Z kłódką na zakupy - bezpieczeństwo sklepów w internetowych Gerard Frankowski, BłaŜej Miga Zespół Bezpieczeństwa PCSS 1 Poznań,, 13.05.2008
Agenda Kim jesteśmy i co robimy? Zespół Bezpieczeństwa PCSS Bezpieczeństwo w MIC Wprowadzenie Znaczenie kwestii bezpieczeństwa Bezpieczeństwo e-zakupów Błędy, zagroŝenia enia, sposoby ochrony Kto odpowiada za bezpieczeństwo stwo? Podsumowanie, pytania, dyskusja 2
Kim jesteśmy i co robimy? 3
Kim jesteśmy? Zespół Bezpieczeństwa PCSS istnieje od 1996r. Zabezpieczanie infrastruktury PCSS Zadania bezpieczeństwa w projektach R&D Szkolenia,, transfer wiedzy Badania własnew Usługi zewnętrzne Najciekawsze badania z ostatnich lat Bezpieczeństwo komunikatorów w internetowych Badania sieci bezprzewodowych na terenie Poznania Raport nt. bezpieczeństwa bankowości elektronicznej Bezpieczeństwo serwerów WWW (Apache, MS IIS) Bezpieczeństwo sklepów w internetowych http://security security.psnc.plpl 4
Bezpieczeństwo w MIC Centrum bezpieczeństwa i usług ug outsourcingowych Zadania bezpieczeństwa w 2007 r.: Bezpłatne audyty bezpieczeństwa Instytucja samorządowa Firma z sektora MŚP Program szkoleń bezpieczeństwa 4 szkolenia,, ok. 120 uczestników Średnia ocen: : 3,89/5 Badania serwera MS IIS Confidence 2007 SecureCON 2007 5
Bezpieczeństwo w MIC (2) Zadania bezpieczeństwa MIC w 2008 r.: Kontynuacja programu szkoleń 10.04.08 Format MS OpenXML Czerwiec 2008 bezpieczeństwo w firmie II półrocze 2008 omijanie firewalli w Windows II półrocze 2008 obrona przed spamem Badania zabezpieczeń technologii Microsoft Windows Live! Messenger (?) Zabezpieczanie infrastruktury MIC w PCSS 6
Wprowadzenie 7
W czym pomoŝe prezentacja? Przedstawienie kwestii bezpieczeństwa e-zakupów i wskazanie, jak ma się ono do innych usług ug dostępnych w Internecie Pokazanie przykład adów w błęb łędów i ataków, a takŝe e sposobów w ochrony Ustalenie, kto jest odpowiedzialny za bezpieczeństwo usług ug w Internecie Doradzenie dostarczycielom usług ug, jak oferować bezpieczne rozwiązania zania Doradzenie uŝytkownikomu ytkownikom, jak mają się bronić przed zagroŝeniami 8
Bezpieczeństwo w Internecie Kilka faktów Symantec: 1 000 000 wirusów Złośliwe oprogramowanie ukrywa się Dziś nie chodzi o prestiŝ,, ale o pieniądze Computer Economics: 13,3 mld strat malware (2006) Szczególnie zagroŝone one są: s Usługi bankowości elektronicznej Serwisy płatniczep Sklepy internetowe, portale aukcyjne Portale społeczno ecznościoweciowe DuŜe e serwery 9
Co jest interesującego w e-sklepach? Dynamicznie rosnący sektor rynku Świat: Prognoza 130 mld $ obrotu w roku 2010 Polska: Początek 2008: ok. 3300 sklepów Przychód w 2007: 8 mld PLN, wzrost o 300% do 2010? Blokada Poczty Polskiej w grudniu 2007 r. Specyfika e-zakupów Korzystne, tanie oferty Wygoda poszukiwania towarów Szerokie moŝliwo liwości porównywania cen Ujawnienie toŝsamo samości (!) 10
e-sklepy to jedna z usług WWW Specyfika zakupów w przez Internet pod kątem bezpieczeństwa stwa: Wysoka popularność wielu uŝytkowniku ytkowników nieukierunkowanych technicznie Operowanie danymi osobowymi MoŜliwo liwość wyłudze udzeń i kradzieŝy y toŝsamo samości Praktycznie kaŝdy moŝe e załoŝyć e-sklep Ponadto e-sklepy mogą być naraŝone na takie same ataki,, co inne aplikacje WWW Ze względu na obecność środków w finansowych i danych osobowych ich skutki mogą być groźniejsze 11
ZagroŜenia specyficzne dla e-sklepów Utrata pieniędzy Bezpośredni atak jest trudniejszy w przypadku korzystania z zewnętrznych mechanizmów w płatnop atności Ujawnienie informacji o uŝytkowniku Stan majątkowy Adres zamieszkania i inne dane osobowe Zainteresowania, preferencje Utrudnianie Ŝycia Zawieranie umów w czyimś imieniu Zasypywanie niechcianymi towarami 12
