Menu

Polski e-commerce i zarządzanie e-firmą

Nazywam się Paweł Fornalski. Jestem założycielem i prezesem IAI S.A., dostawcy rozwiązań e-commerce dla sklepów internetowych i rezerwacji noclegów dla właścicieli apartamentów i hoteli. Na tym blogu piszę, w oderwaniu od oficjalnych poglądów innych właścicieli i pracowników IAI o tym co mnie prywatnie porusza. Gdybyś chciał się skontaktować pisz na pawel(a)fornalski.pl

Wpisy otagowane : security

Popieram obowiązek rejestracji kart SIM prepaidów

pfornalski

Ostatnio szeroko dyskutuje się założenia do nowej ustawy antyterrorystycznej. Większość „cywilów” zajęła się tematem rejestracji kart prepaid do telefonów jako najstraszniejszą rzeczą tej usawy. W skrócie, chodzi o to, aby kupienie karty anonimowo nie było możliwe, tylko wymagało to wylegitymowania się dowodem osobistym, dokładnie tak samo jak to się odbywa przy podpisaniu umowy na numer postpaid (płatność na po skończeniu miesiąca). Nie podoba mi się wiele z założeń tej ustawy i jestem jej przeciwnikiem wbrew większości. Ale popieram właśnie rejestrację numerów prepaid, uważam za bardzo potrzebny i proponuję go wprowadzić niezależnie tak aby nie uzależniać go od pozostałych, również wbrew większości. Poniżej wyjaśniam dlaczego.

Przy obecnym stanie rozwoju techniki większość spraw załatwiamy przez komputer/smartfon podpięty do Internetu, pieniądze trzymamy w banku z obsługą przez Internet. A nawet gdy Ty ich nie załatwiasz, ktoś może je załatwić za Ciebie, na Twoje konto. Przez Internet załatwiamy sprawy urzędowe, a nawet poznajemy swoich przyszłych małżonków czy możemy zerwać z dziewczyną. Możemy nawet zniszczyć jej karierę publikując jakiś kompromitujący materiał.

Cały ten misterny system zwany internetem opiera się na tym, że policja jest w stanie w razie potrzeby ustalić, kto wykonał daną czynność. Aby było to możliwe, różne urządzenia i serwery zapisują w tzw. „logach” wszystkie połączenia. W IAI zapisujemy codziennie gigabajty logów, nie mając pojęcia czyj jest np. w tym momencie adres IP 4.55.66.77. Zapisujemy go jednak podczas połączenia wraz z czasem z dokładnością do sekundy. Adresy IP przydzielane są w różnych momentach różnym użytkownikom. Dlatego operatorzy telekomunikacyjni muszą zapisywać kto w danym momencie używał w danym momencie danego adresu IP.

Jeżeli więc ktoś np. z adresu 4.55.66.77 dokładnie 2016-03-27 15:18:10 zalogował się do sklepu internetowego i dokonał płatności za zakupy Twoją kartą kredytową, to Policja może taką osobę relatywnie prosto namierzyć:

  1. IAI w logach ma zapisany adres IP danego połączenia i logowania w sklepie internetowym. Policja występuje z wnioskiem np. Do IAI o zwolnienie z tajemnicy służbowej i ujawnienie tego adresu IP i logów tego połączenia.
  2. Na podstawie adresu IP policjant ustala do jakiej klasy adresowej należy dany adres IP i na podstawie ogólnie-dostępnych rejestrów tzw. RIPE występuje do operatora telekomunikacyjnego o udostępnienie informacji kto korzystał z danego adresu IP dokładnie w tym momencie. Na podstawie umów z klientami i logów, operator mówi, że była to np. Linia DSL z ul. Wojska Polskiego 1/1 w Szczecinie, a umowa zawarta została na Janusza Kowalskiego. Identycznie wygląda to w przypadku telefonów komórkowych i operatorów zagranicznych.
  3. Na przesłuchanie wzywa się Janusza Kowalskiego, sprawa rozwiązana.

