Dziurawe systemy aukcyjne - AKTUALIZACJA
Ostatnie dni przyniosły kolejną falę doniesień o dziurach bezpieczeństwa w systemach aukcyjnych. Po odkryciu kilku kolejnych wariantów starych luk w Allegro, również na platformie eBay.pl znaleziono nowy sposób na wykorzystanie starych dziur w zabezpieczeniach.
Allegro stara się dosyć szybko reagować na kolejno ujawniane warianty tej samej luki. Niestety, pomimo ciągłych prac nad zabezpieczeniami, problem luki pozwalającej atakującemu na podmianę dowolnych elementów na stronie platformy nie tylko nie znika, ale wręcz się powiększa. Dlatego też informatycy Allegro mają się wkrótce bardziej kompleksowo przyjrzeć ujawnianym stopniowo błędom - zapowiedział rzecznik serwisu, Bartek Szambelan.
Co ciekawe, istnieje też inna dziura bezpieczeństwa, która pozwala na wstawienie do aukcji elementów w technologii flash oraz kodów JavaScrit. Teoretycznie problem ten był już usuwany, jednak jego odkrywca, Adriano opracował zmodyfikowaną wersję exploita, którą swobodnie można zastosować (zobacz przykład wykorzystania luki w archiwizatorze). Należy zwrócić uwagę na fakt, że wykorzystanie tego błędu może posłużyć np. do przejęcia kontroli nad cudzym kontem.
Coraz większa liczby błędów w zabezpieczeniach platformy niepokoi wielu jej użytkowników. Niestety, jak dotąd nie udało nam się uzyskać informacji od rzecznika Allegro, czy firma rozważa przeprowadzenie zewnętrznego audytu bezpieczeństwa platformy aukcyjnej.
Problemy nie omijają też polskiego oddziału światowego giganta w dziedzinie aukcji - eBay. W tym przypadku tej platformy również możliwe jest podmienienie liczby komentarzy sprzedawcy oraz odnośników do panelu użytkownika (zobacz przykład wykorzystania luki, patrz też komentarz Piotra "Artveb" Podeszwika).
O ile jednak Allegro łata dziury na bieżąco, eBay.pl zdaje się skali problemu w ogóle nie doceniać. Miesiąc temu Paweł Hnydka, Product Manager eBay Polska, zapewnił mnie w rozmowie telefonicznej, iż problem jest znany, a dział bezpieczeństwa serwisu "bardzo uważnie przygląda się" sprawie, podejmując działania mające na celu zwiększenie bezpieczeństwa.
Jak jednak wytłumaczył, działania te na razie sprowadzają się do oznaczania w wewnętrznym systemie administracyjnym eBay aukcji potencjalnie niebezpiecznych jako wartych zweryfikowania. Natomiast nie wiadomo kiedy problem zostanie faktycznie rozwiązany, gdyż intensywność działań ze strony działu bezpieczeństwa eBay zależy od skali nasilenia problemu.
W związku z faktem publicznego zademonstrowania zagrożenia przez internautów wysłałem do eBay Polska zapytanie, czy nastąpił już ten krytyczny punkt, w którym serwis podejmie bardziej zdecydowane działania w celu ochrony swoich użytkowników. Pytanie jak na razie pozostaje bez odpowiedzi.
Problemy ze wspomnianą luką nie ominęły także serwisu Świstak.pl. Przez ostatni miesiąc w Świstaku nie podjęto bezpośrednich kroków mających na celu likwidacji problemu, ale sytuacja ta ma się zmienić jeszcze w tym tygodniu. Jak poinformował wczoraj redakcję DI Krzysztof Michalak ze Swistak.pl, informatycy serwisu uważają, że przy wystawianiu aukcji nie powinny być dostępne następujące atrybuty CSS:
- position absolute
- z-index
- visible
Informacji o zagrożeniach brak...
Już miesiąc temu wspominaliśmy, iż zgodnie z art. 6, ust. 1 ustawy o świadczeniu usług drogą elektroniczną, serwisy aukcyjne są zobowiązane informować użytkowników o szczególnych zagrożeniach związanych z korzystaniem z ich usług. Niestety, trudno na stronach trzech głównych platform aukcyjnych dopatrzyć się odpowiedniej informacji o istniejących lukach.
AKTUALIZACJA
Bartek Szambelan napisał do redakcji DI, iż Allegro faktycznie rozważa możliwość przeprowadzenia zewnętrznego audytu. Ponadto obecnie informatycy firmy pracują nad nową wersją filtru opisów aukcji.
- Chcielibyśmy też zauważyć, że obecność w serwisach internetowych luk XSS nie jest niczym nowym. Każdego miesiąca podobne zgłoszenia trafiają zarówno do nas, do naszej konkurencji, jak i do światowych liderów typu Google - mówi rzecznik Allegro. - Poza eliminowaniem błędów, ważny jest również czas reakcji oraz mechanizmy zapobiegające wykorzystaniu takich ataków na większą skalę, wszystkie te trzy elementy stopniowo udoskonalamy.
Szambelan dodaje, iż do bezpieczeństwa serwisu w dużym stopniu przyczyniają się doświadczeni użytkownicy Allegro.