Wstydliwe dziury na Wyspach

Podstawowe dziury w zabezpieczeniach i oprogramowaniu zagrażają poważnie poufności przetwarzanych w brytyjskich systemach e-commerce'owych danych osobistych - wynika z testu przeprowadzonego przez NTA Monitor.

Do najważniejszych wad należą "niazałatane" dziury w oprogramowaniu serwerów webowych, błędy i zła konstrukcja mechanizmów potwierdzania tożsamości oraz wylogowania użytkownika. Jak podkreślają analitycy NTA Monitor - to przy okazji całkiem podstawowe błędy. Tymczasem tylko w styczniu br. na Wyspach wydano w Internecie blisko 1 mld GBP.

Najbardziej narażeni są użytkownicy korzystający z publicznych terminali dostępowych, w których zwykle każdy kolejny użytkownik może de facto kontynuować sesję, uzyskać dostęp do przesłanych danych itp. NTA na podstawie testów brytyjskiego e-commerce, sformułował pierwszą dziesiątkę zagrożeń:

1) brak zabezpieczeń za "drzwiami frontowymi" web serwera - odsłania dostęp na uprawnieniach root-a

2) Nie działający mechanizm wylogowania się - strona informuje, że wylogowanie z sesji zakończyło się i powiodło, w istocie użytkownik nadal jest zalogowany: kolejny użytkownik może więc kontynuować sesję

3) Łatwe do "złamania", przewidywalne tokeny potwierdzające tożsamość

4) Serwer webowy daje nieszyfrowany dostęp do stref bezpiecznych - informacja przechodzi przez publiczną przestrzeń Interentu i może łatwo zostać "zesniffowana"

5) Cookie tokena potwierdzającego autentyczność zachowane w pamięci podręcznej - umożliwia to kolejnemu użytkownikowi ponowne zalogowanie się do danej strefy

6) Pola wprowadzania informacji potwierdzających tożsamość są wyświetlane - w prymitywny sposób można więc podpatrzeć przez ramię hasło i login

7) Nie działający mechanizm zablokowania konta po określonej liczbie prób zalogowania

8) Brak systemu zabezpieczającego przed snifferami "zbierającymi" sygnał z klawiatury

9) "Słaby" system haseł - pozwala użytkownikowi wybrać proste i zarazem niezbyt bezpieczne hasło, lub nie posiada procedury zmiany hasła

10) Jedno hasło do wielu kont danego użytkownika: atakujący ma wiele prób na dopasowanie odpowiedniego hasła do nazwy konta.

Spośród wszystkich odkrytych zagrożeń, 4% zakwalifikowano jako o wysokim stopniu ryzyka, 23% - umiarkowanym, 39% - bardzo niskim a 34% - informacyjnym. Najpoważniejszym niebezpieczeństwem była wspomniane już dopuszczenie do dostępu z poziomu roota. Według NTA, połowa badanych doświadczała jednego lub większej liczby poważnych zagrożeń; dwóm trzecim zagrażały cztery lub większa liczba umiarkowanych zagrożeń; dwie trzecie posiada sześć lub więcej zagrożeń niskiego stopnia i dwie trzecie - 6 lub więcej zagrożeń o charakterze informacyjnym.

"Z naszego doświadczenia wynika, że najpospolitsze błędy, które jest w stanie wykorzystać niezbyt doświadczony, posługujący się standardowymi narzędziami włamywacz są niepokojąco częste. W sytuacji, gdy e-klienci tak mocno podkreślają, że właśnie bezpieczeństwo jest ich największą troską - niedbałość firm w tej kwestii jest zadziwiająca" - skomentował Roy Hills, dyrektor techniczny z NTA Monitor.

Znaczną część winy ponoszą sami użytkownicy - np. nie stosują ostrożnych, bezpiecznych haseł - poprzednie badanie NTA wykazało, że dla internautów w haśle najbardziej liczy się, aby było łatwe do zapamiętania. Badanie NTA Monitor zostało przeprowadzone od października ub. roku do stycznia br. NTA przedstawił następujące zalecenia dla systemów e-commerce. Zaleca m.in., by w przypadku outsourcowania systemu zawrzeć w umowie klauzulę o odpowiedzialności dostawcy za bezpieczeństwo danych użytkowników końcowych, regularnie i w miarę pojawiania się uaktualnień oraz łat - aktualizować oprogramowanie, testować rozwiązania przed zakupem poprzez niezależnego audytora.