Niestety w/w schemat nie działa w przypadku telefonu prepaid. W tym przypadku schemat sprawy wygląda tak:

  1. IAI w logach ma zapisany adres IP danego połączenia i logowania w sklepie internetowym. Policja występuje z wnioskiem np. Do IAI o zwolnienie z tajemnicy służbowej i ujawnienie tego adresu IP i logów tego połączenia.
  2. Na podstawie adresu IP policjant ustala do jakiej klasy adresowej należy dany adres IP i na podstawie ogólnie-dostępnych rejestrów tzw. RIPE występuje do operatora telekomunikacyjnego o udostępnienie informacji kto korzystał z danego adresu IP dokładnie w tym momencie. W odpowiedzi otrzymuje odpowiedź, że adres IP był używany przez kartę SIM typu prepaid, przez nieznaną osobę.
  3. Sprawa zostaje umorzona, bez wykrycia sprawcy.

Od lat zajmuje się z racji mojej funkcji tj. prezes spółki giełdowej obsługującej ponad 3000 sklepów internetowych w Polsce, o obrocie ponad 3 mld złotych rocznie, bezpieczeństwem konsumentów. Jestem nim bardzo zainteresowany, bo bezpieczeństwo sprawia że ludzie wykorzystują internet jeszcze mocniej. Nie mam problemu z anonimowością o czym pisałem w 2 postach które dotyczyły wprowadzenia ACTA (zarówno jako jej przeciwnik w sensie prawdziwym tj. Trolli patentowych z USA, jak i anonimowości z którą nie mam problemu; patrz „Internauci vs. reszta świata” oraz „Czy bracia Wright rzeczywiście wymyślili samolot? O trollach patentowych i ACTA słów kilka”). Mało kto zdaje sobie sprawę, że na 100 incydentów typu próby włamania na serwer, spam itp. 98 spraw jest umorzonych z uwagi na to, że po ustaleniu adresu IP, okazuje się, że sprawca korzysta z telefonu typu prepaid. 2 na 100 to zazwyczaj nieszkodliwe dzieciaki, które żadnej realnej krzywdy i tak by nie wyrządziły. Dochodzi do tego, że policjanci z jakimi rozmawiamy w IAI przy okazji różnych spraw, w których prosi się nas o dane, sami nie wierzą że sprawy mają większy sens, czując się zupełnie zdemotywowanym do ich prowadzenia. Taki stan rzeczy rozzuchwala przestępców komputerowych a na prowadzenie spraw, które nie są możliwe do rozwiązania podatnicy, którzy padają ofiarą tych ataków wydaje olbrzymie pieniądze. A najprostszym sposobem zmiany tych statystyk o kilkadziesiąt procent jest rejestracja kart prepaid do telefonów komórkowych.

Jako argument żeby zachować anonimowość podaje się to, że przecież anonimowo można korzystać z sieci TOR. Jest jednak różnica pomiędzy anonimowym IP a korzystaniem z TOR. Jak można przeczytać tutaj, bank czy operator usługi może zablokować ruch przychodzący z sieci TOR. Zwracam przy tym uwagę na ciekawy fragment tego posta „W praktyce mało kto, przynajmniej w naszym kraju, udostępnia węzeł wychodzący. Przyczyna jest prosta - dość szybko może skończyć się to (i kończy, nie mówię z własnego doświadczenia, ale słyszałem z pierwszej ręki o takich przypadkach) wizytą policji z powodu nadużyć z danego IP.” Nie można jednak wyciąć ruchu np. z Orange czy T-Mobile, ponieważ robiąc to wyrzucimy większość polskiego Internetu. W imię walki z potencjalnym włamywaczem bank internetowy musiałby zamknąć połączenia mobilne prawie każdemu swojemu klientowi. Dlatego tego nie robi, otwierając się na zagrożenia ze strony przestępców.

A więc jeżeli buntujesz się przeciwko rejestracji kart SIM bo boisz się, że ktoś namierzy Twoje pikantne SMSy wysyłane do koleżanki z pracy, to boisz się niewłaściwej rzeczy. Ale nie masz z tym problemu, że gdy wieziesz tę koleżankę z pracy do motelu swoim samochodem, to samochód ma przykręconą rejestrację. Wiesz bowiem, że sama rejestracja nie zawiera Twojego nazwiska, ale gdy ktoś potrąci Cię na pasach, wystarczy że ją podasz, a policjant ustali sprawcę. Dlatego napisałem tego posta, aby uświadomić ogółowi, że podobnie jak w pewnym momencie zabroniono poruszania się po drogach publicznych samochodom bez rejestracji, tak czas aby tak samo zrobić z Internetem. Inaczej nie ma takich pieniędzy, które wystarczyłyby do ochrony obywateli, którzy oczekują coraz większej informatyzacji. Jeżeli ktoś ma wątpliwości, niech zastanowi się jak by wyglądała skuteczność pracy drogówki, gdyby samochody jeździły po drogach bez tablic rejestracyjnych.

