Safeshops?Hoe bescherm ik mijn webshop tegen cybercrime?

26 januari 2017Greet Dekocker ( greet@safeshops.be)

Jan Guldentops ( j@ba.be )

Wie ben ik ?

Jan Guldentops (1973) Dit jaar bouw ik 19 jaar server en netwerk

infrastructuren Oprichter Better Access (1996) en BA (2003) Open Source Fundamentalist (na mijn uren) Sterke praktische achtergrond op het vlak van ICT

beveiliging Ben toevalling terechtgekomen in de securitywereld

Documenteerde in 1996 de securityproblemen in de eerste Belgische internetbank ( Beroepskrediet / Belgium Offline)

Plotseling ben je security expert R&D (vooral security)

Samengevat:

COMMON SENSE AS A SERVICE

(CAAS)

Wat is security ?

l CIA ! l

Moeilijk evenwicht

l

l

l

Moeilijke (soms onmogelijke) balans tussen : veiligheid functionaliteit Gebruikersgemak Budget

Waarom aandacht besteden aan informatieveiligheid ?

l

l Eigenbelangl E-commerce draait

om vertrouwenl Reputatieverlies l Inkomensverlies

- Onbeschikbaarheid

Waarom aandacht besteden aan informatieveiligheid?

l

l Omdat het moet !l Nieuwe EU privacy

webgeving : l Van kracht sinds mei

2016 l Afdwingbaar in mei

2018 ! (-> 1,5 jaar)l Wet met tanden !

- Boeteclausules( 4% turnover tot 20.000.000)

- Meldingsplicht binnen 72 uur!

Zijn de webshops er klaar voor?

l We hebben een klein demografisch onderzoek gedaan. l 406 belangrijkste Belgische webshopsl Passief getest op het niveau van hun security

- Geen actieve aanvallenl Kan niet zonder toestemming !

l We noemen geen namen, enkel statistieken - Dit is geen schandpaal maar een wakeupcall

l Sneak preview van de resultaten op basis van de ons inziens meest voorkomende problemen

1. HTTPS / Encryptie

l

l Wat is https en SSL ?l Manier om communicatie tussen de gebruiker en de

webserver volledig met versleuteling te beveiligen zodoende dat er niemand kan meeluisteren.

l Uitermate belangrijk !l

l

Caveats HTTPS

l Gebruik zoveel mogelijk https ! l Eigenlijk liefst altijd ! l Enige http op je website = redirectie naar httpsl Je google score gaat omhoog gaan

l Gebruik altijd officile certificaten van een betrouwbare Certificate Authority !

l Bewaar deze certificaten veilig !

Hoe scoren de webshops ?

Gebruik van HTTPS

HTTPS (44.58%)

Geen HTTPS (20.20%)

Fout Certificaat (35.22%)

Hoe scoren de webshops ?

Kwaliteit HTTPS-setup

A+ (7.19%)

A (48.62%)

A- (7.73%)

B (17.13%)

C (7.18%)

F (12.15%)

Zelf testen ?

2. Phising

l Makkelijkste manier om beveiliging te omzeilen l Twee types :

l Trawler net phising - e.g. de mail die u als man krijgt van schares aan

exotische schones(m/v)die gewoon weten dat u de m/v van hun leven bent

l Spear phising - Beperkt, op uw maat gemaakt

l Moeilijk om tegen te gaan maar : l Implementeer Sender Policy Frameworkl Zorg voor consequente communicatie (

emailadressen, stijl, etc.)l Sensibiliseer / informeer uw klantenl

Hoe scoren de webshops ?

Antiphising: SPF

SPF (70.44%)

Geen SPF-record (29.46%)

3. Goed systeembeheer

l Alle software heeft bugs!

l Dus: er moeten structureel en snel updates gedaan worden!

l Zwakste schakell Bv. Dirty Cow

Hoe scoren de webshops ?

Software-updates: PHP

PHP 7 (3.23%)

PHP < 5.6 (69.75%)

PHP 5.6 (27.02%)

4. Gebrek aan continuiteit

l Uw shop is belangrijk voor uw bedrijf ! l Zorg ervoor dat u hierrond degelijke afspraken

hebt ! l Spreek SLAs af, ook rond veiligheid

l Zorg ook dat je altijd zelf je data in handen hebt !

l Opgepast voor Denial-of-Service aanvallen

Giet alles in afspraken !

l Maak duidelijke afspraken met de leverancier rond : l Beschikbaarheidl RTO/RPO l Monitoring / Rapporteringl Veiligheidsniveau l Updates & ander goed systeembeheer

l Security by design l Ontwikkelaar moet secure ontwikkelen !

l Maak een plan : l Security is belangrijk vanaf dag n ! l Volg alles op volgens de structuren van PDCA !l Plan for the worst

PDCA

Thank YouContact us

016/29.80.45

016/29.80.46

www.ba.be / Twitter: batweets

Remy TorenVaartdijk 3/501B-3018 Wijgmaal

info@ba.be

Twitter: JanGuldentops

http://be.linkedin.com/in/janguldentops/