Hoe houden we het veilig?
Je hoort het regelmatig. Een app of platform is gehackt en alle persoonsgegevens liggen op straat. Wachtwoorden zijn gestolen of er wordt ingebroken in accounts. Bij Oddessey Solutions voorkomen wij dergelijke gebeurtenissen. Benieuwd hoe? Lees dan verder!
Waarom komt dit zo vaak voor?
Hacken is een soort kat en muis spel. Programmeurs beveiligen hun software, hackers proberen het te kraken. Helaas slagen ze hier wel eens in, hoe komt dat?
Een applicatie bestaat uit enorm veel code, geschreven door een programmeur. Deze beschrijft op een technische manier wat de applicatie moet doen. Zo staat er bijvoorbeeld beschreven dat je ingelogd moet zijn om je eigen account te kunnen bewerken. Of dat een gebruiker admin-rechten nodig heeft om andere gebruikersaccounts in te kunnen zien. Programmeren is mensenwerk, en waar mensen werken worden fouten gemaakt. Een klein foutje in de code kan ervoor zorgen dat gebruikersaccounts zichtbaar zijn voor iedereen. In theorie kan dit door één verkeerde regel in de code al veroorzaakt worden.
Naast deze bugs zijn er ook diverse andere oorzaken die een applicatie onveilig kunnen maken. De OWASP heeft als doel het veiliger maken van software. Zij hebben daarvoor een lijst opgesteld waarin de meest voorkomende valkuilen staan beschreven. Een term uit deze lijst is ‘injection’, waarbij een hacker specifieke code in een tekstveld in de applicatie invoert. Als de applicatie niet goed beveiligd is, wordt deze code aan de achterkant uitgevoerd en krijgt de hacker toegang tot zaken waar hij niet bij mag komen.
Hoe voorkomen wij dit?
Om onze applicaties veilig te houden besteden we hier veel aandacht aan. Bij het technisch ontwerpen van de applicatie werken we de beveiliging van de app uitvoerig uit. Wat zijn de verschillende rollen en rechten en hoe voorkomen we dat mensen bij elkaars data kunnen komen. Dit nemen we mee in de architectuur, de bouwtekening van de applicatie.
We zorgen dat developers zich bewust zijn van de gevaren, door ze op te leiden en bij ieder project de beveiligingsmaatregelen te bespreken. Bij ons is dit een standaard onderdeel van elk project.
Wij maken gebruik van bestaande frameworks. Een framework is een soort basisapplicatie, die we uitbreiden met specifieke functionaliteit. Door deze basis op de juiste manier te gebruiken, worden veel van de oorzaken van de lijst van OWASP grotendeels afgedekt. Evenals het gebruiken van goed geteste en onderhouden inlogsystemen, regelmatig installeren van updates en het gebruik van moderne technieken zorgen ervoor dat de kans op lekken nihil is. Alle code wordt intern gereviewd, om te voorkomen dat er een foutje doorheen glipt.
Tijdens de testfase voeren wij testen uit om onder andere de beveiliging te controleren. Is alles ontwikkeld zoals vooraf vastgelegd in de architectuur? Is het nog mogelijk om ergens binnen te dringen? Deze vragen worden bij iedere update opnieuw gesteld. We monitoren de applicaties op mogelijk misbruik, en onderhouden ze regelmatig zodat de beveiliging up-to-date blijft.
Per project bepalen we wat het beveiligingsrisico is. Op basis van een risicoanalyse stellen we de kans op hacks en de eventuele impact vast. Een simpele website is bijvoorbeeld minder interessant om te hacken dan een app waar financiële zaken in staan. Afhankelijk van de risicoanalyse nemen we project specifieke maatregelen. Zo zetten we bijvoorbeeld pentesten in om de applicatie door externe deskundigen te laten testen op de veiligheid. Deze deskundigen hebben hackers in dienst, welke onze applicatie proberen te kraken. Mocht dat onverhoopt lukken, kunnen we het lek dichten en deze opgedane kennis hergebruiken in andere projecten.
