Beveiligingsrisico’s bij internetverkopen Er komen ieder jaar meer webwinkels in Nederland. De omzet groeit hard. Uit beveiligingsopdrachten van PwC blijkt dat de beveiliging van een webwinkel nog wel eens te wensen overlaat met alle risico’s van dien. Tonne Mulder, Security Assurance, Assurance
Een webwinkel beginnen lijkt op het eerste gezicht eenvoudig. Er is een website nodig om producten te kunnen verkopen en klaar is Kees. De realiteit is meestal wel wat anders. Vragen als ‘Wie laat ik de website ontwikkelen?’, ‘Hoe zorg ik voor de logistieke afhandeling?’ dienen ook beantwoord te worden. Te midden van al deze vragen zal de beveiliging van de webwinkel ook aan de orde moeten komen. De ervaring leert dat dit meestal het ondergeschoven kindje is. Eigenlijk niet eens zo vreemd, want bij de ontwikkeling van internet kreeg beveiliging vrijwel geen aandacht. De laatste paar jaar gaan de ontwikkelingen op het gebied van webwinkels hard. De verkopen via internet nemen ieder jaar weer toe. Vaak met tientallen procenten. Steeds meer consumenten schaffen producten aan via internet. In de beginjaren was er een duidelijk verschil, je had een webwinkel of een traditionele winkel. De laatste paar jaar hebben ook de traditionele winkels het internetkanaal ontdekt. Veel traditionele winkels hebben al een webwinkel of zijn ermee bezig.
34
Spotlight Jaargang 18- 2011 uitgave 1
Naast deze ontwikkelingen zijn er ook de ontwikkelingen op het gebied van beveiliging op internet. In het begin van deze eeuw ging het virusschrijvers om ‘fame and glory’ en niet zozeer om geldelijk gewin. Nu willen ze steeds meer onzichtbaar blijven en er geld mee verdienen. Cybercriminaliteit neemt snel toe en professionaliseert in hoog tempo. Aan de ene kant hebben we dus te maken met de toename van de omzet via internet
en steeds meer ondernemers die hier een graantje van mee willen pikken. Aan de andere kant hebben we te maken met een toename van cybercrime en de professionalisering daarvan.
2. Voorbeelden uit de media en praktijkvoorbeeld Er zijn inmiddels vele voorbeelden uit de media en niet in de laatste plaats in relatie tot Wikileaks. Nu is Wikileaks natuurlijk van een andere orde, maar de eenvoud
Figuur 1: Ontwikkelingen cybercrime (bron: GovCert.nl) worms
visibility and malicious intent
1. Inleiding
crime
(slammer, blaster) Typosquatting
cybercrime highly profitable
Visib ilit
y
Phishing mass-mailers (I love you, bugbear)
Botnets
fame and glory
us
Malicio
drive-by exploits directed trojans extended virus families
intent
time
Rootkits
waarmee een website van Mastercard, Visa, politie.nl of OM.nl onbereikbaar wordt gemaakt, is ook een reëel risico voor webwinkels. De verkoop via dit kanaal komt bij zo’n aanval volledig stil te liggen. Een aantal andere voorbeelden uit de media zijn: Voorbeeld 1: Explosieve groei internetfraude (15-mrt-2010, Telegraaf) In dit nieuwsbericht wordt aangegeven dat online-fraude bedrijven in 2009 meer dan twee maal zoveel heeft gekost als het jaar daarvoor. Tevens vraagt men zich af of dit niet het topje van de ijsberg is. Veel bedrijven zouden internetfraude geheim houden uit angst voor imagoschade. Voorbeeld 2: Fraude bij internetbankieren verzesvoudigd (14-okt-2010, Nederlandse Vereniging van Banken) “In heel 2009 was er 1,9 miljoen euro schade door fraude met internetbankieren in Nederland. In de eerste zes maanden van dit jaar bedraagt de schade alleen al 4,3 miljoen euro. Het aantal geslaagde cyberberovingen steeg van 154 in heel 2009 naar 514 alleen al in de eerste helft van 2010, meldt de Nederlandse Vereniging van Banken (NVB).” Voorbeeld 3: Fraude nekt online-fooienpot TipiT (25-okt-2010, Webwereld.nl) “De Nederlandse startup TipiT sluit de deuren. Misbruik door fraudeurs kost te veel handwerk en er is geen geld voor de ontwikkeling van een automatisch antifraudesysteem.” “TipiT werd misbruikt om tegoeden weg te sluizen van rekeningen waarvan de creditcardgegevens (en dus niet eens de creditcards) waren gestolen. Kwaadwillenden konden met de gestolen creditcardgegevens fooien geven aan zichzelf, handlangers, of andere partijen aan wie het gestolen geld werd ‘gegund’.”
