Cure53-beveiligingsaudit concludeert dat de VNC Connect-service voor externe toegang sterk en stabiel is wat betreft beveiligingsniveau
CAMBRIDGE, Engeland–(BUSINESS WIRE)–VNC Connect by RealVNC, de dienst voor externe toegang die wereldwijd door honderden miljoenen mensen wordt gebruikt, is gecontroleerd door Cure53, het in Berlijn, Duitsland gevestigde IT-beveiligingsadviesbureau dat ook andere toonaangevende software heeft gecontroleerd, zoals Mozilla VPN, 1Password en Bitwarden. De uitgebreide audit, die 86 mensdagen in beslag nam en VNC Server en VNC Viewer op Linux, Windows en Mac, VNC Viewer voor iOS en Android, het VNC Connect-beheerportaal en back-enddiensten omvatte, leverde 38 veiligheidsrelevante bevindingen op, waarvan geen enkele kritisch was en slechts drie als zeer ernstig werden aangemerkt; deze werden onmiddellijk verholpen. Het rapport concludeert dat RealVNC veel aandacht besteedt aan de beveiliging van al haar componenten.
“Als de technologen die verantwoordelijk zijn voor het introduceren van externe toegang op de massamarkt, stellen we vandaag de dag nieuwe normen en verwachtingen voor beveiliging ten aanzien van de uitdagingen van de moderne IT-omgeving. IT-kopers van technologieën voor externe toegang mogen niets minder verwachten dan onafhankelijke en uitgebreide validatie door derden van de claims van leveranciers. Dit geldt met name voor software voor externe toegang, waar veel op het spel staat en een fout kan leiden tot reputatieschade of zelfs existentiële schade. Met het rapport van Cure53 kunnen kopers erop vertrouwen dat een keuze voor RealVNC® als leverancier van externe toegang nooit een verkeerde beslissing zal blijken,” zegt Adam Greenwood-Byrne, CEO van RealVNC®.
Een white box beveiligingsaudit is aanzienlijk diepgaander dan de meer gebruikelijke black box penetratietest (die RealVNC ook jaarlijks laat uitvoeren door een externe organisatie), omdat de auditors toegang hebben tot alle broncode, binaries en API/protocoldocumentatie. Van de 38 kwetsbaarheden die werden gevonden in de geteste software en diensten, zijn er 32 verholpen – de oplossingen zijn bevestigd door Cure53 – terwijl de andere zes werden aangemerkt als valse waarschuwingen of functioneren zoals bedoeld en als minder risicovol werden beoordeeld.
“Bij RealVNC® gaan we ervan uit dat geen enkel bedrijf ooit een leverancier op zijn woord moet geloven als die beweert dat zijn software veilig is. Daarom hebben we ervoor gekozen om een white box audit uit te voeren met een hoog aangeschreven beveiligingsadviesbureau om dit te bewijzen”, zegt Andrew Woodhouse, CIO van RealVNC.
Het Cure53-team is zeer gemotiveerd om problemen te vinden bij het uitvoeren van white box penetratietests. Het feit dat er geen kritieke bedreigingen werden gevonden, versterkt de focus van RealVNC om ervoor te zorgen dat haar klanten veilig blijven voor bedreigingen bij het gebruik van VNC Connect.
“Cure53 is blij te kunnen zeggen dat de testvoorbereiding, de testuitvoering en ook de verificatie van oplossingen, wat een van de belangrijkste onderdelen van een dergelijke audit is, soepel en professioneel zijn verlopen. Het is duidelijk dat RealVNC een oprechte interesse heeft getoond in het waarborgen van de veiligheid van VNC Connect en bereid en toegewijd is om de hoge standaarden die we hebben waargenomen te handhaven,” zegt Dr.-Ing. Mario Heiderich, oprichter van Cure53.
De producten van RealVNC, met hoofdkantoor in Cambridge, voor desktop-, mobiele en embedded platforms maken het gebruikers gemakkelijk om op afstand toegang te krijgen tot apparaten en deze te bedienen, terwijl gebruikers op afstand kunnen samenwerken met technici om problemen eenvoudig op te lossen.
“We gaan de problemen die in het rapport zijn gevonden niet uit de weg. We hebben actief problemen opgelost op het moment dat ze naar voren kwamen en omdat beveiliging een continu veranderend landschap is, zullen we de beveiliging van VNC Connect in toekomstige iteraties van de dienst blijven garanderen,” zegt Ben May, hoofd cyberbeveiliging bij RealVNC.
Om Cure53’s samenvatting van de audit te bekijken, klik hier, en voor meer informatie over waarom RealVNC heeft gekozen voor een Cure53 audit, klik hier.
OVER REALVNC
De veilige software voor externe toegang en beheer van RealVNC® wordt wereldwijd door honderden miljoenen mensen gebruikt. Hun software helpt organisaties kosten te verlagen en de kwaliteit van ondersteuning voor apparaten en applicaties op afstand te verbeteren, en maakt werken op afstand mogelijk. RealVNC is de oorspronkelijke, in het Verenigd Koninkrijk gevestigde, uitvinder van VNC-software voor externe toegang en ondersteunt een ongeëvenaarde mix van desktop-, mobiele en embedded platforms.
OVER CURE53
Cure53 biedt zowel klassieke black-box penetratietests (zero-knowledge) als white-box tests en code-audits. Ontwikkelaars van webapplicaties en mobiele apps spreken vele talen, en wij ook. Van klassieke talen zoals PHP, JavaScript, ActionScript, Java, Ruby, Python en Perl tot meer exotische varianten zoals webback-ends geschreven in C++ en Delphi: we kennen ze allemaal.
Sinds de oprichting van Cure53 in 2007 hebben we honderden penetratietests uitgevoerd op allerlei webapplicaties, online diensten, hardware-interfaces, mobiele applicaties, bibliotheken en cryptotools. We hechten waarde aan handmatige en grondige tests, menselijke interactie en communicatie en een kort maar bondig penetratietestrapport zonder overhead of taartdiagrammen die niemand wil zien.
