19 januari 2018 16:07

Van DDoS tot hacks: dit zijn de grootste gevaren in e-commerce

Security-expert Wim De Smet licht een tipje van de sluier over de grootste twee gevaren in het huidige e-commercelandschap. Dit zijn de hete hangijzers van het moment.

‘Veiligheid is nog steeds een taboe,’ klonk het vorig jaar nog uit de mond van Greet Dekocker, voorzitster van SafeShops. Belgische webwinkeliers hebben lak aan online beveiliging, en dat terwijl de nood aan waterdichte online infrastructuur de afgelopen jaren alleen maar groter werd. In de onderbuik van het internet loert het gevaar immers om de hoek: hacks, lekken, malware. We vragen security-expert en CTO bij SecureLink Wim De Smet welke dreigingen het grootste gevaar vormen voor webwinkeliers, en hoe ze te vermijden.

Er zijn verschillende scenario’s waar Belgische webwinkeliers van wakker kunnen liggen, het één al erger dan het ander, zegt De Smet. Misschien wel de grootste impact wordt ervaren wanneer de webshop offline gaat; het digitale equivalent van een gesloten winkel. Dat komt voor wanneer je het slachtoffer wordt van een ‘distributed denial-of-service’-aanval of DDoS-aanval. Met een DDoS-aanval worden websites op afstand offline gehaald, bijvoorbeeld door de server te overspoelen met trafiek, waardoor die overbelast wordt en de website tijdelijk onbereikbaar is. ‘En dat is een serieus gevaar, want een onbereikbare webshop doet je inkomsten mislopen,’ verduidelijkt De Smet. ‘Bovendien kan het schadelijk zijn voor je imago. Als je klanten merken dat je website niet bereikbaar is, dan is de keuze voor een concurrent snel gemaakt.’

File op de ring

Dé DDoS-aanval bestaat niet: het fenomeen kan worden opgedeeld in verschillende types, gebaseerd op de aanvalstechniek die wordt gebruikt. De meestvoorkomende DDoS-aanval is een volumetrische aanval. Een volumetrische DDoS-aanval zal ervoor zorgen dat ‘nutteloos’ internetverkeer naar een website wordt geleid, om de verbinding te overbelasten. Hackers lijven zogenaamde botnets in en bevelen hen op afstand om een verbindingsverzoek te verzenden naar de beoogde website. Zulke botnets bestaan uit een netwerk van geconnecteerde apparaten – van slimme televisies tot beveiligingscamera’s – die zonder de kennis van de eigenaars gehackt werden.

Wanneer die apparaten allen een verzoek versturen naar de website, raakt de verbinding verzadigd, waardoor de website onbereikbaar wordt voor andere bezoekers. Resultaat: gebruikers stuiten op een foutmelding, in plaats van de webshop die ze wilden bezoeken. ‘Vergelijk het met de ring van Antwerpen,’ aldus De Smet. ‘De ring kan maar een bepaald aantal voertuigen aan. Sturen we er meer de baan op, zal dat een file tot gevolg hebben. Daardoor bereiken de mensen in die auto’s hun eindbestemming te laat of gewoonweg niet. Als je echter de auto’s schrapt die geen reden hadden om op de ring te rijden, dan raakt de weg veel minder snel gesatureerd.’

Een gelijkaardige methode wordt gebruikt om de impact van een volumetrische aanval te beperken. Een filtersysteem is in staat om de ‘juiste’ trafiek naar de website door te laten, en het andere verkeer te blokkeren. Voor zo’n oplossing keren webwinkeliers zich het best tot hun internetserviceprovider of een scrubbingdienst, geeft De Smet mee.

Een succesvolle volumetrische DDoS-aanval kan je vergelijken met een file. Des te meer verbindingsverzoeken er worden gestuurd, des te meer kans op een verstopte verbinding.

Overbelast

Andere DDoS-aanvalstechnieken hebben hetzelfde doel als een volumetrische aanval – je website onbereikbaar maken – maar bereiken dat effect op een andere manier die minder voor de hand ligt. Een nieuwer type aanval baart security-experts zorgen: de application-based DDoS-aanval.

Tot nu toe behoort zo’n aanval tot de minderheid: het aantal wordt geschat op één procent van alle DDoS-aanvallen. In de toekomst wordt echter verwacht dat dat aantal zal stijgen. En dat is geen goed nieuws, volgens De Smet. ‘Een application-based DDoS-aanval is het moeilijkst te detecteren en op te lossen. Ze kunnen zo worden opgesteld dat ze amper te onderscheiden zijn van legitieme aanvragen.’

Een voorbeeld van een application-based DDoS-aanval is een HTTP-flood. Daarbij wordt er niet geprobeerd om website offline te halen door de verbinding te overspoelen met verbindingsverzoeken, maar wordt misbruik gemaakt van de achterliggende ‘resources’ van een server of applicatie. Een HTTP-client, zoals een webbrowser, stuurt verzoeken naar de server of applicatie. In een HTTP-flood-aanval, worden er zoveel intensieve verzoeken gestuurd dat de resources worden opgebruikt, waardoor geen andere requests verwerkt kunnen worden. De Smet verduidelijk met een voorbeeld. ‘Stel bijvoorbeeld dat aanvallers erin slagen om een verzoek naar je website te sturen waarin ze aanvragen om alle beschikbare artikelen op te lijsten. Die aanvraag wordt doorgegeven aan de databank, die de nodige resources aanspreekt om het verzoek te vervullen. Je kan je voorstellen dat dat een intensieve klus is als je webshop over een paar duizendtal items beschikt. Als er dan nog eens meerdere van die requests tegelijkertijd binnenkomen, dan zal de databank alle resources gebruiken om aan die verzoeken te voldoen.’