Ogólne zagroŝenia usług WWW Ataki na serwery Szpiegostwo przemysłowe Szkodzenie konkurencji Ataki na serwery i komputery uŝytkowniku ytkowników Przejmowanie maszyn KradzieŜ mocy obliczeniowej KradzieŜ danych osobowych i toŝsamo samości Rozsyłanie spamu SzantaŜ Organizowanie botnetów ataki DDoS itd. 13
Błędy, zagroŝenia, sposoby ochrony 14
Główna przyczyna problemów Nieodpowiednie filtrowanie danych lub jego brak jest bezpośredni rednią przyczyną większo kszości najpowaŝniejszych niejszych luk bezpieczeństwa Przepełnienie bufora XSS (Cross Site Scripting) SQL Injection Remote Code Execution Projektanci i programiści nie mogą ufać Ŝadnym danym wejściowym ciowym, zwłaszcza pochodzącym cym od uŝytkownikau All input is evil! 15
Wprowadzenie do filtrowania danych Brak Czarne listy (black lists) Definiujemy dane, które odrzucimy Białe e listy (white lists) Definiujemy dane, które dopuścimy Problemem obu rodzajów list moŝe e być skomplikowana definicja WyraŜenia regularne Dodatkowe mechanizmy weryfikacji Sprawdzanie typu i wartości Enumeracja 16
WyraŜenie regularne w ASP Zadanie: Wprowadzić kod pocztowy wyraŝenie regularne: ^[0-9]{2,2} 9]{2,2}-[0-9]{3,3}$ adres URL: http://server server.com/code.asp?code code=61-874 <% set code = request.querystring querystring("code") set re = new RegExp re.pattern="^[0-9]{2,2} 9]{2,2}-[0-9]{3,3}$" if re.test(code) then ' Postal code OK - run normally else ' Bad postal code - handle the error end if %> 17
Jak sytuacja wygląda w praktyce? Czy filtrowanie jest istotnie takim problemem? Grafika: http://webappsec.org 18
Atak XSS - opis XSS: Cross Site Scripting ZagroŜone one sąs strony, na których wyświetlana wietlana treść częś ęściowo zaleŝy y od uŝytkownikau komentarze, fora dyskusyjne formularze internetowe, wyszukiwarki strony pobierające parametry tekstowe z adresu URL Opis ataku Napastnik wysyła do podatnej na atak strony ciąg znaków w będący b kodem np.. JavaScript Nazywam się <script>alert(document.cookie)</script> Strona WWW wyświetla wietla ten ciąg, wykonując c kod 19
Atak XSS - przykład Trywialny przykład strona wyświetla wietla parametr URL o nazwie name <%response.write(request.querystring querystring("name"))%> http://service service.com?name=<script>alert( >alert(document.coocoo kie)</ )</script> 20
Atak XSS - zagroŝenia Utrudnianie Ŝycia uŝytkownikomu Wyskakujące okienka KradzieŜ danych sesji uŝytkownikau Przesyłanie cookies na serwer kontrolowany przez napastnika Zaawansowane ataki XSS Skanowanie portów TCP w zdalnej sieci Podsłuchiwanie rozmów (ActiveX EasycallLite.ocx ocx) Odwołania do wskazanych stron z przeglądarki ofiary 21
Atak XSS - obrona Programista / administrator Odpowiednie filtrowanie danych,, w szczególno lności pod kątem występowania znaków <, > Definiowanie cookies z atrybutem httponly Konkurs! UŜytkownik Niewielkie moŝliwo liwości ingerencji nie naleŝy y klikać podesłanych przez nieznane osoby adresów URL, mogących zawierać fragmenty skryptu 22
Atak SQL Injection SQL Injection atak na bazę danych ZagroŜone one sąs strony odwołuj ujące się do baz danych przy pomocy parametrów w uzyskanych od uŝytkownikau Opis ataku Napastnik przekazuje złośliwe z parametry do zapytania Sfałszowane zapytanie powoduje wyświetlenie wietlenie na wynikowej stronie WWW innych danych niŝ zakładano adano, ich większej ilości lub informacji o strukturze bazy Napastnik uzyskuje dalsze informacje, pozwalające mu lepiej ukierunkować atak 23
Atak SQL Injection - podatny kod Strona pobiera z formularza parametr nazwisko set nazwisko = request.form("nazwisko") set objconn = Server.CreateObject("ADODB.Connection") objconn.open <CONNECTION_STRING> strsql = "SELECT * FROM pensje WHERE Nazwisko ='" strsql = strsql & nazwisko strsql = strsql & "'" set objrs = Server.CreateObject("ADODB.Recordset") objrs.open strsql, objconn do while not objrs.eof response.write("<br>") for each x in objrs.fields response.write(" " & x.name & " = " & x.value & " ") next objrs.movenext loop objconn.close 24
