X

Actueel

Als een rechter een beslissing maakt op basis van de bedoeling van een stuk wetgeving, in plaats van op basis van "de letter" van de wet, dan heet dat een teleologische interpretatie van de wet. Dat is nuttig, want wetboeken kunnen nooit alle details en nuances van situaties voorzien. Een gezond verstand helpt dan om geen fouten te maken. Een zelfde soort gezond verstand heb je nodig als het gaat om beveiliging van informatie.

Deze week was ik, zoals zo vaak, een webapplicatie aan het testen. Deel van de testcases was het onderzoeken van de deugdelijkheid van het login systeem. De eerste kwetsbaarheid was helaas snel gevonden.
Bij inlogpogingen met een ongeldige gebruikersnaam gaf het systeem een foutmelding in de vorm van "Ongeldige combinatie van inlognaam en wachtwoord."
Bij inlogpogingen met een geldige gebruikersnaam maar een ongeldig wachtwoord gaf het systeem een foutmelding in de vorm van "Er is een fout opgetreden. Wachtwoord en/of gebruikersnaam zijn niet correct."

Zie je de ironie? Als securitydeskundigen roepen al sinds mensenheugenis: "zorg ervoor dat aanvallers niet uit foutmeldingen kunnen afleiden welk deel van de inloggegevens onjuist was!" (Zie wat OWASP erover te zeggen heeft.) Onze klant heeft die "wet" letterlijk geprobeerd na te leven door in de formulering van de foutmelding geen informatie los te laten over of het nu de gebruikersnaam of het wachtwoord was wat niet klopte. Door in die twee gevallen twee verschillende (correcte, maar anders geformuleerde) teksten weer te geven, is het voor een aanvaller toch heel duidelijk wanneer hij of zij bij een brute force aanval een correcte gebruikersnaam heeft gevonden. Zou je hier een teleologische interpretatie van de betreffende security best practice doen, dan zou je zien dat het er om gaat dat de reactie van het systeem volledig het zelfde had moeten zijn bij inlogpogingen met foute gebruikersnamen als bij foute wachtwoorden.

Het wordt nog leuker. Na een handvol pogingen om in te loggen met een geldige gebruikersnaam, maar met een ongeldig wachtwoord, werd het betreffende account geblokkeerd. Bij elke nieuwe inlogpoging met een fout wachtwoord gaf het systeem de melding "Wachtwoord en/of gebruikersnaam zijn niet correct. Dit account wordt geblokkeerd voor de komende 60 minuten." Mijn collega en ik knikten elkaar goedkeurend toe. Ondanks de inconsistentie in de teksten van de foutmeldingen zou dit een aanval waarschijnlijk voldoende vertragen. Ik had echter nog niet gezien welke foutmelding het systeem gaf bij een inlogpoging met correcte gegevens terwijl het betreffende account geblokkeerd was: "Uw account werd geblokkeerd voor 60 minuten." Weer een inconsistentie! Volgens mij maakt deze fout het aanvalsscenario compleet. Een aanvaller kan eerst inlogpogingen doen met steeds een andere gebruikersnaam (en hetzelfde wachtwoord) om een lijst op te bouwen van geldige gebruikersnamen. Daarna kan de aanvaller per geldige gebruikersnaam een lijst met wachtwoorden proberen. Al snel zal het account worden geblokkeerd, maar het systeem geeft toch aan wanneer de aanvaller een geldige combinatie van gebruikersnaam en wachtwoord heeft gevonden. De aanvaller hoeft dan alleen maar te wachten tot het account (automatisch na een uur) weer bruikbaar wordt, en hij of zij is binnen.

Laten we met z'n allen proberen om teleologisch te blijven kijken naar beveiligingsmaatregelen.

Related

Cybersecurity onderzoek in Nederland 2018

Cybersecurity onderzoek in Nederland 2018

Ook dit jaar heeft het NCSC een onderzoek gedaan naar de belangrijkste cybersecurity risico’s voor ...

Read More >
De CMDB voor persoonsgegevens

De CMDB voor persoonsgegevens

Eerder hebben we op onze website aandacht besteed aan het nut en de noodzaak van een CMDB. In het li...

Read More >
To footprint or not to footprint?

To footprint or not to footprint?

Het kan heel nuttig zijn om footprinting mee te nemen in een security test. Maar soms kan het ook ti...

Read More >
Vest in tv-programma RTL Z How It's Done: Bekijk hier het fragment

Vest in tv-programma RTL Z How It's Done: Bekijk hier het fragment

Bekijk het How It's Done-fragment waarin Vest-oprichter en directeur Marc Hullegie aan het woord...

Read More >
Een datalek zit in een klein hoekje

Een datalek zit in een klein hoekje

De mogelijke effecten van het lekken van gevoelige gegevens kunnen inderdaad tegenwoordig flink verg...

Read More >
Senior Security Consultant gezocht!

Senior Security Consultant gezocht!

Wil jij graag verschil maken en je passie voor security in je dagelijks werk uitvoeren? Wil jij same...

Read More >

Op de hoogte blijven van ons laatste nieuws?

Regelmatig delen onze Business Area Managers nieuws vanuit hun domein van expertise. Wilt u op de hoogte gehouden worden van deze nieuwsitems? Schrijf u dan nu in voor onze nieuwsbrief.