(Ne)Bezpečné e-shopy

Nákup cez internet sa stal neodmysliteľným pre mnohé domácností a firmy práve preto, že ponúka rozšírený výber tovaru a služieb v kombinácii s ušetreným časom a peniazmi.

Elektronické obchody bežiace na open source CMS by z hľadiska zabezpečenia mali prinášať výhodu v tom, že sú kontrolované stovkami až tisíckami dobrovoľníkov, ktorí by mali identifikovať chyby v zdrojovom kóde a prispieť tak k ich okamžitej náprave. No ako nám chyba Heartbleed v minulosti ukázala, ani open source projekty sa nedokážu vyhnúť kritickým zraniteľnostiam.

Naopak, proprietárne softvéry majú kontrolu obmedzenú na vývojárov a bezpečnostné tímy danej spoločnosti, ktoré väčšinu zraniteľností odhalia. Z dostupných štatistík vyplýva, že do roku 2012 obsahovali proprietárne kódy menší počet chýb ako open source. Situácia sa zmenila po roku 2013, keď open source kódy obsahovali na 100 000 riadkov menší počet chýb ako proprietárne softvéry. Rozoberme si najbežnejšie nedostatky zabezpečenia e-shopov.

Problém zasielania údajov po sieti

Pri nákupnom procese je zákazník požiadaný zadať rôzne citlivé dáta, ktoré môžu byť neskôr zneužité. Ktoré informácie poskytujeme dobrovoľne pri on-line nákupoch?

• meno, priezvisko, dátum narodenia, adresa, e-mail, mobilné číslo, spoločnosť
• používateľské meno, heslo (mnoho ľudí stále používa rovnaké heslo vo viacerých účtoch)
• meno majiteľa platobnej karty, číslo platobnej karty, CVV (vďaka ktorému možno nakupovať na váš účet)
• nákupné správanie (na základe ktorého sa dá cieliť remarketing)

V prípade, že webový server nemá zapnutúpodporu šifrovania(HTTPS) alebo nie je návštevník presmerovaný na tento zabezpečený protokol automaticky, dáta sa po sieti pohybujú nešifrovanou cestou. To znamená, že potenciálny útočník je schopný odchytiť všetky údaje, ktoré nakupujúci zadáva, vrátane čísla kreditnej karty. Takistopokiaľ e-shop nemá certifikát podpísaný certifikačnou autoritou, návštevník nemá žiadnu možnosť overiť si, či naozaj komunikuje s daným e-shopom alebo podvrhnutou stránkou.

Prax potvrdzuje, že nejde o ojedinelé prípady, keď komunikácia prebieha cez nešifrovaný kanál(HTTP) alebo je použitý podvrhnutý certifikát (nepodpísaný certifikačnou autoritou) pomocou metódy Man In The Middle. V takomto prípade sa všetky dáta pohybujú šifrovanou cestou, ale sú podpisované certifikátom útočníka, ktorý má možnosť prezerať si túto komunikáciu, pretože vlastní privátny kľúč k danému certifikátu. Najčastejšie stačí, ak spotrebiteľ nakupuje napríklad v internetovej kaviarni cez verejnúsieť Wi-Fi a nevedome poskytne všetky citlivé údaje tretej osobe odchytávajúcej komunikáciu zo siete.

Nedostatočné zabezpečenie platobného styku

Najnešťastnejšie riešenie, ktoré e-shopy praktizujú, je realizovanie platby so zadávaním čísla kreditnej karty. Tento údaj sa následne uloží do databázy, ktorá môže byť aj s časovým odstupom (až do exspirácie karty) zneužitá. V prípade, ak sa útočníkovi podarí získať prístup napríklad vďaka chybe SQL injection do administrátorských oprávnení e-shopu, dostane sa súčasne ku všetkým údajom prístupným v administrátorskom rozhraní, kam spadá aj databáza s citlivými detailmi. V takomto prípade môže útočník zneužiť všetky údaje platobných kariet z databázy aj po dlhšom časovom odstupe na realizovanie nákupov na cudzí účet, prípadne môže čísla kreditných kariet predať za pár dolárov na čiernom trhu.

Lepšie riešenie je uskutočniť bezhotovostný prevod finančných prostriedkov využitím bankového platobného systému (napríklad TatraPay), prípadne služby Paypal. V takomto prípade aj napriek tomu, že sa útočníkovi podarí nabúrať sa do internetového obchodu, nedostane sa k údajom kreditných kariet. No ak používate rovnaké meno/e-mail a heslo na službu, ako je napr. Paypal, útočník môže peniaze odcudziť aj z takéhoto účtu.

Webový aplikačný firewall

Webový aplikačný firewall (WAF) je nástroj, ktorý skontroluje každú požiadavku zaslanú na webový server. Najpoužívanejší WAF je open source nástroj mod_security. Ten funguje vmóde blacklist alebo whitelist. Pri blackliste je vstup od používateľa kontrolovaný vzhľadom na zoznam preddefinovaných nebezpečných požiadaviek. Whitelist je režim, pri ktorom používateľ definuje zoznam požiadaviek, ktoré sú žiaduce, avšetky ostatné požiadavky sú zamietnuté. Zpohľadu nasadenia je tento mód náročnejší na správnu konfiguráciu.

Zdieľané úložisko

E-shopy často využívajú zdieľané úložisko virtualhostov, čo znamená, že na jednom serveri je súčasne viacero webových stránok. Takéto riešenie využívajú hlavne webhostingové spoločnosti. Tu hrozí, že v prípade nedostatočného zabezpečenia servera útočník po napadnutí jedného webu získa prístup aj k dátam ostatných webov na serveri. Populárne cloudové riešeniaprinášajú riziká z hľadiska bezpečnosti práve preto, že dáta všetkých zákazníkov služby sú ukladané na rovnakých serveroch. V prípade nabúrania tejto služby sa útočník dostane k dátam všetkých používateľov. Existuje aj služba Own Cloud, ktorá umožňuje zákazníkovi spustiť cloud u seba, čo však nie je záruka bezpečnosti.

Najideálnejšiebezpečnostné riešenie pre e-shop je mať svoj vlastný server hostovaný v dátovom centre. V takomto prípade si za bezpečnosť ručí sám prevádzkovateľ. Samozrejme, pri tomto riešení treba počítať aj so správou servera (dôležité je napr. aplikovanie bezpečnostných aktualizácií), ktorá môže cenu celého riešenia zvýšiť.

Z dostupných štatistík vyplýva, že Slováci sú vo vzťahu k on-line platbám opatrní a ešte stále stabilne preferujú platbu na dobierku (49 %).

Autor: Lucia Krajňáková, Nethemba