Waar ben je naar op zoek?
06-10-2020
5 min. leestijd
Patrick Smits

IXON Security Assessment en Pentesting outcome

Op het gebied van beveiliging draagt IXON een grote verantwoordelijkheid. Gegevens van klanten en machines moeten altijd goed beveiligd zijn. Om een goed beeld te krijgen van het huidige beveiligingsniveau heeft IXON in augustus een pentest laten uitvoeren door een gespecialiseerd cybersecuritybedrijf. In dit interview bespreken we met IXON's Security Officer Dylan Eikelenboom welke bevindingen en aanbevelingen de test heeft opgeleverd.

Dylan Eikelenboom - Security Officer at IXON Cloud Dylan Eikelenboom - Security Officer at IXON Cloud

IXON heeft recent een pentest laten uitvoeren. Wat is een pentest eigenlijk?
Pentest is een afkorting van 'penetration test'. In feite is een pentest niets meer en niets minder dan een goedgekeurde hackpoging door een daarvoor ingehuurd cybersecuritybedrijf. Zo'n organisatie heeft een aantal ethische hackers in dienst die na goedkeuring door de opdrachtgever, in dit geval IXON, probeert om de infrastructuur van een bedrijf aan te vallen op een manier waarop kwaadaardige hackers dat ook zouden doen. De pentesters mochten dus met onze goedkeuring proberen om de IXON Cloud portal en de IXON router te hacken. Op welke manier dan ook.

Heeft IXON al vaker een pentest gedaan?
Ja, het is de de tweede keer dat we Access42 een pentest hebben laten uitvoeren. Vorig jaar deden ze dit voor het eerst. Door regelmatig een pentest te laten uitvoeren, willen we onze beveiliging structureel naar een hoger niveau tillen.

De pentesters mochten met onze goedkeuring proberen om IXON Cloud en de IXON-router te hacken. Op welke manier dan ook.

Dylan Eikelenboom
Security Officer at IXON Cloud

Zijn alle pentesten hetzelfde of zit er nog verschil in?
Er zijn heel veel verschillende manieren om een penetratietest uit te voeren. Het verschil zit hem vooral in de hoeveelheid informatie die je vooraf aan de pentesters geeft. Je kunt ze bij wijze van spreken helemaal niks geven. Je zegt dan "dit is ons cloudportaal, ga je gang". Ze starten dan eigenlijk precies zoals een kwaadwaardige hacker ook zou beginnen. Eerst brengen ze dan de infrastructuur in kaart, denk aan servers, IP-adressen, services etc., om van daaruit steeds dieper naar kwetsbaarheden te graven.

Vervolgens heb je bepaalde gradaties waarbij je bepaalde gegevens, zoals inloggegevens, wel geeft en andere niet. In het meest transparantegeval geef je ze toegang tot de volledige broncode van alle software, zodat ze echt alles tot in detail kunnen zien.

In de pentesting-scène wordt er, afhankelijk van de soort en hoeveelheid informatie die de penetratietesters krijgen, meestal onderscheid gemaakt tussen Black Box (geen informatie), White of Crystal Box (volledige openheid) en Grey Box (alle tussenvormen).

Welk type pentest heeft IXON laten uitvoeren?
Onze test was echt een Grey Box. We hebben de pentesters vooraf een presentatie gegeven waarin o.a. de infrastructuur uitgebreid aan bod kwam. Voordat ze aan de slag gingen, wisten ze dus al precies welke servers we gebruiken, welke services erop draaien en hoe alles werkt.

Daarnaast hebben we ze ook een aantal routers gegeven, inclusief de volledige broncode. Voor dat onderdeel kun je dus echt wel spreken van een Crystal Box. 

Hoeveel tijd is er uitgetrokken voor de pentest?
Bij Access42 hebben twee ethische hackers er ieder veertig uur aan besteed.

Kun je iets meer vertellen hoe de pentest in zijn werk is gegaan?
Het begint in principe met een oriënterende fase, waarin de pentesters met name informatie inwinnen. Je moet dan denken aan dingen als: Wat zijn onze assets? Hoe ziet de IXON Cloud eruit? Wat is ons product? En meer van dat soort vragen.

Natuurlijk was onze infrastructuur grotendeels vergelijkbaar met met de situatie vorig jaar, maar omdat er bij Access42 wat nieuwe mensen zijn, hebben we de infrastructuur uitgebreid behandeld in een presentatie. Eerst over IXON, vervolgens ons cloudportaal en tot slot de IXrouter.

The overall security level of IXON's IIoT platform was however found to be quite high

Access42
Pentest rapport

Access42 heeft vervolgens gebruik gemaakt van een geautomatiseerd vulnerability testing system. Daarin hebben ze alle IP-adressen van onze servers toegevoegd, waarna ze een eerste globale, ruwe scan hebben gemaakt. Zodoende hadden ze al een idee wat er op welke server draait, welke poorten openstaan, welke softwarepakketten en -versies er op draaien etc. Pentesters proberen zo te achterhalen of ze op een laagdrempelige manier al dingen kunnen zien waar je als hacker gebruik van kunt maken om een systeem aan te vallen. Vervolgens gaan ze steeds een stapje verder en duiken ze er steeds dieper in. Uiteindelijk schrijven ze hun bevindingen op in een rapport en doen daarin ook aanbevelingen om de situatie te verbeteren.