Bezpieczne biuro to podstawa

pfornalski

Mało kto, nawet pracownicy IAI nie wiedzą, że jednym z ważnych powodów przeprowadzki we wrześniu 2013 całej firmy do nowego biurowca klasy A+ było makabryczne zdarzenie jednego z moich znajomych, również prezesa firmy IT. Jego firma mieściła się w typowym, tanim biurowcu, takim jak wcześniejsza siedziba IAI. Pewnego sobotniego wieczora, jego firmę okradziono, a będąc bardziej dosadnym wyczyszczono mu ją z całego sprzętu. Nie było to włamanie w stylu akcji filmu „Mission Impossible”. Po prostu złodzieje podstawili drabinę pod okno, wyważyli je i weszli. Słysząc to dotarło do mnie, że w sumie podobny poziom bezpieczeństwa mamy w biurze jakie wtedy okupowaliśmy. Odwlekana decyzja o zmianie biura, stała się w tym momencie nieodwołalna i parę miesięcy później całe IAI było w nowej, znacznie bezpieczniejszej lokalizacji.

Biuro (sam czynsz i opłaty) jest jednym z ważnych składników kosztowych. W IAI to około 10% kosztów. Tańsze biuro pozwoliło by tę liczbę obniżyć o 30%, ale czy warto? Moim zdaniem nie i chciałbym wszystkich przed taką oszczędnością przestrzec. Biuro do którego w sobotnie popołudnie może wejść złodziej i wynieść wszystko oferuje podobny poziom bezpieczeństwa jak laptop zostawiony na tylnim siedzeniu samochodu. Podczas takiego włamania:

  1. Tracisz wszystkie komputery – a więc zdolność produkcyjną odzyskasz najwcześniej za parę tygodni.
  2. Narażasz się na utratę płynności finansowej
  3. Tracisz wszystkie dane przechowywane w biurze (np. repozytoria kodu źródłowego)
  4. Włamywacz ma dostęp do Twojej infrastruktury.

W przypadku firm dostarczających usługi IT lub sklepów internetowych, punkt 4 jest najgorszy. Mając dane w bezpiecznej, publicznej chmurze, zaszyfrowane dyski komputerów i bardzo dobre ubezpieczenie lub oszczędności możesz w miarę szybko odkupić komputery i wrócić do gry. Nie bierzesz jednak pod uwagę tego, co może zrobić włamywacz mając dostęp do Twojej infrastruktury.

Typowy sklep internetowy np. na Magento lub Presta jest zabezpieczony w ten sposób, że panel administracyjny dostępny jest tylko z jednego IP, biura. Hasła są zapisane przynajmniej w jednej przeglądarce komputera znajdującego się w tym biurze.

Podam więc prosty przepis na włam znacznie bardziej opłacalny niż obrabowanie wszystkich kiosków z gazetami w mieście. Stąd jest to dosyć kuszący scenariusz dla potencjalnego złodzieja aby po prostu go zrealizować. A że to się dzieje, polecam historię jednego ze sklepów opisaną w „O czym należy wiedzieć wdrażając do swojego sklepu internetowego Magento? [Część 3/4]”, przy czym w przypadku tego rodzaju ataku rodzaj oprogramowania nie ma żadnego znaczenia:

  1. Wyszukujesz dobrze prosperujący sklep internetowy – powiedzmy taki z obrotami 2-3mln zł miesięcznie.
  2. Przychodzisz do biura podając się jako przedstawiciel handlowy nowej firmy kurierskiej. Czasami nawet nie musisz kłamać, bo w takich biurowcach często pokoje są zostawione bez nadzoru, brak jest recepcji. Więc bez żadnego problemu do jednego z komputerów w port USB wpinasz tzw. Keylogger, czyli urządzenie, które zapisuje wszystko co wpisujesz, alternatywnie instalujesz to jako przejściówkę klawiatury. Możesz też podpiąć się do portu LAN ze swoim urządzeniem (również małym komputerem-serwerem) lub instalujesz swoją przejściówkę pomiędzy kablem jednego z komputerów a gniazdem sieciowym. Okazji aby to zrobić jest wiele. Przecież w sali konferencyjnej zostajesz na dobrych 5 minut, zanim przyniosą zamówioną kawę, albo idąc do toalety, musisz przejść przez całe biuro, przemykając pomiędzy biurkami pracowników.
  3. Jeżeli nie udało Ci się podpiąć niczego co wysyła dane przez sieć, to pojawiasz się w biurze ponownie, zabierasz Keyloger i analizujesz to co dla Ciebie zapisało.
  4. Mając hasło dostępowe, potrzebujesz tylko ponownie podpiąć się do sieci firmy (o ile nie podpiąłeś jakiegoś serwera na który nikt w tym bałaganie nie zwróci uwagi przez rok). Jeżeli nie udało Ci się podłożyć jakiegoś access pointa, możesz po prostu się włamać np. w piątek wieczorem i podmienić przez panel admina numer konta do wpłat. W sklepie tego rozmiaru, zanim ktoś się zorientuje co się stało, uda Ci się ukraść około 400 tys. zł.

