Web 2.0: vele voordelen, maar doe het veilig

door Ella op 23 juli 2009

in Instrumenten, Web 2.0

Web 2.0-applicaties waarmee je eenvoudig samenwerkt, documenten deelt via het web of een sociale-netwerksite opzet, doen opgang. Gemakkelijk, overal beschikbaar en snel. Maar veiligheid is een groot goed. Daarom een inkijk in wat er kan met deze applicaties en wat de risico’s zijn. Bij deze een bijdrage van Govcert.nl / Waarschuwingsdienst.nl.

Wat is Govcert.nl?

Als ‘digitale waakhond van de overheid’, houdt GOVCERT.NL zich bezig met het voorkomen en afhandelen van ICT-gerelateerde incidenten. In de praktijk komt het erop neer dat we onze deelnemers (waaronder departementen, gemeenten, zbo’s en bedrijven uit de vitale sectoren) adviseren over hoe ze hun ICT-systemen zo veilig mogelijk kunnen houden. Daarnaast verleent GOVCERT.NL bijstand op het moment dat er al iets aan de hand is: in het geval van een virusuitbraak, bij uitval van systemen, een cyberaanval, et cetera.

Eén van de producten van GOVCERT.NL is het Trendrapport, een jaarlijks overzicht dat inzicht in trends en cijfers geeft op het gebied van cybercrime. Het trendrapport 2009 legt de vinger op een nieuwe trend in cybercrime. Deze trend is gericht op ‘cloud computing’: het toenemende gebruik van sociale netwerken en softwaretoepassingen die niet op de computer zelf draaien, maar op het web. Naast de vele voordelen, brengen deze toepassingen in bepaalde omgevingen ook grote risico’s met zich mee. Die risico’s gelden met name in bedrijfs- en overheidsomgevingen, waar met vertrouwelijke informatie gewerkt wordt.

Risico’s van ‘cloud computing’

De risico’s van ‘cloud computing’ die ik hierna schets gaan over de volgende informatiebeveiligingaspecten:

  • beschikbaarheid;
  • integriteit;
  • vertrouwelijkheid.

De risico’s hebben betrekking op diverse producten en leveranciers die web 2.0-toepassingen bieden.

Delen van documenten

Diverse web-applicaties bieden mogelijkheden voor het delen van documenten en bestanden, die de aanbieder centraal opslaat en via het internet aanbiedt. De volgende functionaliteiten worden in meer of mindere mate geboden:

  • Online creëren van documenten, spreadsheets en presentaties en formulieren;
  • Wijzigen van documenten waar je maar wilt, wanneer je maar wilt;
  • Uploaden van documenten van je eigen pc naar de applicatie en vice versa;
  • Uitdelen van toegangsrechten voor lezen, wijzigen of delen van documenten;
  • Wijzigingen kunnen ook door meerdere personen real-time gedeeld worden;
  • Documenten kunnen indien gewenst in verschillende formaten (bijvoorbeeld PDF) worden geëxporteerd.

Toegang tot gegevens of bestanden wordt over het algemeen geregeld met persoonlijke accounts, waarbij de gebruiker een gebruikersnaam en een wachtwoord heeft. Derden kunnen documenten alleen lezen of wijzigen na autorisatie van de auteur of een gedelegeerde. Er is een eenvoudig versiebeheersysteem om wijzigingen in documenten te volgen of terug te draaien. Soms wordt gebruik gemaakt van SSL voor het waarborgen van de vertrouwelijkheid van de informatie tijdens communicatie tussen de pc en de webapplicatie.

Welke risico’s zijn verbonden aan webapplicaties die documenten delen?

Aan het delen van documenten op webapplicaties zijn risico’s verbonden voor gebruikers en de organisaties waarvoor zij werken. Hierna zijn de belangrijkste risico’s opgesomd:

  • Een aanvaller krijgt ongeautoriseerd toegang tot documenten en kan die dan kopiëren of aanpassen. Dit is onder meer mogelijk door:
    • het installeren van een keylogger (zowel hard als soft): de aanvaller kan dan de gebruikersnaam en het wachtwoord achterhalen;
    • het installeren van een Trojan Horse: de aanvaller kan schermafdrukken en complete documenten versturen naar derden;
    • een brute force-aanval: de aanvaller kan een gebruikersnaam/wachtwoord of cookies, achterhalen en krijgt daarmee volledige toegang tot de documenten.
  • Bij veel aanbieders van webdiensten dient de gebruiker akkoord te gaan met gebruikersvoorwaarden, waarin automatisch alle geplaatste documenten in licentie worden gegeven. Daardoor kan het gebeuren dat de webaanbieder ongewenst documenten publiceert die geplaatst zijn op de webapplicatie;
  • Een gebruiker kan niet bij zijn documenten vanwege een verstoring bij de aanbieder of omdat hij geen toegang tot internet heeft;
  • Een gebruiker kopieert documenten naar een lokale schijf of USB-stick die voor derden toegankelijk is;
  • Een aanvaller verwijdert documenten nadat hij ongeautoriseerd toegang heeft verkregen;
  • Door het aanvallen van netwerkcomponenten, bijvoorbeeld een thuisnetwerk-router, kan de communicatie tussen gebruiker en de webapplicatie worden afgeluisterd (Man-in-the-Middle-aanval);
  • De documenten worden opgeslagen op systemen van de aanbieder. Het is niet duidelijk of derden toegang tot deze documenten kunnen afdwingen;

Er zijn in het verleden aanvallen geweest op dergelijke applicaties, via kwetsbaarheden die internetcriminelen hebben misbruikt.