It was not possible to successfully penetrate any of the services required within the available time for this assignment.

Access42
Pentest rapport

Hoe hebben de penetration testers de veiligheid van het productaanbod van IXON uiteindelijk beoordeeld? 
Access42 heeft de resultaten van de pentest netjes samengevat in een rapport wat ze met ons hebben doorgesproken. In de managementsamenvatting concluderen ze dat het IXON Cloud platform van een behoorlijk hoog beveiligingsniveau is.

We begrijpen dat dit gevoelig ligt, maar kun je iets vertellen over de uitkomst van de pentest zelf? Zijn er kwetsbaarheden aan het licht gekomen?
Ja, ze hebben zeker wat gevonden. En dat is natuurlijk ook waarom we het doen. We doen het niet om een mooi certificaat te kunnen overhandigen aan onze klanten dat we 100% veilig zijn. In de ideale wereld is er misschien iets als 100% veiligheid, maar in de echte wereld werkt het zo niet. Het is een voortdurend spel van aanvallers en verdedigers.

Access42 heeft uiteindelijk 8 bevindingen gerapporteerd. Voor elk van die bevindingen hebben ze aangegeven wat de ernst is. In ons geval waren er twee Medium issues, vier hadden als criterium Low en twee waren Informational. Er zijn geen ernstige problemen aan het licht gekomen waarvoor we direct moesten ingrijpen.

In this penetration test, no findings have been made that have been classified as high or critical severity.

Access42
Pentest rapport

Kun je iets vertellen over de achtergrond van de kwetsbaarheden die aan het licht zijn gekomen?
De impact van alle security-issues was zeer beperkt, zelfs van de medium issues. De kans dat ze daadwerkelijk in een incident zouden uitmonden was erg klein. Ook de impact op klanten was heel beperkt. Het was met deze kwetsbaarheden bijvoorbeeld niet mogelijk om bij klant- of machinegegevens te komen.

Hoe gaat IXON met deze kwetsbaarheden om?
Alle bevindingen zijn besproken en gerapporteerd aan R&D. Intern kwalificeren we de kwetsbaarheden vervolgens weer met een vergelijkbare schaal, zoals die gebruikelijk is bij ontwikkelteams. Dat start met 'negligible', dus issues die een erg lage impact hebben. De kans dat deze misbruikt worden, is vrijwel verwaarloosbaar. Die doen we een keer als we niks te doen hebben.

Vervolgens krijg je 'Low' issues. Deze kwetsbaarheden kunnen misbruikt worden, maar de blootgestelde informatie is slechts van licht vertrouwelijk aard of de hack is dusdanig, dat er al iets anders mis moet zijn, wil je daar iets mee kunnen. Ook deze kwetsbaarheden worden op de backlog gezet en opgepakt als er een developer met dat onderdeel aan de slag gaat.

‘Medium’ issues zijn belangrijker en moeten binnen drie maanden gefixt zijn. Het hangt er natuurlijk vanaf hoe moeilijk het technisch gezien is om een fix te implementeren. Sommige kwetsbaarheden zijn met slechts een regel code te fixen – die doen we natuurlijk meteen. Voor andere kwetsbaarheden moet je echt een heel stuk code herschrijven. Daar nemen we iets langer de tijd voor.

Tot slot zijn er nog issues die 'severe' of 'critical' zijn. Daarvoor wordt uiteraard al het andere werk aan de kant geschoven en wordt direct gekeken hoe deze issues verholpen kunnen worden.

Welke vervolgacties ga je nemen?
Ik zorg er voor dat R&D de juiste prioriteiten geeft aan het oplossen van die kwetsbaarheden, zodat ze ook echt opgelost worden. Mijn inzet is dat alle issues voor het eind van 2020 gefixt zijn. Om de voortgang in de gaten te houden, hebben we daarom maandelijks een meeting met het productteam, waarin dit aan bod komt. 

It was not possible to exploit any of the findings predetermined from the initial scans to access any confidential systems or information.

Access42
Pentest rapport

Is er ook gekeken naar oudere softwareversies?
De testers hebben alleen gekeken naar combinaties van de nieuwste versies van de routerfirmware en VPN-client. Dus ze hebben niet gekeken naar oudere versies. We weten dat sommige oudere firmwareversies niet direct kwetsbaarheden bevatten, maar ook niet helemaal op de juiste industry standard zitten. Dat is wel iets wat we intern altijd meenemen. 