Scenariusz 2 to powiedzmy dostawca systemu dla sklepów internetowych w SaaS. Wszystkie repozytoria kodu źródłowego znajdują się na serwerze jaki zlokalizowany jest w biurze tej firmy, powiedzmy tanim biurowcu klasy C/D. Załóżmy, że chcesz zniszczyć firmę a przy okazji jej wszystkich klientów zostawić bez opieki. Więc robisz klasyczne włamanie podczas którego kradniesz wszystkie komputery. Aha i dodajesz coś jeszcze: kasujesz wszystko z jej serwerów. Najczęściej tego typu firmy znajdują się w tanich biurowcach, o wspólnym korytarzu i mało bezpiecznych drzwiach. Ich dane na serwerach dedykowanych np. OVH lub innej podobnej firmy. Z oszczędności nie ma w nich ochrony, czasami jest stróż który w nocy kimie. Podstawiasz więc drabinę i wyłamujesz okno. Wchodzisz do środka zaczynając od pokoju programistów. Z oszczędności firma nie założyła w nim alarmu, montując go tylko w pokoju prezesa, u którego w szafie telekomunikacyjnej ulokowany jest serwer backupu i repozytoria kodu źródłowego. Kradniesz więc wszystkie komputery programistów (wszystkich 4), następnie bez problemu solidnym kopem wchodzisz do pokoju prezesa który nawet jeżeli włączył alarm wychodząc z biura, to albo będzie wył bez cel, albo ściągnie firmę ochroniarską za 5-10 minut. To wystarczy aby stłuc szklaną szybę szafy serwerowej (zanim to zrobisz upewnij się, czy kluczyk od niej nie został w zamku lub nie leży na szafie; przegrzewający się sprzęt potrzebuje przecież częstych restartów). Następnie wyciągasz serwer i oddalasz się z miejsca włamania. W poniedziałek tej firmy nie będzie już na rynku.

To co opisałem, to są scenariusze na poziomie 2 nastolatków, którzy za kilkaset złotych mogą zakupić cały potrzebny do włamania sprzęt. Pomijam takie oczywiste kwestie jak możliwość ustawienia kamery video w pobliskim budynku i filmowanie tego co wpisują pracownicy na klawiaturach. Służą one jedynie ilustracji tego, że brak bezpieczeństwa w biurze, przekreśla większość zabezpieczeń jakie mała i średnia firma jest w stanie uruchomić. Zazwyczaj dostęp do biura, i możliwość robienia w nim przez więcej niż godzinę co się chce, sprawia że stosunkowo łatwe staje się skompromitowanie praktycznie wszystkich zabezpieczeń. Scenariusze tego rodzaju służyły nam do analizy ryzyka kilka lat temu, i były realnymi słabymi punktami IAI jeszcze kilka lat temu.

 

Krótka checklista o czym m.in. warto pamiętać i co od tej pory poprawiliśmy:

  1. Solidne drzwi i okna, oraz budynek który łatwo sforsować to podstawa. Np. Jedna z większych firm hostingowych w Polsce ma swoje biura na parterze kamienicy, w lokalu typu handlowego więc wielkie szklane witryny bardzo łatwo sforsować np. wjeżdżając do środka samochodem.
  2. Ochrona nie może być świadczona przez tylko 1 firmę. Jedna powinna ochraniać stale budynek biura. Druga, niezależna (od firmy która ochrania budynek) powinna przyjeżdżać w nie dłużej niż 10 minut od powiadomienia przez alarm.
  3. Wszystkie komputery w firmie powinny mieć zaszyfrowane dyski twarde. W trakcie weekendu nie tylko ktoś może chcieć coś ukraść. Może też włamać się aby tylko skopiować wszystko co jest na dysku twardym komputera, by następnie spokojnie to sobie przeanalizować.
  4. Sale konferencyjne muszą być podłączone niezależnie od reszty firmy lub osobnym VLANem. A gniazda sieciowe i komputery pracowników muszą być zabezpieczone, najlepiej w osobnej części firmy lub drzwiami do których goście nie mają dostępu.
  5. Wejście do biura musi mieć co najmniej 2 niezależne zabezpieczenia. Nie chodzi tu np. o karty i klucze. Można bowiem założyć, że jeżeli ktoś jest w stanie ukraść kartę pracownikowi (np. w autobusie), to i klucze. Dlatego otwarcie biura może być zabezpieczone np. kartą lub kluczem i biometrycznie.
  6. Wszyscy pracownicy Twojej firmy i ochrona budynku musi być przeszkolona i zwracać uwagę na np. długie ogony w drzwiach, czy poruszające się po korytarzach nieznane im osoby. W tym muszą być wyczuleni na tych, których zazwyczaj ignorujemy (np. w kurtkach kuriera).
  7. Nie pozwól aby fotografowano Twoje zabezpieczenia. Czasami pracownicy wrzucają na portale społecznościowe zdjęcia z firmy, które przedstawiają np. lokalizację kamer, czujek itp. Zadbaj też o to, aby goście nie mogli sfotografować niczego, co może Ci zaszkodzić. Czasami na tablicach korkowych nad biurkami pracownikow wiszą naprawdę ciekawe informacje ;).
  8. Wymuszaj regularne zmiany haseł. Nie wierz, że ktoś kogo nie zmusisz do zmiany hasła uzna, że warto to robić częściej niż raz na kilka lat. Nie pozwól też aby więcej niż jedna osoba posługiwała się danym kontem lub hasłem (np. do alarmu).
  9. Pamiętaj, że prostsze od kradzieży jest podpalenie. Twoje biuro musi być bezwzględnie zabezpieczone przed pożarem, w tym mieć profesjonalny system gaśniczy. W tym nie może polać wszystkich komputerów wodą, w przypadku gdy np. ktoś podpali tylko wejście do którego ma dostęp. To częsty słaby punkt biur – podpalasz jego kawałek (np. dostępną przestrzeń) a zamknięta za stalowymi drzwiami serwerownia również będzie zlana wodą.

To tylko kilka wybranych rad. Nie warto na bezpieczeństwie oszczędzać. Jeżeli myślisz o nim poważnie, niestety przeprowadzka do biurowca klasy A lub A+ może być nieodzowna, a też nie każdy biurowiec klasy A+ jest równie bezpieczny. Zwracaj np. uwagę na to, czy pod drzwi Twojej firmy można dostać się bez żadnej kontroli lub czy z parkingu podziemnego można się dostać do windy z pominięciem recepcji. W biurowcach typu klasa C lub „substandard” zapewnienie tego wszystkiego nie jest po prostu możliwe. Odwiedzając jakąś firmę w celach handlowych, warto przyglądać się nie tylko kolorowym meblom i designerskim stołom, ale też zwracaj uwagę na to, czy można do tej firmy wtargnąć i zrobić coś złego. Jeżeli ta firma ma być strategicznym partnerem, odpowiedzialnym za krytyczną część biznesu, warto to przemyśleć ponownie. Jeżeli nie, warto zastanowić się, czy jest coś co od tej firmy możesz zgapić i podnieść poziom bezpieczeństwa swojej firmy. Warto być paranoicznym i warto zawsze myśleć, że coś jeszcze się przegapiło. Jest bowiem na świecie grupa ludzi, która żyje z okradania lub szkodzenia innym. A im więcej błędów popełnisz, tym tańsze i prostsze będzie to zadanie. Bo historie takie jak mojego znajomego się wydarzają. To, że nikt ich nie nagłaśnia, wynika z tego, że nie są one powodem do dumy, a poszkodowani ze wstydu wolą milczeć. Warto też pomyśleć, czy niewielka oszczędność na bezpieczeństwie nie zemści się w myśl zasady, że „chytry 2 razy traci”.

iaioffice

Jeżeli jesteś ciekawy jak to wygląda w IAI w praktyce, możesz chcieć zerknąć na http://www.idosell.com/pl/corp/aboutus/gallery/

