Webshops beveiligen - Spoor hackers op tijd op

Zelfs als je er alles aan gedaan hebt om een systeem veilig te maken, en bestaande lekken in je systeem probeert te ontdekken is het niet uit te sluiten dat hackers toegang krijgen tot het systeem. Zodra een hacker zich toegang heeft verschaft tot een systeem, is het slechts een kwestie van tijd voordat hij ook andere gaten vindt en volledige controle heeft. Het is daarom van groot belang om hackers tijdig te ontdekken en direct maatregelen te nemen als er sprake is van inbraak.

Houd er rekening mee dat als een hacker heeft ingebroken op je systeem, je niet meer op uw systeem kunt vertrouwen. Zowel de op het systeem aanwezige programma's als de logs op je server kunnen door de hacker aangepast zijn om de aanwezigheid van de hacker te maskeren. Vrijwel altijd zal een hacker ook zogenaamde backdoors in een systeem aanbrengen zodat hij later eenvoudig opnieuw toegang kan krijgen tot het systeem. Deze backdoors zijn vrijwel niet te vinden, het is daarom uitermate belangrijk om een systeem dat geïnfecteerd is niet meer te vertrouwen en direct de nodige maatregelen te treffen. Afhankelijk van het gebruikte systeem zijn er diverse stappenplannen beschikbaar die je kunt volgen bij een inbraak.

Hoe herken ik hackers op mijn systeem?

Het belangrijkste is natuurlijk dat je een hacker op tijd detecteert. Het beste is om alle pogingen tot inbraak te detecteren, want dan ben jein een vroeg stadium op de hoogte als iemand probeert in te breken. Voor het monitoren van inbraken kun je de logs van je beveiligingssystemen in de gaten houden, bijvoorbeeld van de firewall. Er is ook speciale software beschikbaar die detecteert of er (pogingen tot) inbraak plaatsvinden. Deze intrusion detection systemen monitoren het netwerkverkeer en slaan alarm als ze verdachte activiteit tegen komen. Een bekende IDS is Snort, die gratis beschikbaar is. Het kan soms lastig zijn om te bepalen wat er precies gebeurt en hoe gevaarlijk een bepaalde aanval is, daarnaast kost het monitoren behoorlijk veel tijd.

Sommige hackers zijn te herkennen aan de zogenaamde rootkits die zij installeren. Deze rootkits zijn software die hackers kunnen gebruiken om bijvoorbeeld makkelijk verbinding te maken met jouw systeem, en hun aanwezigheid op de server te verhullen. Je kunt dergelijke rootkits detecteren met behulp van een virusscanner of speciale software die deze rootkits herkent, zoals Rootkit Hunter. Houd er echter rekening mee dat als er al ingebroken is op je systeem, een hacker de output van dergelijke programma's kan manipuleren als hij weet dat je deze gebruikt, en dat alleen bekende rootkits gedetecteerd kunnen worden.

Hoe weet ik wat hackers op mijn systeem gedaan hebben?

Als er op je systeem ingebroken is, is het belangrijk om na te gaan hoe dat is gebeurd. Hiermee voorkom je  dat hackers direct weer toegang hebben tot het systeem. Op de logs op de server zelf kan echter niet meer vertrouwd worden, deze kunnen door de hacker gemanipuleerd zijn. Zorg er daarom altijd voor dat de logging van je server direct naar een extern systeem wordt gestuurd waar de hacker niet bij kan.

Het is daarnaast aan te raden om een integriteitssysteem als AIDE (Advanced Intrusion Detection Environment) te gebruiken. Deze systemen maken een database aan van de bestanden op een systeem, en door deze database op een veilige plek te bewaren kan er worden nagegaan welke bestanden er door een hacker worden aangepast. Deze systemen werken echter alleen als je  ze al gebruikt voordat er op uw systeem is ingebroken.  Als er al een hack heeft plaats gevonden heeft een dergelijk systeem geen zin meer.