Εσφαλμένες επιχειρηματικές διαδικασίες που παρουσιάζουν κινδύνους ασφαλείας

Η λειτουργία ενός ασφαλούς δικτυακού τόπου σημαίνει κάτι περισσότερο από απλά να προστατεύει από την επιτόπια δέσμη ενεργειών και από επιθέσεις με SQL injection. Οι αδυναμίες στις επιχειρηματικές διαδικασίες που αποτελούν τη βάση για τοποθεσίες Web μπορούν επίσης να παρουσιάσουν σοβαρούς κινδύνους για την ασφάλεια, δήλωσε ο CTO της εταιρείας ασφάλειας στο Web την Πέμπτη.

Αδυναμίες στις διαδικασίες ή επιχειρηματική λογική για ιστοσελίδες μπορεί να αποδειχθούν εξαιρετικά επικερδείς για τους χάκερς η ικανότητα να εκμεταλλεύεται και είναι μερικές φορές τεχνικά όχι παράνομη για να επωφεληθούν, δήλωσε ο Jeremiah Grossman, CTO της WhiteHat Security, στην Έκθεση Προστασίας της Βοστώνης Source.

«Αυτά τα θέματα είναι κοινά αν ξέρετε τι να αναζητήσετε», είπε.

Προσφέρθηκε αρκετά παραδείγματα αυτών των ελαττωμάτων, συμπεριλαμβανομένων εκείνων που βρέθηκαν σε σχέδια ιστότοπων, συστήματα ελέγχου ταυτότητας Captcha και δικαιώματα προφίλ χρηστών. Οι άνθρωποι που επωφελούνται από αυτούς συχνά απαγορεύονται συχνά να χρησιμοποιούν μια υπηρεσία, αν και μερικές φορές διώκονται.

Το 2007 μια γυναίκα κατηγορήθηκε ότι απάτησε το QVC από $ 412.000, αξιοποιώντας ένα ελάττωμα στην επιχειρησιακή της λογική. Τοποθέτησε παραγγελίες για 1.800 είδη με το δίκτυο αγορών κατ 'οίκον και έπειτα ακύρωσε τις παραγγελίες στην τοποθεσία του στο Web. Έλαβε πίστωση για την επιστροφή των εμπορευμάτων, αλλά τα αντικείμενα της στάλθηκαν ούτως ή άλλως και τα πώλησε στο eBay, δήλωσε το Υπουργείο Δικαιοσύνης. Το QVC γνώριζε το θέμα όταν οι χρήστες του eBay έρχονταν σε επαφή μαζί του για τη λήψη ειδών που εξακολουθούν να βρίσκονται στη συσκευασία του. Η γυναίκα αναγκάστηκε τελικά να παραμείνει ένοχος για να συλλάβει την απάτη.

Τα χαρακτηριστικά επαναφοράς κωδικού πρόσβασης μπορούν να οδηγήσουν σε μη εξουσιοδοτημένη πρόσβαση σε λογαριασμούς εάν υποβάλουν προφανείς ερωτήσεις και οι hackers έχουν μικρές πληροφορίες για τα θύματά τους. Η Grossman προσέφερε ένα παράδειγμα που αφορούσε τον πρώην πάροχο υπηρεσιών κινητής τηλεφωνίας Sprint. Για να επαναφέρει τους κωδικούς πρόσβασης, είπε, ένας χάκερ έπρεπε να γνωρίζει μόνο τον αριθμό κινητού τηλεφώνου ενός ατόμου και ένα βασικό κομμάτι πληροφοριών, όπως το τόπο όπου ζούσαν ή το αυτοκίνητο που οδήγησαν. Αυτό θα μπορούσε να επέτρεπε σε έναν χάκερ να παραγγείλει νέα τηλέφωνα στο όνομα του θύματος ή να εγκαταστήσει νέες υπηρεσίες στο τηλέφωνό τους.