Atak SQL Injection - przykład 1 Dostęp do danych nazwisko: Baker or 1=1-- SQL Server 2005 SELECT * FROM pensje WHERE Nazwisko = Baker or 1=1-- 25
Atak SQL Injection - przykład 2 Modyfikacja danych Nazwisko: ' insert into pensje (Lp, Imie, Nazwisko, Pensja) values (5, Gerard, Frankowski', 10000)-- SQL Server 2005 26
Atak SQL Injection - zagroŝenia Nieautoryzowany dostęp do danych Modyfikacja rekordów w bazy danych Dodanie lub usunięcie rekordów Usunięcie bazy danych Wykonywanie poleceń środowiska bazy danych i potencjalnie poleceń systemowych 27
Atak SQL Injection - obrona Programista Filtrowanie danych wejściowych uŝytkownikau pod kątem obecności ci znaków w specjalnych uŝywanej u wersji języka j obsługi baz danych Filtrowanie równier wnieŝ danych odczytanych z bazy! Administrator Odpowiednia konfiguracja środowiska bazodanowego Zasada minimalnych uprawnień Odpowiednia polityka kontroli dostępu 28
Sesja internetowa Protokół HTTP jest bezstanowy Nie pamięta ta historii połą łączeń Sesja internetowa WyróŜniany przez session ID zbiór r informacji o połą łączeniu Po stronie serwera plik sesji lub baza danych Po stronie klienta ciasteczka (cookies) 29
Ataki na sesje Opis przykładowego ataku Napastnik wykrywa, Ŝe e usługa uga umoŝliwia zdefiniowanie własnego identyfikatora sesji Podsuwa ofierze link Kliknij tu! Pod linkiem kryje się URL: http://website website.com/< /<script>document.cookie= sessionid sessionid=abcd ; </script script> Ofiara klika link, co powoduje nawiązanie sesji z usług ugą website.com z identyfikatorem sesji abcd Napastnik co jakiś czas próbuje nawiąza zać sesję z tym samym indentyfikatorem Po udanej próbie napastnik przechwytuje sesję ofiary 30
Atak na sesję zagroŝenia Ujawnienie informacji o serwerze KradzieŜ sesji uŝytkownika u Podszycie się pod ofiarę KradzieŜ toŝsamo samości ofiary KradzieŜ danych, zawarcie fałszywej umowy, kradzieŝ środków w finansowych,,... 31
Ataki na sesję - obrona Programista / administrator Odpowiednia konfiguracja serwera WWW /.NET Unikanie wyświetlania wietlania informacji o błędach Bezpieczna konfiguracja sesji Czas Ŝycia ciasteczka oraz sesji Atrybuty secure, httponly Inne UŜytkownik Wybór r usług ug oferujących połą łączenia szyfrowane NaleŜy y wylogowywać się z usługi ugi,, a nie wyłą łączać przeglądark darkę 32
Ujawnianie informacji przez serwer NaraŜone sąs źle skonfigurowane serwery Usługi ujawniają szczegółowe informacje o błędach, wersje oprogramowania, ścieŝki,... Informacje te mogą być przydatne w planowaniu dalszych ataków Brak bezpośrednich zagroŝeń dla uŝytkownikau Ochrona (administrator / programista) Wyłą łączenie raportowania błęb łędów w na stronach WWW Zapis informacji o błędach do pliku logu 33
Ujawnianie informacji przez serwer - przykład Ochrona: Konfiguracja ASP.NET Własne pliki z komunikatami o błędach 34
Zdalne wykonywanie poleceń ZagroŜone one sąs strony: Pozwalające na załadowanie adowanie przez uŝytkownika u własnych plików,, a następnie odwoływanie się do nich Uruchamiające ce polecenia systemowe z parametrami przekazanymi przez uŝytkownikau Ochrona (programista) Filtrowanie typów w plików ładowanych na serwer Filtrowanie treści parametrów w poleceń pod kątem występowania znaków w specjalnych powłoki oki Najlepiej nie zezwolić na bezpośrednie kopiowanie parametrów w uŝytkownikau do treści polecenia! 35
Zdalne wykonywanie poleceń - przykład UŜytkownik forum moŝe e wgrać plik z informacjami o sobie Nie sprawdza się nazwy i zawartości pliku UŜytkownik wgrywa aplikacje cv.exe 36
Kto odpowiada za bezpieczeństwo? 37
Kto ma wpływ na bezpieczeństwo IT? Projektanci Ustalają, jak ma wygląda dać aplikacja Programiści Ustalają, jak wygląda rzeczywiście cie ;) Są ograniczani przez zakres projektu Administratorzy Konfigurują i udostępniaj pniają usług ugę Są ograniczeni m.in. przez efekt pracy projektantów i programistów UŜytkownicy Korzystają z dostarczonej usługi ugi Mogą nie mieć wiedzy technicznej 38
