Hoe veilig is jouw website?
9 beveiligingsniveaus die het de digitale inbreker lastig maken
Wist je dat skimming tegenwoordig ook al online gebeurt? In het dagelijkse leven vindt skimmen plaats bij een betaalautomaat. Criminelen kopiëren de magneetstrip van je betaalpas en bemachtigen je pincode op het moment dat je een betaling doet. Bij online skimmen gebeurt ongeveer hetzelfde: op het moment dat je een webshopbetaling doet, geeft een stukje afluistersoftware al je creditcardgegevens door aan de crimineel. Gevaarlijk dus!
In Nederland gebeurde dit al bij maar liefst 250 webwinkels. Wereldwijd gaat het zelfs over 5.900 webwinkels (zie NU.nl en Nightly secure ). Internetaanvallen zijn niet nieuw, maar het aantal aanvallen neemt wel toe. Dit is duidelijk te zien in de media. Zo kwam Yahoo eind september 2016 in het nieuws met een groot schandaal ( Emerce ), blijken Nederlandse gemeenten hun beveiliging niet goed op orde te hebben ( NU.nl ) en wisten criminelen in Amerika Twitter en Spotify plat te leggen ( NOS ). En dit is alleen nog maar het topje van de ijsberg van wat er speelde in september en oktober 2016.
Geef de digitale inbreker geen kans
Toch kun je het, met enig verstand van zaken, de digitale misdadiger behoorlijk moeilijk maken! Eigenlijk geldt hetzelfde als in de ‘echte’ wereld: waarom zou iemand inbreken in een gebouw dat goed beveiligd is, als dat van de buren zo kan worden opengemaakt? Net als bij gebouwen is het nooit mogelijk om honderd procent tegen inbraak te beveiligen, maar hoe beter de beveiliging, des te kleiner de kans dat het mis gaat. Hoe pak je dit aan?
Om onze eigen server als voorbeeld te nemen: wij zijn beveiligd op maar liefst negen niveaus.
Niveau 1: Serverbeveiliging
Beveiliging van de server zorgt ervoor dat onbevoegden zich geen toegang tot de server kunnen verschaffen en er zo ongewenste bestanden (programma’s!) op kunnen zetten.
Niveau 2: Softwarebeveiliging
Alle software bevat al dan niet gevaarlijke bugs. Zorg dat je altijd de laatste versie van software gebruikt, zodat de belangrijkste bugs zijn opgelost.
Niveau 3: Databasebeveiliging
Deze wordt vaak vergeten. Bij veel databasesoftware is een beveiliging ingebouwd, maar die wordt binnen webservers slechts zelden gebruikt. Wij gebruiken deze ingebouwde bescherming wel en beschikken zo over een extra beveiligingslaag.
Niveau 4: Netwerkbeveiliging
Het platleggen van systemen door heel veel aanvragen te doen heet een DDOS-aanval. Deze is lastig te herkennen en te bestrijden. Toch kun je ook daarvoor maatregelen nemen, meestal in samenspraak met de partij waar de servers staan.
Niveau 5: Communicatiebeveiliging
Als gegevens onbeveiligd over het internet gaan, zijn ze af te luisteren door ieder tussenstation waar de berichten langskomen en soms zelfs te wijzigingen (heel gevaarlijk). Dit wordt allemaal vrijwel onmogelijk als je website werkt met een goed beveiligde verbinding (https).
Niveau 6: Codebeveiliging
Je website moet op een veilige manier zijn gecodeerd. Het belangrijkste hierbij is bescherming tegen databaseaanvallen (SQL-injectie) en Javascript-aanvallen (Cross Site Scripting).
Niveau 7: Sessiebeveiliging
Bij websites waar je kunt inloggen, heb je meestal een sessie met de server. Die server onthoudt wie je bent en dát je bent ingelogd. De cookies waarmee dit vaak gebeurt, kunnen in sommige gevallen door anderen worden misbruikt, vooral als er geen goede checks in de server zijn ingebouwd. Die anderen kunnen zich dan dus voor jou uitgeven.
Niveau 8: Beveiliging tegen bekende aanvallen
Wij hebben een database opgebouwd van bekende webaanvallen. Zodra ons systeem zo’n aanval herkent, sluit hij de aanvaller direct uit. Het is mij niet bekend of anderen een vergelijkbaar fijnmazig systeem hebben.
Niveau 9: Fraude met advertenties
In augustus 2016 werd een methode van fraude bekend, waarbij advertenties op een website extra gevaar vormen ( Tweaker ). Zo’n advertentie kan kwaadaardige code bevatten, waarmee soms zelfs (slecht gecodeerde) https-verbindingen afgeluisterd kunnen worden. Als je geen advertenties plaatst, loop je dit risico niet.
Optimale beveiliging geen garantie, wel noodzakelijk
Wij hebben onze servers optimaal beveiligd op onder andere alle bovenstaande beveiligingsniveaus. Betekent dit dat wij alle aanvallen kunnen voorkomen? Helaas, dit kan niemand, ook niet degene die zegt dat hij dat wél kan. Maar je bent absoluut gebaat bij een partij die weet wat er speelt en die hiervoor krachtige maatregelen neemt.