Luki w procesie biznesowym postrzegane jako stwarzające zagrożenia bezpieczeństwa

Prowadzenie bezpiecznej witryny internetowej to coś więcej niż ochrona przed skryptami krzyżowymi i atakami SQL injection. Luki w procesach biznesowych, które leżą u podstaw stron internetowych, mogą również stanowić poważne zagrożenie bezpieczeństwa, powiedział w czwartek CTO firmy zajmującej się bezpieczeństwem sieci.

Luki w procesach lub logika biznesowa w przypadku witryn sieci Web mogą okazać się bardzo korzystne dla hakerów, wymagają niewiele umiejętność wykorzystywania i czasami technicznie nie jest nielegalna, aby skorzystać z tej możliwości, powiedział Jeremiah Grossman, dyrektor techniczny WhiteHat Security w Source Security Security Showcase.

"Te problemy są częste, jeśli wiesz, czego szukać," powiedział.

[Dalsze czytanie: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Zaproponował kilka przykładów tych błędów, w tym te znalezione w projektach witryn sieci Web, systemach uwierzytelniania Captcha i uprawnieniach użytkownika. Ludzie, którzy z nich korzystają, są często po prostu pozbawieni możliwości korzystania z usług, choć czasami są ścigani.

W 2007 roku oskarżono kobietę o oszustwo QVC z kwoty 42,000 USD, wykorzystując lukę w logice biznesowej. Złożyła zamówienia na 1800 przedmiotów w sieci zakupów domowych, a następnie anulowała zamówienia na swojej stronie internetowej. Otrzymała kredyt za odesłanie towaru, ale i tak wysłane zostały do ​​niej, a ona sprzedała je na eBayu, powiedział Departament Sprawiedliwości. Firma QVC zdała sobie sprawę z tego, kiedy użytkownicy serwisu eBay skontaktowali się z nią w sprawie odbierania produktów w opakowaniu. Kobieta w końcu przyznała się do winy za druty.

Funkcje resetowania hasła mogą prowadzić do nieautoryzowanego dostępu do konta, jeśli zadają oczywiste pytania, a hakerzy mają drobne informacje o swoich ofiarach. Grossman podał przykład byłego dostawcy usług mobilnych Sprint. Aby zresetować hasła, haker musiał znać tylko numer telefonu komórkowego użytkownika i podstawowe informacje, takie jak miejsce zamieszkania lub samochód, którym jechali. Mogło to pozwolić hakerowi zamawiać nowe telefony w imieniu ofiary lub instalować nowe usługi w telefonie.

Kupony elektroniczne stanowią zagrożenie dla kupców, jeśli numery kuponów są blisko siebie sekwencyjnie. Jeden z detalistów zobaczył niektóre z jego drogich artykułów sprzedających się za kilka dolarów po tym, jak haker napisał scenariusz, aby odkryć liczby kuponów, które różniły się tylko o kilka cyfr, powiedział Grossman. Detalista odkrył problem, gdy jego logi systemowe wykryły obfitość zamówień przetwarzanych w nocy podczas działania skryptu hakera.

Hakerzy mogą przekonać innych internautów, aby rozwiązali dla nich testy Captcha, nakłaniając ich do stron internetowych z obietnicą muzyka lub treści dla dorosłych. Captchas wymaga od osoby, aby odszyfrować ciąg pomieszanych znaków, aby zarejestrować się w usługach, takich jak internetowe konto e-mail. Internauci rozwiązują Captchas, które są wysyłane za pośrednictwem serwera proxy do hakera, który następnie używa ich do rejestracji wielu kont e-mail w celu wysyłania spamu lub innej aktywności.

"Tak długo, jak masz wystarczająco dużo użytkowników do twojej strony internetowej, masz Captcha rozwiązany ", powiedział Grossman. "Bad faceci chcą pokonać te Captchas, aby mogli nas spamować."

Kolejną wadą jest przyznanie użytkownikom dostępu do wszystkich części witryny sieci Web, gdy mają oni login lub hasło do określonej usługi. Na przykład pracownicy estońskiej firmy zarejestrowali się w 2004 r. W prasie prasowej Business Wire. Stwierdzili, że adresy URL na stronie czasami zawierały informacje o wiadomościach, które nie zostały jeszcze upublicznione. Korzystając z programu wyszukującego adresy URL, pracownicy firmy byli w stanie ujawnić poufne informacje biznesowe i finansowe. Po zakupie i sprzedaży akcji w oparciu o te informacje, pracownicy zarobili 7,8 miliona dolarów, ale zostali również potrąceni przez amerykańskich regulatorów za oszustwa.

Zauważył, że istnieje wiele podobnych przypadków, które nigdy nie wyszły na jaw, ponieważ sprawcami byli nigdy nie złapany.

Bezpieczeństwo sieci wykracza poza zapewnienie jakości i odpowiednie zaprojektowanie aplikacji internetowych, aby uwzględnić sposób, w jaki usługi są skonfigurowane do działania, powiedział.