1. Elektronické obchody a bezpečnost:
Když vašemu obchodu velí útočník
Daniel Kefer E-business Forum 2009, 6.10.2009
2. Představení
• spol. AEC, s.r.o.:
• významný hráč na poli bezpečnosti od r. 1991
• od r. 2007 člen skupiny Cleverlance
• realizace bezpečnostních projektů především pro bankovní,
telekomunikační a státní organizace
• role nezávislého auditora a konzultanta v oblasti bezpečnosti IT
• Daniel Kefer:
• IT Security Consultant
• v AEC od r. 2005
• garant kompetence bezpečného aplikačního vývoje
• v r. 2009 – vedení studie bezpečnosti elektronických obchodů v
rámci České republiky
3. Důvody uskutečnění studie
• Forrester: 36% klientů neobjednává zboží po Internetu a nevyužívá
služby online kvůli obavám o bezpečnost
• Gartner: 75% útoků je realizováno skrz webové aplikace
• Verizon: identifikace útoků v oblasti maloobchodu trvají v průměru
měsíce, přičemž hacking aplikací je dominantní formou útoku
• Deloitte: sada bezpečnostních doporučení pro elektronické obchody
a jejich klienty
• Něměcko: vzniklé iniciativy pro bezpečné nakupování zahrnující i
bezpečnost aplikací (safer-shopping.de, trustedshops.de)
• PC World a další: elektronické obchody se stávají terčem útočníků
(cílené útoky, nižší úroveň bezpečnosti, finanční motivace)
4. Reálné příklady z poslední doby
• pojišťovna Uniqa – září 2009 - únik osobních dat několika tisíc
klientů
• phishingové maily nabízející levné zboží za účelem krádeže identit
• vánoční sezona 2008:
• průzkum TrendMicro: zločinci se soustředili na internetové
obchody, jejich zneužití k šíření malware (o Vánocích vysoká
návštěvnost -> značné rozšíření škodlivého software)
• průzkum McAfee: útočníci se snažili dostat do elektronických
obchodů a ukrást zde osobní údaje
5. Informace o provedené studii
• realizace duben 2009
• zkoumány významné tuzemské obchody
• neinvazivní způsob – zkoumán omezený
vzorek bezpečnostních mezer zjistitelný
bez aktivit útočného charakteru
• výsledek: u všech aplikací byly nalezeny
zneužitelné chyby, u velké části z nich
velmi závažného charakteru
6. Příklady identifikovaných slabin
SQL Injection
• útočník např. ve vyhledávacím formuláři místo názvu zboží zadá
SQL příkaz
• pokud aplikace zadaný řetězec nejdříve sama nezvaliduje, je předán
databázi
• v databázi je příkaz vykonán
• možnosti vyčtení databáze, neautorizovaných změn, mazání…
• útočník má pod kontrolou celý obchod
7. Příklady identifikovaných slabin
Dostupnost administračního rozhraní e-shopu
• rozhraní pro administrátora či obsluhu obchodu dostupné z vnějšku
• snadno uhodnutelná adresa (např. www.obchod.cz/admin)
• v některých případech umístěna přímo v souboru robots.txt (soubor
určený pro vyhledávače omezující indexaci adres)
• pro útočníka možnost
útoku na přihlašovací údaje
(slovníkový, hrubou silou)
8. Příklady identifikovaných slabin
Možnost automatizace procesů
• důležité procesy (registrace klienta, objednání zboží) nejsou
chráněny před strojovým zpracováním
• útočník může sestavit jednoduchý skript, pomocí něj vygenerovat
během chvíle tisíce falešných zákazníků a objednávek
• riziko značných finančních ztrát (objednání a zaslání nedoručitelného
zboží), odepření služby legitimním zákazníkům
10. Efektivní zjištění stavu bezpečnosti
P en
etr
ačn
í tes
ty t
u di
A
• možností vnějšího útočníka?
• reakce na vnější útok?
• možnosti útoku zevnitř?
11. Možnosti obrany
V případě plánovaného vývoje/dodávky nové aplikace:
• definice bezpečnostních požadavků v souladu s aktuálními trendy
• začlenění bezpečnosti do analýzy a designu aplikace
• důraz na podporu bezpečného provozu požadovaných funkcionalit,
nikoli na jejich omezení
• smluvní zodpovědnost za bezpečnostní aspekty aplikace na straně
dodavatele
„Prevence v oblasti bezpečnosti je v průměru 100x levnější,
než nutnost opravy chyb nalezených již v hotové aplikaci“