SSL op uw website? U bent nog niet veilig!

Posted on 02/09/2010 by Chris Horeweg

Op de zoekterm “website beveiliging” komen we een aantal websites tegen die SSL-certificaten verkopen. SSL staat voor Secure Socket Layer, en kort gezegd betekend dit dat de verbinding vanaf uw computer naar de website beveiligd is.

Veel mensen gaan er dus vanuit dat zodra een website een https verbinding heeft, de website ook echt veilig is. Het tegendeel is echter waar. Als de website een beveiligingslek heeft, kan deze alsnog worden uitgebuit. XSS-injecties zijn nog steeds mogelijk, en men komt er pas later achter dat de verbinding niet volledig veilig is. Ook wanneer er een SQL-injectie wordt gevonden, is het nog steeds mogelijk om data te stelen.

Bent u de eigenaar van een website? Maakt u gebruik van een veilige verbinding? Zorg er dan voor dat uw website zelf ook veilig is! SiteSafe kan u daarbij helpen. Lees verder op www.sitesafe.nl!

Posted in Security | Comments Off

SiteSafe heeft een nieuwe website!

Posted on 02/09/2010 by Chris Horeweg

Deze week heeft SiteSafe een nieuwe website gekregen! Bekijk snel onze nieuwe website.

Posted in Algemeen, updates | Comments Off

SiteSafe Hosting gelanceerd!

Posted on 30/08/2010 by Chris Horeweg

Vorige week is de nieuwe website van SiteSafe Hosting gelanceerd. Staat het pakket naar uw wensen er niet bij? Schroom dan niet om even contact met ons op te nemen!

Posted in Algemeen, Hosting, updates | Comments Off

Is XSS gevaarlijk?

Posted on 15/07/2010 by Chris Horeweg

Al een aantal jaar is er een discussie gaande of XSS (Cross Site Scripting) wel of niet gevaarlijk is. Daarom onze vraag, is XSS gevaarlijk?

Webwereld plaatste vorig jaar een artikel waarin staat dat de meeste XSS lekken vaak ongevaarlijk zijn. Het is een interview met Eddy Willems, beveiligingsexpert bij Kaspersky. Hij zegt:

“De ernst van het lek wordt soms uit zijn verband wordt gerukt”, zegt Willems. Volgens hem is de mogelijkheid voor het uitvoeren van een xss-aanval nog niet wil zeggen dat er sprake is van een heel groot gevaar. “Dat is compleet misplaatst.” Volgens Willems toont de mogelijkheid wel aan dat er “een gaatje” is. “Maar dat gaatje is niet altijd de doorgang tot de grote database of tot het misbruiken van bepaalde gegevens die op de site staan. Soms denk ik: ocharm jongens, waar maken we ons hier eigenlijk druk over?”

Sinds januari 2010 hebben wij op zo’n 100 websites XSS-injecties gevonden. De reactie van Willems is dan ook onzin in onze ogen. Vooral de laatste zin vinden wij zeer misleidend.

Het hele doel van een XSS-injectie is het misleiden van een gebruiker. Een simpel voorbeeld:

Bedrijf Water heeft een website. Binnen de website zit een administratie-paneel, waarin medewerkers van het bedrijf orders kunnen plaatsen. Dit zit in een afgesloten gedeelte, om hierop te komen moet iemand zijn ingelogd. Op de website van het bedrijf staat ook informatie voor klanten/bezoekers. Om het bezoekers makkelijk te maken heeft het bedrijf ervoor gekozen om een zoekmachine in te bouwen, zodat bezoekers snel iets op kunnen zoeken.
Binnen deze zoekmachine zit de mogelijkheid tot een XSS-injectie. Hacker Phate heeft de mogelijkheid tot deze XSS-injectie gevonden en heeft een e-mail adres te pakken van een van de medewerkers van het bedrijf. Hij stuurt de medewerker een mail met daarin een URL, en met de vraag of de medewerker hier even naar kan kijken. Omdat de URL precies eruit ziet als hun eigen domein, klikt ze hier op. Er wordt gevraagd om in te loggen. De medewerker kijkt naar de URL en ziet hun eigen domein erin staan. De medewerker vertrouwd dit, en logt in met zijn gegevens. De hacker krijgt 5 seconden later een e-mail, met daarin de zojuist ingevulde gegevens. De medewerker krijgt de melding dat het inloggen is mislukt, en of hij nog een keer wilt inloggen. Hij wordt doorgestuurd naar het eigenlijke systeem, logt in, en vergeet het hele voorval. De hacker kan nu ook inloggen, en download alle klant-gegevens van het bedrijf. Vervolgens chanteert hij het bedrijf, en moet het bedrijf hem een paar ton betalen, voordat de gegevens worden verkocht op de zwarte markt….

In de praktijk komt bovenstaande situatie niet dagelijks voor. Toch kan het voorkomen, al dan niet in een kleinere vorm. Laatst kwam er een brief naar buiten van het Erasmus MC, waarin staat dat 10% van de werknemers (een kleine 1450 man) in een phishing mail was getrapt. Wat als de mail dusdanig was opgezet, dat het met een écht domein was en niet met een nep domein? Hoeveel procent zou er dan in hebben getrapt?

Ons antwoord op de vraag “Is XSS gevaarlijk” is een volmondig ja!

Het is mogelijk om te reageren op deze post. Houd het netjes ;-)

Posted in Security | Tagged , , , , | Leave a comment

Website beveiliging concurrentie

Posted on 30/06/2010 by Chris Horeweg

SiteSafe klimt gestaag hoger in de resultaten. Het heeft even moeten duren, mede dankzij de opzet van de website, maar het resultaat is daar. We hebben geen enkele keer gebruik gemaakt van Adwords of Adsense, en we zijn ook niet (heel) actief om op andere websites onze diensten te promoten.