Opzetten van sociale netwerken

Ook toepassingen om zelf een sociaal netwerk te starten, zijn gewilde instrumenten om informatie te delen of samen te werken. Daarbij kun je denken aan:

  • de start van een forum;
  • delen van foto’s en video’s;
  • chatten of bloggen;
  • het aanmaken van groepen;
  • het delen van events.

Applicaties die derden ontwikkelen, kunnen er aan gekoppeld worden.

Ook hier is de beveiliging veelal geregeld via een gebruikersnaam en een wachtwoord. En ook hier wordt soms gebruik gemaakt van SSL om ervoor te zorgen dat de communicatie tussen privé pc en de gebruikte webserver vertrouwelijk blijft.

Met welke risico’s moet je als gebruiker rekening houden wanneer je een dergelijke toepassing voor sociale netwerken gebruikt?

  • Op blogs en forums kan (vertrouwelijke) informatie worden gedeeld. Ondanks dat de informatie is afgeschermd, kunnen aanvallers deze informatie vrij eenvoudig achterhalen;
  • Via een sociaal netwerk kan een dossier van iemand worden opgebouwd. Deze gegevens kunnen later gebruikt worden voor spear-phishing, social engineering aanvallen en (cyber)stalking;
  • Nepprofielen met de naam van een bekend persoon worden gebruikt voor het verspreiden van laster of om te profiteren van hun reputatie;
  • Applicatieontwikkelaars kunnen nieuwe applicaties ontwikkelen voor de toepassing. Er moeten maatregelen getroffen worden om te controleren of deze applicaties veilig zijn;
  • Door integratie met diensten van andere (sociale netwerk) platformen, heeft de gebruiker geen of minder controle waar welke informatie wordt opgeslagen.

Concluderend

Deze analyse bevat geen complete opsomming van alle risico’s. De gevonden risico’s geven wel een duidelijke indicatie van mogelijke gevolgen van het gebruik van web 2.0-diensten. We geven daarom de volgende overwegingen mee:

  1. Het gebruik van de genoemde diensten voor overheidsinformatie brengt grote risico’s met zich mee. Wanneer een aanvaller zich toegang verschaft tot de informatie van een ander, kunnen eenvoudig wijzigingen worden aangebracht (integriteit), kan informatie worden gekopieerd (vertrouwelijkheid) en kan informatie worden verwijderd (beschikbaarheid);
  2. Omdat alleen een gebruikersnaam en wachtwoord wordt gebruikt, is het verkrijgen van toegang tot het account niet heel erg moeilijk, bijvoorbeeld door het gebruik van een keylogger. Het verbeteren van de toegang met een token heeft beperkte waarde, omdat aanvallers kunnen meeliften met het token op een geïnfecteerde pc;
  3. Er heeft al een fors aantal aanvallen plaatsgevonden op ‘cloud computing’-diensten. Kwetsbaarheden die worden uitgebuit kunnen weliswaar snel worden opgelost, maar wanneer vertrouwelijke informatie naar buiten is gekomen, is het dichten van het lek al te laat;
  4. De (privé)pc, waarop de toepassingen worden gebruikt, staat vaak niet onder beheer van een IT-organisatie. Hierdoor is er vaak geen inzicht in de status van de pc. Deze kan kwetsbaar zijn omdat bijvoorbeeld niet alle kritische updates voor browser en besturingssysteem zijn geïnstalleerd en ontbreekt het aan een virusscanner of firewall. Ook kunnen de beheerders niet ingrijpen op een privé-pc. Zelfs als een pc up to date is en goed beschermd, kan via een gerichte aanval informatie worden gekopieerd of gewijzigd.

Ten slotte wijzen we erop dat er een risico schuilt in de gebruiksvoorwaarden van onlinediensten. Bijna alle aanbieders houden zich het recht voor de voorwaarden eenzijdig te wijzigen. Sommige voorwaarden bevatten bepalingen waarmee de dienstaanbieder een gebruikerslicentie wordt verleend op alle online geplaatste informatie. Hiermee verliest de gebruiker voor een deel de controle over wat er met zijn informatie gebeurt. Dat kan nooit de bedoeling zijn, helemaal wanneer het gaat om overheidsinformatie.

