Wstydliwe dziury na Wyspach
- 05.03.2003, godz. 09:00
Podstawowe dziury w zabezpieczeniach i oprogramowaniu zagrażają poważnie poufności przetwarzanych w brytyjskich systemach e-commerce'owych danych osobistych - wynika z testu przeprowadzonego przez NTA Monitor.
Do najważniejszych wad należą "niazałatane" dziury w oprogramowaniu serwerów webowych, błędy i zła konstrukcja mechanizmów potwierdzania tożsamości oraz wylogowania użytkownika. Jak podkreślają analitycy NTA Monitor - to przy okazji całkiem podstawowe błędy. Tymczasem tylko w styczniu br. na Wyspach wydano w Internecie blisko 1 mld GBP.
Najbardziej narażeni są użytkownicy korzystający z publicznych terminali dostępowych, w których zwykle każdy kolejny użytkownik może de facto kontynuować sesję, uzyskać dostęp do przesłanych danych itp. NTA na podstawie testów brytyjskiego e-commerce, sformułował pierwszą dziesiątkę zagrożeń:
1) brak zabezpieczeń za "drzwiami frontowymi" web serwera - odsłania dostęp na uprawnieniach root-a
2) Nie działający mechanizm wylogowania się - strona informuje, że wylogowanie z sesji zakończyło się i powiodło, w istocie użytkownik nadal jest zalogowany: kolejny użytkownik może więc kontynuować sesję
3) Łatwe do "złamania", przewidywalne tokeny potwierdzające tożsamość
4) Serwer webowy daje nieszyfrowany dostęp do stref bezpiecznych - informacja przechodzi przez publiczną przestrzeń Interentu i może łatwo zostać "zesniffowana"
5) Cookie tokena potwierdzającego autentyczność zachowane w pamięci podręcznej - umożliwia to kolejnemu użytkownikowi ponowne zalogowanie się do danej strefy
6) Pola wprowadzania informacji potwierdzających tożsamość są wyświetlane - w prymitywny sposób można więc podpatrzeć przez ramię hasło i login
7) Nie działający mechanizm zablokowania konta po określonej liczbie prób zalogowania
8) Brak systemu zabezpieczającego przed snifferami "zbierającymi" sygnał z klawiatury
9) "Słaby" system haseł - pozwala użytkownikowi wybrać proste i zarazem niezbyt bezpieczne hasło, lub nie posiada procedury zmiany hasła
10) Jedno hasło do wielu kont danego użytkownika: atakujący ma wiele prób na dopasowanie odpowiedniego hasła do nazwy konta.
Spośród wszystkich odkrytych zagrożeń, 4% zakwalifikowano jako o wysokim stopniu ryzyka, 23% - umiarkowanym, 39% - bardzo niskim a 34% - informacyjnym. Najpoważniejszym niebezpieczeństwem była wspomniane już dopuszczenie do dostępu z poziomu roota. Według NTA, połowa badanych doświadczała jednego lub większej liczby poważnych zagrożeń; dwóm trzecim zagrażały cztery lub większa liczba umiarkowanych zagrożeń; dwie trzecie posiada sześć lub więcej zagrożeń niskiego stopnia i dwie trzecie - 6 lub więcej zagrożeń o charakterze informacyjnym.
"Z naszego doświadczenia wynika, że najpospolitsze błędy, które jest w stanie wykorzystać niezbyt doświadczony, posługujący się standardowymi narzędziami włamywacz są niepokojąco częste. W sytuacji, gdy e-klienci tak mocno podkreślają, że właśnie bezpieczeństwo jest ich największą troską - niedbałość firm w tej kwestii jest zadziwiająca" - skomentował Roy Hills, dyrektor techniczny z NTA Monitor.
Znaczną część winy ponoszą sami użytkownicy - np. nie stosują ostrożnych, bezpiecznych haseł - poprzednie badanie NTA wykazało, że dla internautów w haśle najbardziej liczy się, aby było łatwe do zapamiętania. Badanie NTA Monitor zostało przeprowadzone od października ub. roku do stycznia br. NTA przedstawił następujące zalecenia dla systemów e-commerce. Zaleca m.in., by w przypadku outsourcowania systemu zawrzeć w umowie klauzulę o odpowiedzialności dostawcy za bezpieczeństwo danych użytkowników końcowych, regularnie i w miarę pojawiania się uaktualnień oraz łat - aktualizować oprogramowanie, testować rozwiązania przed zakupem poprzez niezależnego audytora.