Resistent worden en blijven

Volgens KPN neemt internetcriminaliteit vooral toe door de explosieve groei van online shoppen. Een webshop hacken is aantrekkelijk vanwege de lage pakkans, geringe investering en hoge winsten. Gelukkig hebben we ethical hackers, die criminelen één stap voor blijven met steeds geavanceerdere tools: ‘Binnen 30 seconden wisten we wie hij was.’

Tekst: Ton Verheijen | Beeld: Twinkle/BBP Media

Op het eerste oog hebben sneakergrootmacht Converse, autofabrikant Audi en de IJslandse zangeres Björk niets met elkaar gemeen. Gewoon drie willekeurige entiteiten in hun eigen bubbel. Toch is er een overeenkomst. Alle drie waren ze nog niet zo lang geleden het slachtoffer van skimming. En zij niet alleen. Beveiligingsonderzoeker Willem de Groot publiceerde in oktober 2016 een lijst van webshops die wereldwijd gehackt zouden zijn om consumenten te kunnen skimmen. Het zou gaan om ongeveer 5.900 webwinkels, waarvan 250 Nederlandse.

Skimmen is een vorm van betaalpasfraude waarbij criminelen de magneetstrip van een pas kopiëren en de pincode bemachtigen op het moment dat er een betaaltransactie wordt verricht. Vervolgens maken de fraudeurs een kopie van de pas. Samen met de pincode kunnen ze geld opnemen en betalen in binnen- en buitenland. Naast skimmen houden malware, phishing, ransomware, botnets en DDoS-aanvallen webwinkeliers uit hun slaap. Wat kunnen ze doen? Hoe kunnen ze een hack voorkomen? We raadpleegden aan paar ethical hackers.

Domme computer

Hacken is volgens Wikipedia ‘het vinden van toepassingen die niet door de maker zijn bedoeld’. Complexiteit speelt daarbij geen rol. Simpele, snelle oplossingen hebben de voorkeur. ‘Ook het gebruik van een wasknijper om te voorkomen dat je broekspijp tussen de fietsketting komt is in principe een hack’, schrijft Wikipedia.

De schoonheid van de eenvoud. Dat blijkt. Sommige webshops zijn kinderlijk eenvoudig te hacken, constateert ethical hacker Wouter van Rooij van ict-bedrijf Sogeti in zijn dagelijkse beroepspraktijk. Van Rooij ziet een opmerkelijke vindingrijkheid. Zo had een grote online retailer onlangs een actie waarbij een gratis printer werd weggegeven bij een nieuwe laptop. Wat gebeurde er? Een slimmerik plaatste eerst de laptop in het winkelmandje en daarna de gratis printer. Het systeem berekende het totaalbedrag. Vervolgens werd de laptop verwijderd. De printer bleef staan en werd gratis bezorgd.

Nog een voorbeeld in de categorie webwinkeliers-foppen-is-een-prettig-tijdverdrijf. Een klant van een online designshop bestelde drie lampen en kwam op het lumineuze idee een minnetje voor zijn bestelling te plaatsen. Het computersysteem maakte een bestelling aan van -3 lampen. Nou, voor een negatief aantal lampen kan het totaalbedrag natuurlijk nooit hoger zijn dan nul. De klant kreeg drie lampen gratis geleverd. Computertje, wat ben je dom!

‘Bijna dagelijks lees ik zulke dingen’, aldus Van Rooij, wiens vak het is hackers een stap voor te blijven. Voor klanten van Sogeti stelt hij programma’s, webapplicaties, websites en webshops op de proef. Hij misbruikt ze, leidt ze om de tuin, houdt ze voor de gek, neemt ze in het ootje. En daar is maar één reden voor. Hij wil weten of ze hackable zijn.

Van Rooij: ‘Het werk dat ik doe is volgens de wet strafbaar, maar natuurlijk geven mijn klanten me vrijwaring. Steeds meer organisaties nemen het onderwerp serieus. Ze benaderen mij om robuust te worden en aanvallen te weerstaan. Mijn belangrijkste advies aan webshops? Haal altijd updates binnen van de software die je gebruikt. Om resistent te worden tegen de bekende kwetsbaarheden of om de tijd dat je kwetsbaar bent zo kort mogelijk te houden. Plan updates elke week in. Kleine webshops moeten daar de meeste moeite in steken. Mijn tweede advies: volg het nieuws. Nu.nl schrijf hier veel over. Signaleer je een verdachte transactie, bijvoorbeeld een negatief getal op de orderbon, zoek dan uit wat er aan de hand is om ergere schade te voorkomen.’

SSL-beveiliging

Ethical hacking is niet nieuw. Ethical hacker Jatin Sehgal van Ernst & Young, destijds Young Professional of the Year, brak in 2009 een lans voor informatiebeveiliging. ‘Weak passwords are like dirty socks, change them’, liet hij fijntjes optekenen. Het grootste risico was volgens Sehgal de combinatie van kwetsbare systemen en menselijke naïviteit: ‘Menselijk gedrag is de zwakste schakel. Het is als het afsluiten van je huis, de sleutel onder je deurmat leggen en denken dat er niets kan gebeuren.’

Prettige bijkomstigheid: een sterk wachtwoord bedenken kan iedereen. ‘Hoe langer hoe beter’, luidt het advies van Van Rooij als het gaat om wachtwoorden. ‘Lengte is belangrijker dan complexiteit’, vindt de security-specialist. En wie zijn wij om dat advies in de wind te slaan? Hacken is een volwaardige criminele bedrijfstak geworden en ethical hackers zijn de good guys. Van Rooij: ‘We maken organisaties bewust en lichten hen voor. Daar wordt goed naar geluisterd. Ik hoef het evangelie niet meer te verkondigen.’

