg mij maar es uit waarom dit onveiliger is dan een binary formaat .. (let wel, bij binary formaten kan je vaak met een hex editor gewoon de teksten binnenin lezen, en veel binary formaten zoals Word/Excel/etc.. hebben een manier om uitvoerbare macro's erin te zetten)
Je hebt hier encryptie verwar dit niet met obfuscatie wat binary formaten doen en geen enkele extra veiligheid oplevert..

Door miw, woensdag 31 maart 2004 09:33

Score: 1
Elke .BAT file is dus onschuldig want het bevat alleen maar ASCII teken?. Met een simpel script kan je heus veel schade aanrichten.

Door jandeb, dinsdag 30 maart 2004 14:25

Score: 1
Op dit moment zijn hackers nog niet zo bezig met het aanvallen van XML-doelen
na het lezen van dit bericht zijn er dus wel hackers mee bezig

Door Squee, dinsdag 30 maart 2004 14:32

Score: 1
Op dit moment zijn hackers nog niet zo bezig met het aanvallen van XML-doelen, onder andere doordat deze nog vrij weinig gebruikt worden.
Bovendien is voor het hacken van XML-targets veel kennis nodig, waardoor de gemiddelde scriptkiddy niets kan beginnen en de schade vooral wordt veroorzaakt door professionele getrainde hackers.
Dit vind ik wel een beetje een erg raar argument... het zal me niets verbazen als zo'n "professioneel getrainde hacker" binnenkort een tooltje schrijft voor een leuke XML hack waardoor de skriptkiddies alsnog volop "plezier" er aan kunnen beleven... :(

* 786562 Squee

Door n4m3l355, dinsdag 30 maart 2004 14:52

Score: 1
dit soort tools worden veel gepubliceerd dus misschien dat het toch wel wat complexer is dan dat het lijkt anders waren deze al langer makkelijk te vinden.
waarschijnlijk omdat je rekening moet houden met de verschillende vertexen en variabelen in de onderlinge velden en scripts die erin opgemaakt zijn.

Door RetepV, dinsdag 30 maart 2004 15:18

Score: 1
Het ontwikkelen van de atoombom was ook heel wat complexer dan het leek. Toch heeft iemand het voor elkaar gekregen en toen dat eenmaal zo ver was kon ineens iedereen het.

Iemand met verstand van zaken hacked de boel en vervolgens kan elke slome duikelaar ook hacken omdat hij alleen maar precies na hoeft te doen wat die hacker deed.

Een 'professionele' hacker zal geen XML targets aanvallen als hij er niets mee bereikt.

Kom op zeg, hackers worden niet anders gemotiveerd dan andere mensen. De meeste doen het voor de eer, een aantal voor het geld. Er is niemand die het doet omdat hij er toevallig zin in had. Een motief is er altijd.

Door wouter veltmaat, dinsdag 30 maart 2004 15:16

Score: 0
Zijn er uberhaupt opleidingen om 'hacker' te worden dan? Ik weet wel dat er bij informatie af en toe aandacht aan black/white hat hacking gegeven wordt maar om dat een hackers opleiding te noemen lijkt me iets overtrokken.

Door RetepV, dinsdag 30 maart 2004 15:23

Score: 0
Ik heb geen idee, maar als je bij een grote terroristenorganisatie aanklopt en zegt dat je hacker voor hen wil worden zullen ze je vast wel naar een kenniscentrum doorsturen en daar zullen ze je alles bijbrengen wat ze weten. En dat is dus de definitie van een opleiding.

Als je bij die andere terroristenorganisatie aanklopt, de CIA, dan zullen ze waarschijnlijk wel hetzelfde doen.

Door coubertin119, dinsdag 30 maart 2004 14:33

Score: 2
XML is een taal waarmee gegevens tussen applicaties uitgewisseld kunnen worden. Zulke gegevens moeten ook àltijd beveiligd worden. Zelfs al is het met .txt'tjes.

XHTML, MathML, SVG zijn allemaal op XML gebaseerde standaarden. Zijn ze daarom allemaal gevaarlijk?

Door Cybarite, dinsdag 30 maart 2004 14:53

Score: 0
En wat zijn nu precies de veiligheidsproblemen bij XML :? ?

Vaag zijn kunnen we allemaal, Prescatore.

Door RetepV, dinsdag 30 maart 2004 15:03

Score: 0
Sjongejonge. Ik roep dit al weer 4 jaar tegen mensen die de beslissingen nemen, maar nee hoor, 'XML is veilig'. En nu zijn ze er zelf ook achter blijkbaar.

Ik wordt er soms zo moe van hé, dat veel managers hun eigen ego ('stempel' noemen ze het) belangrijker vinden dan de uitspraken van een expert.

Zoals Gandalf zei: 'als je een gids tot je beschikking hebt ben je dom als je zijn uitspraken in twijfel trekt'. En met zulke managers moet Nederland een kenniseconomie worden...

Pfff, die hele kenniseconomie gaat hier niet lukken omdat de enige mensen met kennis ZO worden tegengewerkt dat ze uit zichzelf weggaan naar betere oorden.

Ga zo door, managend Nederland, jullie denken misschien dat je nationalist bent, dat je alleen maar het goede voor hebt met Nederland, maar je bent simpelweg *egoist*.

Zo, dat lucht in ieder geval op :).
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 14:16 'Intel ontkent vertraging LGA775-processors'
Vorige 12:05 Muziekverkoop wordt niet beïnvloed door file-sharing
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011