Scan sociale media op ‘verdachte info’

De KLPD heeft een systeem aangeschaft om verdachte informatie van openbare bronnen te verzamelen. Het systeem CY-Humint (Cyber Human Intelligence) wordt geleverd door Athena GS3 Security Implementations Ltd in Holon Industrial Zone in Israël. Het speuren wordt beperkt tot openbare bronnen, zoals blogs, microblogs, websites, forums, chatrooms en sociale netten als Facebook, Hyves en Twitter (bron).

Dit bericht heeft misschien, op het eerste gezicht, niet zoveel nieuwswaarde maar het is goed om te weten dat de politie steeds actiever wordt in het volgen van openbare bronnen. Volgens mij doen ze dat trouwens al jaren en dat is maar goed ook. Misschien is dan de nieuwswaarde dat het vanaf nu op een intelligentere wijze gebeurt.

Daarbij moeten we natuurlijk oppassen. Teveel berichten kunnen we niet monitoren dus zetten we tools in om ons werk te vergemakkelijken. Oppassen dus dat we het allemaal niet te strak inregelen want dan zien we helemaal niets meer. En in dit geval geldt niet: “wat niet weet wat niet deert.” Maar ook oppassen voor alle “fals positives”. Een bericht zonder interpretatie kan tot verkeerde conclusies leiden.

Een praktijkvoorbeeld is het monitoren van websites die door de medewerkers bezocht mogen worden onder werktijd. Termen als: “borst en borsten” zetten we op de zwarte lijst want daar hoeft niemand naar te kijken, dat valt onder pornografie. Maar ja, je zult maar een arts zijn of je zult maar een bakker zijn die op zoek is naar het recept voor borstplaat. Ja ja, het inregelen en fine tunen is nog niet zo makkelijk, maar natuurlijk geen reden om er niet aan te beginnen.

Het monitoren van openbare bronnen is natuurlijk niet alleen belangrijk voor de politie maar ook voor andere organisaties. Commerciële organisaties zouden bijvoorbeeld kunnen monitoren wat er zoal over de door hen gevoerde merken openbaar gezet wordt. Hier kunnen we beveiliging en commercie vereenzelvigen. We willen monitoren waar we eventueel risico’s lopen maar willen ook weten wie er positief over ons merk Tweet en Blogt.

Weer een voorbeeld dus waarbij beveiliging niet meer als losstaand aspect gezien moet worden. Dat weten wij natuurlijk allang want beveiliging is en blijft ondersteunend aan onze bedrijfsprocessen en dan kunnen we ook maar beter weten wat de buitenwereld over ons de wereld in helpt.

Oh ja, je kunt er natuurlijk dure tooling voor aanschaffen, maar met een simpel Google dashboard kun je ook al een heel eind komen en zo’n dashboard is gratis. Het fine tunen moet je dan zelf nog doen (en dat kost meer tijd dan je denkt) maar dat moet je bij dure tooling ook. Ik zou zeggen, kijk eens naar de mogelijkheden die Google je biedt. Kom je er niet uit dan mag je het me altijd laten weten en help ik je daarbij.

80% websites is lek

Tachtig procent van de websites heeft de beveiliging niet op orde, waardoor aanvallers toegang tot allerlei vertrouwelijke gegevens kunnen krijgen. Softwarebedrijf Veracode analyseerde een kleine 10.000 webapplicaties. Bij 68% werd cross-site scripting (XSS) aangetroffen, terwijl één op de drie met SQL Injection te maken had. “XSS en SQL Injection zijn twee van de meest gebruikte kwetsbaarheden, en bieden toegang tot klantgegevens en intellectueel eigendom”, aldus Veracode (bron).

Het mag dan een Amerikaans onderzoek zijn en met name wat zeggen over Amerikaanse website en over de onafhankelijkheid kun je natuurlijk ook twisten. Pessimisten leggen dit soort nieuwsberichten naast zich neer en blijven denken: “dat gebeurt ons niet”.

Toch vraag ik me af of dat zo is. Je kunt dit soort signalen natuurlijk ook gebruiken om de beveiliging van je website binnen je organisatie bespreekbaar te maken. Als blijkt dat het met name XSS en SQL Injection betreft dan zouden we dat natuurlijk als hoge prio kunnen bestempelen.

Waarschijnlijk is je manager niet blij als je een aanvraag doet voor een uitgebreide vulnerabilityscan, het brengt immers kosten met zich mee maar men is ook onzeker over de uitkomsten. Nu kan men zich nog verschuilen onder het mom van onwetendheid. Als de scan resultaten op papier staan dan zullen we toch minimaal iets moeten doen met die punten die slecht scoorden.

Aan de andere kant wordt gesteld dat: De ontwikkelaars van deze webapplicaties wisten in meer dan tachtig procent de ontdekte problemen binnen een week op te lossen. Het zijn dus redelijk eenvoudige gaten die gedicht moeten worden.

Vergelijk het maar weer eens: de voordeur en het raam staan open. Als we die vanaf nu dicht doen dan zijn we al een stuk verder. Misschien wat simplistisch, maar zo gek is dat nu toch ook weer niet? Als we dus met name focussen op XSS en SQL Injection dan zijn we alweer een stap verder.

Nou ja, of de deur en het raam nu wel of niet open staan…een rondje rond je gebouw kan nooit kwaad. Kwetsbaar voor XSS en SQL Injection of niet? Een scan van je website kan nooit kwaad en hoe meer we afhankelijk zijn van onze website, hoe belangrijker dat wordt. En zo’n scan? Nou, dat hoeft echt de wereld niet te kosten, met eenvoudige middelen is dat relatief betaalbaar op te lossen. Benieuwd? Dan hoor ik wel van je.