We hebben ons laten hacken

We hebben ons laten hacken

Geschreven op 13-10-2020 door Sander Cruiming
We hebben ons laten hacken

Afgelopen maand hebben we onze hostingservers laten hacken. Niet door hackers met kwade bedoelingen, maar door etnische hackers die zo aan ons konden rapporteren wat we wel en niet op orde hebben qua veiligheid op onze servers. Natuurlijk nemen we de beveiliging van onze servers altijd al serieus, maar sinds beveiliging complex en omvangrijk is - was het erg nuttig en leerzaam om een compleet beeld van alle mogelijke kwetsbaarheden te krijgen.

Waar hebben de etnische scanners naar gekeken?
De ethnische hackers hebben een uitgebreide scan op al onze hostingservers gedaan, en daarbij gekeken naar onder andere:

  • Welke poorten op de server open en dicht staan, en of de openstaande poorten afdoende beveiligd zijn
  • Of alle geinstalleerde software op de server up-to-date is en geen bekende veiligheidslekken bevatten
  • Of het verkeer tussen de eindgebruiker en de server versleuteld is, en of deze versleuteling sterk genoeg is
  • Aan de hand van een database met meer dan 120.000 bekende veiligheidslekken getest of onze servers daar vatbaar voor zijn

Wat hebben de hackers gevonden en hoe verbeteren we dit punten?
Gelukkig zijn er geen grote veiligheidslekken of -problemen naar voren gekomen tijdens de test. Wel hebben de etische hackers een aantal punten gerapporteerd waar de veiligheid verbeterd kan worden, waarvan ik een aantal punten hieronder noem. Voor een aantal punten hebben we gelijk actie ondernomen. Voor een aantal andere punten hebben we acties ingepland en waar nodig klanten geinformeerd, omdat deze wijzigingen impact kunnen hebben voor deze groep klanten.

  • We gebruikten nog enkele zwakkere SSL cipher suites voor de webserver en SSH. Een cipher suite bepaalt hoe verkeer versleuteld worden, en sommige cipher suites zijn zwakker qua versleuting dan de andere. We hebben inmiddels de gerapporteerde zwakkere cipher suits uitgeschakeld in de serverconfiguratie.
  • We bieden nog FTP toegang aan voor het uploaden en bewerken van bestanden van en naar het hostingpakket. In vergelijking met SFTP - wat we ook aanbieden - is FTP onveiliger qua versleuteling. Helaas zijn nog veel klanten afhankelijk van FTP, dus kunnen we FTP toegang nog niet uitschakelen. We hebben nu gepland om FTP in de toekomst uit te schakelen als het aantal klanten wat er afhankelijk van is, is afgenomen.
  • Ten slotte kan e-mail op onze servers nog worden opgehaald en verzonden via een zwakkere of zelfs een niet-beveiligde verbinding. De reden dat dit nog kan is omdat met name de oudere besturingssystemen en mailprogramma's niet overweg kunnen met modernere versleuting, en deze groep klanten zou dan niet meer kunnen mailen.

    We hebben besloten om het ophalen en versturen van e-mail via een zwakkere of niet-beveiligde verbinding toch vanaf eind november niet meer toe te staan. Dit om de reden dat het aantal klanten dat hier afhankelijk van is klein is en snel verder afneemt, en dat deze klanten genoeg alternatieven hebben om over te stappen naar een nieuwer of ander besturingssysteem of mailprogramma. Inmiddels hebben we een aankondiging naar alle klanten verstuurd, en hebben we alle klanten die nog onveilig inloggen ook individueel geinformeerd.

Betere veiligheid
Met deze scan hopen we de beveiliging van onze servers op een proactieve manier weer een heel stuk verbeterd te hebben. Over enige tijd zullen de etische hackers opnieuw een scan doen op al onze servers en kijken of onze acties inderdaad hebben geholpen. Security is uiteindelijk niet een eenmalige, maar terugkerende taak.