Voorbeeld 4: Cybercriminelen stelen 5,6 miljoen bij ABN Amro (21-dec-2010, Security.nl) “De Bovenregionale Recherche Noorden Oost-Nederland heeft de afgelopen maanden dertien mensen aangehouden die 5,6 miljoen euro van de ABN Amro zou hebben gestolen. Door manipulatie van het systeem van een Nederlandse bank wisten de criminelen het bedrag naar de rekening van een 26-jarige man uit Wageningen over te maken. Hij sluisde het geld onmiddellijk door naar verschillende rekeningen in het buitenland. Zodra de bank hier achter kwam, werd de politie ingeschakeld. Door samenwerking met een aantal buitenlandse autoriteiten kon ongeveer 2 miljoen van het verduisterde bedrag kort daarna worden teruggevorderd.” Bovenstaande voorbeelden zijn slechts een willekeurige greep uit het nieuws van afgelopen jaar. Deze voorbeelden betreffen anders dan bij Wikileaks niet het onbereikbaar maken van een dienst maar juist het geldelijk gewin. Case 1: Naast bestaande winkel webwinkel openen Een retailorganisatie wil naast haar bestaande winkels een webwinkel openen en heeft een externe leverancier de opdracht gegeven deze webwinkel te bouwen. De externe leverancier heeft aangegeven dat de webwinkel klaar is. Voordat de winkel opengaat wil de retailorganisatie weten of de webwinkel veilig is en vraagt PwC een inbraaktest uit te voeren. Inbraaktest PwC voert een inbraaktest uit en blijkt binnen twee uur volledige toegang te hebben tot de webwinkel. Deze toegang is verkregen door gebruik te maken van SQL-injectie (zie tabel 1). In deze situatie was het mogelijk om in plaats van een
Samenvatting Naast de snelle stijging van de internetverkopen ontwikkelt de cybercriminaliteit zich ook in hoog tempo. Er zijn afgelopen jaar weer legio voorbeelden geweest van beveiligingsincidenten. Op welke manieren kunnen criminelen de beveiliging doorbreken en is hier iets tegen te doen? Dit artikel verschaft meer inzicht in de wereld van informatiebeveiliging en hoe de organisatie haar beveiliging naar een hoger plan kan tillen.
legitieme order in te voeren, het systeem ongeautoriseerde opdrachten te laten uitvoeren. Met deze ongeautoriseerde opdrachten was het onder meer mogelijk om alle klantinformatie te downloaden, bestellingen namens klanten in te voeren, aan te passen en in te zien, en financiële informatie in te zien en te manipuleren. Oplossing Op basis van de aanbevelingen van PwC heeft de externe leverancier de software aangepast. Nadat de hertest positief was, is de webwinkel opengegaan.
3. Manieren om de beveiliging te doorbreken Informatiebeveiliging is gebaseerd op de volgende drie betrouwbaarheidskenmerken:
•
Beschikbaarheid ‘De informatie is beschikbaar’ wil zeggen dat de organisatie waarborgt dat geautoriseerde gebruikers op de juiste momenten tijdig toegang hebben tot informatie en aanverwante bedrijfsmiddelen.
Spotlight Jaargang 18- 2011 uitgave 1 35
Tabel 1: Top 10 webapplicatie beveiligingsrisico’s
Top 10 webapplicatie beveiligingsrisico’s 1
Injectie zwakheden
2
Cross site scripting
Een gebruiker een kwaadaardig script laten uitvoeren.
3 4
Niet efficiënte authenticatie Onveilige referenties naar interne bestanden
In staat zijn authenticatiemechanismen te omzeilen. Ongeautoriseerde toegang tot interne bestanden en/of informatie.
5
Cross Site Request Forgery
Ingelogde gebruikers kwaadaardige acties laten uitvoeren.
6
Onjuiste beveiligingsconfiguratie
7
Onveilige implementatie van cryptografie
Onjuiste beveiligingsinstellingen in applicatie, besturingssysteem, firewall enzovoort instellen. Cryptografische toepassingen omzeilen.
8
Onveilige URL-toegangpaden
9
Onveilige communicatie
Afluisteren en onderscheppen van gegevens.
10
Ongevalideerd doorverwijzen en doorzenden
Aanvaller is in staat gebruiker door te sturen naar een website naar keuze.
