Hoe hacker-gevoelig is jouw site?

inlog WordPressHet gedoe rond Wikileaks brengt ook hacken weer onder de aandacht. Waarschijnlijk is het niet jouw verantwoordelijkheid als webredacteur om iets tegen hacken te doen maar je kunt er wel aan denken. Wees je er bewust van dat niet alle bezoekers goede intenties hebben. Hieronder worden vier soorten van misbruik voor jou opgesomd met tips wat je er, zover mogelijk, aan kunt doen.

Vier categorieën

1. Saboteren
Wat is het?
De meest bekende vorm is een Denial Of Service (DOS) attack. Bij DOS-attacks gaat het erom dat het netwerk waar je website op draait overbelast wordt. Hackers draaien programmaatjes die continu informatie aan de website vragen. Bijvoorbeeld of ze mogen inloggen of door een contactformulier in te vullen. Hierdoor raakt de website overbelast en kan niemand meer een webpagina bekijken of gebruiken. Niet alle gevallen van DOS zijn natuurlijk een daad van sabotage. Het is best stoer als er gewoon te veel bezoekers zijn die je website willen bekijken.

Een andere variant van sabotage is het achterlaten van, voor jou, ongewilde informatie, zoals het achterlaten van rare berichten, spam of reclame op je forum.  Delen van je website waar bezoekers informatie mogen achterlaten kunnen worden misbruikt door Spambots. Spambots zijn automatische programma’s die het internet afstruinen opzoek naar formulieren die automatisch in te vullen zijn.

Wat doe je eraan?
Het tegengaan van DOS-attacks kan je beter overlaten aan de netwerkspecialisten maar een goede firewall scheelt een heleboel. Een goed ingestelde firewall blokkeert bijvoorbeeld gebruikers die heeeeel veel pagina’s tegelijk opvragen. Maar als de hackers ip-adressen laten variëren en zo suggereren verschillende computers te zijn dan wordt het alweer wat lastiger. Uiteindelijk komt het erop neer hoeveel geld je ervoor over hebt om in de lucht te blijven. Met genoeg geld koop je bandbreedte en webservers waardoor een DOS-aanval geen probleem hoeft te zijn. Maar ja, dat is niet voor iedereen weggelegd.

De sabotage van spambots is tegen te gaan met een captcha. De captcha zie je tegenwoordig bijna op elk formulier. Zoals onderaan het contactformulier van dit blog bijvoorbeeld. Een spambot kan de code op het plaatje niet lezen en dus niet invullen op het formulier.

2. Informatie verzamelen of datamining

Wat is het?
Het verzamelen van informatie die in principe openbaar is. Je zal verbaasd zijn hoeveel mensen Security Through Obscurity (hier kijkt toch niemand) toepassen. In het begin werden webcrawlers/spiders vooral gebruikt bij het verzamelen van e-mailadressen die dan verkocht werden aan spammers. Maar tegenwoordig is elke vorm van informatie wel interessant voor iemand. Zo wordt informatie van verschillende sites samengevoegd tot klantprofielen (blijken de lezers van het nieuwe boek ook erg van chocolade te houden bijvoorbeeld). Of een stalker slaat zijn slag.

Wat doe je eraan?
Security Through Obscurity bestaat niet op het internet. Als het openbaar is ga er dan ook maar vanuit dat iedereen het kan vinden. Wees je bewust van de informatie die je op jouw site over andere personen plaatst. Is het nodig om de hele ledenlijst online te zetten? Moet het e-mailadres eronder? Hebben ze wel toestemming gegeven om die foto online te plaatsen? En natuurlijk haal je de informatie offline als iemand daarom vraagt.

3. Resources stelen

Wat is het?
Waarschijnlijk de meest voorkomende vorm van hacken. Het gaat de hacker niet om de informatie die jij al dan niet met de wereld wil delen. Maar om de resources die je tot je beschikking hebt. Gratis serverruimte en internet bandbreedte is altijd ideaal.
Maar vergeet ook niet dat het werk wat een hacker doet illegaal is en deze dus alles zal doen om ervoor te zorgen dat hij/zij niet beschuldigd kan worden van illegale praktijken. Hiervoor is het dus ideaal als de hacker een server tot zijn of haar beschikking heeft die niet van de hacker zelf is.

Wat doe je eraan?
Vermijd gebruik van simpele combinaties van inlognaam en wachtwoord (op veel webwinkels schijn je een eind te komen met webmaster/welkom of admin/admin). Gebruik de standaard beveiligingsregels voor wachtwoorden (http://www.mijndigitalewereld.nl/index.php/pagina/tips).

4. Informatie stelen

Wat is het?
Waar informatie verzamelen eindigt en informatie stelen begint, is niet altijd even duidelijk. Maar laten we zeggen dat een hacker zich toegang verleent tot die delen van de site waar normale gebruikers geen toegang toe hebben. De makkelijkste manier voor een hacker om de website binnen te komen, is om zich voor te doen als een bestaande gebruiker. Misschien kan hij gewoon inloggegevens aanvragen, anders kan hij deze ook achterhalen door bijvoorbeeld phising: de hacker stuurt een bezoeker bijvoorbeeld een e-mail met een link naar een nep website die lijkt op die van jouw organisatie. Niets vermoedend vult de bezoeker vervolgens de inloggegevens in. Nadat de hacker toegang heeft tot jouw site kan hij proberen bij die informatie te komen die hij (of zij) wil hebben: creditcard gegevens bijvoorbeeld. En dan natuurlijk graag niet alleen die van de bezoeker wiens inloggegevens gejat zijn maar van alle bezoekers.

Wat doe je er tegen?
Zorg voor een beveiligde verbinding. Wijs gebruikers van je site op de url die begint met https:/ en het slotje onderin de balk van je browser. Vraag ze contact op te nemen als ze iets ongewoons zien. Garandeer je gebruikers dat er nooit per e-mail of telefoon om inloggegevens wordt gevraagd. Verstuur altijd mail in tekst zonder opmaak (plain text format). HTML opmaak in e-mail is moeilijker te controleren en maakt misbruik door hackers eenvoudiger.

Goed programmeerwerk kan voorkomen dat de hacker de inlogprocedure helemaal kan omzeilen of na toegang tot de site bij alle gegevens van alle bezoekers kan.

‘Hackers’ inhuren
Kortom: ga eens praten met de ICT’ers van je organisatie en vraag wat er al gedaan wordt en of er weleens problemen zijn. Wist je trouwens dat je ook ‘hackers’ in kunt huren om te kijken of je website te hacken is? Voor grotere websites en bedrijven is het zeker aan te raden een van de talloze ICT beveiligbedrijven (zoals Madison Gurkha) te benaderen. Deze zijn gespecialiseerd in het controleren van websites en daarmee een onafhankelijk conclusie geven over hoe lek je website eigenlijk is. Uiteraard krijg je advies over de maatregelen die je zou moeten nemen om de gaten te dichten.

Comments are Disabled