Duidelijk zal zijn dat GOVCERT.NL afraadt om online diensten als sociale netwerken of genoemde webapplicaties te gebruiken voor de uitwisseling van vertrouwelijke informatie. Dit is een te groot risico. Verder benadrukken we dat web 2.0-toepassingen veel plezier en efficiëntie opleveren, mits verstandig gebruikt.

Meer informatie over veilig internetten, veilige software en online diensten is te vinden op www.waarschuwingsdienst.nl. Via deze gratis dienst van de overheid is het ook mogelijk om via sms of e-mail gewaarschuwd te worden voor virussen, lekken in software en andere bedreigingen vanaf het internet. Abonneer je op de mailinglist of de sms-berichten.


Getagged als: beveiliging, brute force, Govcert, informatiebeveiliging, internetcriminelen, keylogger, mailinglist, security, sms, sociale netwerken, Trojan horse, veiligheid, Waarschuwingsdienst.nl, webapplicaties

{ 6 reacties }

{ 1 trackback }

Slimmer en productiever - 1 augustus 2009 « Arjan Zuidhof
1 augustus 2009 om 22:08

{ 5 reacties }

Richard van Loon 24 juli 2009 om 10:25

Beste Ella,

Goed stuk. Tegenover de optimistische geluiden van de voordelen van web2.0-oplossingen, moet je alert zijn op de keerzijde: de informatiebeveiliging.

1. Het vraagstuk van informatiebeveiliging is niets nieuws.
In het boek Victoriaanse Internet beschrijft de Engelse wetenschapsjournalist Tom Standage de opkomst van een technologie die de wereld totaal heeft veranderd: de telegraaf .

Hij beschrijft met veel anekdotes hoe het telegraafsysteem kampt met problemen als fraude, hackers, encryptiesystemen, on-line relaties, overbelasting, informatie-overbelasting en overheidsbemoeienis.
http://www.computable.nl/artikel/ict_topics/internet/1401114/1282763/boek-het-victoriaanse-internet.html

2. De gevaren mbt web2.0 moeten we wel in perspectief zien.
In het rapport “Trendrapport I 2009″ geeft GOVCERT.NL een aantal aanbevelingen. http://www.govcert.nl/render.html?it=156

Op blz. 37 lees ik de volgende passage:
Basismaatregelen voor eindgebruikers
• Zorg ervoor dat het besturingssyteem, programma’s en ook uw netwerkapparatuur (zoals routers) up-to-date zijn.

Binnen de overheid wordt nog steeds gewerkt met windows 2000 en IE6. Veel software is verouderd.

Uiteraard moeten we scherp letten op de keerzijde van de web2.0 ontwikkelingen. Laten we eerst kijken naar de 0.5 apparatuur en sofware waarmee we vaak in de praktijk moeten werken.

Erik Demmers 24 juli 2009 om 19:50

Ik heb het gevoel dat hier op en algemeen veiligheidprobleem het etiket 2.0 geplakt wordt. De genoemde gevaren spelen namelijk ook bij de traditionele ICT toepassingen.

De kern is dat je met vertrouwelijke stukken voorzichtig omgaat maar niet alleen binnen sociale netwerken en cloud toepassingen maar ook bij het mailen en zelfs bij het per post verzenden.
Kortom een goed verhaal maar niet specifiek voor WEB 2.0

Monique Roosen 26 juli 2009 om 11:33

Goed overzicht, maar wel wederom ‘n reden voor ‘n overheidsorganisatie om niets, buiten het eigen netwerk, te delen (in de cloud te werken). En dat vind ik wel jammer.
Je ziet ook veel overheidsorganisatie die hun complete netwerk (incl documentatie) outsourcen aan derden. Geldt daar niet hetzelfde voor?
Ondanks het feit dat het goed is om een tegengeluid te laten horen (ieder verhaal kent 2 kanten van de medaille) mis ik enigzins de nuancering mbt tooling: Welke tools zijn bijv. beter qua beveiliging tov anderen? Google stort zich bijvoorbeeld het laatste jaar nadrukkelijk op de overheidsmarkt. Zijn zij bijv. beter dan Scribd op dit vlak?

Wellicht is het aardig om met een soort 2.0-keurmerk te komen mbt beveiliging. Virusscanners worden ook continu gereviewed. En uiteraard met vertrouwelijke informatie moet je altijd uitermatige voorzichtig handelen ook binnen interne netwerken. Iemand kan de informatie tenslotte digitaal naar buiten ’smokkelen’.

Davied van Berlo 26 juli 2009 om 18:32

Goed idee!

Pierre Deen 28 juli 2009 om 09:52

Met interesse artikel gelezen en reacties. Ik denk dat antwoord bij informatiebeleid ligt: wat is vertrouwelijk en wat niet. Wat niet vertrouwelijk is moet dan m.i. zonder voorbehoud openbaar zijn.
En nog een vraagje aan Ellla: Kies je er bewust voor alleen je voornaam te gebruiken?

Comments on this entry are closed.