Kefer

500 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
500
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
5
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Kefer

  1. 1. Elektronické obchody a bezpečnost: Když vašemu obchodu velí útočník Daniel Kefer E-business Forum 2009, 6.10.2009
  2. 2. Představení • spol. AEC, s.r.o.: • významný hráč na poli bezpečnosti od r. 1991 • od r. 2007 člen skupiny Cleverlance • realizace bezpečnostních projektů především pro bankovní, telekomunikační a státní organizace • role nezávislého auditora a konzultanta v oblasti bezpečnosti IT • Daniel Kefer: • IT Security Consultant • v AEC od r. 2005 • garant kompetence bezpečného aplikačního vývoje • v r. 2009 – vedení studie bezpečnosti elektronických obchodů v rámci České republiky
  3. 3. Důvody uskutečnění studie • Forrester: 36% klientů neobjednává zboží po Internetu a nevyužívá služby online kvůli obavám o bezpečnost • Gartner: 75% útoků je realizováno skrz webové aplikace • Verizon: identifikace útoků v oblasti maloobchodu trvají v průměru měsíce, přičemž hacking aplikací je dominantní formou útoku • Deloitte: sada bezpečnostních doporučení pro elektronické obchody a jejich klienty • Něměcko: vzniklé iniciativy pro bezpečné nakupování zahrnující i bezpečnost aplikací (safer-shopping.de, trustedshops.de) • PC World a další: elektronické obchody se stávají terčem útočníků (cílené útoky, nižší úroveň bezpečnosti, finanční motivace)
  4. 4. Reálné příklady z poslední doby • pojišťovna Uniqa – září 2009 - únik osobních dat několika tisíc klientů • phishingové maily nabízející levné zboží za účelem krádeže identit • vánoční sezona 2008: • průzkum TrendMicro: zločinci se soustředili na internetové obchody, jejich zneužití k šíření malware (o Vánocích vysoká návštěvnost -> značné rozšíření škodlivého software) • průzkum McAfee: útočníci se snažili dostat do elektronických obchodů a ukrást zde osobní údaje
  5. 5. Informace o provedené studii • realizace duben 2009 • zkoumány významné tuzemské obchody • neinvazivní způsob – zkoumán omezený vzorek bezpečnostních mezer zjistitelný bez aktivit útočného charakteru • výsledek: u všech aplikací byly nalezeny zneužitelné chyby, u velké části z nich velmi závažného charakteru
  6. 6. Příklady identifikovaných slabin SQL Injection • útočník např. ve vyhledávacím formuláři místo názvu zboží zadá SQL příkaz • pokud aplikace zadaný řetězec nejdříve sama nezvaliduje, je předán databázi • v databázi je příkaz vykonán • možnosti vyčtení databáze, neautorizovaných změn, mazání… • útočník má pod kontrolou celý obchod
  7. 7. Příklady identifikovaných slabin Dostupnost administračního rozhraní e-shopu • rozhraní pro administrátora či obsluhu obchodu dostupné z vnějšku • snadno uhodnutelná adresa (např. www.obchod.cz/admin) • v některých případech umístěna přímo v souboru robots.txt (soubor určený pro vyhledávače omezující indexaci adres) • pro útočníka možnost útoku na přihlašovací údaje (slovníkový, hrubou silou)
  8. 8. Příklady identifikovaných slabin Možnost automatizace procesů • důležité procesy (registrace klienta, objednání zboží) nejsou chráněny před strojovým zpracováním • útočník může sestavit jednoduchý skript, pomocí něj vygenerovat během chvíle tisíce falešných zákazníků a objednávek • riziko značných finančních ztrát (objednání a zaslání nedoručitelného zboží), odepření služby legitimním zákazníkům
  9. 9. Možná řešení vs. náklady: dodavatel aplikace?
  10. 10. Efektivní zjištění stavu bezpečnosti P en etr ačn í tes ty t u di A • možností vnějšího útočníka? • reakce na vnější útok? • možnosti útoku zevnitř?
  11. 11. Možnosti obrany V případě plánovaného vývoje/dodávky nové aplikace: • definice bezpečnostních požadavků v souladu s aktuálními trendy • začlenění bezpečnosti do analýzy a designu aplikace • důraz na podporu bezpečného provozu požadovaných funkcionalit, nikoli na jejich omezení • smluvní zodpovědnost za bezpečnostní aspekty aplikace na straně dodavatele „Prevence v oblasti bezpečnosti je v průměru 100x levnější, než nutnost opravy chyb nalezených již v hotové aplikaci“
  12. 12. Dotazy?
  13. 13. Děkuji za pozornost! Daniel Kefer IT Security Consultant daniel.kefer@aec.cz www.aec.cz

×