Czy to problem uŝytkownika? Historia z innej beczki... MnoŜą się przypadki samozapłonu onu peugeotów http://gospodarka gospodarka.gazeta.pl/gospodark a/1,52981,2784231. /1,52981,2784231.html Feralny peugeot 307 nie był juŝ objęty gwarancją i nie miał ubezpieczenia autocasco. Właściciela nie stać na naprawę samochodu, obawia się równieŝ,ŝe e będzie b musiał pokryć koszty remontu budynku Zdjęcie pochodzi z witryny www.motoforum.pl 39
UŜytkownik a bezpieczeństwo UŜytkownik nie ma specjalistycznej wiedzy dotyczącej cej zabezpieczeń To nie jest jego rola nie musi znać budowy silnika Prawdziwe zwłaszcza dla usług ug masowych UŜytkownik musi za to mieć (i stosować) wiedzę ogóln lną Prawo jazdy Zasada ograniczonego zaufania Rola edukacji uŝytkowniku ytkowników w na poziomie ogólnym Wiedza jest często droga i niestrawnie podana 40
Administratorzy i programiści Ja zabezpieczę usług ugę,, a uŝytkownicy i tak nie mają firewalla To nie jest wytłumaczenie umaczenie! UŜytkownik moŝe e chronić swój j komputer,, a i tak paść ofiarą ataku, będącego konsekwencją błędu bezpieczeństwa w usłudze udze Security in-depth Rola administratorów i programistów w dopełnia się z tą pełnion nioną przez uŝytkowniku ytkowników Potrzeba współdzia działania ania obu stron na rzecz zwiększenia bezpieczeństwa komputerowego MIC stara się aktywizować taką współprac pracę 41
Podsumowanie 42
Kupujemy bezpiecznie Sklep oferujący połą łączenia szyfrowane Adres: https://... śółta kłódka k na pasku przeglądarki WaŜny certyfikat zaufanego dostawcy Wyjście ze strony sklepu przy pomocy przycisku lub linku Wyloguj, Wyjdź itp. Aktualny system, oprogramowanie antywirusowe i antyspyware,, firewall 43
Zakupy z głową Zdrowy rozsądek Gromadzenie opinii o sklepie Unikanie podejrzanie korzystnych ofert Unikanie tajemniczych adresów URL Czytanie komunikatów w błęb łędów Ustalanie trudnych do odgadnięcia cia,, a łatwych do zapamiętania haseł www.microsoft microsoft.com/protect/yourself/password/checker. mspx www.securitystats securitystats.com/tools/password..com/tools/password.phpphp Jedno hasło jedna usługa uga 44
Jak przygotować bezpieczny e-sklep? Bezpieczne środowisko działania ania System operacyjny Serwer WWW, baza danych Bezpieczeństwo usługi ugi CMS Konfiguracja serwera WWW, bazy danych Bezpieczne płatnop atności Zgodność z ustawą o ochronie danych osobowych 45
Co warto zapamiętać? Aplikacje internetowe sąs naraŝone na szereg ataków Szczególnie zagroŝone one sąs usługi ugi związane zane z przepływem danych osobowych i środków w finansowych, w tym sklepy internetowe Główną rolę w zabezpieczaniu e-usług ug pełni nią ich twórcy oraz administratorzy......ale uŝytkownicy muszą wiedzieć, jak bezpiecznie z moŝliwo liwości Internetu Knowing how to live with insecurity is the only security J. Allen Paulos 46
Wybrane źródła informacji MS o bezpieczeństwie zakupów w internetowych http://www www.microsoft.com/poland/athome athome/security/o nline/shoppingonline shoppingonline.mspx Raport Zespołu u Bezpieczeństwa PCSS nt. bezpieczeństwa e-sklepów http://security security.psnc.pl/reports/sklepy sklepy_internetowe_c ookies.pdf MS Security Guidance for IIS http://www www.microsoft.com/technet/security security/prodtech/ IIS.mspx The Open Web Application Security Project http://www www.owasp.orgorg 47
Informacje kontaktowe Autorzy prezentacji gerard.frankowski frankowski@man.poznan.plpl blazej.miga miga@man.poznan.plpl Centrum Innowacji Microsoft http://mic mic.psnc.plpl mic@man man.poznan.plpl PCSS http://www www.pcss.plpl Zespół Bezpieczeństwa PCSS http://security security.psnc.plpl security@man man.poznan.plpl 48
Pytania i dyskusja Dziękujemy za uwagę! 49