We weten dat de software van routers in het veld niet per sé up-to-date hoeft te zijn, omdat fabrikanten zelf bepalen wanneer ze routerupdates uitvoeren. Dat deel hebben we dus niet helemaal zelf in de hand. We zijn daar afhankelijk van machinebouwers, system integrators en natuurlijk de eindklant. Ik kan dus niet garanderen als je een oudere versie gebruikt, dat het 100% veilig is. Het zal in ieder geval niet zo veilig zijn als wanneer je de nieuwste versie gebruikt.

Wanneer staat de volgende pentest gepland?
We hebben nog geen exacte datum geprikt. Ik ben er in ieder geval voorstander van om voor de volgende penetratietest meer tijd uit te trekken en de pentesters nog meer uitgangsinformatie te geven.

We zijn ook aan het kijken of we iets kunnen doen met een bugbountyprogramma, zoals hackerone. Maar misschien dat het daarvoor nog net iets te vroeg is. Je hebt dan minder controle. Bij de pentesters van Access42 hebben we van tevoren een hele waslijst aan informatie meegegeven. Behalve “dit is het” en “zo werkt het”, hebben we ook aangegeven welke servers niet meegenomen hoeven te worden, omdat die op het punt staan om uitgefaseerd te worden. Bij een normale pentest is het ook makkelijker om extra focus mee te geven, zoals: “We zouden het fijn vinden als je ook even zou kunnen kijken naar deze security-vragen.” “Hebben we dit wel goed ingericht?” Et cetera.

Dat kun je wél met een pentestbureau doen, maar niet met een bugbountyprogramma. Door de informatie publiek te maken, zou je het kwaadwillenden een stuk makkelijker kunnen maken.

Welke les kan IXON uit deze penetratietest leren?
Een van de belangrijkste lessen die je uit penetratietesten kunt halen, is de mythe dat je alle kennis zelf in huis hebt en dat je alles goed voor elkaar hebt.

Er zijn nu bijvoorbeeld dingen gevonden die we zelf ook wel had kunnen bedenken en waar we in het verleden ook wel naar gekeken hebben. Maar doordat ze nu weer opnieuw onder een vergrootglas liggen, blijkt dat het toch weer een slag beter kan.

Pentesters kijken met een frisse blik naar dingen en brengen veel praktijkervaring mee, waardoor ook dingen die op het oog simpel lijken, minder simpel blijken te zijn. Met pentesting krijg je een onpartijdige, onbevooroordeelde blik op je proces en services.

Ligt IXON vaak onder vuur van hackers?
Ja, dagelijks. Vooral ongerichte aanvallen. We zien bijvoorbeeld vaak bots langskomen die geautomatiseerd proberen om bepaalde kwetsbaarheden in veelgebruikte software als WordPress of SSH te misbruiken. Gerichte aanvallen hebben we nog niet gezien. We hebben het wel zo ingericht dat we ze kunnen zien.

Wat is het worst-case scenario, eentje waar je 's nachts van wakker ligt?
Mijn worst-case scenario is zonder twijfel dat de klantendatabase op straat komt te liggen. Downtime door bijvoorbeeld een storing of DDoS is zeker lastig of vervelend voor klanten, maar vaak nog wel overkomelijk en van tijdelijke aard. Klanten kunnen daar vaak nog wel begrip voor opbrengen, omdat je het minder zelf in de hand hebt. 

Ik heb wat dat betreft liever dat de broncode van onze applicaties op straat komt te liggen, dan de klantgegevens.

Zijn er nog dingen die niet aan bod zijn geweest, maar die je nog kwijt wilt?
Soms kom ik klanten tegen die vragen: "Kun je 100% garanderen dat jullie database niet gehackt kan worden?". Als ik dan aangeef dat we dat niet kunnen garanderen, reageren ze verrast met "maar die concurrent kan dat wel", omdat de marketeer of sales-medewerker van zo'n organisatie dat met droge ogen beweert. Maar 100% veiligheid garanderen, kán simpelweg niet. In een stuk software dat vandaag nog 100% veilig wordt geacht, kan morgen zomaar een kwetsbaarheid worden ontdekt. En het kost gewoon tijd om dat op te lossen. Zolang dat niet gebeurd is, ben je in meer of mindere mate kwetsbaar. IT-afdelingen snappen dat, maar managers en inkopers in organisaties vinden die boodschap maar lastig te verkroppen.

100% veiligheid garanderen, kán simpelweg niet.

Dylan Eikelenboom
Security Officer at IXON Cloud

Je kunt hooguit je best doen om de attack vectors en surface areas zo klein mogelijk te maken, waardoor de kans dát er iets gebeurd en de impact daarvan zo klein mogelijk zijn. Het enige dat IXON uiteindelijk kan garanderen is dat we alles op alles zetten om de processen rond onze producten zo in te richten dat we kwetsbaarheden zoveel mogelijk proberen te voorkomen en dat we issues zo snel mogelijk verhelpen. Maar in de praktijk blijft het een spelletje waarbij jij probeert om de nieuwste verdedigingstechnieken te gebruiken, terwijl hackers proberen om daar met nieuwste aanvalstechnieken doorheen te prikken.