Applicaties zijn vaker het doelwit van digitale inbraakpogingen. Kwaadwillenden richten zich niet langer voornamelijk op zwakke plekken in Windows. Daarnaast daalt het aantal cyberaanvallen weliswaar, maar zijn ze doelgerichter.
Het Amerikaanse beveiligingscentrum SANS Institute meldt in zijn kwartaalrapport over zwakheden in internetbeveiliging dat krakers nu uit zijn op kwetsbaarheden in veelgebruikte applicaties. De Nederlandse overheidsdienst Waarschuwingsdienst.nl bespeurt ook veel kwetsbaarheden in applicaties. CSI (Computer Security Institute) zegt in zijn samen met de FBI opgestelde tiende jaarrapport over computermisdaad dat er minder cyberaanvallen zijn, maar de aanvallers doelgerichter worden.
SANS Institute ziet dat computerkrakers bij hun pogingen om in te breken of pc’s over te nemen nu mikken op een sterk groeiend aantal programma’s. Dit betreft zowel consumenten- als bedrijfssoftware. De organisatie noemt browsers Internet Explorer en Firefox, mediaspelers iTunes en RealPlayer, backupsoftware van Veritas (in handen van Symantec) en Computer Associates, mailserver Exchange van Microsoft en enkele pakketten van Oracle en Peoplesoft (overgenomen door Oracle).
Alarmklok
“Vooral de uitgebreide kwetsbaarheden die zijn ontdekt in backupproducten baren ons zorgen. Die producten zijn juist ontworpen om catastrofes te voorkomen, maar blijken nu een makkelijk doelwit te zijn. Doordat backupprogramma’s toegang hebben tot in wezen alle data vormen de kwetsbaarheden in die producten een reëel gevaar”, verklaart SANS. De backupsoftware van Veritas en CA is samen goed voor 30 procent van de markt.
SANS luidt de alarmklok over de toename van ontdekte kwetsbaarheden in applicaties. In het tweede kwartaal van dit jaar zijn 422 nieuwe kwetsbaarheden op het gebied van internetbeveiliging ontdekt. Dit zijn zwakke plekken die grote aantallen gebruikers raken, nog niet gepatched zijn op het merendeel van de installaties en overname op afstand mogelijk maken, en waarover technische details openlijk beschikbaar zijn, wat aanvallen mogelijk maakt.
Het afgelopen kwartaal lag het ontdekte aantal kwetsbaarheden 10,8 procent hoger dan de 381 van het eerste kwartaal, meldt SANS. Tegenover het tweede kwartaal vorig jaar is de stijging 20 procent. Toch daalt het aantal cyberaanvallen gestaag, melden CSI en de FBI in hun onderzoek naar computermisdaad en beveiliging. Daar staat tegenover dat de aanvallen gerichter plaatsvinden. De twee Amerikaanse instanties hebben zevenhonderd ict’ers in de overheidssector en diverse branches in de VS geënquêteerd. Daaruit blijkt dat niet alleen het aantal aanvallen daalt, maar ook de kosten van de verdediging tegen krakers, indringers en ander gespuis.
Verliezen
Daarnaast dalen de kosten van de geleden schade. Het gemiddelde verlies is vorig jaar met 61 procent gedaald van 526 duizend (in 2003) naar 204 duizend dollar per computer- of netwerkaanval. CSI en de FBI specificeren die opgegeven kosten niet naar bijvoorbeeld verloren productiviteit, misgelopen omzet of beveiligingskosten naderhand.
Daar staat tegenover dat de verliezen door ongeautoriseerde toegang tot informatie scherp toenemen: van gemiddeld van 51 duizend dollar per geval in 2003 naar meer dan driehonderdduizend dollar vorig jaar. De schade door diefstal van bedrijfsgeheimen stijgt van 169 duizend naar 355 duizend dollar. Dit vloeit voort uit het feit dat cyberaanvallen steeds vaker gericht worden uitgevoerd.
Dat verklaart ook de verschuiving in de aandacht van kwaadwillenden naar zwakke plekken in applicaties. Terwijl Microsoft meer doet aan het beveiligen van Windows lopen applicaties relatief achter, wat kwaadwillenden weer een voorsprong geeft. SANS merkt op dat leveranciers en gebruikers zich bewuster zijn van beveiliging, maar dit het aantal lekken in software en openstaande gaten vooralsnog niet vermindert.
SAP en SQL
Afgelopen week waren er enkele opvallende meldingen van kwetsbaarheden. Het Britse beveiligingsbedrijf Corsaire waarschuwt voor een gat in de erp-software R/3 van SAP. Het gaat om het R/3-webcomponent Internet Graphics Server dat, indien misbruikt, toegang tot interne documenten mogelijk maakt. SAP is begin mei geïnformeerd en heeft inmiddels een patch.
Verder meldt softwareproducent Symantec een verdachte toename van scans op TCP-poort 1443, die in gebruik is door Microsofts database SQL Server. De toename is ontdekt via Symantecs wereldwijde sensornetwerk DeepSight Threat, dat is opgezet om scans vroegtijdig op te merken. De leverancier van beveiligingssoftware heeft een waarschuwing doen uitgaan; dit aftasten kan een voorbode zijn van een aanval.
Dit ondanks het feit dat er nu geen bekende kwetsbaarheden in SQL Server zitten, aldus het bedrijf. De aanval zou kunnen bestaan uit pogingen wachtwoorden te kraken middels een ‘brute kracht’-aanpak. Symantec raadt databasebeheerders aan toegang tot de poort voor de buitenwereld te blokkeren en voor het interne netwerk te beperken tot vertrouwde computers. De beveiligingssoftware van Symantec zelf is eerder al het doelwit van kwaadaardige programma’s geweest.