Rapport van bevindingen Beveiligingsonderzoek webapplicatie HISICT 2016

Transcriptie

1 Auditdienst Rijk Minisrerje van Financiën DEPARTEMENTAAL VERTROUWELIJK Rapport van bevindingen Beveiligingsonderzoek webapplicatie HISICT 2016

2 Datum 5 oktober 2016 Titel Beveiligingsonderzoek webapplicatie HISICT 2016 Departementaal Vertrouwelijk Auditdienst Rijk Inhichtingen Kenmerk ADR/2016/ Colofon

3 Inhoud 1 Managementsamenvatting 4 2 Inleiding Aanleiding opdracht Opdrachtomschrijving Aanpak en werkwijze Verantwoording Leeswijzer 6 3 Bevindingen en aanbevelingen Inleiding Bestands- en directory toegang Ondertekening 18 Bijlage 1 Toelichting risicobeschrijving 19 Bijlage 2 Gedetailleerde fasering onderzoek 20 3

4 het onderzoek naar de beveiliging van de webapplicatie HISICT. Voor bet onderzoek is de volgende onderzoeksvraag geformuleerd; In deze managementsamenvatting kunt u de belangrijkste bevindingen lezen ult Inleiding testmethodiek. OWASP staat voor Open Web Application Security Project en is een internationaal initiatief omtrent kennisuitwisseling over de beveiliging van webapplicaties. De OWASP top 10 kwetsbaarheden zijn ondermeer onderzocht met de op moment van onderzoek bekende terugvinden in hoofdstuk 3. Hoog risico opgenomen. De details van alle gevonden kwetsbaarheden kunt u In deze managementsamenvatting zijn alleen de bevindingen met een Kritiek of Belangrijkste bevindingen component afhankelijke kwetsbaarheden, beveiliging van inlogvoorzieningen en afgestemd met en toegelicht aan de contactpersoon voor het onderzoek. c!ategorieen: bestands- en directory toegang, controle van invoervariabelen, eautomatiseerde hulpmiddelen onderzocht op kwetsbaarheden in vijf bet HISICT besproken plan van aanpak. De webapplicatie is met behulp van de beveiliging van gegevenstransport. Het conceptrapport is in september 2016 De uitvoering heeft plaatsgevonden volgens een vooraf met medewerkers van kunnen de hiermee gepaard gaande risico s worden gemitigeerd? Welke kwetsbaarheden bevatten de te onderzoeken webapplicaties en hoe 4 1 Managementsamenvatting