Regelmatig nemen wij projecten over, omdat een klant niet tevreden is over haar IT-leverancier. We duiken dan als team in het project, voeren code reviews uit en proberen alle lekken in kaart te brengen. Dit voelt als een soort game, waarbij ieder zoveel mogelijk problemen wil ontdekken. Dit doen we zodat de applicatie daarna op orde is, en ons team zich bewust wordt van de mogelijke lekken en bijbehorende gevaren. Het geeft namelijk veel inzicht in waar het mis kan gaan en hoe dat voorkomen kan worden. Helaas komen we regelmatig ernstige lekken tegen, zoals bij onze laatste project overname. Door een specifieke URL te openen in de browser, kwamen alle gebruikersgegevens tevoorschijn. Door de code review hebben we het lek gevonden, gedicht en op deze manier voorkomen dat de gegevens op straat zijn beland.
Hosting
Naast de beveiliging van de applicatie is het ook belangrijk om voor een goed beveiligde hosting te kiezen. Wij maken gebruik van Combell omdat zij ons de beste beveiliging bieden op alle niveaus. Allereerst staan onze servers in professionele datacenters waar ze alle fysieke voorzieningen hebben om zowel security als uptime te garanderen. De Combell datacenters mogen als voorbeeld dienen van goed uitgeruste serverruimtes. Van dubbele plafonds tot brandbeveiliging met aragoniet gas, en van dieselgeneratoren tot UPS-systemen. Dit soort voorzieningen kun je als bedrijf onmogelijk voorzien.
Combell investeert ook in de verwerkingscapaciteit van de infrastructuur, op het gebied van firewall-technologie. Wij kunnen daardoor rekenen op de beste bescherming tegen de nieuwste veiligheidsrisico’s en tegen wereldwijde fenomenen zoals de enorme groei van DDoS-aanvallen. Hiermee probeert men een server, website of de hardware die de veiligheid ervan beschermt, te overbelasten door massaal connecties op te zetten vanaf talloze locaties op het internet.
Combell heeft een heel groot voordeel: het uitgebreide netwerk. Met een netwerkcapaciteit tot 320 Gbps per serverrack kunnen Combell-klanten beschikken over een zeer robuuste toegang tot het internet. Waarbij aanvallen op servers bij kleinere hostingbedrijven het netwerk direct zou dichtslibben, kan bij Combell het verkeer van de valse requests verspreid worden over het grote netwerk en kan alles naar behoren blijven functioneren. Combell heeft de afgelopen jaren geen enkele downtime gekend op haar netwerk, door regelmatige investeringen in extra capaciteit en nieuwe technologie.
Naast deze beveiligingsmaatregelen is Combell voor ons een echte partner. Ze denken met ons mee en ontwerpen voor ons de infrastructuur die nodig is voor onze applicaties en vereisten op het gebied van data security.
Liggen jouw gegevens op straat?
In recente jaren waren er meerdere lekken bij grote bedrijven zoals LinkedIn, MyFitnessPal en Dropbox. Al die lekken zijn verzameld tot een groot bestand van 2 miljard gebruikersgegevens. De kans is groot dat jouw gegevens daarbij ook uitgelekt zijn. Op deze website kan je dat controleren. Door het invoeren van je mailadres kan je zien of jouw data betrokken is bij een datalek. Mocht dat zo zijn, is het advies om je wachtwoord te wijzigen op deze website, maar ook op andere sites waarbij je dezelfde gebruikersnaam/wachtwoord combinatie gebruikt. Bovenal is het aan te raden om voor elke website een uniek wachtwoord te kiezen, gebruik te maken van een password manager en 2FA te activeren waar mogelijk.
Twijfel je over de veiligheid van jouw applicatie? Wij denken graag met je mee. Neem contact met ons op voor een kennismaking.