sklepów w internetowych Gerard Frankowski, BłaŜej Miga PCSS

Transkrypt

1 Z kłódką na zakupy - bezpieczeństwo sklepów w internetowych Gerard Frankowski, BłaŜej Miga Zespół Bezpieczeństwa PCSS 1 Poznań,,

2 Agenda Kim jesteśmy i co robimy? Zespół Bezpieczeństwa PCSS Bezpieczeństwo w MIC Wprowadzenie Znaczenie kwestii bezpieczeństwa Bezpieczeństwo e-zakupów Błędy, zagroŝenia enia, sposoby ochrony Kto odpowiada za bezpieczeństwo stwo? Podsumowanie, pytania, dyskusja 2

3 Kim jesteśmy i co robimy? 3

4 Kim jesteśmy? Zespół Bezpieczeństwa PCSS istnieje od 1996r. Zabezpieczanie infrastruktury PCSS Zadania bezpieczeństwa w projektach R&D Szkolenia,, transfer wiedzy Badania własnew Usługi zewnętrzne Najciekawsze badania z ostatnich lat Bezpieczeństwo komunikatorów w internetowych Badania sieci bezprzewodowych na terenie Poznania Raport nt. bezpieczeństwa bankowości elektronicznej Bezpieczeństwo serwerów WWW (Apache, MS IIS) Bezpieczeństwo sklepów w internetowych security.psnc.plpl 4

5 Bezpieczeństwo w MIC Centrum bezpieczeństwa i usług ug outsourcingowych Zadania bezpieczeństwa w 2007 r.: Bezpłatne audyty bezpieczeństwa Instytucja samorządowa Firma z sektora MŚP Program szkoleń bezpieczeństwa 4 szkolenia,, ok. 120 uczestników Średnia ocen: : 3,89/5 Badania serwera MS IIS Confidence 2007 SecureCON

6 Bezpieczeństwo w MIC (2) Zadania bezpieczeństwa MIC w 2008 r.: Kontynuacja programu szkoleń Format MS OpenXML Czerwiec 2008 bezpieczeństwo w firmie II półrocze 2008 omijanie firewalli w Windows II półrocze 2008 obrona przed spamem Badania zabezpieczeń technologii Microsoft Windows Live! Messenger (?) Zabezpieczanie infrastruktury MIC w PCSS 6

7 Wprowadzenie 7

8 W czym pomoŝe prezentacja? Przedstawienie kwestii bezpieczeństwa e-zakupów i wskazanie, jak ma się ono do innych usług ug dostępnych w Internecie Pokazanie przykład adów w błęb łędów i ataków, a takŝe e sposobów w ochrony Ustalenie, kto jest odpowiedzialny za bezpieczeństwo usług ug w Internecie Doradzenie dostarczycielom usług ug, jak oferować bezpieczne rozwiązania zania Doradzenie uŝytkownikomu ytkownikom, jak mają się bronić przed zagroŝeniami 8

9 Bezpieczeństwo w Internecie Kilka faktów Symantec: wirusów Złośliwe oprogramowanie ukrywa się Dziś nie chodzi o prestiŝ,, ale o pieniądze Computer Economics: 13,3 mld strat malware (2006) Szczególnie zagroŝone one są: s Usługi bankowości elektronicznej Serwisy płatniczep Sklepy internetowe, portale aukcyjne Portale społeczno ecznościoweciowe DuŜe e serwery 9

10 Co jest interesującego w e-sklepach? Dynamicznie rosnący sektor rynku Świat: Prognoza 130 mld $ obrotu w roku 2010 Polska: Początek 2008: ok sklepów Przychód w 2007: 8 mld PLN, wzrost o 300% do 2010? Blokada Poczty Polskiej w grudniu 2007 r. Specyfika e-zakupów Korzystne, tanie oferty Wygoda poszukiwania towarów Szerokie moŝliwo liwości porównywania cen Ujawnienie toŝsamo samości (!) 10

11 e-sklepy to jedna z usług WWW Specyfika zakupów w przez Internet pod kątem bezpieczeństwa stwa: Wysoka popularność wielu uŝytkowniku ytkowników nieukierunkowanych technicznie Operowanie danymi osobowymi MoŜliwo liwość wyłudze udzeń i kradzieŝy y toŝsamo samości Praktycznie kaŝdy moŝe e załoŝyć e-sklep Ponadto e-sklepy mogą być naraŝone na takie same ataki,, co inne aplikacje WWW Ze względu na obecność środków w finansowych i danych osobowych ich skutki mogą być groźniejsze 11

