Panama Papers

| april 12, 2016

Achter een oud cms-systeem ben je niet veilig

Wie nog belasting betaalt is dom, zou je bijna denken. Van staatshoofden, sporters tot Solidaridad, ze hebben allemaal de weg naar het Caribische gebied weten te vinden. Zoveel hebben de Panama Pages over de internationale belastingontwijking via banken en trustkantoren in het Midden-Amerikaanse land ons wel geleerd. Maar voor de gemiddelde ondernemer is het interessanter om te weten hoe de klokkenluider aan zijn informatie is gekomen.

Het Panamese advocatenkantoor Mossack Fonseca bleek meer verstand te hebben van belastingontwijking dan van de basisregels voor het beschermen van de computer- en internetinfrastructuur. Het is onbegrijpelijk dat een bedrijf dat zoveel cliënten heeft die het liefst hun financiële handel en wandel buiten de spotlights houden, zo onzorgvuldig is geweest. Want de WordPress-website van Mossack Fonseca was al jarenlang niet meer geüpdatet. Het gebruikte een oude WordPress-versie en verouderde plug-ins waarvan er één zo lek was als een mandje. Hierdoor konden hackers gemakkelijk op hun server inbreken. WordPress is op zichzelf niet het probleem, zolang je maar zorgt dat je over een recente versie van dit contentmanagementsysteem beschikt, en ook de plug-ins regelmatig bijwerkt. Dat geldt trouwens niet alleen voor WordPress, maar ook voor andere cms-systemen als Joomla en Drupal. Maar dit deden de Panamese advocaten niet.
Daarnaast was de server van het kantoor ook niet voorzien van een firewall, die normaal gesproken kwaadwillenden buiten de deur houdt. Eenmaal digitaal binnengeslopen, bleken de mailserver en een groot deel van de werkbestanden van het kantoor op hetzelfde servernetwerk als de website te staan. Het downloaden kon dus beginnen, het was niet minder dan prijsschieten op de geheime e-mailberichten en bestanden. Dus, als je ook een cms-website hebt, zorg er dan voor dat de boel regelmatig naar de meeste recente versie wordt geactualiseerd. Gehackte gegevens van de bedrijven van KOV-leden zullen waarschijnlijk geen wereldnieuws worden, maar het is toch een wat oncomfortabel idee als vertrouwelijke informatie op straat kan komen te liggen. Als je ervoor terugschrikt om zelf je cms en plug-ins te updaten, schakel dan een professioneel bedrijf in.

Daarmee kom ik bij een tweede en al even vervelende mededeling, het is geen vrolijk verhaal dit keer. Vorige week werd bekend dat miljarden computers wereldwijd de deur hebben openstaan om met kwaadaardige randsomsoftware te worden besmet. Voor alle duidelijkheid: dit soort software versleutelt bestanden op je computer en eist vervolgens een losgeld om de versleuteling weer op te heffen – wat overigens nooit gebeurt. Besmetting kan betrekkelijk eenvoudig via een van de meest gebruikte browserplugins die we kennen: Flash. Hoewel Flash door de meeste browsers niet meer standaard wordt ondersteund, kun je er eigenlijk nog steeds niet buiten. Videos op nieuwssites, animaties en doorbladerbare online brochures en catalogi, ze hebben Flash meestal nog steeds nodig. En dus geven we de browser toestemming om Flash in te schakelen. Adobe heeft op 8 april een nood-update van de Flash Player uitgebracht, en het is belangrijk dat iedereen deze update download op get.adobe.com/nl/flashplayer/. En zorg er gelijk voor dat je recente versies van browsers gebruikt, want ook hier geldt dat deze het best zijn beveiligd tegen hackers.

Martin van Duijn | seashore.nl

Foto: FreeImages.com/Silvia Marquez