Menu

Polski e-commerce i zarządzanie e-firmą

Nazywam się Paweł Fornalski. Jestem założycielem i prezesem IAI S.A., dostawcy rozwiązań e-commerce dla sklepów internetowych i rezerwacji noclegów dla właścicieli apartamentów i hoteli. Na tym blogu piszę, w oderwaniu od oficjalnych poglądów innych właścicieli i pracowników IAI o tym co mnie prywatnie porusza. Gdybyś chciał się skontaktować pisz na pawel(a)fornalski.pl

Wpisy otagowane : PHP

Bezpieczeństwo i włamania do sklepów internetowych

pfornalski

Serwis Aukcje.org przeprowadził ze mną wywiad, który dzisiaj w nocy został opublikowany pod tytułem "Bezpieczeństwo w sklepie internetowym". Polecam lekturę tego artykułu, ponieważ nie przypominam sobie, aby poza banalnymi opracowaniami, zwanymi też raportami na temat bezpieczeństwa (wielu) sklepów internetowych coś w tej sprawie w ciągu ostatnich paru lat napisano w oficjalnych kanałach. Tym czasem podziemie komputerowego świata ciągle przyciąga najinteligentniejszych informatyków i warto o tym pamiętać. Świetnie skomentował to Jacek Strzembkowski, naczelny Aukcje.org "Ktoś odsyła zakupiony towar, poczta gubi przesyłkę, zakup okazuje się niezgodny z deklaracją sprzedawcy i na koniec dostajemy niezasłużonego negatywa - tak na ryzyko i niebezpieczne sytuacje w handlu elektronicznym patrzą aukcjonerzy. Hakerzy, ataki, włamania…? Administracje platform aukcyjnych robią wszystko, aby użytkownicy spali spokojnie. Działania ludzi odpowiedzialnych za bezpieczeństwo są niezauważalne.

Spora część aukcjonerów decydując się na start własnego sklepu żyje w złudnym komforcie bezpieczeństwa, do którego przyzwyczaili się w serwisach aukcji. Cóż złego może się stać? Od 10 lat jestem na Allegro i jedyne niebezpieczeństwo z jakim miałem do czynienia to spam nigeryjski i wirusy w poczcie! Tak, do tej pory ktoś dbał o Twój tyłek. Uwierz, byli to najlepsi fachowcy w branży - raczej nie uda Ci się zatrudnić żadnego z nich. Teraz, kiedy jesteś na swoim - radź sobie sam.

Jaka jest faktyczna skala zagrożenia? Jak może wyglądać atak? Czy bezpieczeństwo w sklepie można sobie kupić? O odpowiedź poprosiłem Pawła Fornalskiego, ceo IAI S.A. - producenta oprogramowania do prowadzenia sklepu internetowego IAI-Shop.com działającego w modelu SaaS:"

Oto pierwsza część wywiadu:

Aukcje.org, Jacek Strzembkowski: Jak wygląda zabezpieczanie aplikacji w chmurze? Czy SaaS upraszcza ochronę danych Waszych klientów?