12 ZagroŜenia specyficzne dla e-sklepów Utrata pieniędzy Bezpośredni atak jest trudniejszy w przypadku korzystania z zewnętrznych mechanizmów w płatnop atności Ujawnienie informacji o uŝytkowniku Stan majątkowy Adres zamieszkania i inne dane osobowe Zainteresowania, preferencje Utrudnianie Ŝycia Zawieranie umów w czyimś imieniu Zasypywanie niechcianymi towarami 12

13 Ogólne zagroŝenia usług WWW Ataki na serwery Szpiegostwo przemysłowe Szkodzenie konkurencji Ataki na serwery i komputery uŝytkowniku ytkowników Przejmowanie maszyn KradzieŜ mocy obliczeniowej KradzieŜ danych osobowych i toŝsamo samości Rozsyłanie spamu SzantaŜ Organizowanie botnetów ataki DDoS itd. 13

14 Błędy, zagroŝenia, sposoby ochrony 14

15 Główna przyczyna problemów Nieodpowiednie filtrowanie danych lub jego brak jest bezpośredni rednią przyczyną większo kszości najpowaŝniejszych niejszych luk bezpieczeństwa Przepełnienie bufora XSS (Cross Site Scripting) SQL Injection Remote Code Execution Projektanci i programiści nie mogą ufać Ŝadnym danym wejściowym ciowym, zwłaszcza pochodzącym cym od uŝytkownikau All input is evil! 15

16 Wprowadzenie do filtrowania danych Brak Czarne listy (black lists) Definiujemy dane, które odrzucimy Białe e listy (white lists) Definiujemy dane, które dopuścimy Problemem obu rodzajów list moŝe e być skomplikowana definicja WyraŜenia regularne Dodatkowe mechanizmy weryfikacji Sprawdzanie typu i wartości Enumeracja 16

17 WyraŜenie regularne w ASP Zadanie: Wprowadzić kod pocztowy wyraŝenie regularne: ^[0-9]{2,2} 9]{2,2}-[0-9]{3,3}$ adres URL: server.com/code.asp?code code= <% set code = request.querystring querystring("code") set re = new RegExp re.pattern="^[0-9]{2,2} 9]{2,2}-[0-9]{3,3}$" if re.test(code) then ' Postal code OK - run normally else ' Bad postal code - handle the error end if %> 17

18 Jak sytuacja wygląda w praktyce? Czy filtrowanie jest istotnie takim problemem? Grafika: 18

19 Atak XSS - opis XSS: Cross Site Scripting ZagroŜone one sąs strony, na których wyświetlana wietlana treść częś ęściowo zaleŝy y od uŝytkownikau komentarze, fora dyskusyjne formularze internetowe, wyszukiwarki strony pobierające parametry tekstowe z adresu URL Opis ataku Napastnik wysyła do podatnej na atak strony ciąg znaków w będący b kodem np.. JavaScript Nazywam się <script>alert(document.cookie)</script> Strona WWW wyświetla wietla ten ciąg, wykonując c kod 19

20 Atak XSS - przykład Trywialny przykład strona wyświetla wietla parametr URL o nazwie name <%response.write(request.querystring querystring("name"))%> service.com?name=<script>alert( >alert(document.coocoo kie)</ )</script> 20

21 Atak XSS - zagroŝenia Utrudnianie Ŝycia uŝytkownikomu Wyskakujące okienka KradzieŜ danych sesji uŝytkownikau Przesyłanie cookies na serwer kontrolowany przez napastnika Zaawansowane ataki XSS Skanowanie portów TCP w zdalnej sieci Podsłuchiwanie rozmów (ActiveX EasycallLite.ocx ocx) Odwołania do wskazanych stron z przeglądarki ofiary 21

22 Atak XSS - obrona Programista / administrator Odpowiednie filtrowanie danych,, w szczególno lności pod kątem występowania znaków <, > Definiowanie cookies z atrybutem httponly Konkurs! UŜytkownik Niewielkie moŝliwo liwości ingerencji nie naleŝy y klikać podesłanych przez nieznane osoby adresów URL, mogących zawierać fragmenty skryptu 22

23 Atak SQL Injection SQL Injection atak na bazę danych ZagroŜone one sąs strony odwołuj ujące się do baz danych przy pomocy parametrów w uzyskanych od uŝytkownikau Opis ataku Napastnik przekazuje złośliwe z parametry do zapytania Sfałszowane zapytanie powoduje wyświetlenie wietlenie na wynikowej stronie WWW innych danych niŝ zakładano adano, ich większej ilości lub informacji o strukturze bazy Napastnik uzyskuje dalsze informacje, pozwalające mu lepiej ukierunkować atak 23