5 toegankelijke website waarop zij voor een brede doelgroep informatie publiceert. plaats. In 2012 is eerder een technisch beveiligingsonderzoek uitgevoerd en de onderzoek ult te laten voeren teneinde mogelijke kwetsbaarheden van de De Haagse Inkoop Samenwerking (HIS) onderhoudt momenteel een via internet Dc informatie is niet vertrouwetijk en er vinden bijvoorbeetd geen transacties HIS vindt het flu vanuit haar algemene zorgplicht tijd om opnieuw een dergelijk 2.1 Aanleiding opdracht 5 afkomstig uit Geschrift No.1 van NOREA, de beroepsorganisatie van IT-auditors. geautoriseerde personen via geautoriseerde procedures gebruikmaken van IT-processen. Deze definities zijn en volledigheid van gegevens is gewaarborgd. Onder exclusiviteit verstaan wlj de mate waarin uitsluitend werkelijkheid. De mate van getroffen maatregelen onderzoeken wij om na te gean in hoeverre de juistheid 2 Onder integriteit verstaan wi] de mate waarin het object in overeenstemming is met de afgebeelde Ter voorbereiding op dit onderzoek heeft afstemming plaatsgevonden tussen ontwikkelingen rond de webapplicaties. Vervolgens is voor dit onderzoek een de opdrachtnemende partij middets intakeformulieren is inzicht gegeven in de medewerkers van HISICT als opdrachtgevende partij en auditors van de ADR als de webapplicaties zoals deze via het Internet zijn aangeboden. als (deels) intern plaatsgevonden. Extern wit zeggen dat het zich heeft gericht op webapplicaties te misbruiken of binnen te dringen in de applicaties of de onderliggende systemen, zoals de databases. Het onderzoek heeft zowel extern In het onderzoek is nagegaan of het mogelijk was de functionaliteit van de informatiebeveiliging van webapplicaties. De aanwezigheid van maatregelen is hier gedetailleerder op ingegaan. getest met behuip van onze testprogramma s. In de volgende paragraaf wordt De maatregelen zijn afkomstig uit internationale best practices op het gebied van technische maatregelen om de integriteit en exclusiviteit2 te waarborgen op een met de opdrachtgever nader te bepalen tijdstip in de onderzoeksperiode. Het onderzoek heeft zich gericht op de aanwezigheid (het bestaan) van de hiermee gepaard gaande risico s worden gemitigeerd? Welke kwetsbaarh eden bevat de te onderzoeken webapplicatie en hoe kunnen geformuleerd: kwetsbaarheden van de webappticatie. De onderzoeksvraag was hiertoe als volgt Doelstelling van het onderzoek was cm inzicht te geven in de (mogelfjke) beveiigingsonderzoek uit te voeren op de HISICT webapplicatie op http(s):// (IP-adres ) De categoriemanager IWR van de HIS heeft de ADR verzocht een 2.2 Opdrachtomschrijving zodat zij verbetermaatregelen kan nemen. Auditdienst Rijk (ADR). ADR verstrekt de resultaten van die testen aan de HIS, Voor dit beveiligingsonderzoek is de HISICT-webapplicatie getest door de uit te voeren op de HISICT website op (categoriemanager IWR) de ADR gevraagd een beveiiigingsonaerzoek (pentest) appicatie inzichtelijk te maken. In dit kader heeft 2 Inleiding

6 geaccordeerd door de opdrachtgever van dit onderzoekw derde fase hebben wij de resultaten geanalyseerd en handmatige tests fase hebben wij een (geautomatiseerde) test op de applicaties uitgevoerd. In de 2.3 Aanpak en werkwijze voor dit onderzoek geweest. webbeheer en communicatie, is de contactpersoon webserver en de daarbinnen gebruikte technieken hebben verkend. In de tweede Het onderzoek is opgebouwd uit drie fasen, waarbij wij in de eerste fase de categoriemanager IWR van de HIS. 6 dit onderzoek. 2.5 Leeswijzer interpreteren. Bijlage 2 bevat een gedetailleerde beschrijving van de fasering van beschreven hoe de risicoclassificaties van gevonden kwetsbaarheden zijn te verdieping van de managementsamenvatting. In bijlage 1 van dit rapport is Hoofdstuk 3 bevat de detailbevindingen en aanbevelingen en is bedoeld als een rapport heeft geschreven, het rapport (vanaf 1 juli 2016) binnen zes weken voor de opdrachtgever met wie wij deze opdracht zijn overeengekomen. In de geldt. De minister van Financiën stuurt elk halfjaar een overzicht naar de Tweede overzicht op de website. Kamer met de titels van door de ADR uitgebrachte rapporten en plaatst dit op de website van de rijksoverheid plaatst, tenzij daarvoor een uitzondering ministerraad is besloten dat het opdrachtgevende ministerie waarvoor de ADR De ADR is de interne auditdienst van het Rijk. Dit rapport is primair bestemd de karheidvoliediguittebuitendureederzoeksperiode beperkte tijd en middelen, niet zover worden onderzocht dat het mogelijk wordt beveiligingsniveau van de webapplicatie. Kwetsbaarheden kunnen vaak, door de Het beveiligingsonderzoek is indicatief en geeft geen oordeel over het 2.4 Verantwoording & rapportage volstaan met het rapporteren van de onderzoeksresultaten. Bij de uitvoering van dit onderzoek wordt geen assurance verstrekt, maar is Standaarden voor de Beroepsuitoefening van Internal Auditing (ha ). Dit onderzoek is uitgevoerd in overeenstemming met de Internationale opdrachtgever. september 2016 definitief afgestemd met de contactpersoon namens de De bevindingen uit dit onderzoek, alsmede het conceptrapport, zijn op 29 de geautomatiseerde testen vanaf het internet op de webapplicatie uitgevoerd. Dit onderzoek is uitgevoerd in augustus Op 24 en 25 augustus 2016 zijn Een uitgebreide beschrijving van de aanpak kunt u lezen in bijlage 3 van dit uitgevoerd om vast te stellen of meldingen daadwerkelijk tekoftkomingen zijn. rapport. webapplicaties HISICT) namens de ADR uitgestuurd. Het opdrachtvoorstel is opdrachtvoorstel (Plan van Aanpak Beveiligingsonderzoek belangrijkste