Bezpieczeństwo i włamania do sklepów internetowych

pfornalski

Serwis Aukcje.org przeprowadził ze mną wywiad, który dzisiaj w nocy został opublikowany pod tytułem "Bezpieczeństwo w sklepie internetowym". Polecam lekturę tego artykułu, ponieważ nie przypominam sobie, aby poza banalnymi opracowaniami, zwanymi też raportami na temat bezpieczeństwa (wielu) sklepów internetowych coś w tej sprawie w ciągu ostatnich paru lat napisano w oficjalnych kanałach. Tym czasem podziemie komputerowego świata ciągle przyciąga najinteligentniejszych informatyków i warto o tym pamiętać. Świetnie skomentował to Jacek Strzembkowski, naczelny Aukcje.org "Ktoś odsyła zakupiony towar, poczta gubi przesyłkę, zakup okazuje się niezgodny z deklaracją sprzedawcy i na koniec dostajemy niezasłużonego negatywa - tak na ryzyko i niebezpieczne sytuacje w handlu elektronicznym patrzą aukcjonerzy. Hakerzy, ataki, włamania…? Administracje platform aukcyjnych robią wszystko, aby użytkownicy spali spokojnie. Działania ludzi odpowiedzialnych za bezpieczeństwo są niezauważalne.

Spora część aukcjonerów decydując się na start własnego sklepu żyje w złudnym komforcie bezpieczeństwa, do którego przyzwyczaili się w serwisach aukcji. Cóż złego może się stać? Od 10 lat jestem na Allegro i jedyne niebezpieczeństwo z jakim miałem do czynienia to spam nigeryjski i wirusy w poczcie! Tak, do tej pory ktoś dbał o Twój tyłek. Uwierz, byli to najlepsi fachowcy w branży - raczej nie uda Ci się zatrudnić żadnego z nich. Teraz, kiedy jesteś na swoim - radź sobie sam.

Jaka jest faktyczna skala zagrożenia? Jak może wyglądać atak? Czy bezpieczeństwo w sklepie można sobie kupić? O odpowiedź poprosiłem Pawła Fornalskiego, ceo IAI S.A. - producenta oprogramowania do prowadzenia sklepu internetowego IAI-Shop.com działającego w modelu SaaS:"

Oto pierwsza część wywiadu:

Aukcje.org, Jacek Strzembkowski: Jak wygląda zabezpieczanie aplikacji w chmurze? Czy SaaS upraszcza ochronę danych Waszych klientów?

IAI-Shop.com, CEO IAI S.A. Paweł Fornalski: Zabezpieczanie aplikacji webowych, działających w chmurze nie różni się znacząco od zabezpieczania aplikacji webowych działających w hostingu. Sam SaaS to po prostu model dostarczania aplikacji i rozliczania się z klientami, a nie jakaś zupełnie inna technologia. Nie jest to jakaś specjalna technologia, która zwiększa bezpieczeństwo. W ramach chmury (ang. Cloud) dostarczamy klientom rozwiązanie sprzętowo-programowe. Nie jest tak, że klient kupuje program i musi go zainstalować w środowisku produkcyjnym, do czego najczęściej osoby nie będące ekspertami od bezpieczeństwa po prostu nie mają kwalifikacji. Nawet jeżeli rozwiązania innych firm, nie działające w chmurze, mają jakieś zabezpieczenia to mogą być one nieskuteczne w środowisku produkcyjnym. To trochę tak jak by kupić system alarmowy, przynieść go do domu i będąc z zawodu sprzedawcą w hurtowni motoryzacyjnej, instalować go samodzielnie. Taki system alarmowy sam może działać, ale popełnimy błędy np. w rozmieszczeniu czujek, ich konfiguracji, nie pomyślimy o odpowiednim zabezpieczeniu przed spaleniem przepięciowym itp. Olbrzymie znaczenie w ofercie IAI ma to, że nasi inżynierowie kontrolują środowisko produkcyjne od początku do końca. A zatem klient nie musi myśleć o zgraniu technologii sprzętowej, systemu operacyjnego i programu. Olbrzymie znaczenie ma również jednorodność środowiska, które wystawiane jest na próby z zakresu bezpieczeństwa, ale również stabilności i skalowalności każdego dnia. Jeżeli tylko zostanie coś niepokojącego jest przez nas wychwycone, wprowadzamy zmiany w całej chmurze, a więc dany problem wcale nie musiał być zgłoszony przez danego klienta, aby został u niego usunięty. Podsumowując, nie jesteśmy jak Microsoft który dostarcza Windows, który musisz móc instalować na wszystkim, ale jesteśmy jak Apple, który dostarcza sprzęt i doskonale zespolony z nim system operacyjny i programy. W ten sposób można taniej uzyskać wyższą jakość i większe bezpieczeństwo.

