Veiligheid van web applicaties

Gevaren voor web applicaties hebben een lange geschiedenis. Veel vermeende gevaren zijn academische exercities, anderen vormen onderdeel van een uitgebreide FUD campagne (angst verkoopt) en weer anderen hebben hun grond in daadwerkelijke ervaring.

Door een aanval in de laatste categorie is digitale oorlogsvoering eind vorig jaar een nieuwe fase ingegaan. Het Stuxnet virus is naar alle waarschijnlijkheid ontwikkeld door een of meerdere overheidsinstanties met mogelijk als doel het saboteren van het Iraanse nucleaire programma en wel specifiek de vernietiging van de centrifuges in Natanz. Tot de karakateristieken van deze aanval behoren een aantal bijzonderheden. Citaat uit het Symantec rapport:

it is the first to exploit four 0-day vulnerabilities, compromise two digital certificates, and inject code into industrial control systems and hide the code from the operator

Niet zomaar een simpele DOS aanval, maar een gerichte aanval met materiele consequenties door complexe software. Diverse theoretische aanvalsscenario’s zijn hiermee uit de theoretische hoek in het realistische domein terecht gekomen.

Wat betekent dit voor Java web applicaties? Hopelijk niet dat uw site een aanval moet ondergaan zoals Stuxnet—daar is weinig tegen bestand. Het geeft echter wel aan dat digitale bedreigingen serieus genomen dienen te worden.

Al jaren heeft de OWASP een top-10 met bedreigingen voor web applicaties. Deze actuele lijst bevat de meest aannemelijke bedreigingen die een Java applicatie kan ondergaan. Gelukkig bestaat de oplossing vaak uit hygienisch programmeren gecombineerd met een aantal goedkope tegenmaatregelen.

Recent hebben 42 en Redbee (hosting partner van 42) een security audit ondergaan van IT Sec op een project van een klant. Met trots kunnen we stellen dat we de security audit met vlag en wimpel hebben doorlopen waar andere software leveranciers minder goed uit de verf kwamen.

De redenen zijn niet heel complex. Ten eerste bieden veel Java componenten out-of-the-box bescherming tegen de door OWASP beschreven bedreigingen. Ten tweede biedt het gelaagde denken (in tegenstelling tot snel en monolitisch gebouwde sites) per definitie meer bescherming tegen aanvallen. Tenslotte zijn we binnen 42 gewend aan een manier van werken waar onderlinge feedback, kwaliteitshandhaving en formele reviews tot de normale gang van zaken behoren.

Voor reguliere, OWASP-conforme bescherming voldoet deze aanpak. Als dat alles is wat uw bedrijf nodig heeft, kijk dan niet verder. Echter, voor specifieke veiligheidsrisico’s zijn specifieke tegenmaatregelen vereist. Veiligheidsspecialisten kunnen hierin een goede rol spelen door het formuleren en ontwerpen van tegenmaatregelen die vervolgens door de bouwende partij geimplementeerd worden.