Honderdduizend webwinkels die op winkelsoftwareprogramma osCommerce draaien, werden eind juli 2011 gehackt. Toch maakt het weinig uit of een website op open source of duur betaalde software is gebouwd, zeggen vier Computable-experts. 'Alle software wordt uiteindelijk door mensen gemaakt en die maken fouten, waardoor beveiligingslekken ontstaan', zegt Medusoft-directeur Erik Remmelzwaal. Het is vooral het up to date houden van de software waarmee winkeleigenaars in de fout gaan.
De aanval die eind juli 2011 plaatsvond op honderdduizend webshops die op open source software osCommerce draaien, is volgens de Computable-experts niet vreemd. 'Veel webwinkels hebben geen beleid om altijd maar op de laatste versies te draaien, waardoor de beveiliging op de tocht komt te staan. Vervolgens zoeken hackers achterdeuren om makkelijk binnen te komen', zegt Marco Barkmeijer van Securelink.
Sql-injecties
Erik Westhovens van DinamiQs weet dat er niet veel nodig is om een osCommerce-webshop te hacken. 'Even een scriptje maken wat de site doorploegt, dan eentje die de admin ophaalt en het wachtwoord aanpast en dan snel wat extra code in de sql-database pompen en de website ziet er meteen anders uit. Het is een dagelijks gebeuren, websites die uitgeschakeld of aangepast worden via sql-injecties. Je mooie webshop doet het dan opeens niet meer of laat een andere pagina zien. Er zit dan niets anders op dan de shop offline te zetten tot er een oplossing is.'
Webwinkels draaien vaak op gestandaardiseerde software, waardoor het voor hackers gemakkelijk is in één keer een hele groep aan te vallen. 'In principe maakt de software niet zoveel uit, omdat eigenlijk alles wel wat scriptfouten bevat, maar gestandaardiseerde software is al te hacken als mensen hun install.php-script vergeten weg te gooien en de hacker zo de admin-scripts in mum van tijd kan vinden', zegt Erik Remmelzwaal.
Zero-day
Het hele idee achter hacken is dat er beveiligingslekken in software worden gezocht en misbruikt. Meestal zijn die lekken wel bekend bij uitgevers van de software, maar er kunnen ook zogeheten zero-days zijn. Dat zijn lekken die de leverancier niet kent en die voor veel geld op de zwarte markt worden verkocht, immers is hier nog geen update voor verschenen want de uitgever weet van niks.
Volgens Erik Remmelzwaal gaat het ook in het geval van de vele getroffen webwinkels die op osCommerce draaien om een zero-day. 'Ik denk dat de hackers in dit geval een admin-pagina hebben opgeroepen die een stuk html-code aan de header van de webshop lay-out kan toevoegen. In die oproep hebben ze waarschijnlijk een stuk html-code met iframe gezet. Het script is in dat geval dan lek, waardoor er niet eens een admin-wachtwoord nodig is om het hackersscript ten uitvoer te brengen.'
Open vs. closed source
Volgens de vier experts is de software van elke winkelwebshop onveilig. 'Hackers kunnen bij open source in de code heel gericht naar fouten zoeken. Dat is bij closed source moeilijker, maar zeker niet onmogelijk', zegt Maarten Hartsuijker van Classity. Erik Remmelzwaal: 'Naarmate het meer gebruikt wordt, zullen hackers er meer aandacht voor krijgen. Max OS X is net zo goed een gatenkaas als Windows, maar het gaat erom hoe de fabrikant omgaat met het bekend worden van lekken. Je kunt Windows afkraken op basis van lekken, omdat je voor dat besturingssysteem betaalt, maar je weet dat Microsoft als geen ander zijn regelmatige patchbeleid goed op orde heeft.'
Marco Barkmeijer beaamt dit. 'Er is al langer een discussie over open source versus commercieel verkrijgbare producten, maar alles valt of staat hier met de beherende partij. Over het algemeen zijn open source-oplossingen niet veiliger. Er zit bij niet open source oplossingen vaak een grote fabrikant achter met een team van specialisten om continu updates uit te brengen, maar 100 procent veilig zal het nooit worden, gezien beheer hier ook een belangrijke rol speelt.'
Wachtwoorden
Remmelzwaal ziet dat de interesse in wachtwoorden de afgelopen tijd sterk is gegroeid onder hackers. 'Het is voor de hand liggend dat hackers geld kunnen verdienen met creditcardgegevens, maar tegenwoordig is er op deze zwarte markt van hackers vooral vraag naar wachtwoorden. Veel mensen gebruiken overal hetzelfde sleutelwoord en dan kan er zo ingebroken worden op Paypal voor geld, Facebook voor het spammen van vrienden en online muliplayergames voor het downloaden van spellen.'
Het up to date houden is vaak een probleem omdat vaak men niet gemakkelijk kan zien of het huidige platform up to date is. Daarnaast is het up to date hebben geen garantie dat er niets mis kan gaan. Met een wekelijkse/maandelijkse security scan door een externe organisatie kan men dan vrij snel op open gaten wijzen waarna men direct actie kan nemen.
Bij osCommerce zijn allerlei “contributies” beschikbaar. Dit zijn uitbreidingen van de winkel zodat de winkelier iets meer kan.
Dit varieert van het verlenen van staffelkorting tot alleen prijzen tonen aan vaste klanten. Er zijn er honderden.
Wanneer in de software van een webwinkel wat contributies zijn ingebouwd en er komt een verbeterde versie uit, zouden al deze contributies in de nieuwe versie moeten worden ingebouwd.
– Het is lang niet zeker dat alle contributies ook passen in de nieuwe opzet. Laten vallen dan maar?
– Verder kost het werk en wie gaat dat betalen? Lang niet alle webwinkeliers zwemmen in het geld.