Vooral kleine webwinkels zitten met beveiligingsissues, laat webwinkeladviseur Patrick Heijmans weten. ‘Ze kunnen niet overal verstand van hebben. Ze kopen en installeren een goedkoop e-commerce pakket. De backend nemen ze vaak niet mee. Ze denken dat hen niks zal overkomen. Maar ja, mailadressen en creditcardgegevens liggen zomaar op straat.’ Heijmans constateert dat ze vaak de SSL-beveiliging, het groene slotje, niet op orde hebben. Jammer en onnodig, want een hostingprovider of sofwareleverancier heeft dat binnen enkele dagen gefikst.

Een aandachtspunt is ook het beveiligen van de eigen server tegen DDoS-aanvallen, stelt Heijmans. DDoS staat voor Distributed Denial of Service. Met een DDoS-aanval maken heel veel computers, vaak vanaf verschillende locaties ter wereld, verbinding met één server. De server is het doelwit. De achterliggende motivatie van een DDoS-aanval is vaak ontevredenheid over een dienst of bedrijf. Met andere woorden: wraak. De aanvallers proberen de server traag of onbereikbaar te maken en overspoelen die met webverkeer. Om dit voor elkaar te krijgen zetten ze botnets in, softwarerobots die automatisch en zelfstandig opereren. Zo kan in korte tijd een bak ellende worden veroorzaakt.

Afpersing

Gelukkig hebben we de ethical hackers, die ons behoeden voor rampspoed. Hackers een hak zetten, dat is de grote uitdaging voor Ruben van Vreeland van de Eindhovense startup BitSensor. Van Vreeland hackt al sinds zijn 14de: ‘Ik ging bedrijven hacken en ze daarna helpen, zodat kwade hackers niet meer in konden breken.’ Hij heeft al veel bad guys een hak gezet. ‘Ik kom altijd binnen’, klinkt het vol zelfvertrouwen. Zijn talent heeft hij inmiddels geprofessionaliseerd. BitSensor werkt voor grote bedrijven als Marktplaats, eBay, LinkedIn en Indiegogo. Zij lopen de deur plat bij hem omdat ze er schoon genoeg van hebben steeds weer door hackers te worden verrast, en soms zelfs afgeperst. Ze hebben BitSensor nodig om hun website veilig te houden, om geïnformeerd te worden over de Europese privacyrichtlijn GDPR (General Data Protection Regulation) of om te vernemen hoe ze invulling kunnen geven aan de Meldplicht Datalekken. Deze meldplicht houdt in dat organisaties direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een datalek hebben.

Hoe verklaart Van Vreeland het succes van BitSensor? ‘We hebben een compleet nieuwe methode ontwikkeld, een soort radarsysteem dat de aanval volgt vanaf het eerste moment. We hebben de hacker continu in het vizier en zien precies wat er gebeurt. We zien welke data is gestolen, volgen en blokkeren de hacker. Of we kunnen garanderen dat er géén aanval heeft plaatsgevonden. Want soms is het gewoon bluf.’

De aanpak van Van Vreeland is opmerkelijk open. Hij adviseerde Marktplaats hackers juist aan te moedigden en te laten uitleggen hoe ze het hadden aangepakt. Zo doet hij het ook op één van zijn eigen sites, Hackme.bitsensor.io. ‘Welcome to BitSensor’s hacking competition’, lezen we op de homepage. Van Vreeland: ‘We moedigen hackers aan te kijken of ze binnen kunnen komen. Soms geven we tips om hun aanval te verbeteren. Vaak hebben we zelf binnen 30 seconden door wat de identiteit van de hacker is en welke tools hij gebruikt. Ons systeem draait bij de klant of in de cloud. De algoritmes hebben we zelf ontwikkeld. Voor onze BitSensor-aanpak hebben we patent aangevraagd.’

Meer DDoS-aanvallen

Webwinkeliers hoeven volgens Van Vreeland geen verstand van zaken te hebben: ‘We praten over complexe materie en specialistische tools. Security moet je outsourcen, dat doe je er niet even bij. Dat geldt zeker voor e-commerce, omdat daar zo direct met geld kan worden gerommeld. Hackers hebben ook een businessmodel. E-commerce is voor hen juist interessant. Webwinkels zullen nieuwe manieren moeten vinden om aanvallen te detecteren voordat er schade wordt veroorzaakt. Gelukkig zien veel bedrijven die noodzaak nu wel in.’

Ondertussen gaat de oorlog verder. Uit onderzoek van het Amerikaanse securitybedrijf Prolexic blijkt dat het aantal DDoS-aanvallen flink toeneemt. Er is zelfs sprake van een verdubbeling ten opzichte van 2011. Ook de websecurity-afdeling van PwC luidt de noodklok: ‘Wij zien helaas dat webwinkels steeds vaker worden aangevallen om klantgegevens te bemachtigen’, aldus PwC-partner Erwin de Horde. ‘Doordat webwinkels vaak onvoldoende beveiligd zijn, vormen zij een gemakkelijk doelwit.’

Webwinkeladviseur Heijmans geeft nog mee dat het veiliger is om alleen vanaf je eigen IP-adres in te loggen op de backend van de webwinkel. Heijmans: ‘Dat kun je zelf instellen. Verder is het belangrijk dat je je complete webwinkel beveiligt en niet slechts een deel. Het contactformulier en de checkout is door veel webshops wel beveiligd. De homepage, het winkelwagentje en het cms vaak niet. Ik heb verschillende plug-ins geïnstalleerd om mijn eigen webshop te beveiligen. Als er iets onveiligs wordt gesignaleerd, wordt het IP-adres geblokkeerd en is de backend alleen toegankelijk vanaf mijn eigen IP-adres. Dan is de kans al een stuk groter dat de hacker een deurtje verder gaat shoppen.’