5 Hackaanvallen die uw webwinkel bedreigen. Hans Bouman B2U

Transcriptie

1 5 Hackaanvallen die uw webwinkel bedreigen Hans Bouman B2U

2 Business to You H a n s B o u m a n Projectleader SET Productmanager e Commerce 2001 e Payment consultant Veenweg 158 B 3641 SM MIJDRECHT Telephone +31 (0) Fax +31 (0) Website E Mail hackersafe@b2u.nl Country Manager Ogone NL 2006 current Secure e Business

3 E Commerce: betrouwbaar? Hoe herken je betrouwbaarheid?

4 VERTROUWEN, in welke mate? Notarissen Politie Doktoren Makelaars Keuringsinstituten Staan we er wel genoeg bij stil?

5 WAT is betrouwbaar? Algemene voorwaarden Garantievoorwaarden Omruilvoorwaarden Leveringsvoorwaarden Betalingscondities Prijsgaranties Koop op afstand wetgeving Geschillencommissie

6 Privacy gevoelige gegevens? Credit card gegevens Wachtwoorden NAW gegevens Rijbewijsnummer Paspoortnummers Exoneratie beding? Privacy wetgeving? Order gegevens Burger Service Nummer Financiële gegevens Opkomst van SAAS!!!

7 Slotje schijnveiligheid HACKER PC X SiteScripting (XSS) SQL injection internet Website db

8 Wettelijke aansprakelijkheid Wie is verantwoordelijk voor de beveiliging van de site? De eigenaar van het domein. Wie is er juridisch aansprakelijk bij een hack? De eigenaar van het domein. Op wie wordt de schade en opgelegde boete verhaald? De eigenaar van het domein. Wet Bescherming Persoonsgegevens, artikel 13 (College Bescherming Persoonsgegevens) Als eigenaar van een website bent u aansprakelijk voor het verlies van privacygevoelige gegevens. Ook in de Europese wetgeving is dit vastgelegd in Directive 95/46/EC. Hierin staat dat: privacy gevoelige gegevens afdoende beveiligd dienen te worden.

9 Waarom scannen/beveiliging? Voorkomen gegevensdiefstal / schade Voorkomen risico imagoschade Certificatie aan standaarden zoals PCI/DSS, ISO27001 etc. Exoneratiebeding (aantonen pro actieve maatregelen) Breng beveiliging op hoger plan binnen uw bedrijf Een neutrale partij laten scannen zodat ICT /Webbeheerders en hosting scherp worden gehouden Gereedschap voor beheerders Trustmark = Vertrouwen aan bezoekers/burgers EIGENAAR VAN DE DOMEINNAAM IS AANSPRAKELIJK!

10 login.domein.nl Wat is uw domein? Internet DNS Hosting1 Firewalls, IDS, DMZ, Routers, Gateways, Ports, Services, servers Hosting2 Firewalls, IDS, DMZ, Routers, Gateways, Ports, Services, servers Hosting3 Firewalls, IDS, DMZ, Routers, Gateways, Ports, Services, servers Websites (n) Programmatuur, CMS, scripts, XMLkoppelingen, API s Websites (n) Programmatuur, CMS, scripts, XMLkoppelingen, API s Websites (n) Programmatuur, CMS, scripts, XMLkoppelingen, API s DigiD GBA etc

11 Waar is uw rapportage? Wij hebben een goede sitebouwer Wij hebben een goede hostingpartij Het is ook hun risico dus dat zal wel goed zitten Andere gemeenten checken het wel

12 Historie Logo

13 McAfee SECURE PCI scanning merchants world wide > klanten met dagelijkse scan + vertoon MS logo Port, network, OS & application scanning McAfee: adware + spyware + virus scanning NO HARDWARE NO SOFTWARE

14 Technisch Full scan & penetration testing Port scan Besturingsysteem scan Network discovery & services Applicatie scan Content (zoals downloads, malware, links) Vulnerability tests op hoofdlijnen: SQL Injection Blind SQL Injection SQL Database Error Disclosure Local File and Remote File Includes Directory Traversals Improper Error Handling Application Source Code Disclosure Authentication Bypass Insufficient Session Expiration Command Injection SSI Injection Malicious CGI scripts Buffer Overflows Client Side Vulnerabilities Directory Indexing Server Misconfigurations SSL Encryption Malicious Downloads Malicious Affiliations (Links) Phishing Scams Browser Exploits Misuse of personal information Annoyances (excessive Pop ups) Scams (Business Practices)

15 Simpel voorbeeld: formulier

16 SQL injection Database Hacker benadert de database rechtstreeks met SQL commando s

17 Voorbeeld backoffice & informatie

18 Voorbeeld backoffice & informatie

19

20 Voorbeeld backoffice & informatie Bij PCI/DSS worden beveiligingslekken zwaarder gewogen!

21 Voorbeeld backoffice & informatie

22 Voorbeeld backoffice & informatie

23 Voorbeeld backoffice & informatie

24 Borgen op management/directie niveau

25 Wat is uw domein? Verantwoordelijk: Managers Bestuurders Wethouders Burgemeester Executive Report (PDF) Hosting1 login.domein.nl Internet DNS Hosting2 Hosting3 Helpdesk Systeembeheerder Programmeurs Externe partijen Contentmanagers Firewalls, IDS, DMZ, Routers, Gateways, Ports, Services, servers Websites (n) Programmatuur, CMS, scripts, XMLkoppelingen, API s Firewalls, IDS, DMZ, Routers, Gateways, Ports, Services, servers Websites (n) Programmatuur, CMS, scripts, XMLkoppelingen, API s Firewalls, IDS, DMZ, Routers, Gateways, Ports, Services, servers Websites (n) Programmatuur, CMS, scripts, XMLkoppelingen, API s DigiD GBA etc

26 Referenties McAfee SECURE

27 Trust starts at search engines

28 Trust starts at search engines

29 TEL SELL EYE LEVEL = BUY LEVEL

30 Vragen? Hans Bouman B2U Veenweg 158-B 3641 SM MIJDRECHT Telephone +31-(0) Fax +31-(0) Website

31

32 1 maand gratis testen

33 12 november 2013 WEBSITE BEVEILIGING More TRUST = More SALES