In het kader van passende organisatorische en technische (veiligheids-) maatregelen heeft LT&C besloten om in het LT&C Hosting en Beheer Cloud abonnement een terugkerende Moodle webcheck op te nemen. Zo zorgen wij ervoor dat op zowel functioneel als technisch gebied al het mogelijke wordt gedaan om de data op de leeromgevingen die we ondersteunen veilig te stellen.
De jaarlijkse webcheck wordt uitgevoerd door onze partner CyberAnt. CyberAnt checkt de leeromgeving op meer dan 100.000 kwetsbaarheden (niet allemaal Moodle gerelateerd). LT&C analyseert deze uitkomsten en deelt deze met de klant.
Uiteraard spraken wij met CyberAnt uitgebreid over de veiligheid van Moodle. Lees verder om onze vragen en de antwoorden van John de Kroon, technisch directeur en “Ethisch hacker” te lezen.
Goedemorgen John, voor onze lezers ben je wellicht nog niet bekend. Zou je wat meer over jezelf kunnen vertellen?
Mijn hele leven ben ik al gefascineerd door de digitale wereld. Als kind wilde ik later “computerprofessor” worden. Nadat ik een tijdje voor de Rabobank als Ethisch Hacker gewerkt heb, ben ik samen met mijn compagnons het bedrijf CyberAnt begonnen. Ik vind dat veiligheid iets is wat voor iedereen beschikbaar moet zijn, niet alleen voor de grote bedrijven.
Moodleâ„¢ geeft zelf aan dat ze werken met “security by design“. Dit doen zij onder andere door wanneer een probleem is gevonden en opgelost, een melding te sturen naar de beheerders van leeromgevingen en bij de ontwikkeling bezig te zijn met veiligheid. Ondanks dit zien we toch zo’n 30 meldingen per jaar voorbijkomen. Als je dit vergelijkt met andere Open source systemen is dat dan veel?
Het is bovengemiddeld, en er zitten ook wel een aantal ernstige kwetsbaarheden tussen, maar het getal zegt niet alles. Stel volgend jaar worden er geen publieke meldingen gedaan, zijn er dan geen kwetsbaarheden meer in Moodle? Dat kan, maar het kan ook zijn dat er een jaar niet gezocht is, of dat er wel kwetsbaarheden zijn, maar dat deze simpelweg niet gemeld zijn. Een hoog aantal kan dus ook wijzen op een actieve community.
Moodleâ„¢ zoek de samenwerking op met “white/ethische hackers” via het Bugcrowd platform om sneller veiligheidsissues te ontdekken. Je zou dus kunnen zeggen dat Moodle al heel vaak getest is?
Ja en nee. Waar andere bedrijven soms tot honderdduizenden euro’s aan beloningen uitkeren voor kritieke lekken, biedt Moodle geen beloning voor het melden van nieuwe kwetsbaarheden. Tegelijkertijd kan een kritiek lek dat nog onbekend is veel waard zijn, en er zijn ook bedrijven die deze lekken opkopen.
Dit zorgt ervoor dat de deelnemers van een dergelijk programma vaak de veiligheid van Moodle als “bijzaak” zien. Ze melden het bijvoorbeeld omdat ze het toevallig tegenkwamen of omdat ze naam willen maken. Desondanks worden er regelmatig nieuwe lekken gemeld, dus het programma werkt wel.
Houdt dit dan in dat je als organisatie dan niets meer hoeft te doen?
Nee, wettelijk gezien ben je als eigenaar van de leeromgeving verantwoordelijk voor de veiligheid ervan. Als je gehackt wordt en je gebruikers leiden daar schade door, dan kun je aansprakelijk gesteld worden en indien er persoonsgegevens gestolen worden dien je daar melding van te maken bij de Autoriteit Persoonsgegevens.
Los van de aansprakelijkheid is de code van Moodle maar een klein onderdeel van het uiteindelijke product: de code staat op een server, de installatie moet veilig geconfigureerd worden en de gebruikers moeten veilige wachtwoorden gebruiken. Laatst kwam ik een website tegen waar op dezelfde server een mailserver draaide. Deze bleek lek te zijn, waardoor ik via de webserver de website kon overnemen. Veiligheid is altijd zo sterk als de zwakste schakel.
De grootste kracht van Moodle Open Source LMS is de schaal -en aanpasbaarheid. Iemand met sitebeheer rechten kan zonder al te veel moeite plugins installeren. De meesten kijken hiervoor op de Moodle plugin database, omdat Moodle™ deze plugins controleert. Is het dan ook zo dat je zeker weet dat er géén veiligheidsissues kunnen ontstaan?
Het is heel goed dat Moodle dit soort controles doet. Het zorgt er namelijk voor dat de kans op kwaadaardige plugins aanzienlijk kleiner wordt. Echter is deze controle maar 1x en controleert Moodle niet elke aanpassing.
Daarbij komt dat er jaarlijks tientallen kwetsbaarheden in Moodle zelf gevonden worden, waar de controles over het algemeen strenger zijn. Het is dus aannemelijk dat er een veelvoud aan kwetsbaarheden in de plugins ontstaan.
Welke tips heb jij voor Moodle beheerders als ze aan de slag gaan met Moodle?
Allereerst, volg de veiligheidsaanbevelingen van Moodle nauwgezet op. Daarnaast, ga ervan uit dat er dingen misgaan. Een wachtwoord kan worden geraden of een update worden vergeten. Het is dan belangrijk om meerdere laagjes van veiligheid te hebben. Zo kan 2FA helpen tegen een gelekt wachtwoord en het afschermen van de omgeving van het grote boze internet helpen tegen een onbekende kwetsbaarheid.
Onlangs heeft LT&C voor zo’n 15 Moodle sites jullie quickscan uitgevoerd. Is zo’n quickscan voldoende om te zien of er veiligheidslekken zijn door bijvoorbeeld een fout in de Moodle broncode of plugin?
Dat is een goed begin. Deze quickscan test op 20 veelvoorkomende kwetsbaarheden. Maar wist je dat er meer dan 100.000 bij ons bekend zijn? En dat zijn alleen nog maar de bekende kwetsbaarheden. Bijna ieder onderzoek vind ik wel iets wat nog niet eerder gevonden is, of specifiek van toepassing is op de geteste omgeving. Althans, ik heb nog nooit een rapport zonder bevindingen opgeleverd.
Waarom een Moodle webcheck bij LT&C?
Zoals hierboven geschreven ben je als eigenaar wettelijk verantwoordelijk. Bij LT&C begrijpen wij als géén ander dat jij als organisatie erop vertrouwt dat jouw beheerder er alles aan doet om te zorgen dat jij aan deze wettelijke verantwoordelijkheid kan voldoen. Daarom hosten wij niet alleen jouw leeromgeving, maar voeren we ook het beheer hierover uit. Wij volgen uiteraard het nieuws rondom de veiligheid van Moodle, verdiepen ons in de best-practices en hebben nu ook de Websecurity Check van CyberAnt standaard opgenomen in ons LT&C Hosting en Beheer Cloud Abonnement.
Loopt je hosting niet via LT&C, maar zoek jij een professionele beheerder? Neem dan contact met ons op!