X

Actueel

Als een rechter een beslissing maakt op basis van de bedoeling van een stuk wetgeving, in plaats van op basis van "de letter" van de wet, dan heet dat een teleologische interpretatie van de wet. Dat is nuttig, want wetboeken kunnen nooit alle details en nuances van situaties voorzien. Een gezond verstand helpt dan om geen fouten te maken. Een zelfde soort gezond verstand heb je nodig als het gaat om beveiliging van informatie.

Deze week was ik, zoals zo vaak, een webapplicatie aan het testen. Deel van de testcases was het onderzoeken van de deugdelijkheid van het login systeem. De eerste kwetsbaarheid was helaas snel gevonden.
Bij inlogpogingen met een ongeldige gebruikersnaam gaf het systeem een foutmelding in de vorm van "Ongeldige combinatie van inlognaam en wachtwoord."
Bij inlogpogingen met een geldige gebruikersnaam maar een ongeldig wachtwoord gaf het systeem een foutmelding in de vorm van "Er is een fout opgetreden. Wachtwoord en/of gebruikersnaam zijn niet correct."

Zie je de ironie? Als securitydeskundigen roepen al sinds mensenheugenis: "zorg ervoor dat aanvallers niet uit foutmeldingen kunnen afleiden welk deel van de inloggegevens onjuist was!" (Zie wat OWASP erover te zeggen heeft.) Onze klant heeft die "wet" letterlijk geprobeerd na te leven door in de formulering van de foutmelding geen informatie los te laten over of het nu de gebruikersnaam of het wachtwoord was wat niet klopte. Door in die twee gevallen twee verschillende (correcte, maar anders geformuleerde) teksten weer te geven, is het voor een aanvaller toch heel duidelijk wanneer hij of zij bij een brute force aanval een correcte gebruikersnaam heeft gevonden. Zou je hier een teleologische interpretatie van de betreffende security best practice doen, dan zou je zien dat het er om gaat dat de reactie van het systeem volledig het zelfde had moeten zijn bij inlogpogingen met foute gebruikersnamen als bij foute wachtwoorden.

Het wordt nog leuker. Na een handvol pogingen om in te loggen met een geldige gebruikersnaam, maar met een ongeldig wachtwoord, werd het betreffende account geblokkeerd. Bij elke nieuwe inlogpoging met een fout wachtwoord gaf het systeem de melding "Wachtwoord en/of gebruikersnaam zijn niet correct. Dit account wordt geblokkeerd voor de komende 60 minuten." Mijn collega en ik knikten elkaar goedkeurend toe. Ondanks de inconsistentie in de teksten van de foutmeldingen zou dit een aanval waarschijnlijk voldoende vertragen. Ik had echter nog niet gezien welke foutmelding het systeem gaf bij een inlogpoging met correcte gegevens terwijl het betreffende account geblokkeerd was: "Uw account werd geblokkeerd voor 60 minuten." Weer een inconsistentie! Volgens mij maakt deze fout het aanvalsscenario compleet. Een aanvaller kan eerst inlogpogingen doen met steeds een andere gebruikersnaam (en hetzelfde wachtwoord) om een lijst op te bouwen van geldige gebruikersnamen. Daarna kan de aanvaller per geldige gebruikersnaam een lijst met wachtwoorden proberen. Al snel zal het account worden geblokkeerd, maar het systeem geeft toch aan wanneer de aanvaller een geldige combinatie van gebruikersnaam en wachtwoord heeft gevonden. De aanvaller hoeft dan alleen maar te wachten tot het account (automatisch na een uur) weer bruikbaar wordt, en hij of zij is binnen.

Laten we met z'n allen proberen om teleologisch te blijven kijken naar beveiligingsmaatregelen.

Gerelateerd

Overzicht AVG-klachten 2018

Overzicht AVG-klachten 2018

Nu 2018 achter ons ligt, kunnen we terugblikken op het jaar waarin de AVG van kracht werd. In dit ar...

Lees verder >
Cybersecurity onderzoek in Nederland 2018

Cybersecurity onderzoek in Nederland 2018

Ook dit jaar heeft het NCSC een onderzoek gedaan naar de belangrijkste cybersecurity risico’s voor ...

Lees verder >
Website hardening tips

Website hardening tips

Iedere beheerder heeft (als het goed is) gehoord van hardening. Door services uit te schakelen en st...

Lees verder >
Over whitelisting...

Over whitelisting...

Soms vragen wij bij een security test om beveiligingsmaatregelen uit te schakelen. In dit artikel le...

Lees verder >
Handhaving AVG door Autoriteit Persoonsgegevens

Handhaving AVG door Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens lijkt de AVG handhavingsstrategie te volgen die het had aangekondigd ...

Lees verder >
Eat, sleep, learn.... repeat

Eat, sleep, learn.... repeat

De “nieuwe” wet Algemene Verordening Gegevensbescherming bestaat al enige tijd en voor veel organi...

Lees verder >

Op de hoogte blijven van ons laatste nieuws?

Regelmatig delen onze Business Area Managers nieuws vanuit hun domein van expertise. Wilt u op de hoogte gehouden worden van deze nieuwsitems? Schrijf u dan nu in voor onze nieuwsbrief.