We lopen behoorlijk achter de feiten aan als het gaat om online veiligheid, zegt Sijmen Ruwhof. Als ethisch hacker breekt hij met toestemming van bedrijven vakkundig digitaal in en licht hij ze in over hun eigen kwetsbaarheden. De resultaten zijn vaak niet mals. ‘Met name de kleinere webshops hebben geen idee wat voor risico’s ze lopen, wat hackers tegenwoordig kunnen en hoe kwetsbaar ict tegenwoordig is, of eigenlijk altijd geweest is.’
Vanuit zijn achtergrond als ontwikkelaar en programmeur heeft Ruwhof zelf veel webwinkels gebouwd. ‘Shopeigenaren vertrouwen softwareontwikkelaars vaak blindelings, ze denken dat bureaus standaard veilige webwinkels opleveren. Die aanname is lang niet altijd terecht. Sitebouwers en programmeurs hebben vaak beperkt inzicht in wat ze moeten doen om hackers buiten de deur te houden, hun klanten weten dat ook niet. Ze zien een functionele shop waarin alles werkt; die kan in gebruik genomen worden. Het gaat een tijd goed en dan kan het plotseling flink mis gaan. Vaak worden bedrijven door schade en schande wijs.’
Creatief bestellen
De noodzaak van de https-verbinding – het bekende slotje – is inmiddels alom bekend. Dat is echter lang niet voldoende om je effectief te wapenen tegen cybercriminelen. Ruwhof kent diverse manieren om via misbruik van buitgemaakte gegevens webwinkelklanten te duperen. Dat hoeft niet altijd ingewikkeld te zijn: soms is hacken pijnlijk eenvoudig, door creatief te ‘bestellen’, aldus Ruwhof. ‘Er moet wat te halen zijn, NAW-informatie is nog niet heel juicy. Als er bankrekeningnummers of creditcardgegevens bij zitten, wordt het al interessanter. Gratis producten bestellen is ook altijd leuk en soms heel eenvoudig. In de webshop van het CDA kon je vroeger duizend sjaals in je winkelmandje doen, als je dan min-duizend buttons bestelde, kwam je op prijs nul uit. Dat komt veel vaker voor.’
Hoe kun je als online retailer je shop en klanten het best beschermen tegen digitale dieven?
1. Installeer beveiligingsupdates onmiddellijk nadat ze uitkomen
‘Vroeger kon je een maand doen over de installatie van een nieuwe update, tegenwoordig heb je soms niet meer dan een paar dagen. Als je daar als webshopeigenaar of -beheerder niet op bent ingesteld, loop je binnen enkele dagen na publicatie van een update al écht risico. Hackers scannen het gehele internet af op het net gedichte lek. Op het moment dat er voor webshopsoftware als bijvoorbeeld Magento een update verschijnt, kijken ze onmiddellijk welke lekken daarmee gedicht worden. Een simpele scan leert vervolgens welke bedrijven die nog niet hebben doorgevoerd.’
2. Denk aan je plug-ins
‘Bij online beveiliging denk je al gauw aan het webshoppakket dat je gebruikt, maar plug-ins worden vaak vergeten. Die bevatten regelmatig veel lekken, omdat ze niet alleen door core developers van bijvoorbeeld Magento ontwikkeld worden, maar ook door hobbyisten. Gevaar voor onveiligheid is vooral bij minder vaak gebruikte, minder bekende plug-ins aanwezig.’
3. Blokkeer risico’s in accounts in de diepte én in de breedte
‘Je inlogproces dient heel robuust te zijn. De toegang tot accounts moet je tijdelijk bevriezen als er bijvoorbeeld vijftien mislukte inlogpogingen kort na elkaar zijn. Daar wordt vaak wel aan gedacht, maar het is niet algemeen bekend dat hackers ook drie inlogpogingen voor wel duizend accounts tegelijk kunnen lanceren: horizontale wachtwoordaanval, in plaats van verticale. Dat valt lang niet zo erg op. Blokkeer dat soort pogingen dus net zo goed in de breedte als in de diepte.’
4. Controleer de wachtwoordsterkte van je klant
‘Het wachtwoord dat je klant instelt, moet van hoge kwaliteit zijn. Controleer zelf ook of dat gebeurd is. Als je klant een veelgebruikt wachtwoord instelt, neemt het risico toe: dat soort wachtwoorden zwerven tegenwoordig vrijelijk digitaal rond in allerlei datalekken, die hackers als bestand downloaden. Tweetrapsverificatie, ook wel multifactor authenticatie genoemd, is verreweg het veiligst, maar daar jaag je je klant misschien mee weg. Download dus zelf zo’n veelgebruikte wachtwoordenlijst en stel een check in of het wachtwoord van je klant daar niet op voorkomt.’
5. Beveilig beheerdersaccounts extra goed
‘Waar je je klanten te veel moeite wilt besparen, wil je je beheerders daar zéker wel mee opzadelen. Laat je beheerinterface beveiligen met tweetrapsverificatie. Je kunt beheerdersingangen daarnaast achter een IP-adresfilter zetten, zodat daarop alleen vanuit je kantoor of bijvoorbeeld vanuit jouw thuislocatie ingelogd kan worden, dan kan ik er als hacker niet bij. De beheeromgeving van een webshop is heel belangrijk maar wordt vaak vergeten.’
6. Maak gebruik van een webapplicatie firewall
‘Weinig websites hebben een webapplicatie firewall: een beveiligingssysteem dat aanvallen op websites automatisch herkent en blokkeert. Superbelangrijk! Zie het als een alarminstallatie voor je site, die niet alleen detecteert, maar ook gelijk ingrijpt. Een webapplicatie firewall herkent zowel bekende als onbekende aanvallen op basis van “vingerafdrukken” van veelgebruikte hacktechnieken. Zodra het die herkent, blokkeert het de bezoeker tijdelijk: een dag is vaak al voldoende om een aanval af te weren. Als ik een site probeer te hacken, word ik daar niet blij van. Het systeem herkent aan de hand van patronen en mijn gedrag direct dat ik geen normale bezoeker ben, bijvoorbeeld wanneer ik een scan uitvoer op zwakke plekken, wachtwoordpogingen doe, duizend pagina’s per minuut bezoek, formulieren met rare karakters invul.’
Mouwen opstropen
Waar het volgens Ruwhof voornamelijk op neerkomt, is het up-to-date houden van software, deze beveiligen en dit proces regelmatig (laten) controleren. ‘Dat kan heel saai zijn. Beheerwerk is niet sexy, maar stroop je mouwen op en ga aan de slag. Hackers kunnen met heel weinig moeite héél veel shops tegelijk scannen op zwaktes. Als de jouwe daar uit rolt, ben je de sjaak.’
Er is op dit moment 0 keer gereageerd op:
6 lessen van een hacker
Je kunt niet meer reageren op dit artikel.