7 de verificatie hebben wij van de aangetroffen kwetsbaarheden de aanwezig zijn of dat de testprogramma s valse meldingen hebben gegeven. Na kwetsbaarheden werkeli]k in de webapplicatie of de onderliggende systemen detail beschreven. Wi] hebben handmatig de kwetsbaarheden nagelopen die door onze testprogramma s zijn gevonden. Daarbij verifiëren wij of de Bevindingen en aanbevelingen kwetsbaarheid op infrastructuurniveau bevindt zich op de infrastructuurlaag, bijvoorbeeld in het onderliggende besturingssysteem..udrneia op dppllcdllelllveau oeviflqt zicn fl ae programmacode van de webapplicatie. izen interpreteren. De toelichting op de onderwerpen en op de aangetroffen kwetsbaarheden is opgenomen in de volgende paragrafen. In bijlage 1 van dit rapport is beschreven hoe de risicoclassificaties zijn te (Insp.). In de voor laatste kolom van de tabel opgedeeld naar webapplicatie (A) aangegeven op welk niveau de kwetsbaarheid zich bevfndt3. of de onderliggende infrastructuur (I), zoals de webserver. Hiermee wordt risicoclassificatie opgenomen en een indicatie over de benodigde inspanning zijn onderverdeeld in vijf onderwerpen van kwetsbaarheden. Daarnaast is een De aangetroffen kwetsbaarheden zijn in onderstaande tabel samengevat. Deze is om de kwetsbaarheid te verhelpen. risicoclassificaties bepaald en een schatting gemaakt van de inspanning die nodig 7 In dit hoofdstuk worden de bevindingen en aanbevelingen uit het onderzoek in Inleiding

8 UI n 0 UI Tabel 1: 3.2 Bestands- en directory toegang Op de server aanwezige bestanden bieden kwaadwillenden mogelijk extra informatie om de server aan te vallen. Dit geldt zowel voor bestanden die alleen informatie bevatten als voor programma s voor test- of beheerdoeleinden. Tijdens de [

9 9 Risico Inspanning Soort gebruikt worden om invoet te controleren, dit moet op de server gebeuren. hiermee omgaat. Tijdens de test is foutieve invoer aangeboden om te zien hoe de webapplicatie De client valt buiten de invloedssfeer van de organisatie en kan daarmee niet Aandacht voor de controle van invoervariabelen is bij webapplicaties van groot belang. De programmeur moet er van uit gaan dat alle invoer onbetrouwbaar is. 3.3 Control?van invoervariabelen Figuur 1

10 3.3.2 Risico I Inspannng I 10

11 3.3.3 Wij bevelen aar Risico Enspanning Soort Wij bevelen aan Figuur 3. 11

12 F 3.4 Risico Inspanning Soort Wij bevelen aan - Risico Inspanning Soort Wif bevelen aan Risico Inspanning Soort 12

13 if WijbeveIenaar Wif bevelen aar tzle paragraat RIsico Inspanning Soort Wij bevelen aan Risico Inspanning Soort 13

