We adviseren je vaak om geen onbetrouwbare websites te bezoeken. Dat zijn bijvoorbeeld obscure websites waar je van alles kunt downloaden, websites met ‘inhoud voor volwassenen’ etc. Maar ook websites waar er in principe geen risico’s zijn, bijvoorbeeld van bedrijven of uitgevers, kunnen soms risico’s inhouden.
Om één en ander uit te leggen, moeten we je eerst een klein stukje technologie meegeven: over hoe websites werken.
Een website wordt geherbergd op een zogeheten server. Dat is een speciale computer die meestal is geïnstalleerd in een datacenter: een plaats waar veel bedrijven hun sites kunnen ‘hosten’. Soms is die server in het bedrijf zelf aanwezig en druk bezochte websites zijn meestal over verschillende servers verspreid. Die sterk beveiligde servers zijn uiteraard met Internet verbonden, anders kon je de sites er op niet bezoeken.
Websites maken ook gebruik van een webserver-software, zeg maar een soort ‘besturingssysteem’ waarop de website draait. Een voorbeeld is Microsoft zijn IIS of Internet Information Services. Sommige websites gebruiken een contenbeheersysteem, dat is een programma waarmee vrij snel websites kunnen opgezet en beheerd worden.
Noteer op het vlak van websitesoftware verder dat de meeste websites vandaag databankgestuurd zijn, dat wil zeggen dat de gegevens in een databank zitten en, als de bezoeker ze opvraagt (bijvoorbeeld een nieuwsbericht of een productbeschrijving), ze uit die databank worden gehaald. Ook die databanken, zoals MySQL en SQL Server om er maar twee te noemen, zijn dus met Internet verbonden.
En tot slot dit: de webpagina’s die gemaakt worden om gegevens uit een databank te halen zijn geschreven in een zekere ‘taal’. Zo heb je misschien al gemerkt dat er in een naam van een webpagina extensies staan als .asp, .cfm, .php en zo voort.
Wat moet je daar nu allemaal uit onthouden? Eigenlijk vrij weinig behalve dit: websites zijn verbonden met Internet en gebruiken allerhande programma’s, programmatalen en ook scripts (die we hier niet bespreken). En wat dat betekent dat? Juist: dat elke website in principe te kraken is door wie daar de motivatie en kennis voor heeft.
Het gebeurt dus wel eens dat betrouwbare websites worden gekraakt door hackers, zeker als er in de programmatie van de site bepaalde fouten zitten (we zullen het niet hebben over complexe dingen als ‘SQL injection’ bijvoorbeeld maar weet dat het soms niet zo moeilijk is om gegevens toe te voegen aan een databank van een website of in andere toepassingen of plaatsen zoals via embedded Flash of Javascript etc.).
Hackers kunnen bedrijfswebsites kraken om verschillende redenen. Een daarvan is het stelen van klantgegevens. Of soms vervangen ze de thuispagina van een site door een boodschap dat de site gekraakt is.
Drive-by-downloadaanvallen
Maar heel vaak wordt er op websites ingebroken om malware te installeren die zo potentieel de computers van alle bezoekers van die site kunnen besmetten (als je niet zelf afdoende beschermd bent). Zo zou een hacker bijvoorbeeld automatisch kleine stukjes code kunnen toevoegen aan alle in een databank opgeslagen teksten van een site. Voor de bezoeker is dat vaak ongemerkt en vaak zelfs voor de websitebeheerders.
Zulke dingen gebeuren vaker dan je denkt en het is soms pas als een beveiligingsbedrijf er de mensen van een website op attent maakt, meestal in stilte, dat er iets aan gebeurt. Als het publiek wordt is dat natuurlijk slecht voor de reputatie van de uitbaters van de site.
Nu heb je als surfer wel een aantal hulpmiddelen om te zien of een betrouwbare website eventueel zulke kwaadaardige code bevat. De laatste versies van Microsoft Internet Explorer en ook de zoekmotor van Google analyseren of websites malware bevatten en geven dan een waarschuwing, vaak blokkeren ze ook de toegang tot de site.
Erger is dat sommige webmasters op de hoogte zijn dat hun sites besmet zijn met malware maar er niet snel iets aan doen. Dat blijkt uit een recent onderzoek van securitybedrijf G Data.
Die houding zorgt er voor dat aanvallen waarbij betrouwbare websites worden besmet, in het vakjargon ‘drive-by-downloadaanvallen’, zo populair zijn geworden dat ze zelfs e-mail hebben vervangen als de meest populaire vorm van verspreiding van malware!
G Data stuurde waarschuwingen naar webmasters van gekaapte sites en wou eens weten hoe snel ze reageerden op de meldingen. Na zeven dagen bleek dat maar 55 op 100 gewaarschuwde webmasters de malware had verwijderd. 20 van hen hadden meer dan drie weken nodig en 5 deden helemaal niets.
Cijfers en tips
Verschillende securitybedrijven sturen zulke meldingen naar webmasters om voor de hand liggende redenen.
Ook Google heeft trouwens heel recent in het kader van zijn Webmaster Tools, zoals de naam al zegt een resem hulpmiddelen voor webmasters, een dienst gelanceerd waarbij webmasters een e-mail krijgen als er malware op hun site wordt gevonden zodat ze kunnen reageren. Die pagina's worden gemarkeerd in de zoekresultaten van Google met een waarschuwing zoals dat al langer het geval was.
Uit een recent MessageLabs Intelligence rapport van Symantec blijkt dat er in september per dag 2337 nieuwe websites werden ontdekt die malware en andere potentieel ongewenste programma’s zoals spyware en adware herbergen. En dan moet je weten dat dit een daling met 33,4% was tegenover augustus.
In elk geval, de conclusie van dit alles voor jou: installeer best altijd de laatste en meest uitgebreide versie van het computerbeveiligingspakket dat je kiest, ook als je enkel betrouwbare sites bezoekt.
Reacties