23.7.2015 0 Comments

Databáza pod kontrolou

Práve ste dokončili nákup v e-shope a tešíte sa z nového výrobku. Čo môže radosť zaručene prekaziť je napríklad situácia kedy sa zákazník z ničoho nič ocitne v debete kvôli zneužitiu údajov o platbe, uložených v databázach slabo zabezpečeného e-shopu na ktorom vykonal transakciu.

Aj napriek faktu, že prevádzkovateľ je zo zákona o ochrane osobných údajoch povinný chrániť spracúvané osobné údaje a zabezpečovať aktualizáciu bezpečnostných opatrení, nie sú ojedinelé prípady, kedy sa stávajú databázy elektronických obchodov terčom hackerských útokov. V digitalizovanej dobe, kedy sú dáta „krvou" každej organizácie sa opatrenia smerujúce k ochrane citlivých informácií v databázach môžu ukázať ako veľmi výhodné práve preto, že dokážu predísť mnohým nepríjemným následkom spojeným s odcudzením údajov. Vďaka častému výskytu slabo zabezpečených e-shopov, nepotrebujú útočníci pre vniknutie do administrátorského rozhrania ani hlboké technické znalosti. K prieniku do databázy býva využívaná napríklad chyba SQL Injection, ktorá dovoľuje manipulovať s údajmi v databáze bez nutnosti vlastníctva prístupov. Vďaka využitiu uvedenej zraniteľnosti je často možné získať úplný prístup k databáze servera. Princípom tejto chyby je vkladanie nových dotazov do už existujúcich dotazov. Bližšia špecifikácia chyby a jej využitia je dostupná napríklad v testovacej príručke OWASP

Zopakujme si, ktoré informácie o zákazníkoch sa najčastejšie ukladajú v databázach:

  • osobné údaje ako meno, priezvisko, dátum narodenia a doplňujúce kontaktné údaje
  • užívateľské meno a heslo
  • údaje o transakcii - iniciály použitej platobnej karty vrátane čísla karty a CVV, ktorým sa autentifikujú platby

Treba podotknúť, že v databázach elektronických obchodov sa uložia len tie informácie, ktoré preddefinoval jej tvorca. Za ochranu digitálneho súkromia zákazníkov zodpovedá prevádzkovateľ. Hrozby zneužitia údajov z klientských databáz nie sú žiadnou novinkou, no aj napriek tomu sa stále nájde mnoho prípadov aj z radu úspešných podnikateľov, ktorí toto riziko podceňujú. Z nášho geografického prostredia si môžeme spomenúť na nedávny prípad predajcu elektroniky. Začiatkom roku 2015 bola zverejnená informácia o nedostatočnom zabezpečení e-shopu Alza. Priamo v predajni bolo možné sledovať a odchytávať prostredníctvom voľne dostupnej wi-fi komunikáciu prebiehajúcu po sieti.

V praxi to vyzeralo tak, že útočník bol schopný sledovať komunikáciu, ktorá prebiehala po sieti nešifrovane (všetky akcie vrátane užívateľských hesiel). V priebehu pár minút bez nutnosti odchytávania hesla dostať do užívateľského účtu. Nakupovanie na cudzí účet Alza zlodejom uľahčila práve tým, že si do databáz nastavila automatické ukladanie kreditných kariet. Útočník nemusel kradnúť heslá, ale postačilo mu ukradnúť iba session.

Šifrovanie a HTTPS

Spôsob, kedy sú elektronické platby realizované prostredníctvom zadania je najnevhodnejší práve preto, že čísla kreditnej karty sa ukladajú do databázy, ktorá môže byť zneužitá aj s časovým odstupom. Bezpečným spôsobom je využitie gateway ako napríklad TatraPay, ČSOB alebo PayPal služby vďaka ktorej je úplne vynechané zadávanie detailov platobnej karty a jej následné archivovanie do databázy. V ideálnom prípade by mal e-shop používať dostatočne silnú šifru hesla používateľa a HTTPS zabezpečený protokol s podpísaným certifikátom dôveryhodnej certifikačnej autority. V rámci databázy by sa nemali ukladať nikdy heslá nešifrovane ale použiť napríklad overenú šifru Blowfish.

Najbezpečnejším spôsobom ako zrealizovať platbu cez internet je vyhnúť sa zadávaniu detailov platobnej karty. Všetky platby realizovať cez gateway ako TatraPay, ČSOB a podobné služby. Skvelou možnosťou je realizovať platbu cez PayPal. Najrizikovejším spôsobom pre uskutočnenie platby je zadávanie údajov svojej kreditnej karty cez HTTP protokol nešifrovaným pripojením priamo na stránkach e-shopu.

Lucia Krajňáková, Nethemba

 


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

6 trendov najbližších rokov. Umelá inteligencia odhaľuje hackerov, fog computing a kolaborácia v cloude

13.01.2017 00:18

Rok 2016 jednoznačne potvrdil, že súčasný svet sa mení a digitalizácia sa dostáva do všetkých oblastí nášho života. Napríklad rozšírená realita umožnila milovníkom Pokémonov nachytať si svoje obľúbené ...

Bezpečnosť

Pravidlá ochrany súkromia budú platiť aj pre WhatsApp, Facebook Messenger, Skype, Gmail, iMessage a Viber

12.01.2017 00:12

Stále viac Európanov komunikuje elektronicky. Na dennej alebo takmer dennej báze používa mobil na telefonovanie a písanie správ 74 percent Európanov. Internet denne využíva 60 percent a e-maily posiel ...

Bezpečnosť

KillDisk útočí už aj na operačný systém Linux, ako výkupné za odšifrovanie dát chce 200-tisíc eur

10.01.2017 00:24

Výskumníci z bezpečnostnej spoločnosti ESET objavili variant škodlivého kódu KillDisk, ktorý útočí aj na operačný systém Linux. KillDisk je škodlivý kód, ktorý bol na sklonku roka 2015 použitý pri úto ...

Žiadne komentáre

Vyhľadávanie

ITSMF jar

Najnovšie videá