Sensitive Data Exposure

Door Lucas Dresscher

Wat is het en waar komt het voor?

Lupa.jpg

Na het de vorige keer gehad te hebben over het fenomeen Broken Authentication, bespreekt Lucas Dresscher deze keer Sensitive Data Exposure. De naam van deze kwetsbaarheid maakt direct duidelijk waar het over gaat. Immers, vrijwel iedere applicatie verwerkt ‘Sensitive Dataoftewel gevoelige gegevens, in welke vorm dan ook: credentials, medische kenmerken, creditcard nummers etc. Het deel dat nu nog overblijft - en het meest interessant is - om te behandelen, is ‘Exposure. Want hoe en waar kan deze gevoelige data nu blootgesteld worden?

Waar de aanvalsmethode van de vorige behandelde kwetsbaarheid - Broken Authentication - vrij recht-toe-recht-aan was, ligt het deze keer complexer. Namelijk bij Broken Authentication heeft een aanvaller credentials weten te bemachtigen waarmee hij directe toegang krijgt tot gegevens die hij niet zou mogen zien. Bij Sensitive Data Exposure zit het verschil in het woord ‘directe’. Want in plaats van directe aanvallen uit te voeren, probeert een aanvaller deze kwetsbaarheid te benutten, zoals via man-in-the-middle-attacks of het bemachtigen van crypto keys.

Deze acties gebeuren voornamelijk op plekken waar data in doorvoer is, dus als deze verplaatst wordt. Dat komt doordat dit vaak de plekken zijn waar de gegevens minder goed of zelfs helemaal niet beveiligd zijn. Denk bijvoorbeeld aan data-overdracht in clear-text, via een HTTP of FTP verbinding. Toch zijn er ook Sensitive Data Exposure aanvallen die gedaan worden op databases. Deze zullen in mindere mate voorkomen. Maar met name oudere databases die bijvoorbeeld unsalted of (te) eenvoudige hashes gebruiken, zullen kwetsbaar zijn voor deze aanval.

Wat kunnen de gevolgen zijn?

Bij Sensitive Data Exposure probeert een aanvaller de kwetsbaarheid op een indirecte wijze uit te nutten, zoals via man-in-the-middle-attacks.

De gevolgen van Sensitive Data Exposure zijn vergelijkbaar met die van de eerder behandelde kwetsbaarheden. Wel zal het in dit geval - zoals de naam al zegt - met name gaan om gevoelige gegevens. De omvang van de impact van een aanvaller die bovenstaande methoden weet uit te nutten zal dus afhangen van de hoeveelheid gevoelige gegevens die je hebt, en hoe “gevoelig” deze voor je (gebruikers van de) applicatie zijn.

Hoe beveilig je je er tegen?

cyber-security-2537786_960_720.png

Omdat er in een groot aantal applicaties op vele verschillende plekken data in doorvoer is, lijkt het ogenschijnlijk lastig om je tegen deze kwetsbaarheid te beveiligen. Er zijn echter enkele eenvoudige maatregelen die je kunt nemen. Overigens zijn dit zaken die eigenlijk standaard door ieder bedrijf goed moeten zijn geregeld.

De eerste maatregel tegen Sensitive Data Exposure is het classificeren van je data. Bedenk daarbij wat voor soort data je applicatie verwerkt, zowel in opslag als in doorvoer. Bekijk vervolgens welke beveiligingsbenodigdheden elke classificatie nodig heeft en pas deze toe. Sla je in jouw applicatie bijvoorbeeld weinig of geen gevoelige gegevens op? Dan is de noodzaak en de mate van beveiliging anders dan wanneer er terabytes aan medische dossiers worden verwerkt.

Maatregelen tegen Sensitive Data Exposure
1. Data classificatie
2. Encryptie-technieken
3. Data minimalisatie

De tweede en verder ook meest invloedrijke beveiligingsmethode is encryptie. Zorg ervoor dat zowel opgeslagen data en getransporteerde data is versleuteld. Gebruik hiervoor sterke encryptie algoritmen die up-to-date zijn en waarschijnlijk nog lange tijd zo blijven. Gebruik bijvoorbeeld AES-encryptie, HTTPS voor data in doorvoer en in ieder geval géén MD5 voor hashing.

Een derde en laatste maatregel die je kunt nemen, is het minimaliseren van data opslag. Het is een beetje een open deur, maar sla simpelweg niet meer op dan strikt noodzakelijk is. Immers, wat je niet hebt, kan ook niet worden gestolen.

Vooruitblik

Volgende keer is het de beurt aan de eerste minder bekende kwetsbaarheid: XML External Entities (XXE). Nadat XML een jaar of 10 geleden de standaard is geworden, zijn de meeste instanties sindsdien wel bekend geraakt met de vele voordelen die het te bieden heeft. Maar hoe bekend zijn ze met de nadelen die het met zich meebrengt? Of specifieker, hoe kwetsbaar is jouw applicatie of web service tegen de mogelijke aanvallen die het gebruik van XML met zich meebrengt, zoals een DoS-aanval? Lees het in het volgende artikel van onze cybersecurity reeks.