Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Krijn Soeteman

Freelanceredacteur

CoronaMelder: privacy en veiligheid

Audits, pentests en meer

Pentests en audits

Een interessant werkveld dat de laatste jaren steeds vaker overal wordt ingezet, is de penetratietest of pentest. Door het werk dat verzet is rond de CoronaMelder is gebleken dat rond deze tests eigenlijk helemaal geen helder testbeleid bestaat. Het vakgebied is gegroeid vanuit de white hat-hackers die gevraagd en ongevraagd kijken of ze bij bedrijven en instellingen in kunnen breken. De Winter zegt dat het erg lastig is dit soort tests goed te vergelijken en dat vaak genoeg heel basale beveiligingsfouten over het hoofd gezien worden. Een van de dingen die nu zijn ontstaan door de werkzaamheden rond de CoronaMelder is een verifieerbaar systeem dat hopelijk breder zal worden ingezet.

“Er zijn wel degelijk standaarden”, zegt De Winter. “Maar die moeten wel worden toegepast. Dat moet je dus als klant kunnen vragen.” Hij doelt hiermee op de zogenaamde PTES of penetration testing execution standard. Bij verslaglegging van de tests moet heel helder zijn wat getest is, wat het resultaat is en hoe de onderzoeker kwam tot het resultaat. De belangrijkste zaken zijn het vastleggen van het moment van de test, de gebruikte versie van een systeem, en dat vervolgens wordt gekeken of dit probleem mogelijk al opgelost is in een nieuwe versie. Op die manier was bijvoorbeeld de zichtbaarheid van een melding bij GGD-medewerkers nooit als probleem aangewezen. Toch begrijpt De Winter het wel: “Er is een hoop emotie rond de app, waardoor zelfs de kleinste dingen een groot verhaal kunnen worden.” Hij hoopt dat het de ministeries niet huiverig maakt in de toekomst zo open te werk te gaan als met dit project.

Een voorbeeld van zo’n pentestonderdeel bij CoronaMelder is een check van een van de pentesters NFIR. Zo wordt er melding gemaakt van het feit dat er geen jailbreak-detectie aanwezig is. Het advies is dit soort detectie toe te passen, terwijl het juist een bewuste keuze van de makers is dit niet te doen. Je moet immers kunnen controleren wat de app doet en daar heb je soms een jailbreak bij nodig. Ook stelde NFIR vast dat de host onveilige TLS-versies ondersteunt, iets dat door de ontwerpers verwacht was. Om dit probleem te omzeilen, wordt gebruikgemaakt van hardware security-modules, wat technisch veiliger is. In totaal had NFIR 25 bevindingen waarvan het gros is opgelost.

Audits

Een andere tak van sport zijn audits. Binnen de ict zijn die wat anders dan de bekendere financiële audits waar banken de afgelopen tijd veelvuldig mee te maken kregen. IT-audits zijn bedoeld om te onderzoeken of de achterliggende infrastructuur op orde is. Voorheen heette dat electronic data processing-auditing. Belangrijke onderdelen in dat proces zijn openheid van de bron, met wat voor andere systemen contact gemaakt wordt en wat daarover bekend is, dat de financiële wirwar transparant moet zijn en ook heel duidelijk is wat de eisen zijn van een audit. Vervolgens maakt de auditor een rapport, hij is geen politieagent. Het is de bedoeling dat de auditor adviezen geeft of het beter kan en er moet wederhoor plaatsvinden over de vraag of er een specifieke reden is om iets wel of niet te doen.

Een groot verschil tussen een audit en een pentest is dat de auditor ook wil weten of bijvoorbeeld het datacenter aan de eisen voldoet. De pentest kijkt alleen naar de applicatie zelf en of die geen kwetsbaarheden vertoont. Dat was ook de reden waarom in eerste instantie servers van de Belastingdienst werden gebruikt voor het opslaan en verspreiden van de anonieme codes van besmette mensen: deze servers worden als zeer goed getest beschouwd. Om alle vormen van mogelijke belangenverstrengeling tegen te gaan, is uiteindelijk besloten servers van CIBG te gebruiken, onder beheer van KPN.


Microsoft Xbox Series X LG CX Google Pixel 5 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True