23.7.2015 0 Comments

Databáza pod kontrolou

Práve ste dokončili nákup v e-shope a tešíte sa z nového výrobku. Čo môže radosť zaručene prekaziť je napríklad situácia kedy sa zákazník z ničoho nič ocitne v debete kvôli zneužitiu údajov o platbe, uložených v databázach slabo zabezpečeného e-shopu na ktorom vykonal transakciu.

Aj napriek faktu, že prevádzkovateľ je zo zákona o ochrane osobných údajoch povinný chrániť spracúvané osobné údaje a zabezpečovať aktualizáciu bezpečnostných opatrení, nie sú ojedinelé prípady, kedy sa stávajú databázy elektronických obchodov terčom hackerských útokov. V digitalizovanej dobe, kedy sú dáta „krvou" každej organizácie sa opatrenia smerujúce k ochrane citlivých informácií v databázach môžu ukázať ako veľmi výhodné práve preto, že dokážu predísť mnohým nepríjemným následkom spojeným s odcudzením údajov. Vďaka častému výskytu slabo zabezpečených e-shopov, nepotrebujú útočníci pre vniknutie do administrátorského rozhrania ani hlboké technické znalosti. K prieniku do databázy býva využívaná napríklad chyba SQL Injection, ktorá dovoľuje manipulovať s údajmi v databáze bez nutnosti vlastníctva prístupov. Vďaka využitiu uvedenej zraniteľnosti je často možné získať úplný prístup k databáze servera. Princípom tejto chyby je vkladanie nových dotazov do už existujúcich dotazov. Bližšia špecifikácia chyby a jej využitia je dostupná napríklad v testovacej príručke OWASP

Zopakujme si, ktoré informácie o zákazníkoch sa najčastejšie ukladajú v databázach:

  • osobné údaje ako meno, priezvisko, dátum narodenia a doplňujúce kontaktné údaje
  • užívateľské meno a heslo
  • údaje o transakcii - iniciály použitej platobnej karty vrátane čísla karty a CVV, ktorým sa autentifikujú platby

Treba podotknúť, že v databázach elektronických obchodov sa uložia len tie informácie, ktoré preddefinoval jej tvorca. Za ochranu digitálneho súkromia zákazníkov zodpovedá prevádzkovateľ. Hrozby zneužitia údajov z klientských databáz nie sú žiadnou novinkou, no aj napriek tomu sa stále nájde mnoho prípadov aj z radu úspešných podnikateľov, ktorí toto riziko podceňujú. Z nášho geografického prostredia si môžeme spomenúť na nedávny prípad predajcu elektroniky. Začiatkom roku 2015 bola zverejnená informácia o nedostatočnom zabezpečení e-shopu Alza. Priamo v predajni bolo možné sledovať a odchytávať prostredníctvom voľne dostupnej wi-fi komunikáciu prebiehajúcu po sieti.

V praxi to vyzeralo tak, že útočník bol schopný sledovať komunikáciu, ktorá prebiehala po sieti nešifrovane (všetky akcie vrátane užívateľských hesiel). V priebehu pár minút bez nutnosti odchytávania hesla dostať do užívateľského účtu. Nakupovanie na cudzí účet Alza zlodejom uľahčila práve tým, že si do databáz nastavila automatické ukladanie kreditných kariet. Útočník nemusel kradnúť heslá, ale postačilo mu ukradnúť iba session.

Šifrovanie a HTTPS

Spôsob, kedy sú elektronické platby realizované prostredníctvom zadania je najnevhodnejší práve preto, že čísla kreditnej karty sa ukladajú do databázy, ktorá môže byť zneužitá aj s časovým odstupom. Bezpečným spôsobom je využitie gateway ako napríklad TatraPay, ČSOB alebo PayPal služby vďaka ktorej je úplne vynechané zadávanie detailov platobnej karty a jej následné archivovanie do databázy. V ideálnom prípade by mal e-shop používať dostatočne silnú šifru hesla používateľa a HTTPS zabezpečený protokol s podpísaným certifikátom dôveryhodnej certifikačnej autority. V rámci databázy by sa nemali ukladať nikdy heslá nešifrovane ale použiť napríklad overenú šifru Blowfish.

Najbezpečnejším spôsobom ako zrealizovať platbu cez internet je vyhnúť sa zadávaniu detailov platobnej karty. Všetky platby realizovať cez gateway ako TatraPay, ČSOB a podobné služby. Skvelou možnosťou je realizovať platbu cez PayPal. Najrizikovejším spôsobom pre uskutočnenie platby je zadávanie údajov svojej kreditnej karty cez HTTP protokol nešifrovaným pripojením priamo na stránkach e-shopu.

Lucia Krajňáková, Nethemba

 


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť 1

FSB: Ruským bankám hrozia kyberútoky zo zahraničia

03.12.2016 00:05

Ruská Federálna bezpečnostná služba (FSB) varovala, že bližšie nešpecifikované zahraničné tajné služby plánovali sériu kybernetických útokov na ruský bankový systém. FSB údajne identifikovala servery ...

Bezpečnosť 1

Elektrické autá budú musieť pri nízkych rýchlostiach vydávať umelý zvuk, aby neohrozovali chodcov

29.11.2016 00:22

Podľa nového nariadenia vydaného americkým Národným úradom pre bezpečnosť cestnej premávky budú musieť byť elektrické a hybridné vozidlá hlučnejšie počas jazdy pri nízkej rýchlosti. Má sa tým zabrániť ...

Bezpečnosť

Aj slúchadlá vás môžu špehovať. Malvér z nich urobí mikrofón

28.11.2016 00:16

Opatrní používatelia počítačov prelepujú ich webovú kameru páskou. Iní sa obávajú sledovania pomocou mikrofónov, preto vypínajú či dokonca odstraňujú tieto audiokomponenty. No skupina izraelských výsk ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá