De consumentenbond heeft onderzoek gedaan naar de veiligheid van webwinkes en websites en komt tot de conclusies dat in 38 procent van de gevallen het zeer ernstig is. Klantgegevens en betaalgegevens zouden snel buitgemaakt kunnen worden. Zie voor het gehele resultaat deze link
Hoe komt het dat het ontwerpen van websites, waarvan de eerste website meer dan 15 jaar geleden het daglicht zag, toch nog aandacht behoeft? Met name het security deel vraagt nog steeds veel aandacht.
Mijn persoonlijke mening is dat het bouwen van websites gemakkelijker wordt gemaakt door de tools en software pakketten die op de markt zijn verschenen. Als je maar handig bent met het pakket dan zou iedereen je kunnen helpen aan een mooie website. Het mooie is meteen ook het meest belangrijke. Bij het bouwen van de website is vooral de “look and feel” belangrijk en de klantervaring als ie “surft” over de pagina’s. Grafisch designers hebben zich daarom massaal gestort op het designen van websites zonder goed stil te staan bij de techniek (en de beveiliging) die draait achter de website.
Natuurlijk zijn er ook professionele bouwers die zowel de techniek, het design als het hosten en housen van een website meenemen in de gehele dialoog met de klant. Echter de klant is ook niet altijd bekend met alle facetten die komen kijken bij het designen en managen van een website, waardoor de klanteisen op hoog niveau blijven hangen: “Het moet veilig zijn. Punt !”.
Wat is een veilige website en hoe kom je daar nu achter?
Websites bestaan, zoals bovengenoemd, al meer dan 15 jaar. In de afgelopen jaren is er een groep mensen geweest die zich gestort hebben op de security issues van websites. Om de twee jaar komen zij met een zgn TOP 10 van security issues gerelateerd aan websites of webbased applicaties. Deze laatste is belangrijk daar steeds meer applicaties bereikbaar moeten zijn vanuit het internet.
Deze groep mensen noemen het project waaraan zij werken OWASP (Open Web Application Security Project). Dit project bestudeert Web Applicatie zwakheden, beschrijft hoe deze zwakheden werken en wat de impact ervan kan zijn maar beschrijft ook hoe de zwakheid opgelost zou kunnen worden. Zie voor de TOP 10 van 2013 deze link.
De consumentbond heeft gedetecteerd dat vele onderzochte websites gevoelig zijn voor Cross Site Scripting (XSS). Dit issue komt reeds jaren voor in de TOP 10 van OWASP en is blijkbaar nog steeds een issue!
Is een onveilige website te voorkomen?
Grotendeels wel. Het begint bij het opstellen van de eisen door de klant. Beschrijf duidelijk wat men verstaat onder een veilige website en refereer in het contract tussen beide partijen naar de OWASP TOP 10 (lees:”De op te leveren website dient ongevoelig te zijn voor de zwakheden zoals opgenomen in de meest recente versie van de OWASP TOP 10”).
Als een website bouwer bij deze eis al met zijn ogen gaat draaien dien je als klant na te gaan of deze partij wel voldoende kennis van zaken heeft. Vraag ook eens door over het design proces van de designer. Uit welke stappen bestaat het, volgens welke standaard werkt de designer en welke (security)aspecten neemt hij/zij standaard mee in het design. Mocht je als klant niet bekend zijn met de termen die de designer gebruikt in zijn antwoord: schrijf ze op en google ze eens.
Eis ook dat middels een test wordt aangetoond dat de website inderdaad veilig is en positief scoort op de beveiliging (apart vinkje achter elk van de 10 risico’s van de OWASP TOP 10) . Deze test dient ruim voor de datum van live gang worden uitgevoerd. Eventuele tekortkomingen dienen door de bouwer worden opgelost (en deze draagt dus ook de kosten hiervoor). Al dit dient goed worden vastgelegd in het contract. Ik hoor wel eens de reactie van website bouwers: ja maar het is maar een opdracht van 3000 euro. Tja dat klopt maar als klant wil ik straks niet een schade van duizenden euro’s hebben (naast imago schade) door een slecht beveiligde website.
De wereld staat niet stil zodra de website live is en techniek, maar ook de website is onderwerp van aanpassingen. Laat daarom regelmatig door een onafhankelijke partij de website testen op veiligheid. Vooral bij websites waar een gehele winkel en betaalproces achter ligt loont het zich om periodiek een penetratie test (pen test ) uit te laten voeren.. Gebruik ook hier de OWASP TOP 10 als richtlijn. Nog een belangrijk aspect: accepteer je credit card betalingen en sla je deze gegevens ook op dan dien je te voldoen aan de security eisen die zijn opgenomen in de PCI DSS standaard. Een periodieke pentest op de IP adressen waarover het betalingsverkeer gaat is dan een vereiste. In mijn volgende blog zal ik deze PCI DSS standaard nader toelichten.
Als laatste is onderhoud en release- patchmanagement erg belangrijk. Regelmatig worden er zwakheden in software gevonden waarvoor een oplossing is of wordt geschreven (een zgn “patch”). Het is van belang om goede afspraken te maken aangaande onderhoud en patchmanagement. Daar niet opgeloste zwakheden misbruik kunnen worden, vooral als deze bekend zijn op het internet of onder hackers.
Alle vragen en opmerkingen n.a.v. deze blog zijn welkom op info@triplea-security.org
Van hart tot hart,
Henny Raadschilders