5 Hackaanvallen die uw webwinkel bedreigen. Hans Bouman B2U

5 Hackaanvallen die uw  webwinkel bedreigen  Hans Bouman B2U

Business to You H a n s   B o u m a n 1992 – 2000 Projectleader SET Productmanager e‐Commerce

Veenweg 158‐B 3641 SM  MIJDRECHT Telephone +31‐(0)297‐381300 Fax             +31‐(0)297‐381301

2001  e‐Payment consultant

2002 – 2005 Country Manager Ogone NL

2006 ‐ current Secure e‐Business

Website   www.b2u.nl E‐Mail      [email protected]

E‐Commerce: betrouwbaar? 

Hoe herken je betrouwbaarheid?

VERTROUWEN, in welke mate?

Notarissen

Makelaars

Politie

Doktoren

Keuringsinstituten

Staan we er wel genoeg bij stil?

WAT is betrouwbaar ?  Algemene voorwaarden • Garantievoorwaarden • Omruilvoorwaarden • Leveringsvoorwaarden • Betalingscondities • Prijsgaranties • Koop op afstand wetgeving • Geschillencommissie

Privacy gevoelige gegevens? Rijbewijsnummer

Credit card gegevens

NAW‐gegevens Wachtwoorden Paspoortnummers

Order gegevens Privacy wetgeving?

Exoneratie beding? Burger Service Nummer

Financiële gegevens

Opkomst van SAAS…!!!

Slotje… schijnveiligheid

HACKER PC X‐SiteScripting (XSS) SQL‐injection

Website internet db

Wettelijke aansprakelijkheid Wie is verantwoordelijk voor de beveiliging van de site?  De eigenaar van het domein. Wie is er juridisch aansprakelijk bij een hack? De eigenaar van het domein. Op wie wordt de schade en opgelegde boete verhaald?  De eigenaar van het domein.

Wet Bescherming Persoonsgegevens, artikel 13  (College Bescherming Persoonsgegevens) Als eigenaar van een website bent u aansprakelijk voor het verlies van privacygevoelige  gegevens. Ook in de Europese wetgeving is dit vastgelegd in Directive 95/46/EC. Hierin  staat dat: “privacy gevoelige gegevens afdoende beveiligd dienen te worden.”

Waarom scannen/beveiliging?  Voorkomen gegevensdiefstal / schade  Voorkomen risico imagoschade  Certificatie aan standaarden zoals PCI/DSS, ISO27001 etc.   Exoneratiebeding (aantonen pro‐actieve maatregelen)  Breng beveiliging op hoger plan binnen uw bedrijf  Een neutrale partij laten scannen zodat ICT‐/Webbeheerders en hosting scherp worden gehouden Gereedschap voor beheerders  Trustmark = Vertrouwen aan bezoekers/burgers  EIGENAAR VAN DE DOMEINNAAM IS AANSPRAKELIJK!

www.domein.nl

www.domein2.nl

login.domein.nl Internet DNS

Wat is uw domein? Hosting1

Hosting2

Hosting3

Firewalls, IDS, DMZ,  Routers, Gateways,  Ports, Services,   Emailservers

Firewalls, IDS, DMZ,  Routers, Gateways,  Ports, Services,   Emailservers

Firewalls, IDS, DMZ,  Routers, Gateways,  Ports, Services,   Emailservers

Websites(n) Programmatuur,  CMS, scripts, XML‐ koppelingen, API’s

Websites(n) Programmatuur,  CMS, scripts, XML‐ koppelingen, API’s

Websites(n) Programmatuur,  CMS, scripts, XML‐ koppelingen, API’s

DigiD

GBA

etc

“Waar is uw rapportage?”               

“Wij hebben een goede sitebouwer” “Wij hebben een goede hostingpartij” “Het is ook hun risico dus dat zal wel goed zitten”  “Andere gemeenten checken het wel…” 

Historie Logo

WWW.HACKERSAFE.EU

McAfee SECURE

 400.000 PCI‐scanning merchants world‐wide  >80.000 klanten met dagelijkse scan + vertoon MS‐logo  Port, network, OS & application scanning  McAfee: adware + spyware + virus scanning  NO HARDWARE – NO SOFTWARE

Technisch  Full scan & penetration testing  Port‐scan  Besturingsysteem scan  Network discovery & services  Applicatie scan  Content (zoals downloads, malware, links)

 Vulnerability tests op hoofdlijnen: SQL Injection Blind SQL Injection SQL Database Error Disclosure Local File and Remote File Includes Directory Traversals Improper Error Handling Application Source Code Disclosure Authentication Bypass Insufficient Session Expiration Command Injection SSI Injection

Malicious CGI scripts Buffer Overflows Client Side Vulnerabilities Directory Indexing Server Misconfigurations SSL Encryption Malicious Downloads Malicious Affiliations (Links) Phishing Scams Browser Exploits Misuse of personal information Annoyances (excessive Pop‐ups) Scams (Business Practices)

Simpel voorbeeld: email formulier

SQL‐injection

Database

Hacker benadert de database rechtstreeks met  SQL‐commando’s

Voorbeeld backoffice & informatie

Voorbeeld backoffice & informatie

WWW.PCISECURITYSTANDARD.ORG

Voorbeeld backoffice & informatie

Bij PCI/DSS worden beveiligingslekken zwaarder gewogen!

Voorbeeld backoffice & informatie

Voorbeeld backoffice & informatie

Voorbeeld backoffice & informatie

Borgen op management/directie niveau

Wat is uw domein? Verantwoordelijk:

www.domein.nl

Managers Bestuurders Wethouders Burgemeester

www.domein2.nl

login.domein.nl Internet DNS

Executive Report (PDF)

Helpdesk Systeembeheerder Programmeurs Externe partijen Contentmanagers

Hosting1

Hosting2

Hosting3

Firewalls, IDS, DMZ,  Routers, Gateways,  Ports, Services,   Emailservers

Firewalls, IDS, DMZ,  Routers, Gateways,  Ports, Services,   Emailservers

Firewalls, IDS, DMZ,  Routers, Gateways,  Ports, Services,   Emailservers

Websites(n) Programmatuur,  CMS, scripts, XML‐ koppelingen, API’s

Websites(n) Programmatuur,  CMS, scripts, XML‐ koppelingen, API’s

Websites(n) Programmatuur,  CMS, scripts, XML‐ koppelingen, API’s

DigiD

GBA

etc

Referenties McAfee  SECURE

Trust starts at search‐engines 

Trust starts at search‐engines 

TEL SELL

EYE‐LEVEL = BUY‐LEVEL

Vragen? • • • •

Hans Bouman B2U [email protected] www.b2u.nl

Veenweg 158-B 3641 SM MIJDRECHT Telephone +31-(0)297-381300 Fax +31-(0)297-381301 Website www.b2u.nl E-Mail [email protected]

1 maand gratis testen

12 november 2013

WEBSITE BEVEILIGING More TRUST = More SALES