IAI-Shop.com, CEO IAI S.A. Paweł Fornalski: Zabezpieczanie aplikacji webowych, działających w chmurze nie różni się znacząco od zabezpieczania aplikacji webowych działających w hostingu. Sam SaaS to po prostu model dostarczania aplikacji i rozliczania się z klientami, a nie jakaś zupełnie inna technologia. Nie jest to jakaś specjalna technologia, która zwiększa bezpieczeństwo. W ramach chmury (ang. Cloud) dostarczamy klientom rozwiązanie sprzętowo-programowe. Nie jest tak, że klient kupuje program i musi go zainstalować w środowisku produkcyjnym, do czego najczęściej osoby nie będące ekspertami od bezpieczeństwa po prostu nie mają kwalifikacji. Nawet jeżeli rozwiązania innych firm, nie działające w chmurze, mają jakieś zabezpieczenia to mogą być one nieskuteczne w środowisku produkcyjnym. To trochę tak jak by kupić system alarmowy, przynieść go do domu i będąc z zawodu sprzedawcą w hurtowni motoryzacyjnej, instalować go samodzielnie. Taki system alarmowy sam może działać, ale popełnimy błędy np. w rozmieszczeniu czujek, ich konfiguracji, nie pomyślimy o odpowiednim zabezpieczeniu przed spaleniem przepięciowym itp. Olbrzymie znaczenie w ofercie IAI ma to, że nasi inżynierowie kontrolują środowisko produkcyjne od początku do końca. A zatem klient nie musi myśleć o zgraniu technologii sprzętowej, systemu operacyjnego i programu. Olbrzymie znaczenie ma również jednorodność środowiska, które wystawiane jest na próby z zakresu bezpieczeństwa, ale również stabilności i skalowalności każdego dnia. Jeżeli tylko zostanie coś niepokojącego jest przez nas wychwycone, wprowadzamy zmiany w całej chmurze, a więc dany problem wcale nie musiał być zgłoszony przez danego klienta, aby został u niego usunięty. Podsumowując, nie jesteśmy jak Microsoft który dostarcza Windows, który musisz móc instalować na wszystkim, ale jesteśmy jak Apple, który dostarcza sprzęt i doskonale zespolony z nim system operacyjny i programy. W ten sposób można taniej uzyskać wyższą jakość i większe bezpieczeństwo.

Czy istnieją zagrożenia specyficzne dla systemów w chmurze?

Nie istnieje coś takiego jak zagrożenia specyficzne dla chmur. Oczywistym jest to, że dostawca chmury musi doskonale znać się nie tylko na pisaniu programu, ale również na sieciach, administracji serwerami i wszystkim tym co jest potrzebne aby aplikacja webowa działała. Problem w tym, że większość posiadających sklepy internetowe, a nawet wiele firm piszących soft do prowadzenia sklepu internetowego, nie orientuje się za dobrze w kwestiach bezpieczeństwa. Większość ze sprzedawców internetowych skupia się na rejestracji w GIODO, SSL i wierzy, że firmy hostingowe załatwią za nich te kwestie. Tym czasem dobra firma hostingowa zapewnia bezpieczeństwo na poziomie systemu operacyjnego i usług w rodzaju serwera WWW. A główna słabość leży w budowie programu który instalowany jest w takim środowisku. W dzisiejszych czasach rzadko obserwuję spektakularne włamania, które jak w filmach po wpisaniu magicznej komendy w terminalu dają dostęp do wszystkiego. Dzisiejsze systemy operacyjne i serwery WWW są same w sobie mocno udoskonalone, zwłaszcza te oparte o Linux i Unix. Większość zagrożeń leży w źle napisanych programach.
Wiem, że oczekujesz ode mnie konkretów, więc podam parę popularnych ataków. Po pierwsze proponuję przyjrzeć się w swoich sklepach przyjrzeć protokołom wymiany danych, zwłaszcza komunikacji AJAX. Chociaż ciągle coś takiego jak zabezpieczenia przed SQL Injection czyli spreparowaniem danych wejściowych tak aby zmienić działanie zapytań SQL są aktualne. Jeżeli na tak prosty atak jest podatny kod sklepu internetowego, a dodatkowo użytkownik nie wyłączył wyświetlania błędów serwera WWW w oknie przeglądarki, to włam jest niemal gotowy i nikt nie musi rozgryzać struktury wywołań AJAX czy stosować innych skomplikowanych technik. Inny częsty błąd to nieodpowiednie uprawnienia do plików. W tym przypadku odgadując url np.www.mojsklep.pl/export/ceneo.xml nasz konkurent może śledzić na bieżąco nasze ceny w sklepie. Gorzej jeżeli w pliku który chcemy ukryć jest np. hasło do konta na Allegro. Inny częsty rodzaj błędu to niefiltrowanie danych HTML, przez co atakujący może spreparować np. w zamówieniu, w uwagach odpowiedni kod HTML który pozwoli przejąć mu sesję, a więc być zalogowanym do naszego panelu administracyjnego, aby samodzielnie oznaczyć zamówienie jako opłacone. W ten sposób niezauważenie może kupić np. laptopa wartego 10000zł nic za niego nie płacąc. I teraz niech każdy się zastanowi, czy jest pewien że takich zamówień nie miał? Jeżeli rozważy się taki scenariusz jako prawdopodobny, to wybranie tańszej o 10zł firmy, która nie ma odpowiedniego przygotowania do pisania odpowiednio zabezpieczonych skryptów, jest po prostu żenującą oszczędnością.

