Nederlanders niet goed beveiligd op internet

Het is ernstig gesteld met de online beveiliging in Nederland. Ondanks dat 83 procent van de Nederlanders een antivirusprogramma op zijn computer heeft geïnstalleerd, is dat slechts een deel van de oplossing van het probleem. Niet meer dan de helft van de Nederlanders kijkt naar de betrouwbaarheid van een website en slechts een kwart heeft voor iedere account of profiel op internet een apart wachtwoord (bron).

Natuurlijk kunnen we bij alle hacks de schuld blijven geven aan de bedrijven en ja, ze mogen, nee, sterker nog: ze moeten daar veel meer aan doen. Maar hebben we zelf, als consument ook niet een beetje schuld? Moeten we niet ook eens naar onszelf kijken en bedachtzaam zijn?

Mochten jouw gegevens via een gehackte site inderdaad uitlekken dan hoef je daar niet echt van wakker te liggen als je op die site een ander profiel hebt aangemaakt. Maar ja, gebruik je overal dezelfde inlognaam en eenzelfde wachtwoord dan wordt het verhaal natuurlijk al anders. Dan ben je inderdaad een stuk vatbaarder.

Ben je dus weer eens online aan het shoppen en moet je ergens een inlognaam en wachtwoord opgeven. Maak dan geen gebruik van de combinatie die je ook bijvoorbeeld gebruikt om bij je emails te kunnen. En voor diegene die het allemaal maar ingewikkeld vinden om voor iedere site een andere inlognaam en wachtwoord te bedenken, die kunnen het natuurlijk ook altijd nog combineren.

Bedenk een inlognaam en wachtwoord voor al die sites waar je wel eens winkelt. Wordt een van die sites gehackt dan beschikken ze inderdaad over die combinatie. En ja, dan kunnen ze misschien nagaan wat je allemaal online gekocht hebt. Maar bij je email kunnen ze niet en bestellen onder jouw naam wordt ook al een stuk lastiger omdat er toch een keer betaald moet worden.

Wat ik alleen maar wil zeggen, is dat we schuld echt niet alleen bij de websites neer kunnen leggen. Wijzelf hebben ook nog een verantwoordelijkheid. Als we die nu eerst eens nemen en daarna met wat wantrouwen het internet opgaan dan zijn we al een stuk veiliger. Wordt een website dan toch gehackt dan hoeven wij er niet echt wakker van te liggen. We hoeven dan alleen onze inlognaam en ons wachtwoord te wijzigen en kunnen weer vrolijk verder winkelen.

Een gewaarschuwd mens telt nog steeds voor twee. Voordat we wijzen naar de ander moeten we voor onszelf de vraag beantwoorden hoe we onszelf veilig houden op internet.

Thuiswinkel.org royeerde vorig jaar 36 leden

De organisatie achter het keurmerk voor webwinkels Thuiswinkel.org heeft in het afgelopen jaar 36 leden geroyeerd omdat zij de veiligheid niet op orde hadden, of bijvoorbeeld niet voldeed aan de wet- en regelgeving. Dat zei directeur Wijnand Jongen maandag desgevraagd…Wanneer websites niet aan de regels voldoen, worden ze in eerste instantie geschorst als lid van het keurmerk. “Als daarna geen verbetering optreedt, volgt royement.”(bron)

Met alle hacks van de afgelopen weken is het goed om te weten dat organisaties als Thuiswinkel.org beveiliging in ieder geval serieus lijken te nemen. Hoewel natuurlijk niet duidelijk is hoe dan aangetoond moet worden dat de website veilig is, proberen ze de eigenaren in ieder geval iets wijs te maken.

Geen veilige website, geen lid meer van Thuiswinkel.org. Jammer maar helaas, dit biedt slechts een beperkte garantie. Want wees eerlijk, check jij altijd of de site waarop je aan het shoppen bent echt is aangesloten bij Thuiswinkel.org? Ja, oké, misschien valt je oog toevallig op het logo maar check je ook op de site van Thuiswinkel.org of de site echt is aangesloten? Er zijn natuurlijk nog genoeg sites die ten onrechte het logo voeren (en ja, gelukkig probeert Thuiswinkel.org daar een stokje voor te steken) en daarnaast zijn er nog andere “waarmerken” die de consument wel vertrouwen moeten geven maar in wezen niet zoveel voorstellen.

We zouden natuurlijk het voorbeeld van Baby-dump.nl aan kunnen halen. Die zijn/waren wel degelijk aangesloten maar toch lekte er behoorlijk wat informatie. Onduidelijk is wat mij betreft dan ook hoe en wanneer de beveiliging getoetst wordt. Dempen we de put als het kalf verdronken is of proberen we ook te voorkomen dat het kalf in die put kan vallen?

Ik kon het niet nalaten en heb op Thuiswinkel.org even de term “beveiliging” ingetoetst. Daarmee werden 407 resultaten gevonden. Kleine kans dat de eigenaar van een website die allemaal heeft gelezen. Natuurlijk zou ik uitgebreid onderzoek kunnen doen naar de eisen die gesteld worden op het gebied van beveiliging, maar dat laat ik graag aan de website eigenaren zelf over. Feit is wel dat ook Thuiswinkel.org bestaat bij de gratie van haar leden. Stellen we de eisen te streng dan hebben we maar weinig leden, laten we de eisen teveel los dan waarmerken we onveilige sites. De waarheid zal dus ergens in het midden liggen.

Voor vandaag sluiten we maar weer eens af met een vraag ter overweging: hoe weet je nu echt zeker dat je website veilig is? Wie het weet mag het zeggen.

Doorsnee website 270 dagen per jaar lek

De gemiddelde website heeft 270 dagen per jaar met een ernstig beveiligingslek te maken, zo blijkt uit onderzoek onder meer dan drieduizend websites. 64% van de geteste websites had met “information leakage” te maken, net iets meer dan cross-site scripting dat voorheen altijd op de eerste plek stond (bron).

Op zich een opmerkelijk bericht, hoewel je bij statistieken natuurlijk altijd de eigenlijke bron moet onderzoeken. Nou, helaas, die bron ga ik in ieder geval niet onderzoeken en we nemen de gegevens maar even voor waar aan.

64% van de websites lekt informatie. Jammer genoeg staat er niet bij om wat voor soort informatie het gaat. Websites zijn juist bedoeld om informatie te verstrekken, maar over die informatie hebben ze het vast niet. Nee, ze zullen het meer hebben over gevoelige informatie. Wat dan gevoelige informatie is, wordt helaas niet duidelijk. Is het bijvoorbeeld mogelijk om het achterliggende besturingssysteem te zien of is het mogelijk om via de betreffende websites op de netwerken van de organisaties te komen. Nogal een verschil lijkt me.

Maar goed, laten we weer even realistisch worden. Stel nu dat we het hier inderdaad hebben over de besturingssystemen, wachtwoorden en andere gegevens van de website. Met andere woorden: de website is inderdaad uit de lucht te gooien of te compromitteren. Dan moeten we ons de vraag stellen hoe ernstig dat voor het merendeel van de bedrijven nu echt is. De website van de bakker om de hoek mag er best een aantal dagen uit liggen, niemand die daar een grote zaak van maakt. Voor bedrijven die veel online verkopen realiseren wordt dat al een heel ander verhaal.

Toch moeten we oppassen met dit soort (en andere soorten) berichten over allerlei lekken en mogelijke beveiligingsincidenten. We moeten wel de koppeling blijven leggen met de ernst van de zaak. Of in andere, meer concrete woorden, hoeveel omzet lopen we mis en hoeveel imagoschade lopen we op?

In veel gevallen zullen we dan zien dat de kosten/baten-analyse helemaal scheef is. Willen we de website inderdaad beter beveiligen dan moeten we kosten maken (want de kennis hebben we zelf vaak niet in huis). Deze kosten wegen niet op tegen het uit de lucht zijn van een website voor een dag.

Hoe leuk en leerzaam dit soort onderzoeken en berichten ook zijn: gebruik je gezond boeren verstand en wees realistisch in wat je als organisatie wilt bereiken. Wellicht (en ik weet het bijna wel zeker) heb je belangrijker zaken aan je hoofd op beveiligingsgebied.

Maar goed, wil je je website toch een beetje veilig houden? Test de website eens en kijk wat de resultaten zijn. Wijzig dan niet meer al teveel aan de structuur en zorg dat patches op tijd worden doorgevoerd. Met een goed en veilig ingericht CMS kun je de content dan gewoon aan blijven passen aan de laatste stand van zaken, zonder dat je echte risico’s loopt. En geloof me, wil een echte hacker je site doelbewust platleggen dan lukt dat toch wel, probeer eerst de scriptkiddies maar eens buiten de deur te houden.

Website voor veilig internetten gehackt

Een website van de Bahreinse telecomwaakhond die veilig internetten moet bevorderen, was gisteren het doelwit van hackers. Aanvallers wisten toegang tot de website safesurf.bh te krijgen en defaceden de pagina, waarop alleen een zwarte achtergrond met een doodshoofd en de tekst “[+] P4TI_hackers was were [+]. Indonesian hacker team” te zien was. Na een aantal uur was het probleem opgelost (bron).

Ai, dat is natuurlijk pijnlijk. Probeer je mensen er juist op te wijzen hoe ze veilig kunnen internetten, wordt je zelf het slachtoffer. Hoge bomen vangen veel wind zullen we maar zeggen. En natuurlijk kunnen we zeggen dat ze de beveiliging dan maar beter op orde hadden moeten hebben, maar is dat wel terecht?