24 Atak SQL Injection - podatny kod Strona pobiera z formularza parametr nazwisko set nazwisko = request.form("nazwisko") set objconn = Server.CreateObject("ADODB.Connection") objconn.open <CONNECTION_STRING> strsql = "SELECT * FROM pensje WHERE Nazwisko ='" strsql = strsql & nazwisko strsql = strsql & "'" set objrs = Server.CreateObject("ADODB.Recordset") objrs.open strsql, objconn do while not objrs.eof response.write("<br>") for each x in objrs.fields response.write(" " & x.name & " = " & x.value & " ") next objrs.movenext loop objconn.close 24

25 Atak SQL Injection - przykład 1 Dostęp do danych nazwisko: Baker or 1=1-- SQL Server 2005 SELECT * FROM pensje WHERE Nazwisko = Baker or 1=1-- 25

26 Atak SQL Injection - przykład 2 Modyfikacja danych Nazwisko: ' insert into pensje (Lp, Imie, Nazwisko, Pensja) values (5, Gerard, Frankowski', 10000)-- SQL Server

27 Atak SQL Injection - zagroŝenia Nieautoryzowany dostęp do danych Modyfikacja rekordów w bazy danych Dodanie lub usunięcie rekordów Usunięcie bazy danych Wykonywanie poleceń środowiska bazy danych i potencjalnie poleceń systemowych 27

28 Atak SQL Injection - obrona Programista Filtrowanie danych wejściowych uŝytkownikau pod kątem obecności ci znaków w specjalnych uŝywanej u wersji języka j obsługi baz danych Filtrowanie równier wnieŝ danych odczytanych z bazy! Administrator Odpowiednia konfiguracja środowiska bazodanowego Zasada minimalnych uprawnień Odpowiednia polityka kontroli dostępu 28

29 Sesja internetowa Protokół HTTP jest bezstanowy Nie pamięta ta historii połą łączeń Sesja internetowa WyróŜniany przez session ID zbiór r informacji o połą łączeniu Po stronie serwera plik sesji lub baza danych Po stronie klienta ciasteczka (cookies) 29

30 Ataki na sesje Opis przykładowego ataku Napastnik wykrywa, Ŝe e usługa uga umoŝliwia zdefiniowanie własnego identyfikatora sesji Podsuwa ofierze link Kliknij tu! Pod linkiem kryje się URL: website.com/< /<script>document.cookie= sessionid sessionid=abcd ; </script script> Ofiara klika link, co powoduje nawiązanie sesji z usług ugą website.com z identyfikatorem sesji abcd Napastnik co jakiś czas próbuje nawiąza zać sesję z tym samym indentyfikatorem Po udanej próbie napastnik przechwytuje sesję ofiary 30

31 Atak na sesję zagroŝenia Ujawnienie informacji o serwerze KradzieŜ sesji uŝytkownika u Podszycie się pod ofiarę KradzieŜ toŝsamo samości ofiary KradzieŜ danych, zawarcie fałszywej umowy, kradzieŝ środków w finansowych,,... 31

32 Ataki na sesję - obrona Programista / administrator Odpowiednia konfiguracja serwera WWW /.NET Unikanie wyświetlania wietlania informacji o błędach Bezpieczna konfiguracja sesji Czas Ŝycia ciasteczka oraz sesji Atrybuty secure, httponly Inne UŜytkownik Wybór r usług ug oferujących połą łączenia szyfrowane NaleŜy y wylogowywać się z usługi ugi,, a nie wyłą łączać przeglądark darkę 32

33 Ujawnianie informacji przez serwer NaraŜone sąs źle skonfigurowane serwery Usługi ujawniają szczegółowe informacje o błędach, wersje oprogramowania, ścieŝki,... Informacje te mogą być przydatne w planowaniu dalszych ataków Brak bezpośrednich zagroŝeń dla uŝytkownikau Ochrona (administrator / programista) Wyłą łączenie raportowania błęb łędów w na stronach WWW Zapis informacji o błędach do pliku logu 33

34 Ujawnianie informacji przez serwer - przykład Ochrona: Konfiguracja ASP.NET Własne pliki z komunikatami o błędach 34

35 Zdalne wykonywanie poleceń ZagroŜone one sąs strony: Pozwalające na załadowanie adowanie przez uŝytkownika u własnych plików,, a następnie odwoływanie się do nich Uruchamiające ce polecenia systemowe z parametrami przekazanymi przez uŝytkownikau Ochrona (programista) Filtrowanie typów w plików ładowanych na serwer Filtrowanie treści parametrów w poleceń pod kątem występowania znaków w specjalnych powłoki oki Najlepiej nie zezwolić na bezpośrednie kopiowanie parametrów w uŝytkownikau do treści polecenia! 35

36 Zdalne wykonywanie poleceń - przykład UŜytkownik forum moŝe e wgrać plik z informacjami o sobie Nie sprawdza się nazwy i zawartości pliku UŜytkownik wgrywa aplikacje cv.exe 36

