DeltaISIS logo
Kabelstraat 1
1322 AD Almere
t 036 5241 111
f 036 5241 110
info@deltaisis.nl
DeltaISIS
Missie Portfolio Bijzondere Expertise Partnerships De naam DeltaISIS Historie
Implementatie Services
Gestructureerd testen Auditing Implementatie Begeleiding Pakketselectie Procesmanagement
Infrastructuur Services
IT-Beheer Ontwerp Netwerken Security Scan Software as a service (S.A.A.S) Skilled Servicedesk ITSC Support
 SBC & Virtualisatie
Eigen oplossingen Expertise met Virtualisatie DVS DVS4SBC
Werken Bij
Hoogvlieger in de ICT gezocht! Accountmanager Evenwichtskunstenaar met ICT-achtergrond Systeembeheerders / Netwerkbeheerders met virtualisatie bloed! Projectleider Tester Sollicitatieformulier
Publicaties
Algemeen
De overheid koopt vanaf 2010 duurzaam in
Crisis
MVO tijdens de economische crisis
Security
Geldklopperij? Invoering EPD na kraak uitgesteld [ZDNET] Kraak EPD-pas kost Rijk miljoenen euro's [NRC] Mijn wachtwoord! Security beleid Security door je netwerkapparatuur Website hacking
Virtualisatie
De relativiteitstheorie van virtualisatie Gebruikers zijn lastige wezens...! Technologie ontwikkelt zich te snel door Valkuil: Verstandsvirtualisatie Valkuil: Rendementsvirtualisatie Valkuil: "Goedemorgen, met Edwin..." Valkuil: Gezond verstand en echt rendement Volgende generatie SBC, VDI en cloud computing
Geldklopperij?

Auteur: E. Westhovens


Security is een belangrijk issue. Het dient de aanbeveling om altijd een oog in het zeil te houden als het gaat om beveiliging. En helaas kost goede beveiliging een aardige hoeveelheid geld. Als er dan ook nog eens artikelen verschijnen als ‘Webshops besmetten bezoekers met virus’, waarin staat dat een kleine middenstander met een webwinkel duizenden pc’s smet, dan wrijf je toch met je handen in het haar. 

In het artikel worden drie gerenommeerde virusbestrijders geciteerd. Alle drie zijn overigens voor mij totaal onbekende virusbestrijders. En om de verwarring helemaal compleet te maken, ‘vergeet’ men ook nog te melden om welke software of technologie het hier gaat. Laat ik dan maar proberen een stukje van de sluier te lichten voordat straks iedere hardwerkende internetmiddenstander op de fles gaat. De drie ‘gerenommeerde’ virusbestrijders zijn, in mijn ogen, onbekende namen die snel de pers wilden halen (met succes). Mijn vraag is: Waar blijven de echt grote virusbestrijders, zoals Trend Micro, Symantec, Norton en McAfee? Waar blijft hun waarschuwing? Zij waarschuwen niet. Er wordt hier namelijk gewaarschuwd voor een gevaarlijk stukje code. Een code die na drie jaar opeens van de plank is gehaald en nota bene door een Nederlander is geschreven. 

De code waar het om gaat kan in tal van media worden geplakt (mpeg, avi, maar ook foto’s, buttons, animated gifs, etc.). De betreffende media wordt vervolgens op een website geplaatst en het enige wat de code dan doet is niets anders dan het IP-adres van de persoon die het item bekijkt opslaan en het achterhaalt op de pc van diezelfde gebruiker welke ander items hij/zij heeft bekeken. Ik vind dit zelf een kwalijke zaak en een inbreuk op de privacy, maar daar wil ik het in dit artikel niet over hebben.