Kan niet iedere website uiteindelijk platgelegd worden? Ik denk het wel. Helaas is het zo dat het voor dit soort sites dan nieuws wordt maar dat wil natuurlijk niet zeggen dat we geen initiatieven moeten nemen om mensen te wijzen op veilig internet. En laten we eerlijk zijn, is het nu echt zo erg als een dergelijke website een paar uur uit de lucht is?

Vergelijk het met de best bewaakte locatie, hoewel mensen daar niet binnen kunnen komen, kunnen we wel de bedrijfsvoering ontregelen. Ze kunnen de muren bekladden en blokkades opwerpen om te voorkomen dat mensen het gebouw kunnen betreden. Ja, dan kun je je beveiliging nog zo goed op orde hebben, maar echt tegenhouden kun je dit soort zaken niet.

Kortom: een beetje lullig is het wel, maar ik vind dat we er nu ook weer niet te zwaar aan moeten tillen. Opnieuw in de lucht brengen en weer vrolijk doordraaien…zal ongetwijfeld nog een keer gebeuren en dat moeten we dan maar accepteren.

Website Stegeman gehackt: zijn beveiliging faalt ook

Onderzoeksjournalist Alberto Stegeman is slachtoffer geworden van hackers. Terwijl hij in zijn televisieprogramma anderen wijst op falende beveiligingssystemen blijkt zijn eigen website ook niet waterdicht (bron).

Ja, wie een kuil graaft voor een ander, hoge bomen vangen veel wind…en zo kunnen we er natuurlijk nog wel meer noemen. Waarschijnlijk had meneer Alberto het te druk met kijken naar anderen…verbeter de wereld…

Op zich ben ik er helemaal niet op tegen als iemand een bedrijf wijst op de beveiligingslekken die hij ontdekt heeft, maar over de middelen die ingezet worden om die fouten te achterhalen kunnen we nog wel een boompje opzetten. Vergeet niet dat als wij, gewone burgers, de beveiliging van allerlei bedrijven gaan testen we in overtreding zijn. En terecht als je het mij vraagt. Ik vind het geen prettige gedachte als iedereen maar aan mijn voordeur rommelt om te kijken of hij op slot zit.

Natuurlijk begrijpen we de media aandacht en de kijkcijfers die men wil proberen te bereiken, maar wees dan een vent en kom met oplossingen (geloof me, dat is een stuk moeilijker dan je denkt). Dat is direct ook mijn grootste bezwaar tegen de manier waarop dit soort presentatoren nieuws willen maken, van alles roepen maar geen oplossingen aandragen.

Alberto geeft zelf de volgende reactie:
Nu weten we dat dit kan gebeuren, daar ben ik hem dankbaar voor. Ik heb niet de illusie dat als de sites van Microsoft en ABN AMRO gehackt kunnen worden, dat bij mij niet zou kunnen gebeuren. Opmerkelijk dat hij zomaar twee namen van gerenommeerde bedrijven noemt. Heeft hij aanwijzingen dat deze sites gehackt zijn?

Voor de duidelijkheid: ik keur het natuurlijk niet goed dat zijn website gehackt is maar ben wel zeer benieuwd wat er nu aan gedaan is om de website beter te beveiligen en wanneer zijn website weer doelwit wordt van een aanval.

Websites overheid onveilig

De websites van de overheid bieden criminelen ruimschoots de gelegenheid zonder problemen (persoons)gegevens van Nederlanders te pakken te krijgen, zo blijkt uit onderzoek van internetbeveiligingsbedrijf Networking4all. In het slechtste geval kan een crimineel de complete identiteit van een persoon overnemen. Met alle vreselijke gevolgen van dien. Gevolgen die veel verder gaan dan alleen creditkaart fraude.

Hoewel dit onderzoek zich specifiek heeft gericht op de zogenaamde SSL-certificaten binnen de overheid is al langer bekend dat websites in veel gevallen vatbaar zijn (bijvoorbeeld voor Cross-site scriptin: XSS). Deze onveiligheden betreffen zeker niet alleen websites van de overheid maar ook van commerciele organisaties (zoals banken, zorgverzekeraars), stichtingen, verenigingen en zorginstellingen. Niet alleen kunnen criminelen zo in het bezit komen van privacy gevoelige gegevens, ze zijn ook in staat om websites van organisaties plat te leggen. Als uw organisatie voor (een deel van) de omzet afhankelijk is van de website is het verstandig te onderzoeken voor welke kwetsbaarheden de website vatbaar is. De voordeur van uw winkel doet u op slot en een alarmsysteem hebben we inmiddels ook allemaal wel, waarom laten we de website dan zo open staan?