37 Kto odpowiada za bezpieczeństwo? 37

38 Kto ma wpływ na bezpieczeństwo IT? Projektanci Ustalają, jak ma wygląda dać aplikacja Programiści Ustalają, jak wygląda rzeczywiście cie ;) Są ograniczani przez zakres projektu Administratorzy Konfigurują i udostępniaj pniają usług ugę Są ograniczeni m.in. przez efekt pracy projektantów i programistów UŜytkownicy Korzystają z dostarczonej usługi ugi Mogą nie mieć wiedzy technicznej 38

39 Czy to problem uŝytkownika? Historia z innej beczki... MnoŜą się przypadki samozapłonu onu peugeotów gospodarka.gazeta.pl/gospodark a/1,52981, /1,52981, html Feralny peugeot 307 nie był juŝ objęty gwarancją i nie miał ubezpieczenia autocasco. Właściciela nie stać na naprawę samochodu, obawia się równieŝ,ŝe e będzie b musiał pokryć koszty remontu budynku Zdjęcie pochodzi z witryny 39

40 UŜytkownik a bezpieczeństwo UŜytkownik nie ma specjalistycznej wiedzy dotyczącej cej zabezpieczeń To nie jest jego rola nie musi znać budowy silnika Prawdziwe zwłaszcza dla usług ug masowych UŜytkownik musi za to mieć (i stosować) wiedzę ogóln lną Prawo jazdy Zasada ograniczonego zaufania Rola edukacji uŝytkowniku ytkowników w na poziomie ogólnym Wiedza jest często droga i niestrawnie podana 40

41 Administratorzy i programiści Ja zabezpieczę usług ugę,, a uŝytkownicy i tak nie mają firewalla To nie jest wytłumaczenie umaczenie! UŜytkownik moŝe e chronić swój j komputer,, a i tak paść ofiarą ataku, będącego konsekwencją błędu bezpieczeństwa w usłudze udze Security in-depth Rola administratorów i programistów w dopełnia się z tą pełnion nioną przez uŝytkowniku ytkowników Potrzeba współdzia działania ania obu stron na rzecz zwiększenia bezpieczeństwa komputerowego MIC stara się aktywizować taką współprac pracę 41

42 Podsumowanie 42

43 Kupujemy bezpiecznie Sklep oferujący połą łączenia szyfrowane Adres: śółta kłódka k na pasku przeglądarki WaŜny certyfikat zaufanego dostawcy Wyjście ze strony sklepu przy pomocy przycisku lub linku Wyloguj, Wyjdź itp. Aktualny system, oprogramowanie antywirusowe i antyspyware,, firewall 43

44 Zakupy z głową Zdrowy rozsądek Gromadzenie opinii o sklepie Unikanie podejrzanie korzystnych ofert Unikanie tajemniczych adresów URL Czytanie komunikatów w błęb łędów Ustalanie trudnych do odgadnięcia cia,, a łatwych do zapamiętania haseł microsoft.com/protect/yourself/password/checker. mspx securitystats.com/tools/password..com/tools/password.phpphp Jedno hasło jedna usługa uga 44

45 Jak przygotować bezpieczny e-sklep? Bezpieczne środowisko działania ania System operacyjny Serwer WWW, baza danych Bezpieczeństwo usługi ugi CMS Konfiguracja serwera WWW, bazy danych Bezpieczne płatnop atności Zgodność z ustawą o ochronie danych osobowych 45

46 Co warto zapamiętać? Aplikacje internetowe sąs naraŝone na szereg ataków Szczególnie zagroŝone one sąs usługi ugi związane zane z przepływem danych osobowych i środków w finansowych, w tym sklepy internetowe Główną rolę w zabezpieczaniu e-usług ug pełni nią ich twórcy oraz administratorzy......ale uŝytkownicy muszą wiedzieć, jak bezpiecznie z moŝliwo liwości Internetu Knowing how to live with insecurity is the only security J. Allen Paulos 46

47 Wybrane źródła informacji MS o bezpieczeństwie zakupów w internetowych athome/security/o nline/shoppingonline shoppingonline.mspx Raport Zespołu u Bezpieczeństwa PCSS nt. bezpieczeństwa e-sklepów security.psnc.pl/reports/sklepy sklepy_internetowe_c ookies.pdf MS Security Guidance for IIS security/prodtech/ IIS.mspx The Open Web Application Security Project

48 Informacje kontaktowe Autorzy prezentacji gerard.frankowski blazej.miga Centrum Innowacji Microsoft mic.psnc.plpl man.poznan.plpl PCSS Zespół Bezpieczeństwa PCSS security.psnc.plpl man.poznan.plpl 48

49 Pytania i dyskusja Dziękujemy za uwagę! 49