Webshops beveiligen - Detecteer de lekken zelf

Het beveiligen van een server is geen gemakkelijke klus. Ongemerkt kunnen er fouten gemaakt worden, waardoor er zwakke plekken in je systeem of webshop kunnen ontstaan. Gaten die in eerste instantie onschuldig lijken, kunnen door nieuwe inzichten later misbruikt worden door inbrekers. Het is daarom belangrijk om regelmatig door de ogen van een hacker naar je systeem te kijken zodat je weet waar de zwakke punten zitten. Voor de beveiliging van je kantoorpand kun je een  rondje om het pand lopen om te kijken hoe een inbreker binnen zou kunnen komen. Voor het controleren van de digitale beveiliging is dit lastiger, maar zijn er verschillende oplossingen beschikbaar om je te helpen.

Wat voor gaten zou mijn webshop dan moeten hebben?

In de gesprekken met onze klanten merken we dat er vaak gedacht wordt dat het met het aantal problemen in hun webshop wel meevalt. Helaas blijkt vaak dat men toch onaangenaam verrast wordt door het aantal gaten dat er uiteindelijk aanwezig blijkt te zijn. Mogelijke problemen zijn heel verschillend; het verschilt van bijvoorbeeld configuratiebestanden met gevoelige informatie die voor iedereen toegankelijk zijn tot het onjuist valideren van invoer waardoor SQL-injecties of cross site scripting mogelijk is. Problemen die in eerste instantie klein lijken kunnen door een handige hacker misbruikt worden om volledige toegang te krijgen tot een systeem.

Geautomatiseerde controles

Voor het controleren van systemen is software beschikbaar die controleert op bekende zwakheden en veiligheidsproblemen. Er zijn zowel systemen beschikbaar die een systeem van buitenaf controleren, als software die je op de server installeert en van binnenuit kan controleren waar mogelijke problemen zitten.

Een van de meest bekende en meest uitgebreide programma's voor geautomatiseerde controles is Nessus, een Open Source applicatie die zowel systemen van buitenaf als van binnenuit kan beoordelen. Je kunt dergelijke software ook als dienst afnemen, onder meer McAfee en Comodo bieden geautomatiseerde scans aan voor een vast bedrag per jaar, waarbij je ook een logo op uw website kunt plaatsen als er geen zwakheden zijn aangetroffen. Alhoewel dergelijke systemen alleen naar bekende problemen kijken en dus nooit alle zwakheden aan het licht zullen brengen, is in veel gevallen het eerste rapport dat je ontvangt toch redelijk schokkend en meestal aanleiding tot het nemen van een grote aantal stappen om de beveiliging op orde te krijgen. Het is uiteraard belangrijk dat je de resultaten serieus neemt; hackers beschikken over vergelijkbare tools en zullen dus ook dezelfde zwakheden vinden.

Neem  gerust contact met ons op voor een gratis systeem scan, we helpen hier graag mee. Het HackerProof systeem van Comodo kunnen we tegen een gereduceerd tarief aanbieden, maar er zijn ook vele alternatieven beschikbaar.

Handmatige controle

Een geautomatiseerde controle van een systeem is eenvoudig uit te voeren en zeker aan te raden, maar zal slechts een deel van de problemen aan het licht brengen. Als je ook andere gaten die hackers mogelijk tegen komen wilt dichten dan is het raadzaam om ook handmatig te zoeken naar problemen op het systeem, op dezelfde manier als een hacker dit zou doen. Onder meer OWASP, de Open Web Application Security Project, heeft veel informatie beschikbaar hoe je systemen op veiligheid kunt testen of beoordelen. Onder meer de volgende handleidingen zijn beschikbaar:

• OWASP Testing Guide, waarin wordt uitgelegd hoe systemen op zwakheden kunnen worden gecontroleerd.
• OWASP Guide to Building Secure Web Applications and Web Services, waarin wordt uitgelegd hoe web applicaties kunnen worden beveiligd.
• OWASP Code Review Guide, die beschrijft hoe de code van deze applicaties kan worden nagelopen.

Voor het vinden van lekken is wel enige specialistische kennis vereist. Het kan daarom raadzaam zijn om deze scans, zogenaamde penetratietests, uit te laten voeren door een systeembeheerder, programmeur, of een specialist op dit gebied. Het uitvoeren van dergelijke tests is arbeidsintensief en deze specialisten zijn niet goedkoop, waardoor handmatige controles door specialisten vele malen duurder kunnen zijn dan de geautomatiseerde controles hierboven. Let wel goed op met wie je in zee gaat en geef niet zomaar gegevens uit handen. Xolphin heeft contact met een aantal specialisten op dit gebied en kan je in contact brengen met een partij die bij je past.