Hoe kwetsbaar zijn open-source software- oplossingen voor ransomware?

Na de recente WannaCry ransomware-aanval is het bedrijfsleven opnieuw opgeschrikt door de Petya ransomware-aanval. Omdat veel organisaties met dergelijke risico’s nog relatief weinig ervaring hebben, krijgt West IT hier in toenemende mate vragen over  van relaties.

Wat houdt de Petya ransomware-aanval precies in?

De Petya ransomware neemt computers over en vraagt $300 in Bitcoins te betalen om de schade weer ongedaan te maken. De kwaadaardige software verspreidt zich razendsnel binnen een organisatie wanneer een computer is geïnfecteerd. Hierbij kan deze gebruik maken van meerdere kwetsbaarheden in Windows: hetzij de zogenaamde EternalBlue exploit dan wel twee administratieve tools van Windows. Microsoft heeft hiervoor inmiddels een patch beschikbaar gesteld maar nog niet iedereen heeft deze geïnstalleerd. De Petya malware probeert eerst de ene optie en wanneer deze niet werkt probeert het de volgende. Als zodanig is het een geavanceerder mechanisme dan bij WannaCry.

Deze aanval lijkt te zijn gevoed door een recent software updatemechanisme dat ingebouwd is in een boekhoudprogramma. Dit wordt veel gebruikt door de Oekraïense overheid. Dit verklaart ook waarom veel Oekraïense bedrijven zijn getroffen.

Is open-source software kwetsbaarder voor dergelijke virussen?

Wanneer je nog niet vaak met open-source software te maken hebt gehad bestaat de kans dat je het beeld hebt dat kwaadwillenden stiekem kwetsbaarheden in de software kunnen inbouwen. In het algemeen is het tegenovergestelde waar. Om aanpassingen in open-source software te publiceren moet je een procedure doorlopen die er voor zorgdraagt dat te allen tijde te traceren is wie wijzigingen aan de software heeft aangebracht, welke wijzigingen dat waren en wanneer. Aangezien hackers liever anoniem blijven zijn zij in het algemeen geen fan van open-source communities. Daarnaast zijn open-source software communities er erg op geënt dat uit de community kwalitatief hoogwaardige software voortkomt. Daarom controleren deze ontwikkelaars elkaars code (code-reviewing) en helpen elkaar hiermee om fouten en kwetsbaarheden te elimineren. Een kwaadwillende hacker is daarom in de meeste gevallen niet actief in een open-source community.

Hoe groot is de kans dat Odoo (voorheen OpenERP) door hackers misbruikt wordt?

Aan de ontwikkeling van Odoo is al vele jaren een zéér actieve en professionele open-source community verbonden. De kans dat Odoo misbruikt wordt om een dergelijk virus te verspreiden is daardoor zeer gering. Omdat de Odoo-software volledig op een server (bijv. cloud) draait en er geen software-installatie op lokale systemen vereist is, is het ook niet het meest geschikte medium voor het verspreiden van virussen.

Daarbij komt dat hackers in toenemende mate willen verdienen aan cyberaanvallen. Zij zijn dus primair op zoek naar software die geografisch gezien grootschalig wordt toegepast. Ook al groeit Odoo momenteel razendsnel in populariteit, het kan nog niet zoveel slachtoffers maken als een Microsoft-achtig product. Het is daarom niet erg waarschijnlijk dat Odoo gebruikt zal worden voor het verspreiden van ransomware.

Betekent dit dan dat ik me bij een Odoo-installatie nooit zorgen hoef te maken?

Het belangrijkste beveiligingsrisico bij een product als Odoo bestaat uit worms die geautomatiseerd Odoo-installaties besmetten en gerichte aanvallen uitvoeren tegen Odoo. Deze kunnen op hun beurt weer andere systemen besmetten door ofwel binnen het netwerk waar Odoo draait proberen extra toegang te krijgen of door het besmetten van eindgebruikers met virussen (net als iedere willekeurige website kan doen).

Het is daarom belangrijk dat er voor alle software-componenten die gebruikt worden een procedure is voor het uitrollen van beschikbare (beveiligings-)updates. Bij Windows waren er al sinds maart updates beschikbaar die de ransomeware-uitbraak van Petya en WannaCry hadden kunnen voorkomen. Veel bedrijven hebben deze echter (nog steeds) niet geïnstalleerd.

Omdat bij Odoo niet, zoals bijvoorbeeld bij de CMS'en Joomla, Drupal en Wordpress, een automatische check is ingebouwd, is het van belang dat u zich bij de installatie van Odoo-software laat begeleiden door een professionele (bij voorkeur Odoo-gecertificeerde) implementatiepartner. Wanneer er namelijk van een Enterprise-licentie gebruik gemaakt wordt ontvangt deze partner via Odoo security-advisories. Zij zal u dan verder adviseren en desgewenst assisteren bij het doorvoeren van deze patches. Een ander belangrijk middel tegen dit soort security-risico's zijn correct werkende back-ups en geteste restore-procedures.

Wat kan ik verder nog doen om mijn kwetsbaarheid verder te verkleinen?

Malware en andere kwetsbaarheden zijn vaak al lang op een systeem aanwezig voordat zij actief misbruikt worden. Met behulp van een zogenaamd Vulnerability Scan-abonnement kunnen veel bekende kwetsbaarheden, virussen, worms e.d. op een systeem worden herkend. Verder wordt aangegeven of er oplossingen voor de gevonden kwetsbaarheden beschikbaar zijn.

West IT heeft security-specialisten in dienst die u op dit vlak kunnen adviseren. Daarnaast biedt zij tevens betaalbare security-scan abonnementen.