De website van Trumps nieuwe cybersecurity-adviseur zit vol kwetsbaarheden
Rudy Giuliani zal Donald Trump assisteren als het gaat om digitale beveiliging. Eén probleem: hij lijkt zelf niet te weten hoe dat moet.
Donderdag kondigde het transitieteam van Donald Trump aan dat Rudy Giuliani een cybersecuritygroep samen zal stellen om de President-elect te assisteren. Hj moet samen met het bedrijfsleven met oplossingen komen voor hacks, manipulaties van buitenaf en andere digitale bedreigingen. De voormalig burgemeester van New York heeft 16 jaar ervaring in het ‘vinden van beveiligingsoplossingen in de private sector’.
In al die jaren lijkt Giuliani alleen nooit naar zijn eigen (inmiddels offline gehaalde) website gekeken te hebben, want giulianisecurity.com is een nachtmerrie als het om beveiliging gaat.
De site draait op een vijf jaar oude versie van Joomla!, een gratis te gebruiken contentmanagementsysteem (CMS) dat vol zit met kwetsbaarheden. Dat is op zichzelf al een beveiligingsnachtmerrie, maar er is meer. De loginpagina van het CMS en de login van de server zijn publiek, waardoor het voor kwaadwillenden makkelijk is om toegang tot de site te krijgen. Ook wordt het gebruik gemaakt van een verouderde versie van scripttaal PHP (uit 2013), waar zich ook kwetsbaarheden in bevinden. Beveiligingsexpert Ty Miller liet aan The Register weten dat hij binnen een paar minuten al 41 publiekelijk bekende lekken identificeerde.
We kunnen er van uitgaan dat de 72-jarige Giuliani de beveiliging van zijn website niet eigenhandig in beheer heeft, maar toch wekt het weinig vertrouwen dat hij voor het beveiligen van zijn eigen site zelfs niet de juiste mensen in kan huren.
Cyberciminaliteit is als prostaatkanker
Giuliani startte zijn beveiligingsconsultancybedrijf in 2002, nadat hij zijn tweede termijn als burgemeester van New York achter de rug had. Naar eigen zeggen startte hij het bedrijf omdat hij in een rapport van de FBI las dat cybercriminaliteit een gigantisch probleem zou worden – ‘groter dan iets dat we ooit gezien hadden’. Een slimme zet, waar hij vooral dollartekens in leek te zien en niet meteen oplossingen.
In een interview met Marketwatch van een jaar geleden vergeleek Giuliani cybercriminaliteit met prostaatkanker, de ziekte die hij zelf gehad heeft, en ziet hij dezelfde uitdagingen. Hij denkt dat er voor beiden geen ‘perfecte oplossing’ is. En dat het bij beide kwalen belangrijk is om ze zo vroeg mogelijk te detecteren, zodat de schade beperkt kan worden – geen onverstandige woorden. Maar hij lijkt bij de bestrijding van cybercriminaliteit de oplossing vooral in veel geld te zien. Inhoudelijk komt hij niet verder dan het ‘van buitenaf testen van de systemen’. En alhoewel het belangrijk is om veel geld te investeren in de digitale beveiliging van de Verenigde Staten – zeker met Rusland op de loer – is het van belang waar dat geld naar toe gaat, en daar lijkt de voormalig burgemeester niet veel van te weten.
In de persconferentie die volgde na zijn aanstelling als cyberbeveiligingsadviseur van aankomend president Donald Trump liet Giuliani optekenen dat de Verenigde Staten zijn ‘verdediging achterop heeft laten raken’. ‘Onze aanval loopt ver voor op onze verdediging.’ Ironische woorden, voor iemand die zijn eigen website vol heeft laten lopen met kwetsbaarheden.
Fout opgemerkt of meer nieuws? Meld het hier