Kefer
Upcoming SlideShare
Loading in...5
×
 

Kefer

on

  • 645 views

 

Statistics

Views

Total Views
645
Views on SlideShare
642
Embed Views
3

Actions

Likes
0
Downloads
3
Comments
0

1 Embed 3

http://tuesday.cz 3

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Kefer Kefer Presentation Transcript

  • Elektronické obchody a bezpečnost: Když vašemu obchodu velí útočník Daniel Kefer E-business Forum 2009, 6.10.2009
  • Představení • spol. AEC, s.r.o.: • významný hráč na poli bezpečnosti od r. 1991 • od r. 2007 člen skupiny Cleverlance • realizace bezpečnostních projektů především pro bankovní, telekomunikační a státní organizace • role nezávislého auditora a konzultanta v oblasti bezpečnosti IT • Daniel Kefer: • IT Security Consultant • v AEC od r. 2005 • garant kompetence bezpečného aplikačního vývoje • v r. 2009 – vedení studie bezpečnosti elektronických obchodů v rámci České republiky
  • Důvody uskutečnění studie • Forrester: 36% klientů neobjednává zboží po Internetu a nevyužívá služby online kvůli obavám o bezpečnost • Gartner: 75% útoků je realizováno skrz webové aplikace • Verizon: identifikace útoků v oblasti maloobchodu trvají v průměru měsíce, přičemž hacking aplikací je dominantní formou útoku • Deloitte: sada bezpečnostních doporučení pro elektronické obchody a jejich klienty • Něměcko: vzniklé iniciativy pro bezpečné nakupování zahrnující i bezpečnost aplikací (safer-shopping.de, trustedshops.de) • PC World a další: elektronické obchody se stávají terčem útočníků (cílené útoky, nižší úroveň bezpečnosti, finanční motivace)
  • Reálné příklady z poslední doby • pojišťovna Uniqa – září 2009 - únik osobních dat několika tisíc klientů • phishingové maily nabízející levné zboží za účelem krádeže identit • vánoční sezona 2008: • průzkum TrendMicro: zločinci se soustředili na internetové obchody, jejich zneužití k šíření malware (o Vánocích vysoká návštěvnost -> značné rozšíření škodlivého software) • průzkum McAfee: útočníci se snažili dostat do elektronických obchodů a ukrást zde osobní údaje
  • Informace o provedené studii • realizace duben 2009 • zkoumány významné tuzemské obchody • neinvazivní způsob – zkoumán omezený vzorek bezpečnostních mezer zjistitelný bez aktivit útočného charakteru • výsledek: u všech aplikací byly nalezeny zneužitelné chyby, u velké části z nich velmi závažného charakteru
  • Příklady identifikovaných slabin SQL Injection • útočník např. ve vyhledávacím formuláři místo názvu zboží zadá SQL příkaz • pokud aplikace zadaný řetězec nejdříve sama nezvaliduje, je předán databázi • v databázi je příkaz vykonán • možnosti vyčtení databáze, neautorizovaných změn, mazání… • útočník má pod kontrolou celý obchod
  • Příklady identifikovaných slabin Dostupnost administračního rozhraní e-shopu • rozhraní pro administrátora či obsluhu obchodu dostupné z vnějšku • snadno uhodnutelná adresa (např. www.obchod.cz/admin) • v některých případech umístěna přímo v souboru robots.txt (soubor určený pro vyhledávače omezující indexaci adres) • pro útočníka možnost útoku na přihlašovací údaje (slovníkový, hrubou silou)
  • Příklady identifikovaných slabin Možnost automatizace procesů • důležité procesy (registrace klienta, objednání zboží) nejsou chráněny před strojovým zpracováním • útočník může sestavit jednoduchý skript, pomocí něj vygenerovat během chvíle tisíce falešných zákazníků a objednávek • riziko značných finančních ztrát (objednání a zaslání nedoručitelného zboží), odepření služby legitimním zákazníkům
  • Možná řešení vs. náklady: dodavatel aplikace?
  • Efektivní zjištění stavu bezpečnosti P en etr ačn í tes ty t u di A • možností vnějšího útočníka? • reakce na vnější útok? • možnosti útoku zevnitř?
  • Možnosti obrany V případě plánovaného vývoje/dodávky nové aplikace: • definice bezpečnostních požadavků v souladu s aktuálními trendy • začlenění bezpečnosti do analýzy a designu aplikace • důraz na podporu bezpečného provozu požadovaných funkcionalit, nikoli na jejich omezení • smluvní zodpovědnost za bezpečnostní aspekty aplikace na straně dodavatele „Prevence v oblasti bezpečnosti je v průměru 100x levnější, než nutnost opravy chyb nalezených již v hotové aplikaci“
  • Dotazy?
  • Děkuji za pozornost! Daniel Kefer IT Security Consultant daniel.kefer@aec.cz www.aec.cz