Keurmerken voor webwinkels zijn vaak zo lek zijn als een mandje. De vele veiligheidsgaranties voor online shoppen blijken niet tegen aanvallen bestand.



Is deze webwinkel veilig om inkopen te doen? De consument die voor deze vraag staat, moet in de eerste plaats weten of de exploitant van de site zelf betrouwbaar is. In Nederland bestaat daarvoor bijvoorbeeld het keurmerk van Thuiswinkel.org. Maar een nette winkelier garandeert nog niet dat de site zelf veilig is.

Elke webwinkel doet financiële transacties en slaat daarover gegevens op, en natuurlijk ook persoonlijke gegevens van klanten. Kan een onverlaat meeluisteren, transacties onderscheppen of gegevens stelen? Er zijn ook keurmerken die zeggen deze vorm van veiligheid te bewaken. Deze dragen de merken van oudgedienden als Norton en McAfee, maar ook pretentieuze namen als HackerProof, TrustGuard, WebsiteProtection en BeyondSecurity. Websites betalen jaarlijkse bedragen tussen de 84 (WebsiteProtection) en 2388 (TinfoilSecurity) dollar om zo’n keurmerk te mogen voeren. Periodiek onderzoek van de betreffende site hoort daarbij. Doorstaat de site zo’n meestal automatische test, dan mag het vertrouwenwekkende logo van zo’n keurmerk weer een bepaalde tijd worden gevoerd.

Onderzoekers van de Katholieke Universiet Leuven zochten samen met de Amerikaanse Stony Brook University uit waarop de goedkeuringsstempels van deze keurmerken precies zijn gebaseerd. De uitkomsten zijn niet geruststellend.

Het onderzoek kende drie componenten. In de eerste plaats zijn de onderzoekers van buitenaf websites die waren goedgekeurd door een of meer van de genoemde diensten, gaan bekijken en aanvallen. Negen sites werden acht uur lang op de pijnbank gelegd, niet door een automaat, maar door een denkend mens. Een van de aanvallen was een SQL-injectie, een techniek waarmee een aanvaller informatie kan ophalen uit de database van een website en ook de informatie in de database kan veranderen. Zeven van de geteste sites bleken diverse kwetsbaarheden te hebben.

In een tweede onderdeel maakten de Leuvenaren zelf een nepwebwinkel. Op deze site installeerden ze malafide software (malware) en ze zorgden dat een aantal lekken aanwezig was. Vervolgens vroegen ze bij alle onderzochte diensten een keurmerk aan. Bij twee daarvan lukte dit niet, omdat deze een bewijs vroegen dat hier sprake was van een serieus bedrijf. De overige acht testten de webwinkel. Twee keurmerken vonden helemaal geen problemen; de overige zes vonden minder dan de helft van de problemen. In hun verslag verbazen de onderzoekers zich erover dat veel keurmerken de malware niet vonden, terwijl deze voorkomt in de openbare virusbibliotheek Virus Total.
 
Het derde onderdeel van het onderzoek betrof een aanval die gebruikmaakt van een eigenschap van de keurmerklogo’s zelf en waarmee de keurmerken de beveiliging van de winkels dus juist verzwakken. Wanneer een goedgekeurde site zakt voor een periodieke test, wordt het logo niet verwijderd van de site, maar onzichtbaar gemaakt. Het wordt dan doorzichtig of microscopisch klein, zodat de bezoeker het niet meer ziet. Maar in de code van de site is het logo er nog. Het onderzoeksteam hield twee maanden lang achtduizend sites in de gaten en ontdekte honderden gevallen waarin het logo onzichtbaar aanwezig was.

Voor een cybercrimineel is dat een prachtig alarmsignaal: hier is een site waar mogelijk een lek is vastgesteld – ofwel een prachtig doel om een aanval op los te laten. Aangezien zulke aanvallen tijd en computerkracht (en dus ook geld) kosten, is het een feest voor de cybermaffia als een keurmerk een kansrijke selectie op een presenteerblaadje aanbiedt. De enige manier waarop keurmerken dit kunnen verbeteren, aldus het verslag, is door beheerders een redelijke tijd te gunnen een ontdekt lek te repareren voordat het logo wordt uitgeschakeld.

Al met al kunnen keurmerken voor webwinkels toch renderen, namelijk als ze de indruk van betrouwbaarheid wekken en zo consumenten aantrekken. Maar die consumenten krijgen volgens dit Amerikaans-Belgische onderzoek op dit moment slechts de illusie van veiligheid.(Herbert Blankesteijn)