W oprogramowaniu o otwartym źródle sporą część wad i podatności odnajdują sami użytkownicy - dłubiąc w kodzie. Jak wygląda testowanie i wyszukiwanie luk w systemach modelu SaaS? Jak wygląda bezpieczeństwo Waszego systemu w porównaniu do rozwiązań „open source” czy „skryptów z pudełka”?

Wtedy gdy błąd został odnaleziony przez użytkowników jest już za późno, bo równie dobrze błąd ten mógł znaleźć wcześniej inteligentniejszy od przeciętnego sprzedawcy haker. Tylko, że on tego producentowi nie zgłosił i wykorzysta lukę do swoich celów. Dlatego nie można publikować słabej jakości kodu i czekać aż użytkownicy zgłoszą błędy. Trzeba śledzić fora hakerów, publikacje internetowe na temat bezpieczeństwa w programach, systemach operacyjnych i usługach. Jednym słowem, trzeba po prostu dbać o kwestie bezpieczeństwa. Każdy sprzedawca internetowy musi albo poświęcać czas na poszerzanie wiedzy w tym zakresie, albo skorzystać z SaaS gdzie płaci za to, aby inni się o to martwili, albo dysponować większym budżetem i zatrudnić specjalistów od bezpieczeństwa.
Innym problemem programów typu open source, jest to, że wielu użytkowników nie instaluje poprawek. Oczywiste dla każdego jest to, że trzeba to robić, ale mało kto to robi. Widzimy to sami nawet u naszych klientów, którzy sami instalują aplikacje pomocnicze dla Windows. Musimy niejednokrotnie przypominać im aby zainstalowali wersję nowszą niż ta sprzed roku. Wtedy gdy dostawca systemu aktualizuje platformę SaaS, wszyscy korzystają z poprawionego kodu. Tym czasem w skryptach open source, szczególnie tych przerobionych, ludzie nie łatają odpowiednio szybko swoich sklepów, o ile w ogóle kiedykolwiek to robią. W tym momencie poprawki do kodu są nanoszone przez producenta programu, ale w konkretnym sklepie tego nie widać. Za to wszyscy wiedzą o tych lukach, bo są publicznie dostępne. Jestem w stanie zaryzykować zakład, że ponad 99% sklepów internetowych działających na pudełkowych programach open source nie jest w najnowszej wersji, przez co znane luki można od ręki wykorzystać do ich skompromitowania.

Czy w Polsce notowane są przypadki cyber-ataków na sklepy internetowe? Czy zagrożenia są na tyle poważne, aby właściciele sklepów zaprzątali sobie nimi głowę?