Het gevolg is dat er geen resources overblijven voor andere aanvragen, bijvoorbeeld ook niet van bezoekers op je website. Zo kan het dat je website niet meer reageert op verzoeken, en dat je klanten tijdelijk niets meer kunnen kopen. De aanval is des te effectiever: met weinig moeite aan de kant van de aanvaller kan een relatief grote website snel plat worden gelegd.

Een mogelijke oplossing zit ’em in het onderzoeken van zulke mogelijk schadelijke requests. Een securitysysteem dat opvallende verzoeken eruit pikt, en analyseert of deze meerwaarde creëren voor klanten, kan zo’n DDoS-aanval voorkomen, besluit De Smet.

Hackers

Het meest tot de verbeelding sprekende online gevaar blijft ongetwijfeld: hackers. Professionele cybercriminelen, scriptkiddies of terroristen, allen zijn ze in staat om bedrijven lam te leggen, door simpelweg de juiste kwetsbaarheden uit te buiten. Het gevaar van hacks is dat ze vaak plaatsvinden zonder dat de website-eigenaar of zijn bezoekers iets doorhebben, zo weet De Smet. Detectie komt vaak nadat de hack heeft plaatsgevonden. Sommige aanvallen kunnen bovendien heel creatief uitdraaien.

‘Bijvoorbeeld kan een ingreep van een hacker ervoor zorgen dat een artikel op je website plots 11 euro kost in plaats van 10 euro, waarbij één euro naar hun rekening wordt gesluisd,’ zegt De Smet. ‘Of het kan dat je website wordt voorzien van een zogenaamde coinminer, waardoor de rekenkracht van computers van je bezoekers wordt gebruikt om cryptovaluta te creëren, iets dat al vaker voorkwam op Magento- en WordPress-websites.’

Meestal opteren hackers echter voor de gemakkelijke optie. Data stelen is eenvoudiger dan het implementeren van ingewikkelde scripts, én kan snel veel geld opbrengen. ‘Gegevens zijn veel waard, vooral als het gaat om bijvoorbeeld betaalgegevens, wat in webshops wel vaker aanwezig is.’

Hackers infiltreren je website meestal door misbruik te maken van kwetsbaarheden of systeemlekken. Een gemiste systeempatch, een besmette mail of simpelweg gekraakt wachtwoord: er zijn veel manieren om een opening te vinden. Eens een hacker toegang heeft, kan hij op zoek gaan naar waardevolle data. Vervolgens wordt die data overgezet en te koop aangeboden op het darkweb, het afgeschermde deel van het internet waar wel meer louche internetpraktijken plaatsvinden.

Data stelen is niet alleen relatief eenvoudig, maar ook lucratief. Beperk de hoeveelheid data die je bewaart, en je beperkt meteen ook het risico op dataverlies.

Preventie

Voorkomen is beter dan genezen, zo stelt De Smet. Aandachtig omspringen met bijlagen in mails, links en wachtwoorden, is een vanzelfsprekendheid, maar ook hun databeleid zou webshops aan het denken moeten zetten. ‘Wat voor data je bewaart, kan je kopzorgen besparen wanneer je toch het slachtoffer wordt van een hack. Probeer de hoeveelheid gegevens die je opslaat te beperken. Zo beperk je ook de impact van een mogelijke hack.’

Hij haalt het voorbeeld aan van kredietkaartgegevens. ‘In België zien we dat steeds meer webshops een betaalmechanisme van een dienstverlener of bank gaan integreren. Dat is slim, want zo worden de betaalgegevens enkel tijdelijk uitgewisseld en wordt de data niet bewaard. Het opslaan van kredietkaartgegevens op de website is daarentegen een extra risico.’

Pas wanneer je met een probleem zit: je wordt gehackt of je website is onbereikbaar. Dan kan je wel de vruchten plukken van een goede beveiliging, en dan is die investering plots wel logisch.

Natuurlijk kan het opslaan van data niet helemaal vermeden worden. Meeste webshops kunnen niet anders dan bepaalde gegevens bij te houden. Denk maar aan e-mailadressen, accountinformatie en woonadressen. Daarom raadt De Smet aan om data ook proactief te beschermen. ‘Encrypteer je gegevens. Zo versleutel je de data in onleesbare vorm. Zelfs wanneer ze gestolen worden, is de kans kleiner dat ze ook gebruikt kunnen worden.’

Toch is security vaak geen prioriteit voor webwinkeliers. Vooral kleinere webshops en start-ups zijn minder geneigd om grote sommen te investeren in degelijke securitymaatregelen. Echt verrassend is dat niet, zegt De Smet. ‘Vaak draait security om een kosten-batenprobleem: je investeert in iets waarvan je niet meteen de voordelen kan rapen. Daardoor is men soms weinig gemotiveerd om geld uit te geven aan online beveiliging. Pas wanneer je met een probleem zit: je wordt gehackt of je website is onbereikbaar. Dan kan je wel de vruchten plukken van een goede beveiliging, en dan is die investering plots wel logisch.’