•
•
Integriteit ‘Integriteit’ betekent: het waarborgen van de correctheid en de volledigheid van bedrijfsmiddelen. Vertrouwelijkheid Met de term ‘vertrouwelijk’ waarborgt de organisatie dat informatie alleen toegankelijk is voor degenen die hiertoe geautoriseerd zijn.
Er wordt ook wel gesproken over de BIVkenmerken of de BIV-triade. Ieder kenmerk is erop gericht de corresponderende algemene dreiging tegen te gaan zoals weergegeven in figuur 2.
Applicatie onbedoelde commando’s laten uitvoeren.
Geen afscherming van URL’s waardoor iemand door wijzigingen in de adresbalk van zijn browser bijvoorbeeld gegevens van een andere klant kan inzien.
activiteiten zoals identiteitsfraude, het versturen van spam en een webwinkel onbereikbaar maken. De eigenaar van een botnet kan het botnet ook aan anderen verhuren die het botnet willen gebruiken voor criminele activiteiten. Een interessant detail is dat de criminelen de gekaapte computers direct beveiligen om te voorkomen dat andere criminelen de computers kapen. Botnets kunnen op alle drie de BIV-
kenmerken een impact hebben.
•
Zwakke plekken Criminelen scannen websites om zwakke plekken te vinden. Indien er zwakke plekken aanwezig zijn proberen zij daar misbruik van te maken. Vaak wordt deze techniek toegepast om na te gaan of een computer een bepaalde kwetsbaarheid bezit. Is dit het geval dan wordt direct getracht
Figuur 2: De BIV-triade
Spotlight Jaargang 18- 2011 uitgave 1
ing jzig it Wi rite eg Int
36
Botnets Botnets zijn samenwerkende computers die op grote schaal kwaadaardige activiteiten kunnen uitvoeren. Zo’n botnet ontstaat door misbruik te maken van zwakheden in computers. Meestal gaat het dan om de computers die iedereen dagelijks gebruikt. Een botnet wordt gevormd door een groep gekaapte computers. De zogenaamde bot-herder kan deze computers op afstand besturen en inzetten voor allerlei criminele
Be
•
On tze gg sch ing ikb aa rhe id
Er zijn meerdere manieren om een aanval uit te voeren. Hieronder worden drie manieren genoemd.
Vertrouwelijkheid Openbaring
daar gebruik van te maken. Deze vorm is vooral gericht op de BIV-kenmerken ‘vertrouwelijkheid’ en ‘integriteit’.
•
Onbereikbaarheid Ten derde is de al eerder genoemde ‘Denial of Service attack’ een manier om een aanval op een website uit te voeren. De website wordt voor kortere of langere tijd onbereikbaar gemaakt. Deze vorm gebruiken criminelen ook wel om websites te gijzelen en tegen losgeld weer vrij te geven. Deze vorm is gericht op het kenmerk ‘beschikbaarheid’.
Een inbraak op een webwinkel kan onder andere leiden tot imagoschade. Onder meer door het verminken (defacen) van de website. Het ‘defacen’ van een webwinkel valt voornamelijk in de categorie ‘fame and glory’. Een inbraak gericht op geldelijk gewin is geraffineerder. Door bijvoorbeeld selectief bestellingen of geldbedragen te manipuleren of persoonsgegevens te ontvreemden. In het laatste geval is het nog maar de vraag of en wanneer de inbraak wordt gedetecteerd.
4. Beveiliging is technisch en complex Als het over beveiliging gaat, wordt het al snel een technisch en complex verhaal. Het is niet eenvoudig om direct te doorgronden wat goede beveiliging is. Waar heeft de organisatie onder meer mee te maken als het gaat om de beveiliging van haar webwinkel? Volgens de Wet Bescherming Persoonsgegevens is iemand die persoonlijke gegevens (naam, adres, e-mail enzovoort) van anderen opslaat, verplicht deze ‘afdoende’ te beveiligen tegen misbruik en ongeautoriseerd gebruik. Niet alleen diefstal van de gegevens maar ook ‘gewoon’ misbruik door eigen medewerkers. De wet biedt geen definitie van wat ‘afdoende’ is, maar verwijst naar de stand der techniek. Maar wat is precies ‘afdoende beveiliging’?
Deze vraag kan alleen beantwoord worden door een goede risicoanalyse uit te voeren. Met een risicoanalyse kan de organisatie onder andere in kaart brengen welke gegevens zij opslaat en wat de impact is als deze informatie op straat komt te liggen of in handen van kwaadwillenden valt. Een risicoanalyse maakt het eenvoudiger om de beveiliging van de webwinkel op de agenda te zetten. De organisatie weet nu immers wat zij wil beveiligen. Daarnaast verwijst de wet naar de stand der techniek. Dit betekent dat beveiliging geen eenmalige actie is. Wie de beveiliging van zijn webwinkel op niveau wil houden zal periodiek moeten testen of het gewenste niveau van de aanwezige beveiliging nog afdoende is. In de wereld van informatiebeveiliging maar ook in nieuwsberichten worden veel technische termen gebruikt. In onderstaand voorbeeld uit een nieuwsbericht gaat het om ‘SQL-injectie’.
