Webshopeigenaren weten zelf niet goed hoe ze hun website moeten beveiligen, vinden vier Computable-experts op het gebied van security. Het hacken van webwinkels komt steeds vaker voor omdat verkopers er niet aan denken hun softwareprogramma's tijdig te updaten. Hierdoor blijven beveiligingslekken zitten waardoor de webwinkel een ideaal doel vormt voor hackers. Hackers zijn niet alleen geïnteresseerd in creditcard-gegevens, maar zoeken ook naar wachtwoorden van klanten en gebruikers. Het is aan de ict'er om webwinkeleigenaren sterk te maken tegen elke vorm van cybercriminaliteit, vinden vier Computable-experts.
Erik Westhovens van DinamiQs denkt dat je geen ict'er hoeft te zijn om een webshop op te zetten, maar dat de fout vaak wordt gemaakt dat er niet genoeg naar veiligheid wordt gekeken. 'De webshopeigenaar zoekt naar software waar hij snel en gemakkelijk een webshop mee kan bouwen. Als het gratis is, vele gratis templates kent voor het design en dan ook nog vele toevoegingen voor specifieke functionaliteiten heeft, dan wordt er al snel gekozen voor een van de meest gebruikte pakketten en dat is osCommerce.'
osCommerce is de laatste week van juli 2011 gehackt, waardoor honderdduizend webwinkels in de problemen kwamen. De hack was door klanten niet te zien, omdat de website er uit bleef zien zoals normaal. Echter was het eigenlijk malware waar de klant tegenaan keek en die zorgde ervoor dat creditcard, naw- en wachtwoordgegevens gestolen konden worden.
Webshop
Erik Remmelzwaal van Medusoft, Marco Barkmeijer van Securelink, Erik Westhovens van DinamiQs en Maarten Hartsuijker van Classity vinden allen dat het aan de ict'er is om veiligheidsproblemen snel op te lossen door updates toe te passen. Erik Westhovens: 'In de dagelijkse wereld van systeembeheer wordt er dagelijks of wekelijks gecontroleerd of er nog beveiligingsgaten zijn en wordt er actie ondernemen om ze te dichten. Als webshopeigenaar ben je vooral met andere dingen bezig en is het niet de bedoeling dat je uren per dag aan beveiligingslekken werkt.'
Erik Remmelzwaal: 'Als je dan een keuze moet maken uit softwarevarianten op basis van veiligheid, dan zou ik zeggen dat je moet letten op ten eerste regelmatige en snelle updatecycles en ten tweede goede ondersteuning van de makers of een grote actieve gebruikersgroep die ervaringen deelt op bijvoorbeeld een forum.'
Patchen
Als een website eenmaal op poten is gezet, dan is het verstandig deze te laten controleren op kwetsbaarheden, zoals een programma als McAfee Secure. Erik Remmelzwaal: 'Je kunt ook virtual patchen met IPS, Intrusion Prevention System. Hiermee is het mogelijk het netwerkverkeer gericht aan de webserver diep te laten inspecteren om kwaadaardig verkeer te blokkeren. Desondanks blijft het van groot belang om te blijven updaten. '
Maarten Hartsuijker raadt aan de software preventief te beschermen door de mod_security-module aan Apache toe te voegen. 'Deze module werkt als een webapplicatie firewall, waardoor lekken zoals sql-injecties en cross site scripten lastiger zijn te misbruiken. Bovendien kunnen hosting partijen het netwerk monitoren op aanvallen waardoor er sneller ingegrepen kan worden. Sowieso is het handig als een websitebeheerder even in de Owasp-richtlijnen kijkt, want hierin staat hoe je een veilig webplatform opzet en beheert.'
Penetratietest
Mocht een webshopeigenaar echt zeker willen zijn, dan kan er een Pen Test worden gedaan door een hacker. Een Pen Test, ook wel penetratietest, is een methode om de veilig te testen door een aanval te simuleren. Hierbij kan grondig worden bekeken waar de zwakke plekken zitten in de systemen achter de webwinkel. Remmelzwaal: 'Maar dan nog is continue beheer noodzakelijk. Forceer gebruikers om regelmatig hun wachtwoord te vervangen, scheidt databases met klant en betaalgegevens en doe een account op slot als een wachtwoord meerdere malen verkeerd is ingetypt.'
Marco Barkmeijer vindt vooral de architectuur achter een website belangrijk. 'Je kunt wel alleen kijken naar software en het CMS-systeem, maar ook de infrastructuur is van groot belang. Waar staat de winkel in hosting? Welke serviceniveau-overeenkomsten zijn er via deze hostingpartij af te sluiten? Hoe zit het met de beschikbaarheid? Samen met een correct beleid over hoe updates door te voeren ben je als ict'er goed bezig voor een webwinkel, denk ik. Keep it simple en kijk goed wat de specifieke wensen van een webwinkel zijn. Sommigen hoeven helemaal niet 24/7 geopend te zijn.'
Tot slot heeft Erik Westhovens een tip voor webshopeigenaars die van osCommerce gebruik maken. 'Schrijf je in voor hun nieuwsbrief, ga minimaal een keer per week naar de website en als er nieuwe patches zijn, installeer deze dan. Maak bovendien een dagelijkse backup van je website en test alle patches is een kopie van je website. Als je dat doet, dan ben je al een eind op weg, maar 100% veilig kan een website nooit worden.'
Huh, waar hebben we het over. Facebook, Google en Mozzila loven bedragen uit aan “bughunters” (what’s in the name) om codefouten te zoeken en hier wordt een vuist tegen ze gemaakt. Wie is eigenlijk de expert?
Zoals de wet van Murphy aangeeft:
“ALS het mogelijk is dat iets kan gebeuren, dan ZAL het ook gebeuren” (je kunt er op wachten)
Een technisch-georienteerde hacker (iemand met veel meer verstand en ervaring van zaken dan de ontwerper en implementatie-teams!) zou immers geen enkele kans van slagen hebben, als een webshop een goed en deugelijke ontwerp en implementatie zou hebben gehad 😉
Vaak wijst de praktijk anders uit..
Mijn mening is dat ICT-ers (en fabrikanten) een hacker dankbaar moeten zijn, (mits ze geen schade berokkenen), daar ze de ict-er kunnen wijzen op de systeem, ontwerp, beheer fouten die in hun eigen webshop design geslopen zijn 🙂