Every year, collectors and enthusiasts wonder what Products Rolex will launch, and the extra months of speculation have only magnified the process this year. New are always exciting, but it seems to be forgotten that the brand also discontinues a few models each year - and the most important tend to be those that are removed from the catalogue.

Wstydliwe dziury na Wyspach

Podstawowe dziury w zabezpieczeniach i oprogramowaniu zagrażają poważnie poufności przetwarzanych w brytyjskich systemach e-commerce'owych danych osobistych - wynika z testu przeprowadzonego przez NTA Monitor.

Do najważniejszych wad należą "niazałatane" dziury w oprogramowaniu serwerów webowych, błędy i zła konstrukcja mechanizmów potwierdzania tożsamości oraz wylogowania użytkownika. Jak podkreślają analitycy NTA Monitor - to przy okazji całkiem podstawowe błędy. Tymczasem tylko w styczniu br. na Wyspach wydano w Internecie blisko 1 mld GBP.

Najbardziej narażeni są użytkownicy korzystający z publicznych terminali dostępowych, w których zwykle każdy kolejny użytkownik może de facto kontynuować sesję, uzyskać dostęp do przesłanych danych itp. NTA na podstawie testów brytyjskiego e-commerce, sformułował pierwszą dziesiątkę zagrożeń:

1) brak zabezpieczeń za "drzwiami frontowymi" web serwera - odsłania dostęp na uprawnieniach root-a

2) Nie działający mechanizm wylogowania się - strona informuje, że wylogowanie z sesji zakończyło się i powiodło, w istocie użytkownik nadal jest zalogowany: kolejny użytkownik może więc kontynuować sesję

3) Łatwe do "złamania", przewidywalne tokeny potwierdzające tożsamość

4) Serwer webowy daje nieszyfrowany dostęp do stref bezpiecznych - informacja przechodzi przez publiczną przestrzeń Interentu i może łatwo zostać "zesniffowana"

5) Cookie tokena potwierdzającego autentyczność zachowane w pamięci podręcznej - umożliwia to kolejnemu użytkownikowi ponowne zalogowanie się do danej strefy

6) Pola wprowadzania informacji potwierdzających tożsamość są wyświetlane - w prymitywny sposób można więc podpatrzeć przez ramię hasło i login

7) Nie działający mechanizm zablokowania konta po określonej liczbie prób zalogowania

8) Brak systemu zabezpieczającego przed snifferami "zbierającymi" sygnał z klawiatury

9) "Słaby" system haseł - pozwala użytkownikowi wybrać proste i zarazem niezbyt bezpieczne hasło, lub nie posiada procedury zmiany hasła

10) Jedno hasło do wielu kont danego użytkownika: atakujący ma wiele prób na dopasowanie odpowiedniego hasła do nazwy konta.

Spośród wszystkich odkrytych zagrożeń, 4% zakwalifikowano jako o wysokim stopniu ryzyka, 23% - umiarkowanym, 39% - bardzo niskim a 34% - informacyjnym. Najpoważniejszym niebezpieczeństwem była wspomniane już dopuszczenie do dostępu z poziomu roota. Według NTA, połowa badanych doświadczała jednego lub większej liczby poważnych zagrożeń; dwóm trzecim zagrażały cztery lub większa liczba umiarkowanych zagrożeń; dwie trzecie posiada sześć lub więcej zagrożeń niskiego stopnia i dwie trzecie - 6 lub więcej zagrożeń o charakterze informacyjnym.

"Z naszego doświadczenia wynika, że najpospolitsze błędy, które jest w stanie wykorzystać niezbyt doświadczony, posługujący się standardowymi narzędziami włamywacz są niepokojąco częste. W sytuacji, gdy e-klienci tak mocno podkreślają, że właśnie bezpieczeństwo jest ich największą troską - niedbałość firm w tej kwestii jest zadziwiająca" - skomentował Roy Hills, dyrektor techniczny z NTA Monitor.

Znaczną część winy ponoszą sami użytkownicy - np. nie stosują ostrożnych, bezpiecznych haseł - poprzednie badanie NTA wykazało, że dla internautów w haśle najbardziej liczy się, aby było łatwe do zapamiętania. Badanie NTA Monitor zostało przeprowadzone od października ub. roku do stycznia br. NTA przedstawił następujące zalecenia dla systemów e-commerce. Zaleca m.in., by w przypadku outsourcowania systemu zawrzeć w umowie klauzulę o odpowiedzialności dostawcy za bezpieczeństwo danych użytkowników końcowych, regularnie i w miarę pojawiania się uaktualnień oraz łat - aktualizować oprogramowanie, testować rozwiązania przed zakupem poprzez niezależnego audytora.