Wat nog steeds erg leuk is, is het bekijken van concurrenten. Ik wil geen kwaad spreken van enkele van onze concurrenten, maar de sites die zij hebben bekeken zijn nog steeds hack-gevoelig. Misschien dat we ze toch even een mailtje versturen…

Posted in Algemeen, Security | Tagged , , | Comments Off

Nederlands WK LIVE bekijken vanuit het buitenland via NOS!

Posted on 28/06/2010 by Chris Horeweg

Onlangs is er ophef geweest over het feit dat de NOS de kanalen dicht houdt voor Nederlanders die in het buitenland wonen. Door op basis van IP te kijken waar een gebruiker vandaan komt, kunnenn ze niet via de live stream van de NOS naar de wedstrijden kijken.

Bij toeval kwamen wij erachter dat de website van het NOS de IP-adressen van zijn bezoekers bekijkt. Komt deze in de regio van Nederland, dan krijgt de bezoeker de live-stream te zien en anders niet. FireFox heeft een prachtige add-on genaamd “X-Forwarded-For Spoofer“, waardoor oude systemen kunnen worden omzeild. Door een “nederlands” IP mee te geven (bijvoorbeeld “83.160.70.100″) kun je dus alsnog de stream bekijken!

Posted in Security | Tagged , | Leave a comment

SiteSafe Hosting, een kleine update!

Posted on 25/06/2010 by Chris Horeweg

Achter de schermen zijn we druk bezig met de nieuwe website van SiteSafe hosting. Ons logo wordt op dit moment gefinetuned, de layout krijgt de laatste wijzigingen en onze tekstschrijver is druk bezig met het schrijven van de teksten. De komende dagen wordt het voornamelijk de tekst in de website toevoegen. Het wordt een relatief kleine website, maar met de juiste informatie. Daarna rustig aan beginnen met ons SEO-netwerk, waardoor we meer bezoekers vanuit Google willen gaan ontvangen.

We gaan natuurlijk ook een leuke starters-actie houden! We zijn er nog niet helemaal uit, maar we houden je zeker op de hoogte!

 
 
SiteSafe Hosting gaat vanaf eind juli van start. Voor vragen kunt u contact opnemen met info@sitesafe.nl, of even kijken op de website. SiteSafe Hosting biedt hosting aan voor particulieren, bedrijven en organisaties tegen een betaalbaar tarief. In tegenstelling tot sommige andere bedrijven, doen wij er alles aan om u een zo veilig mogelijke omgeving te bieden. We helpen u graag met het overzetten van uw oude website. Ook nemen wij graag de vraag “Is mijn website veilig?” weg, door uw website na te lopen op beveiligingsrisico’s tegen een gunstig tarief.

Posted in Algemeen, Hosting, updates | Comments Off

1 Wachtwoord voor alle websites?

Posted on 05/05/2010 by Chris Horeweg

Veel gebruikers gebruiken slechts één wachtwoord voor al hun websites. Het nadeel is bekend, krijgt een hacker jouw wachtwoord in z’n handen, kan hij overal op inloggen. Dit gaat verder dan slechts op een e-mail adres inloggen, want vergeet niet wat er allemaal in jouw inbox staat! Al je websites, en misschien staat er wel informatie in over jouw bank!

Het is daarom aan te raden om je wachtwoord ieder half jaar te wijzigen, maximaal voor 3 websites te gebruiken en een moeilijk wachtwoord te gebruiken. Om je daarbij te helpen, kun je hier een wachtwoord genereren!

Posted in Security | Tagged , , | Comments Off

U denkt veilig te zijn met Google’s Chrome?

Posted on 14/04/2010 by Chris Horeweg

Google Chrome, een tijdje geleden flink onder de aandacht gebracht in onder andere het openbaar vervoer, en al langere tijd op het internet, wordt steeds populairder.

Ondanks dat Chrome een aantal positieve dingen heeft (als een website vastloopt, loopt niet de hele browser vast), is het wél gevoelig voor hele oude phishing-aanvallen.

Als voorbeeld nemen we: http://hyves.nl/

Als u Firefox of een andere internet browser dan Chrome heeft, zal bovenstaande URL naar Hyves.nl gaan. Gebruikt u echter Chrome, zult op de website van SiteSafe komen…

Posted in Security | Tagged , | Comments Off

Apache.org gehackt door simpele XSS-aanval

Posted on 14/04/2010 by Chris Horeweg

Hackers zijn er in geslaagd om de website van The Apache Software Foundation te hacken, door gebruik te maken van een “simpele” Cross Site Scripting (XSS)-aanval.

Dit meldde de Apache Infrastructure team op zijn blog. Apache, ontwikkelaar van onder andere webservers, werd gehacked doordat er in hun “issue tracker” (software waar developers en gebruikers fouten kunnen verzamelen op één centrale plek) een XSS-injectie mogelijk was. Door gebruik te maken van de dienst TinyURL.com, welke lange URL’s omzet naar kleine, kon niet direct worden gezien dat het in dit geval ging om een XSS-injectie. De XSS-injectie zorgde ervoor dat bepaalde gegevens konden worden gestolen.

Enkele beheerders van de website Apache.org kwamen ook langs om de issue tracker, waardoor de hackers toegang kregen tot het systeem. Op het systeem draaiden ze vervolgens wachtwoord-loggers. Hierdoor konden de hackers uiteindelijk volledige toegang (root-access) krijgen op de server en waardoor ze wachtwoorden van duizenden gebruikers konden stelen. Uiteindelijk kregen de hackers toegang tot een tweede server van Apache.

Zo ziet u, software van derden kunnen niet altijd worden beschouwd als veilig!

Posted in Security | Tagged , , | Comments Off