Websecurity: ver van mijn bed of toch niet?

Feiten

• Het duurde van het begin van onze beschaving tot het jaar 2003 om 1,8 zettabyte (10 tot de 12de gigabytes) aan gegevens te genereren. Sinds 2011 duurt het gemiddeld 2 dagen om diezelfde hoeveelheid te genereren.
• Dagelijks worden er 247 miljard e-mails verzonden, 80% is SPAM!
• Iedere minuut van de dag worden er wereldwijd gemiddeld 571 websites gebouwd.
• In 2020 zal 1/3 van de data gestockeerd worden in de cloud.

E-commerce, websites en internetapplicaties zitten dus in de lift!

Het aantal Belgische sites dat gehackt wordt, neemt snel toe. “De mediagenieke optredens van de hackersgroepen Anonymous en LulzSec zijn daar niet vreemd aan”, zegt coördinator Christian Van Heurck van het Belgische Computer Emergency Response Team (CERT.be).

Scriptkiddies vs elite hackers

1. Scriptkiddies volgens Wikipedia

Een scriptkiddie is een persoon die zich misdraagt op het internet. Hij maakt daarbij gebruik van technieken en hulpmiddelen die door anderen zijn ontwikkeld. Vaak zijn die bedacht door hackers. Een scriptkiddie heeft meestal geen verstand van de onderliggende technieken en is slechts een gebruiker van andermans middelen. Deze term wordt sinds halverwege de jaren 90 van de 20e eeuw gebruikt ... Scriptkiddies veroorzaken overlast. Veel van de misbruikmeldingen op het internet worden veroorzaakt door scriptkiddies. Ze komen echter vaak kennis en kunde te kort om daadwerkelijk een gevaar te vormen voor mensen die hun computer en/of systemen goed up-to-date houden. Veel computervirussen en -wormen worden als het werk gezien van scriptkiddies.

2. Elite hackers volgens Wikipedia

Een hacker, ook wel kraker of cracker genoemd, is een persoon die zonder toestemming een computernetwerk binnendringt door de beveiliging te kraken. Niet altijd met de bedoeling om zich illegaal informatie toe te eigenen, maar veelal om aan te tonen dat het netwerk onvoldoende beveiligd is. Er zijn wel hackers met criminele bedoelingen, echter, voor velen is het een sport om beveiligde netwerken te kraken. Eigen aanvulling: gekende hackersgroepen zijn onder andere Anonymous en LulzSec.

Het zal wel veilig zijn ...

Tegen het eerste geval (script kiddies) kunnen we ons zeker goed wapenen, maar vaak wordt dit nog niet of te weinig gedaan!

Het is psychologie

Tijdens mijn seminaries deed ik vaak een spelletje met het publiek, ik deelde het publiek in 2 groepen en deed hen een voorstel:

Spel met groep 1:

1. Ik geef je 1000 euro
2. We spelen een spel kop of munt, als je wint krijg je 2000 euro

75% zal de 1000 euro kiezen

Spel met groep 2:

1. Je betaalt me 1000 euro
2. We spelen een spel kop of munt, als je verliest betaal je me 2000 euro

75% zal een gokje wagen en de munt opgooien

Het resultaat is dat mensen niet graag investeren in zaken die niet tastbaar zijn en zo telkens opnieuw de gok wagen. Investeren we nu in websecurity of gaan we x euro besparen en de gok wagen?

Gooi jij het ook op een gokje?

Ondertussen hebben wij onze klanten gelukkig al kunnen overtuigen over de nood van websecurity, maar het was niet altijd zo. De kans was vroeger heel groot dat men zei, wacht even: "we hadden eerder toch ook geen extra beveiliging? Waarom hebben we ze vandaag dan nodig?" De klant durfde die gok maar al te vaak maken ...

LinkedIn, Sony, Facebook, Apple ... allemaal trapten ze heel recent in de val van script kiddies die lekken zoeken en verspreiden om bv. klantgegevens en visakaart gegevens te delen of te verkopen ...

OWASP top 3

OWASP is een organisatie die sinds jaar en dag alle potentiële lekken en de gehackte websites in kaart brengt. Jaarlijks lijsten ze de top 10 van meest voorkomende lekken en aanvallen op. Ik leg je nu de top 3 wat nader uit.

1. Injection
2. Gebroken authenticatie en sessie beheer
3. Cross site scripting (XSS)

Ik bespreek graag de 3 meest voorkomende security problemen via onderstaande video. Is uw website, e-commerce site of internetapplicatie veilig? Neem gerust contact met onze experten! Ze helpen je graag verder. PS. Vergeet zeker ook niet HTTPS te activeren op je webomgeving!