Polska nie jest innym krajem jeżeli chodzi o bezpieczeństwo niż USA czy Rosja. Myślenie że hakerzy są tylko w amerykańskich filmach, a w Polsce wszyscy są naiwni i nic złego nie może się stać, może nabić sprzedawcy internetowemu wielkie kuku. Mam wrażenie, że wielu sprzedawców bezpieczeństwo mało obchodzi, bo przecież jak ktoś ukradnie dane klientów to im nic nie ubędzie. Bezpieczeństwo traktowane jest instrumentalnie w postaci checklisty rzeczy do zrobienia. Tym czasem o bezpieczeństwie trzeba zawsze myśleć kompleksowo.
Znana nam z ostatnich miesięcy forma ataku jak z filmu o włoskiej mafii. Atak polega na wykorzystaniu botnetu do paraliżowania sklepu atakiem DOS (Denial of Service) czyli wysyłaniem mnóstwa pakietów. Największe ataki, jakie widzieliśmy używały nawet kilku tysięcy komputerów zombie do atakowania. Po krótkiej demonstracji która paliżuje sklep, następuje kontakt ze strony atakującego z roszczeniem przesłania np. 1000$ poprzez Western Union, bo inaczej sklep będzie bombardowany non-stop. Jeżeli sklep nie korzysta z SaaS lub nie ma sztabu fachowców to zwyczajnie nie będzie w stanie obronić się przed takim atakiem i jeżeli chce pozostać w grze, musi płacić. Oczywiście za miesiąc nawet Ci sami sprawcy zażądają ponownego haraczu. W ten sposób sprzedawca internetowy utrzymuje swoimi pieniędzmi organizacje przestępcze, które mają większą motywację do pisania kolejnych wirusów i powiększania wpływów botnetu.
Mniej szkodliwi są atakujący, którzy w zamian za opłatę pomogą nam usunąć lukę w bezpieczeństwie. Zazwyczaj jednak taka „usługa” obejmuje jedną lukę. Jednak sporo to kosztuje i łatanie systemu w ten sposób może sklep słono kosztować. I teraz należy sobie odpowiedzieć na pytanie, czy niewielka opłata dla usługodawcy nie jest lepsza niż liczenie na szczęście i czekanie aż źli ludzie dostrzegą sklep i zaczną wysysać z niego pieniądze?

Reszta do przeczytania na http://www.aukcje.org/archives/2010/09/13/bezpieczestwo-w-sklepie-internetowym.htm

 

 

Technologia SaaS - zalety i potencjalne problemy techniczne

pfornalski

26 stycznia 2010r. występowałem przed kadrą naukową Wydziału Informatyki. Podczas tej specjalnej rady naukowej, starałem się zachęcić do zmiany profilowania nauki na informatyce, aby kierować więcej edukację studentów na problemy cloud computingu. Ponieważ ciągle w głowach wielu profesorów web-aplikacje, to strony HTML, postanowiłem pokazać pewne klasy problemów informatycznych, z którymi nie da się poradzić przy pomocy tego co stosuje się do obliczeń naukowych.

Tak się złożyło, że na tym wystąpieniu był też Maciej Jankowski, któremu prezentacja tak się spodobała, że stwierdził, że koniecznie muszę 3 dni później zaprezentować to samo. I tak oto prawie ta sama prezentacja została pokazana ponownie, tym razem ponad 100 osobom na Netcampie.

Film niestety nie pokazuje wszystkiego, bo "taśma się skończyła". A szkoda, bo w drugiej części prezentacji pada jeszcze więcej technicznych konkretów. Mam nadzieję jednak, że będzie okazja jeszcze w innym mieści powtórzyć ten temat i organizatorzy będą mieli dłuższą taśmę. Swoją drogą cieszę się, że ta prezentacja została przeze mnie przeprowadzona na taki temat, bo od tej pory na Netcampie zaczęło się pokazywać dużo fajnych, technicznych prezentacji. Dlatego polecam przejrzenie także innych materiałów na stronie www.netcamp.net.pl

Poniżej slajdy z prezentacji i nagranie. Enjoy.

i film ... Jeżeli ktoś nie chce dowiadywać się czym jest SaaS, może przeskoczyć o kilka minut do przodu.


Trudności towarzyszące implementacji systemów SaaS
Załadowane przez: netcamp. - Odkryj więcej fajnych wideo technologicznych i naukowych.

© Polski e-commerce i zarządzanie e-firmą
Blox.pl najciekawsze blogi w sieci