14 I Rsico Inspanning Soort Figuur 4. 14

15 maar die ons wel zijn opgevallen gedurende de onderzoekswerkzaamheden. hiervoor behandelde onderwerpen vallen en/of een beveiligingsrisico vormen, In deze paragraaf staan bevindingen opgenomen die niet zozeer binnen de Overige bevindingen De verbinding met de webapplicatie wordt vaak beveiligd door middel van encryptie t-iiccpn nhriijkpr en webadolicatie. Gedurende het onderzoew met SSL-certificaten, zodat vertrouwelijke gegevens niet door derden kunnen bepalen voor een beangrijk gedeete het beveiligingsniveau van de communicatie worden onderschept. Het type en de configuratie van de gebruikte certificaten geeist wordt in de Wet bescherming persoonsgegevens (Wbp). De versleuteling (persoonijke) informatie stuurt naar een achterliggende database. Denk hierbij ondermeer aan inlogvoorzieningen en contactformulieren. Indien het gegevens versleuteld te worden verstuurd, overeenkomstig hetgeen gesteld en Webapplicaties bevatten vaak diverse voorzieningen waarmee de gebruiker (privacy)gevoelige gegevens betreft, dienen de door de gebruiker ingevoerde dient om de privacy van de gegevens tijdens transport te kunnen waarborgen. Wij bevelen aan Soort

16 Risico Soort I Inspanning: In figuur 6 1Risico Inspanning Soort Testsoort WI) bevelen aan 16

17 Figuur Wi] bevelen aan 17

18 Den Haag, 5 oktober 2016 Auditdienst Rijk, Tot het geven van een nadere toelichting zijn wij gaarne berefd. Auditdienst Rijk Projectleider 4 Ondertekening 18

19 Risico gehanteerde inspanningscassificatie opgenomen. opgenomen. Daarnaast geven wij per bevinding een schatting aan van de benodigde inspanning am de bevinding te verhelpen. In tabel 2 hebben wij de categoriseren. In tabel 1 hebben wij de gehanteerde risicoclassificatie In dit rapport zijn risicoclassificaties opgenomen am de bevindingen te 19 Tabel 3: Classificatie van benodigde inspanning ag ( onderzoeks- en mplementatieactiviteiten. La MiUd n M Een aanbeveling die hoge inspanning vereist, omvat Een aanbeveling die middelmatige inspanning vereist, omvat Een aanbeveling die age inspanning vereist, omvat geringe omvangrijke onderzoek- en impementatieactiviteiten. middelmatige onderzoeks- en implementatieactiviteiten. e I Inspanning Tabel 2: Classificatie van risico s integriteit, vertrouwelijkheid en/of beschikbaarheid van te verhelpen. Lage risico s dienen overwogen te worden am te mitigeren of hulpmiddelen of informatie te bereiken. verschaft het informatie, am dat in combinatie met andere gegevens en/of systemen. Wel biedt het een moge)ijkheid, of zichzelf de mogelijkheid biedt tot het schaden van de Een bevinding met Iaag risico betreft een situatie die niet op Middelmatige risico s verdienen oak de aanbeveling am te gegevens en/of systemen. Wel biedt het een mogelijkheid, of verschaft het de informatie, am dat in combinatie met andere hulpmiddelen of informatie eenvoudig te bereiken. integriteit, vertrouwelijkheid en/of beschikbaarheid van urgentie. mitigeren of te verhelpen, maar hebben geen directe op zichzelf de mogelijkheid biedt tot het schaden van de Een bevinding met midden risico betreft een situatie die niet nog, te worden verholpen. systemen. veftrouwelijkheid en/of beschikbaarheid van gegevens en/of kan leiden tot het schaden van de integriteit, Hoge risico s dienen zo snel mogelijk gemitigeerd, of beter Een bevinding met hoog risico betreft een situatie die direct BijIage 1 Toelichting risicobeschrijving