Czy istnieją zagrożenia specyficzne dla systemów w chmurze?

Nie istnieje coś takiego jak zagrożenia specyficzne dla chmur. Oczywistym jest to, że dostawca chmury musi doskonale znać się nie tylko na pisaniu programu, ale również na sieciach, administracji serwerami i wszystkim tym co jest potrzebne aby aplikacja webowa działała. Problem w tym, że większość posiadających sklepy internetowe, a nawet wiele firm piszących soft do prowadzenia sklepu internetowego, nie orientuje się za dobrze w kwestiach bezpieczeństwa. Większość ze sprzedawców internetowych skupia się na rejestracji w GIODO, SSL i wierzy, że firmy hostingowe załatwią za nich te kwestie. Tym czasem dobra firma hostingowa zapewnia bezpieczeństwo na poziomie systemu operacyjnego i usług w rodzaju serwera WWW. A główna słabość leży w budowie programu który instalowany jest w takim środowisku. W dzisiejszych czasach rzadko obserwuję spektakularne włamania, które jak w filmach po wpisaniu magicznej komendy w terminalu dają dostęp do wszystkiego. Dzisiejsze systemy operacyjne i serwery WWW są same w sobie mocno udoskonalone, zwłaszcza te oparte o Linux i Unix. Większość zagrożeń leży w źle napisanych programach.
Wiem, że oczekujesz ode mnie konkretów, więc podam parę popularnych ataków. Po pierwsze proponuję przyjrzeć się w swoich sklepach przyjrzeć protokołom wymiany danych, zwłaszcza komunikacji AJAX. Chociaż ciągle coś takiego jak zabezpieczenia przed SQL Injection czyli spreparowaniem danych wejściowych tak aby zmienić działanie zapytań SQL są aktualne. Jeżeli na tak prosty atak jest podatny kod sklepu internetowego, a dodatkowo użytkownik nie wyłączył wyświetlania błędów serwera WWW w oknie przeglądarki, to włam jest niemal gotowy i nikt nie musi rozgryzać struktury wywołań AJAX czy stosować innych skomplikowanych technik. Inny częsty błąd to nieodpowiednie uprawnienia do plików. W tym przypadku odgadując url np.www.mojsklep.pl/export/ceneo.xml nasz konkurent może śledzić na bieżąco nasze ceny w sklepie. Gorzej jeżeli w pliku który chcemy ukryć jest np. hasło do konta na Allegro. Inny częsty rodzaj błędu to niefiltrowanie danych HTML, przez co atakujący może spreparować np. w zamówieniu, w uwagach odpowiedni kod HTML który pozwoli przejąć mu sesję, a więc być zalogowanym do naszego panelu administracyjnego, aby samodzielnie oznaczyć zamówienie jako opłacone. W ten sposób niezauważenie może kupić np. laptopa wartego 10000zł nic za niego nie płacąc. I teraz niech każdy się zastanowi, czy jest pewien że takich zamówień nie miał? Jeżeli rozważy się taki scenariusz jako prawdopodobny, to wybranie tańszej o 10zł firmy, która nie ma odpowiedniego przygotowania do pisania odpowiednio zabezpieczonych skryptów, jest po prostu żenującą oszczędnością.

W oprogramowaniu o otwartym źródle sporą część wad i podatności odnajdują sami użytkownicy - dłubiąc w kodzie. Jak wygląda testowanie i wyszukiwanie luk w systemach modelu SaaS? Jak wygląda bezpieczeństwo Waszego systemu w porównaniu do rozwiązań „open source” czy „skryptów z pudełka”?

