Softwarebedrijven moeten beter waarschuwen voor onveilige configuraties

[Captain Kirk]

Softwarebedrijven moeten hun gebruikers beter waarschuwen voor onveilige configuraties, verdacht gedrag en besmette downloads, zo stellen cyberagentschappen van zes landen. De waarschuwing staat in een document over het voorkomen van cyberdreigingen voor maatschappelijke organisaties, zoals denktanks, ngo's, mensenrechtenbewegingen, activisten en journalisten (pdf). Volgens de overheidsdiensten uit Canada, Estland, Finland, Japan, Verenigd Koninkrijk en Verenigde Staten zijn de genoemde organisaties doelwit van statelijke actoren die 'democratische waarden' willen ondermijnen.

Het document beschrijft maatregelen die organisaties en personen kunnen nemen om zich te beschermen, zoals het installeren van beveiligingsupdates, inschakelen van multifactorauthenticatie (MFA), beperken van de hoeveelheid persoonlijke informatie op internet, inschakelen van de Lockdown Mode op iOS en het gebruik van encryptie om alle communicatie te beschermen. "Zonder encryptie kunnen aanvallers onversleutelde of ongeauthenticeerde kanalen misbruiken om malware op apparaten te injecteren, wat grote risico's voor de privacy en veiligheid vormt."

Daarnaast richten de overheidsdiensten zich ook op softwarebedrijven. Die moeten ervoor zorgen dat MFA standaard binnen hun producten staat ingeschakeld, algemeen bekende klassen van kwetsbaarheden worden opgelost en logging zonder extra kosten beschikbaar is. Tevens moeten gebruikers beter worden gewaarschuwd voor onveilige configuraties, verdacht gedrag en besmette downloads. De landen pleiten voor het implementeren van 'attention grabbing alerts'. Daarbij wordt in een ander document over veilig softwareontwerp de vergelijking gemaakt met waarschuwingsgeluid dat auto's geven wanneer de gordel niet wordt gebruikt (pdf).

 

bron: https://www.security.nl