“Te vaak komt het nog voor dat webwinkels via SQL-injectie gehackt worden en aanvallers er met de volledige klantendatabase vandoor gaan. Een aanval kan de bedrijfscontinuïteit in gevaar brengen en voor financiële en imagoschade zorgen. Klanten zullen een webwinkel die door lakse beveiliging of slordigheid hun gegevens lekte dit niet in dank afnemen. Zeker als men met de klik van een muis bij de concurrentie zit.” (Bron: Advertorial Beveiliging centraal tijdens Webwinkel Vakdagen.)
Termen als ‘SQL-injectie’ kunnen een afschrikkend effect hebben waardoor beveiliging niet op de agenda komt. Het advies voor organisaties is zich te laten voorlichten en om uitleg te vragen wat dergelijke termen in normale taal betekenen. Door interesse te tonen zal de
organisatie meer kennis vergaren en beter in staat zijn haar eisen op het gebied van beveiliging te definiëren. Ook zijn er organisaties die erop vertrouwen dat de leverancier de beveiliging voor hen regelt. De vraag is dan welke beveiliging. Er is immers niet aangegeven wat de risico’s zijn en in hoeverre deze risico’s afgedekt moeten worden. Het is noodzakelijk de beveiliging op de agenda te zetten en periodiek te testen.
5. Beveiliging: wat te doen? Er is een duidelijke trend waarneembaar waarbij er meer zwakheden in webapplicaties worden aangetroffen dan in besturingssystemen en webbrowsers. Op websites (en ook webwinkels) wordt steeds meer intelligentie toegepast. Waar vroeger werd volstaan met een online-folder is nu sprake van complete toepassingen. Deze toepassingen, zoals een webwinkel, zijn volledige programma’s die gebruik maken van een database om gegevens in op te slaan. Criminelen die de beveiliging van een webwinkel doorbreken kunnen dan bijvoorbeeld persoonsgegevens stelen, bestellingen manipuleren en prijzen aanpassen. Om inzicht te krijgen en te behouden in de beveiliging van de webwinkel is het zaak periodiek beveiligingsonderzoeken uit te voeren. Beveiliging is geen eenmalige actie. Dergelijke beveiligingsonderzoeken bestaan meestal uit twee typen.
•
Inbraaktest Bij een inbraaktest wordt de webwinkel onder handen genomen vanuit het perspectief van een hacker. De webwinkel wordt onder meer getest op bekende kwetsbaarheden en getest op applicatiefouten aan de hand van het Open Source Web Application Security (OWASP) referentiekader (zie tabel 1).
Spotlight Jaargang 18- 2011 uitgave 1 37
•
Onderzoek naar beveiligingsinstellingen onderdelen webwinkel Ten tweede kan een onderzoek naar de beveiligingsinstellingen van de onderdelen van de webwinkel inzicht geven in de beveiliging van de webwinkel. De onderdelen die onderzocht worden, zijn onder andere het besturingssysteem, de firewall(s) en de webapplicatie. Hierbij wordt getest hoe de beveiligingsinstellingen van de verschillende onderdelen zijn geconfigureerd.
De resultaten van dergelijke testen geven de organisatie een duidelijk inzicht in het beveiligingsniveau van haar webwinkel. Hierdoor is zij beter in staat de beveiliging van haar webwinkel op orde te krijgen en te houden.
38
Spotlight Jaargang 18- 2011 uitgave 1
6. Conclusie Webwinkels zitten duidelijk in de lift. Verkopen via internet groeien ieder jaar nog fors. Daarnaast hebben we te maken met snelle ontwikkelingen op het gebied van cybercrime. De belangen en de gevolgen zijn groter geworden, en daarmee ook de noodzaak tot goede beveiliging. Organisaties doen er goed aan een risicoanalyse uit te voeren die toegesneden is op het specifieke profiel van hun bedrijf. Op basis daarvan kunnen zij bepalen welke beveiligingsmaatregelen zij het beste kunnen nemen en implementeren. Door periodiek de beveiliging te testen en zo nodig bij te stellen, brengt de organisatie haar beveiliging op een hoger niveau en bewustzijn.