20 zoals Google, gezocht naar domeinen behorende bij HISICT. De hieruit binnen dit onderzoek te onderzoeken webapplicaties. voortgevloeide lijst met applfcaties diende als uitgangspunt voor de uiteindelijk HISICT webapplicaties in kaart te brengen. Hierbij is met openbare bronnen, Het onderzoek was opgebouwd uit vier fasen: Ease 0 is een eerste verkenning geweest om de mogelijkheid te onderzoeken 20 bekend worden van kwetsbaarheden in deze componenten kan eftoe leiden geding is. Tijdens de test zijn bekende kwetsbaarheden onderzocht op de applicatie en de onderliggende componenten. dat de beveiliging van de applicatie, de webserver of de database in het Een webapplicatie maakt veelal gebruik van verschillende componenten. Het Component afhankelljke kwetsbaarheden zien hoe de webapplicatie hiermee omgaat. de server gebeuren. Tijdens de test is foutieve invoer aangeboden om te en kan daarmee niet gebruikt worden om invoer te controleren, dit moet op onbetrouwbaar is. De client valt buiten de invloedssfeer van de organisatie Aandacht voor de controle van invoervariabelen is bij webapplicaties van groot belang. De programmeur moet er vanuit gaan dat alle invoer Controle van invoervariabelen bestanden en directories. beheerdoeleinden. Tijdens de test is gezocht naar veel voorkomende alleen informatie bevatten als voor programma s voor test- of informatie om de servers aan te vallen. Dit geldt zowel voor bestanden die De op de servers aanwezige bestanden bieden aanvallers mogelijk extra Bestands- en directory toegang Onderwerpen die tijdens de (geautomatiseerde) test aan de orde zijn gekomen: Ease 2 - is een (geautomatiseerde) test van de aorlicaties. De webaoolicaties functionaliteit van de applicaties is met een reguliere browser verkend. Op basis technieken. De (eventueel) aanwezige documentatie is doorgenomen en de Fase 1 - van de bevindinger is een verkenning van de webserver en de daarbinnen gebruikte BijIage 2 Gedetailleerde fasering onderzoek

21 hierbij ondermeer aan inlogvoorzieningen en contactformulieren. Indien het vertrouwelijke en/of persoonlijke gegevens kunnen worden ingevoerd of mogelijkheden aanwezig zijn om de beveiliging te omzeilen of om Webapplicaties bevatten vaak diverse voorzieningen waarmee de gebruiker (persoonlijke) informatie stuurt naar een achterliggende database. Denk Beveiliging gegevenstransport geraadpleegd. De sterkte van dit mechanisme bepaalt voor een groot gedeelte het beveiligingsniveau van de webapplicatie. Tijdens de test is nagegaan of een adequaat beveiligingsmechanisme is toegepast, of kwetsbaarheden van een gebruikt beveiligingsmechanisme aan te tonen. 21 mogelijk uit te sluiten zijn de meldingen handmatig onderzocht. aanwezig is, terwijl dit in feite niet het geval is. Cm false positives zoveel tests zogenaamde false positives opleveren waarbij het lijkt dat een risico opgeleverd en mogelijke daarop gebaseerde vervolgacties. Het is mogelijk dat Ease 3 - is een analyse van de resultaten die het testprogramma heeft transport te kunnen waarborgen. Gedurende de test is onderzocht of de (Wbp). De versleuteling dient om de privacy van de gegevens tijdens hetgeen gesteld en geeist wordt in de Wet bescherming persoonsgegevens geimplementeerde versleuteling geen kwetsbaarheden bevat. (privacy)gevoelige gegevens betreft, dienen de door de gebruiker ingevoerde gegevens versleuteld te worden verstuurd, overeenkomstig Een webapplicatie kan gebruik maken van een beveiligingsmechanisme als Beveiligingsmechanisme

22 Auditdienst Rijk Postbus EE Den Haag 22