Wtedy gdy błąd został odnaleziony przez użytkowników jest już za późno, bo równie dobrze błąd ten mógł znaleźć wcześniej inteligentniejszy od przeciętnego sprzedawcy haker. Tylko, że on tego producentowi nie zgłosił i wykorzysta lukę do swoich celów. Dlatego nie można publikować słabej jakości kodu i czekać aż użytkownicy zgłoszą błędy. Trzeba śledzić fora hakerów, publikacje internetowe na temat bezpieczeństwa w programach, systemach operacyjnych i usługach. Jednym słowem, trzeba po prostu dbać o kwestie bezpieczeństwa. Każdy sprzedawca internetowy musi albo poświęcać czas na poszerzanie wiedzy w tym zakresie, albo skorzystać z SaaS gdzie płaci za to, aby inni się o to martwili, albo dysponować większym budżetem i zatrudnić specjalistów od bezpieczeństwa.
Innym problemem programów typu open source, jest to, że wielu użytkowników nie instaluje poprawek. Oczywiste dla każdego jest to, że trzeba to robić, ale mało kto to robi. Widzimy to sami nawet u naszych klientów, którzy sami instalują aplikacje pomocnicze dla Windows. Musimy niejednokrotnie przypominać im aby zainstalowali wersję nowszą niż ta sprzed roku. Wtedy gdy dostawca systemu aktualizuje platformę SaaS, wszyscy korzystają z poprawionego kodu. Tym czasem w skryptach open source, szczególnie tych przerobionych, ludzie nie łatają odpowiednio szybko swoich sklepów, o ile w ogóle kiedykolwiek to robią. W tym momencie poprawki do kodu są nanoszone przez producenta programu, ale w konkretnym sklepie tego nie widać. Za to wszyscy wiedzą o tych lukach, bo są publicznie dostępne. Jestem w stanie zaryzykować zakład, że ponad 99% sklepów internetowych działających na pudełkowych programach open source nie jest w najnowszej wersji, przez co znane luki można od ręki wykorzystać do ich skompromitowania.

Czy w Polsce notowane są przypadki cyber-ataków na sklepy internetowe? Czy zagrożenia są na tyle poważne, aby właściciele sklepów zaprzątali sobie nimi głowę?

Polska nie jest innym krajem jeżeli chodzi o bezpieczeństwo niż USA czy Rosja. Myślenie że hakerzy są tylko w amerykańskich filmach, a w Polsce wszyscy są naiwni i nic złego nie może się stać, może nabić sprzedawcy internetowemu wielkie kuku. Mam wrażenie, że wielu sprzedawców bezpieczeństwo mało obchodzi, bo przecież jak ktoś ukradnie dane klientów to im nic nie ubędzie. Bezpieczeństwo traktowane jest instrumentalnie w postaci checklisty rzeczy do zrobienia. Tym czasem o bezpieczeństwie trzeba zawsze myśleć kompleksowo.
Znana nam z ostatnich miesięcy forma ataku jak z filmu o włoskiej mafii. Atak polega na wykorzystaniu botnetu do paraliżowania sklepu atakiem DOS (Denial of Service) czyli wysyłaniem mnóstwa pakietów. Największe ataki, jakie widzieliśmy używały nawet kilku tysięcy komputerów zombie do atakowania. Po krótkiej demonstracji która paliżuje sklep, następuje kontakt ze strony atakującego z roszczeniem przesłania np. 1000$ poprzez Western Union, bo inaczej sklep będzie bombardowany non-stop. Jeżeli sklep nie korzysta z SaaS lub nie ma sztabu fachowców to zwyczajnie nie będzie w stanie obronić się przed takim atakiem i jeżeli chce pozostać w grze, musi płacić. Oczywiście za miesiąc nawet Ci sami sprawcy zażądają ponownego haraczu. W ten sposób sprzedawca internetowy utrzymuje swoimi pieniędzmi organizacje przestępcze, które mają większą motywację do pisania kolejnych wirusów i powiększania wpływów botnetu.
Mniej szkodliwi są atakujący, którzy w zamian za opłatę pomogą nam usunąć lukę w bezpieczeństwie. Zazwyczaj jednak taka „usługa” obejmuje jedną lukę. Jednak sporo to kosztuje i łatanie systemu w ten sposób może sklep słono kosztować. I teraz należy sobie odpowiedzieć na pytanie, czy niewielka opłata dla usługodawcy nie jest lepsza niż liczenie na szczęście i czekanie aż źli ludzie dostrzegą sklep i zaczną wysysać z niego pieniądze?

Reszta do przeczytania na http://www.aukcje.org/archives/2010/09/13/bezpieczestwo-w-sklepie-internetowym.htm

 

 

© Polski e-commerce i zarządzanie e-firmą
Blox.pl najciekawsze blogi w sieci