Miről is beszélünk, amikor web specifius it biztonságról beszélünk? Nyílván nem a szokásos buffer overflow és társai kerülnek előtérbe. Ilyen mélyszintű hackelésnél sokkal kézenfoghatóbb problémákkal találkozunk webes környezetben. A jolyjoker és a téma kapcsán mindig emlegetett dolgok (cross-site-scripting, sql injection, DoS) mellett vannak sokkal egyszerűbb, sima terezési hibából adódó rések egy rendszeren.
Webáruház példa
Hazánkban is egyre elfogadotabb a netes vásárlás. A régi parfüm, könyv, alkatrész webáruházak mellett megjelentek a napi szükségeleteket kielégítő termékeket kínáló webshopok is, melyek biztonságával kevésbé foglalkoznak. Egy nagyon jól felépített és biztonságos bankkártyás fizetést is lehet rosszul implementálni. Hiába a pénzintézet minden igyekezete a webfejlesztők 98%-a nem jártas az információs rendszerek biztonsági protokolljaiban, biztonsági megoldásaiban. Nézzünk egy példát:
Általános megoldás (a PayPal is hasonló elven működik), hogy a tranzakció kezdeményezésekor a weboldal átküldi a felhasználót a bank saját, fizetést bonyolító felületére, ahol meg kell adni a kártyaadatokat. Ami nem látszik, hogy a háttérben a webáruház egy másik üzenetet is küldött. Nevesen a tranzakció számát, a termék nevét, árát, darabszámát stb. Innen tudja majd a bank mennyi pénzt kell levonni. Az adatok megadása után a felhasználót visszirányítják a webshop-ba. Itt ismét egy háttér kérés zajlik, melyben a webáruház lekérdezi a banktól a fizetés státuszát. Amire az sikeres vagy meghiúsult választ ad. Nem nehéz elképzelni egy kapkodásban megírt implementációt, ahol a redirect page (ide küldd vissza a bank) végzi az ellenőrzést, és sikeres válasz esetén jóváírja a krediteket, feltölti a virtuális pénztárcánkat vagy kifizetvére állítja a megrendelést. Ha a programozó nem jár el elég körültekintően egy egyszerű oldalfrissítéssel számtalanszor jóváírhatjuk ezt a mennyiséget, és így mondjuk 1000 euro-nyi kredithez jutunk 1 euro-ért.
Talán így már érdemes elgondolkodni, hogy megéri-e biztonságtechnikus segítségét kérni…
Biztonsági rések
Azonban az ilyen – sajnos nem ritka – implementációs hibák mellett rengeteg biztonsági rés is veszélyt jelenthet honlapunk, adataink sőt akár pénztárcánk biztonságára is. A neten már automatizált eszközök segítségével próbálkozhatnak a szakavatatlan kezek is egy-egy oldal réseinek felderítésével. Az ilyen hackereket nevezik script kiddie-knek, akik csak unalmukban valamilyen program segítségével keresnek fogást biztonsági rendszereinken. Bár megtalálukhoz elég ennyi, pontos detektálásához, javításához és kivédéséhez szakember szükséges.
A leggyengébb láncszem, social hacking
Ha már minden rendszerünk biztonságos. Megtettünk mindent, hogy a biztonsági réseket befedjük, detektáljuk a behatolókat. Még mindig foglalkozni kell a leggyengébb láncszemmel, az emberrel. A social hacking -nek nevezett jelenség, amikor akár informatikai ismeretek hiányában is be tud valaki törni egy rendszerbe. Mégpedig az emberi naivitást, lustaságot, túlzott bizalmat vagy hanyagságot kihasználva. Ezért fontos a megfelelő biztonsági policy-k kialakítás, oktatás és rendszeres folyamat audit.
Segíthetünk?
Kérjen ajánlatot még ma!