Deze code is van een generatie semi-intelligente software. Het achterhaalt interesses van personen en verwerkt deze. Google doet al ettelijke jaren hetzelfde en daar hoor je niemand over. Maar nu word deze code opeens in webwinkels gebruikt, klein en groot. Zelfs bij een site als Ebay wordt het gebruikt, ga maar na: 

  1. Ga naar www.ebay.nl. Klik zoeken en zoek op stores (winkels);
  2. Geef een store (winkel) naam in;
  3. Klik vervolgens op de store naam om te kijken naar de aangeboden zaken. Een goede virus detector vind meteen een exploit.

Is Ebay een van de besmette webwinkels? Het antwoord is niet eenduidig: ja en nee. Ja, de code staat er (gedeeltelijk) op. Nee, want het is geen besmetting, maar een bewuste keuze. 

Uitgesplitst in technologie kun je eigenlijk twee soorten dynamische websites onderscheiden, te weten PHP en ASP. Er zijn wel meer technologieën, maar die zijn dermate statisch dat de exploit daar niet goed te plaatsen is. Zowel op ASP als op PHP kun je zeer intelligente scripts plaatsen. Klik je op de button nu kopen dan krijg je de vraag weet u dit zeker? Bij het antwoord Ja, kan het al goed fout gaan. Maar waarom zou een webshop dit nu doen? Zodra het uitlekt is je webwinkel ten einde en kun je opnieuw beginnen! 

Wat doet de code nu eigenlijk precies? De code probeert nu geen IP-adres op te slaan, maar probeert SQL-injecties te doen. Om deze injecties te doen wil het toegang hebben tot een specifiek bestand wat aangeroepen wordt om iets in de database te schrijven. Koopt iemand een item op je website, dan zorgt dat bestand ervoor dat je aankoop in de database komt en het item word dan afgeboekt op de voorraad. Om dit te doen is er in de code een regel weggeschreven die toegang geeft tot het gedeeltelijk beschermd bestand. Dit bestand is echter alleen te vinden op Microsoft SQL servers. Héy! Dus als ik Oracle of MySQL gebruik werkt het al niet?Inderdaad. Het werkt niet op MySQL en Oracle databases. Blijven dus alleen de Microsoft SQL servers over.

Minder dan 4 procent van alle webservers is daadwerkelijk een Microsoft server. Een nog kleiner aantal wordt daadwerkelijk gebruikt als webwinkel. Het betreft hier alleen de zogenaamde ASP webwinkels. En deze worden nagenoeg alleen gebruikt door de grote jongens. Veel grote webwinkels zoals Wehkamp, Neckermann, Otto en nog veel meer gebruiken deze software. De kleine internetondernemer gebruikt nagenoeg alleen ASP, CGI en PHP met daarachter een MySQL database. De reden is heel simpel. MySQL kost niets en is heel eenvoudig te leren, terwijl Microsoft SQL toch wel erg duur is en behoorlijk complex. 

De kleine internetwinkel heeft nu wel last van de boodschappen in de media. Terwijl de gemiddelde Nederlander de grote jongens met veel marketinggeld wel vertrouwd en blijft vertrouwen, ondanks het feit dat de berichtgeving eigenlijk op hun slaat en zij dus diegene  zijn waar het lek zit. 

Er zijn diverse tools te verkrijgen om te testen of je site wel of niet vatbaar is. Ik ben nieuwsgierig welke van de eerdere genoemde ‘gerenommeerde’ bedrijven, die de media hebben gewaarschuwd, deze tool commercieel gaat aanbieden. Onder het mom ‘Laat je site testen en plaatst onze button’. ‘Getest en veilig bevonden door ???’. Vul maar in. Eerst stellen ze met stemmingmakende persberichten de kleine internetondernemer in een kwaad daglicht en vervolgens proberen ze hem ook nog geld uit de zak te kloppen. Laat je site testen en plaats onze button. Getest en veilig bevonden door: Vul de naam zelf maar in. Eerst stellen ze de kleine ondernemer in een kwaad daglicht, en daarna proberen ze hem ook nog wat geld uit de zak te kloppen.