Τα ηλεκτρονικά κουπόνια αποτελούν κίνδυνο για τους εμπόρους, εάν οι αριθμοί κουπονιών πλησιάζουν ο ένας τον άλλο διαδοχικά. Ένας έμπορος λιανικής πώλησης είδε μερικά από τα ακριβά στοιχεία να πωλούν για λίγα δολάρια, αφού ένας χάκερ έγραψε ένα σενάριο για να αποκαλύψει αριθμούς κουπονιών που διέφεραν μόνο μερικά ψηφία, δήλωσε ο Γκρόσμαν. Ο λιανοπωλητής ανακάλυψε το πρόβλημα όταν τα αρχεία καταγραφής του συστήματος αποκάλυψαν μια πληθώρα παραγγελιών που υποβλήθηκαν σε επεξεργασία τη νύχτα, ενώ το σενάριο του χάκερ έτρεξε.

Οι χάκερ μπορούν να πείσουν άλλους surfers του Διαδικτύου να επιλύσουν τα τεστ Captcha για αυτούς, παρασύροντάς τους σε ιστοσελίδες με την υπόσχεση δωρεάν μουσικής ή περιεχομένου για ενήλικες. Τα Captchas απαιτούν από ένα άτομο να αποκρυπτογραφήσει μια σειρά μπερδεμένων χαρακτήρων για να εγγραφεί για υπηρεσίες όπως ένας λογαριασμός ηλεκτρονικού ταχυδρομείου στο Web. Οι διαχειριστές του διαδικτύου επιλύουν τα Captchas, τα οποία αποστέλλονται μέσω του διακομιστή μεσολάβησης στον hacker, ο οποίος στη συνέχεια τα χρησιμοποιεί για να εγγραφούν σε πολλαπλούς λογαριασμούς ηλεκτρονικού ταχυδρομείου για την αποστολή ανεπιθύμητης αλληλογραφίας ή κάποιας άλλης δραστηριότητας.

"Όσο έχετε αρκετούς χρήστες στον ιστότοπό σας, έχετε λύσει το Captcha ", δήλωσε ο Grossman. "Οι κακοί τύποι θέλουν να νικήσουν αυτούς τους Captchas, ώστε να μπορούν να μας στείλουν spam."

Ένα άλλο ελάττωμα παρέχει στους χρήστες πρόσβαση σε όλα τα μέρη μιας ιστοσελίδας όταν έχουν ένα login ή έναν κωδικό πρόσβασης για μια συγκεκριμένη υπηρεσία εκεί. Για παράδειγμα, οι υπάλληλοι μιας εσθονικής εταιρείας υπέγραψαν την υπηρεσία Τύπου του Business Wire το 2004. Εκτιμά ότι οι διευθύνσεις URL στον ιστότοπο περιέχουν μερικές φορές πληροφορίες σχετικά με δελτία ειδήσεων που δεν είχαν ακόμη δημοσιοποιηθεί. Χρησιμοποιώντας ένα πρόγραμμα που αναζητά διευθύνσεις URL, οι εργαζόμενοι στην επιχείρηση ήταν σε θέση να αποκαλύψουν ευαίσθητες επιχειρηματικές και οικονομικές πληροφορίες. Αφού αγόρασαν και πωλούσαν μετοχές με βάση αυτές τις πληροφορίες, οι εργαζόμενοι έκαναν 7,8 εκατομμύρια δολάρια, αλλά επίσης χτυπήθηκαν με χρεώσεις απάτης από τις αμερικανικές ρυθμιστικές αρχές.

Παρατήρησε ότι υπάρχουν πολλές παρόμοιες περιπτώσεις που δεν ήρθαν ποτέ στο φως επειδή οι δράστες ποτέ δεν αλιεύονται.

Η ασφάλεια του Ιστού επεκτείνεται πέρα ​​από τη διασφάλιση της ποιότητας και το σωστό σχεδιασμό των εφαρμογών Web για να συμπεριλάβει τον τρόπο λειτουργίας των υπηρεσιών.