Security is een belangrijk issue, en er dient te allen tijde goed gekeken te worden naar Security. En inderdaad kost security best wel wat geld.
En dan komt er opeens een bericht in de pers. De kleine middenstander met een webwinkel besmet vele duizenden pc’s. In het artikel worden drie gerenommeerde anti virus bestrijders geciteerd. Alle drie voor mij totaal onbekende antivirus bestrijders. En om de verwarring dan helemaal kompleet te maken word er ook nog 'vergeten' te vermelden om welke software of technologie het hier gaat.
Nou, laat ik dan maar proberen een stukje van de sluier te lichten voordat straks iedere toch wel hardwerkende internet middenstander op de fles gaat. De drie 'gerenommeerde' antivirus bestrijders zijn onbekende namen die snel de pers willen/hebben gehaald. De grote Antivirus bestrijders, Trend Micro, Symantec, Norton, McAfee. Waar blijven zij met hun waarschuwing? Zij waarschuwen niet.
Er word hier toch gewaarschuwd voor en stukje gevaarlijke code. Die na 3 jaar opeens van de plank gehaald word en notabene door een Nederlander is geschreven. Het stukje code werd in een filmpje (Mpeg, Avi) maar ook in foto’s, afbeeldingen, buttons, animated gifs, etc geplakt, en het filmpje of wat dan ook word op een internet site geplaatst. De code doet niets anders dan het ip adres van de persoon die het item bekijkt opslaan, en achterhaalt op de pc van diezelfde gebruiker welke ander items hij/zij heeft bekeken. Ik vind dit zelf een kwalijke zaak, en een inbreuk op de privacy, maar daar wil ik het in dit stukje niet over hebben.
Deze code is van een generatie semi intellegente software. Het achterhaalt interesses van personen en verwerkt deze. Google doet al ettelijke jaren hetzelfde, en daar hoor je niemand over. Maar nu word deze code opeens in webwinkels gebruikt. Ja, zelfs in Ebay. Volg onderstaande procedure maar eens:
Ga naar www.ebay.nl. Klik zoeken en zoek op stores (winkels). Geef een store (winkel) naam in, en klik vervolgens op de store naam om te kijken naar de aangeboden zaken. Een goede virus detector vind meteen een exploit. Is Ebay een van de besmette webwinkels? Het antwoord is Ja en Nee. Ja, de code (gedeeltelijk) staat erop. Nee het is geen besmetting, maar een bewuste keuze.
Uitgesplitst in technologie kun je PHP en ASP sites onderscheiden. Er zijn wel meer technologieën, maar die zijn dermate statisch dat de exploit daar niet goed te plaatsen is. Zowel op ASP als op PHP kun je zeer intelligente scripts plaatsen. Klik je op de button nu kopen dan krijg je de vraag weet u dit zeker? Bij het antwoord Ja, kan het al goed fout gaan.
Maar waarom zou een webshop dit nu doen? Zodra het uitlekt is je webwinkel ten einde en kun je opnieuw beginnen. Maar wat doet de code dan nu opeens precies?
De code probeert nu geen IP adres op te slaan, maar probeert SQL injecties te doen. Om deze injecties te doen wil het toegang hebben tot een specifiek bestand wat aangeroepen word om iets in de database te schrijven. Koopt iemand een item op je website, dan zorgt dat bestand ervoor dat je aankoop in de database komt, en het item word dan afgeboekt op de voorraad. Om dit te doen is er in de code een regel weggeschreven die toegang geeft tot het gedeeltelijk beschermd bestand.
Dit bestand is echter alleen te vinden op Microsoft SQL servers. He! Dus als ik Oracle of MySQL gebruik, werkt het al niet? Inderdaad. Het werkt niet op MySQL en Oracle databases. Blijven dus alleen de Microsoft SQL servers over. Minder dan 4 procent van alle webservers is daadwerkelijk een Microsoft server.
Nog minder van deze vier procent word daadwerkelijk gebruikt als webwinkel. Het betreft hier alleen de zogenaamde ASP webwinkels. En deze worden nagenoeg alleen gebruikt door de grote jongens. Veel grote webwinkels zoals, Wehkamp, Neckermann, Otto en ik kan nog meer dan een uur doorgaan gebruiken deze software. De kleine internet ondernemer gebruikt nagenoeg alleen ASP, CGI en PHP met daarachter een Mysql database. De reden is heel simpel. Mysql kost niets en is heel eenvoudig te leren, terwijl Microsoft SQL toch wel erg duur is en behoorlijk complex.
De kleine internet winkel heeft nu wel last van de boodschappen in de media. Terwijl de gemiddelde Nederlander de grote jongens met veel marketing geld wel vertrouwd. Nou, Ik kijk wel eens op de grote sites, maar dan wel vanuit een VMWare sessie. Gaat het mis, dan rebuild ik mijn machine en begin ik opnieuw.
Er zijn diverse tools te verkrijgen om te testen of je site wel of niet vatbaar is. Ik wacht benieuwd af welke van de eerdere genoemde 'gerenommeerde' bedrijven, die de media hebben gewaarschuwd, deze tool commercieel gaat aanbieden. Laat je site testen en plaats onze button. Getest en veilig bevonden door: Vul de naam zelf maar in. Eerst stellen ze de kleine ondernemer in een kwaad daglicht, en daarna proberen ze hem ook nog wat geld uit de zak te kloppen.