5 Hackaanvallen die uw webwinkel bedreigen Hans Bouman B2U
Business to You H a n s B o u m a n 1992 2000 Projectleader SET Productmanager e Commerce 2001 e Payment consultant Veenweg 158 B 3641 SM MIJDRECHT Telephone +31 (0)297 381300 Fax +31 (0)297 381301 Website www.b2u.nl E Mail hackersafe@b2u.nl 2002 2005 Country Manager Ogone NL 2006 current Secure e Business
E Commerce: betrouwbaar? Hoe herken je betrouwbaarheid?
VERTROUWEN, in welke mate? Notarissen Politie Doktoren Makelaars Keuringsinstituten Staan we er wel genoeg bij stil?
WAT is betrouwbaar? Algemene voorwaarden Garantievoorwaarden Omruilvoorwaarden Leveringsvoorwaarden Betalingscondities Prijsgaranties Koop op afstand wetgeving Geschillencommissie
Privacy gevoelige gegevens? Credit card gegevens Wachtwoorden NAW gegevens Rijbewijsnummer Paspoortnummers Exoneratie beding? Privacy wetgeving? Order gegevens Burger Service Nummer Financiële gegevens Opkomst van SAAS!!!
Slotje schijnveiligheid HACKER PC X SiteScripting (XSS) SQL injection internet Website db
Wettelijke aansprakelijkheid Wie is verantwoordelijk voor de beveiliging van de site? De eigenaar van het domein. Wie is er juridisch aansprakelijk bij een hack? De eigenaar van het domein. Op wie wordt de schade en opgelegde boete verhaald? De eigenaar van het domein. Wet Bescherming Persoonsgegevens, artikel 13 (College Bescherming Persoonsgegevens) Als eigenaar van een website bent u aansprakelijk voor het verlies van privacygevoelige gegevens. Ook in de Europese wetgeving is dit vastgelegd in Directive 95/46/EC. Hierin staat dat: privacy gevoelige gegevens afdoende beveiligd dienen te worden.
Waarom scannen/beveiliging? Voorkomen gegevensdiefstal / schade Voorkomen risico imagoschade Certificatie aan standaarden zoals PCI/DSS, ISO27001 etc. Exoneratiebeding (aantonen pro actieve maatregelen) Breng beveiliging op hoger plan binnen uw bedrijf Een neutrale partij laten scannen zodat ICT /Webbeheerders en hosting scherp worden gehouden Gereedschap voor beheerders Trustmark = Vertrouwen aan bezoekers/burgers EIGENAAR VAN DE DOMEINNAAM IS AANSPRAKELIJK!
www.domein.nl www.domein2.nl login.domein.nl Wat is uw domein? Internet DNS Hosting1 Firewalls, IDS, DMZ, Routers, Gateways, Ports, Services, Emailservers Hosting2 Firewalls, IDS, DMZ, Routers, Gateways, Ports, Services, Emailservers Hosting3 Firewalls, IDS, DMZ, Routers, Gateways, Ports, Services, Emailservers Websites (n) Programmatuur, CMS, scripts, XMLkoppelingen, API s Websites (n) Programmatuur, CMS, scripts, XMLkoppelingen, API s Websites (n) Programmatuur, CMS, scripts, XMLkoppelingen, API s DigiD GBA etc
Waar is uw rapportage? Wij hebben een goede sitebouwer Wij hebben een goede hostingpartij Het is ook hun risico dus dat zal wel goed zitten Andere gemeenten checken het wel
Historie Logo WWW.HACKERSAFE.EU
McAfee SECURE 400.000 PCI scanning merchants world wide >80.000 klanten met dagelijkse scan + vertoon MS logo Port, network, OS & application scanning McAfee: adware + spyware + virus scanning NO HARDWARE NO SOFTWARE
Technisch Full scan & penetration testing Port scan Besturingsysteem scan Network discovery & services Applicatie scan Content (zoals downloads, malware, links) Vulnerability tests op hoofdlijnen: SQL Injection Blind SQL Injection SQL Database Error Disclosure Local File and Remote File Includes Directory Traversals Improper Error Handling Application Source Code Disclosure Authentication Bypass Insufficient Session Expiration Command Injection SSI Injection Malicious CGI scripts Buffer Overflows Client Side Vulnerabilities Directory Indexing Server Misconfigurations SSL Encryption Malicious Downloads Malicious Affiliations (Links) Phishing Scams Browser Exploits Misuse of personal information Annoyances (excessive Pop ups) Scams (Business Practices)
Simpel voorbeeld: email formulier
SQL injection Database Hacker benadert de database rechtstreeks met SQL commando s
Voorbeeld backoffice & informatie
Voorbeeld backoffice & informatie
WWW.PCISECURITYSTANDARD.ORG
Voorbeeld backoffice & informatie Bij PCI/DSS worden beveiligingslekken zwaarder gewogen!
Voorbeeld backoffice & informatie
Voorbeeld backoffice & informatie
Voorbeeld backoffice & informatie
Borgen op management/directie niveau
Wat is uw domein? Verantwoordelijk: Managers Bestuurders Wethouders Burgemeester Executive Report (PDF) www.domein.nl Hosting1 login.domein.nl Internet DNS Hosting2 www.domein2.nl Hosting3 Helpdesk Systeembeheerder Programmeurs Externe partijen Contentmanagers Firewalls, IDS, DMZ, Routers, Gateways, Ports, Services, Emailservers Websites (n) Programmatuur, CMS, scripts, XMLkoppelingen, API s Firewalls, IDS, DMZ, Routers, Gateways, Ports, Services, Emailservers Websites (n) Programmatuur, CMS, scripts, XMLkoppelingen, API s Firewalls, IDS, DMZ, Routers, Gateways, Ports, Services, Emailservers Websites (n) Programmatuur, CMS, scripts, XMLkoppelingen, API s DigiD GBA etc
Referenties McAfee SECURE
Trust starts at search engines
Trust starts at search engines
TEL SELL EYE LEVEL = BUY LEVEL
Vragen? Hans Bouman B2U hans@b2u.nl www.b2u.nl Veenweg 158-B 3641 SM MIJDRECHT Telephone +31-(0)297-381300 Fax +31-(0)297-381301 Website E-Mail www.b2u.nl hackersafe@b2u.nl
1 maand gratis testen
12 november 2013 WEBSITE BEVEILIGING More TRUST = More SALES