Over lekken in Joomla en Drupal, poedels en onderzoeken

In de laatste paar dagen en weken is er weer een heleboel gebeurd op het internet. Op een paar interessante dingen willen we u graag attenderen.

In de laatste paar dagen en weken is er weer een heleboel gebeurd op het internet. Op een paar interessante dingen willen we u graag attenderen.

Joomla

In een maand tijd zijn er 6 nieuwe versies verschenen van lopende versies van dit CMS. Het betreft hier versies 2.5.25, 26 en 27 en 3.3.4, 5 en 6. In deze versies werden onder andere de volgende lekken gedicht:

  • Unauthorised Logins, waarbij hackers zonder juiste inloggegevens, toch in kunnen loggen
  • Remote File Inclusion, waarbij hackers willekeurige bestanden op willekeurige servers via uw site kunnen uitvoeren
  • Denial of Service, waarbij hackers uw site kunnen misbruiken om een DDOS aanval uit te voeren
  • XSS Vulnerability, waarbij hackers op uw site code kunnen uitvoeren van een externe locatie en zo uw bezoekers kunnen besmetten

Zoals u ziet, zijn dit nogal heftige lekken. Maakt u gebruik van Joomla? Dan willen we u dringend adviseren om direct te upgraden naar de laatste nieuwe versies van Joomla.

Drupal

Op 15 oktober publiceerden de ontwikkelaars van Drupal een bericht, waarin ze een highly critical lek aankaartten. Dit betreft alle versies van Drupal 7. Het is een dusdanig ernstig lek dat de ontwikkelaars het volgende te melden hadden:

"Multiple exploits have been reported in the wild following the release of this security advisory, and Drupal 7 sites which did not update soon after the advisory was released may be compromised."

Dit betekent zo veel als dat wanneer u uw site niet binnen een paar uur na het bekendmaken van dit lek heeft geüpgraded, de kans behoorlijk groot is dat uw site nu gehackt is.

Poodle

Een tijdje terug kwam er een ernstig lek in OpenSSL naar voren, genaamd Heartbleed. De hele IT-wereld werd op haar kop gezet, omdat OpenSSL een belangrijk onderdeel vormt van de online versleuteling van bijvoorbeeld websites. En met een naam als Heartbleed moeten we het wel serieus nemen.

Toen kwam vorige week het volgende lek, ditmaal in SSL3.0. Men noemde dit Poodle. Ik weet niet hoe u hier over denkt, maar een poedel maakt op mij toch een stuk minder indruk dan een bloedend hart* .

Desalniettemin betreft Poodle best een heftig probleem en u doet er goed aan om uzelf hier tegen te beschermen. Feitelijk komt het neer op het kunnen ontsleutelen van een sessie, waarin bijvoorbeeld waardes staan opgeslagen die u verifiëren bij online diensten als Google of Twitter. Eenmaal in bezit van de hackers, kan men zich voordoen als u zonder daadwerkelijk uw inloggegevens te hebben. Afhankelijk van welke browser u gebruikt, is hier een specifieke manier voor. Op populaire IT-security website security.nl werd hierover het volgende artikel gepubliceerd.

Publieke perceptie

Onderzoekers moeten zichzelf toch bezig houden. Af en toe komt daar best wat leuks uit. Zo blijkt uit recentelijk onderzoek door onder ander Kaspersky dat 13% van de internetgebruikers denkt dat cyberaanvallen niet echt zijn. Daarbij denken ze dat de hetze over online gevaren wordt overdreven door bijvoorbeeld de ontwikkelaars van antivirus software.

In dit onderzoek komen nog meer interessante gegevens naar voren. Van de respondenten gaf namelijk 20% aan dat ze zich niet bewust waren van het feit dat door het gebruik van openbare wifi-netwerken hun gegevens kunnen worden onderschept. 27% van de ondervraagden was zich wel bewust van het risico, maar maakt zich hier geen zorgen over.

De uitslagen van dit onderzoek zijn uiterst zorgwekkend. Grappig genoeg verscheen er in dezelfde periode een ander onderzoek, gedaan door anti-virusbedrijf F-Secure. Hieruit kwam naar voren dat internetgebruikers behoedzamer zijn voor Amerikaanse internetdiensten zoals de welbekende NSA. Ruim de helft geeft aan dat ze kieskeuriger zijn geworden wat betreft de diensten die ze gebruiken om te voorkomen dat hun privé data in de VS wordt behandeld. Bijna de helft geeft zelfs aan dat ze extra willen betalen om dit te voorkomen.

Nu vraag ik me toch af hoeveel van die 27% van mensen die zich geen zorgen maken over het gebruik van een openbaar WIFI netwerk, wel zouden willen betalen om hun internetverkeer niet via de VS te laten lopen. Want dit staat natuurlijk lijnrecht tegenover elkaar. Kan iemand dat misschien onderzoeken…?

Van de andere kant is er ook goed nieuws. Het blijkt dat veel Nederlanders gebruik maken van virusscanners om hun PCs en laptops te beveiligen, er worden steeds meer 'moeilijke' wachtwoorden gebruikt met speciale tekens en we steeds alerter zijn op phishing mailtjes. Dit komt naar voren in een onderzoek in opdracht van de rijksoverheid. Het volledige rapport vindt u hier . Hup digitaal Nederland, hup!

Conclusie

Het internet is dynamisch. En dat is maar goed ook, want anders zou er niks aan zijn. Maar, dat bekent ook dat we als internetgebruikers goed op de hoogte moeten blijven van ontwikkelingen in de diensten die we gebruiken. Denk hierbij aan het CMS van uw website (Joomla, Drupal, WordPress), het besturingssysteem van uw PC of laptop en de websites die u bezoekt. Ben u geïnteresseerd in uw online veiligheid, kan het geen kwaad om de door websites als security.nl verstrekte informatie te volgen. Meestal publiceren ze de informatie op een dusdanige manier, dat u geen ICT-diploma hoeft te hebben om het te snappen. En als dat wel zo is, heeft u er vermoedelijk geen boodschap aan.

* Deze poodle is natuurlijk niet echt gerelateerd aan behaarde viervoeters, maar staat voor Padding Oracle on Downgraded Legacy Encryption. Maar dan nog. Poodle?