Polskie sklepy internetowe narażają klientów
Zespół Bezpieczeństwa PCSS poddał testom 50 losowo wybranych sklepów internetowych w Polsce, w celu sprawdzenia, na ile bezpieczne jest dokonywanie zakupów w Sieci.
Robiąc internetowe zakupy zwykle ujawniamy wiele informacji na swój temat. Są one nie tylko cenne dla różnego rodzaju agencji reklamowych czy konkurencyjnych sklepów, ale również dla przestępców, którzy na przykład mogą wykorzystać je w celu wyszukiwania potencjalnych ofiar, dokonywania wymuszeń itp.
Według specjalistów Poznańskiego Centrum Superkomputerowo Sieciowego (PCSS) dokonując zakupów w polskich sklepach nie możemy czuć się w pełni bezpiecznie, gdyż około połowa z nich nie zabezpiecza odpowiednio danych osobowych, które przekazujemy podczas przeprowadzania transakcji.
Testom poddano zarówno sklepy wykorzystujące technologie komercyjne (np. firmy Microsoft), jak i te wykorzystujące szeroko rozumiane technologie typu open source. Wyboru badanej 50-tki dokonano z około 3,3 tys. internetowych punktów handlowych, bez zawężania typów sklepów, platformy serwerowej, ani skryptów obsługujących sklepy.
Analitycy zwracają uwagę, że przeprowadzone badania nie są kompletnymi testami bezpieczeństwa wybranych sklepów. Posłużyły one wyłącznie do sprawdzenia poziomu bezpieczeństwa implementacji mechanizmów tworzenia sesji użytkownika przez skrypty serwera.
Ponieważ wykorzystywany w internecie protokół HTTP (wraz z bezpieczną, szyfrowaną wersją HTTPS) jest protokołem bezstanowym, to nie jest on w stanie bezpośrednio "pamiętać" historii, ani stanu konkretnego połączenia z serwerem. Do obejścia tego problemu służą sesje i "ciasteczka", na których to właśnie skupili się eksperci PCSS.
Mechanizmy sesji to konkretne połączenia przeglądarki użytkownika z serwerem.
Z kolei "ciasteczka", czyli cookies, to niewielkie porcje informacji w formacie tekstowym zapisywane na dysku użytkownika za pośrednictwem przeglądarki. Ciasteczka zapisywane są na żądanie serwera WWW i w razie potrzeby odsyłane z powrotem na serwer.
Podczas badania okazało się, że w połowie przypadków serwery udostępniające usługę e-sklepu są nieprawidłowo skonfigurowane. Eksperci odkryli, że wyświetlają zbyt dużo informacji o błędach, które mogą być przydatne dla włamywacza planującego atak. Odpowiedni dobór danych wysłanych przez osobę atakującą do serwera pozwala na identyfikację sposobu przechowywania danych sesji na serwerze. Dodatkowo, w przypadku błędnej konfiguracji języka PHP, istnieje możliwość uzyskania informacji o pełnej ścieżce uruchamianych na serwerze skryptów.
Z kolei w przypadku "ciasteczek" odkryto, że mają one zbyt długi okres ważności - najczęściej do końca trwania sesji. Taka sytuacja zwiększa czas, w jakim napastnik może daną sesję zaatakować, szczególnie jeśli użytkownik nie kończy sesji,czyli pobytu na stronach sklepu, kliknięciem przycisku Wyloguj. W jednym ze internetowych punktów handlowych odkryto np. ciasteczko, którego czas ważności wyniósł 7 dni!
Co więcej, ponad dwie trzecie sklepów nie zabrania spreparowania własnego identyfikatora sesji, co ułatwia atak przez podstawienie adresu URL nieświadomemu użytkownikowi. Niemal żaden z badanych przez specjalistów PCSS e-sklepów nie stosował dodatkowych mechanizmów, które utrudniłyby atak.
Jak widać, wyposażony w odpowiednią wiedzę włamywacz może w przypadku takich sklepów dokonać nieautoryzowanych zakupów w imieniu innego użytkownika. Przykładowo, może przejąć kontrolę nad jego sesją i zmienić miejsce dostawy zakupionego oraz opłaconego już przez ofiarę towaru. Innym poważnym zagrożeniem jest możliwość przejęcia danych osobowych klienta sklepu, bądź uzyskania informacji o jego specyficznych preferencjach i zainteresowaniach - co może posłużyć np. do szantażu lub wymuszenia.
Na podstawie wykonanych testów badacze PCSS wnioskują, że znaczna część sklepów nie wykonała należytej pracy nad zabezpieczeniem swoich serwisów. Tym samym narażają swoich klientów nie tylko na straty finansowe, ale również utratę poufnych danych.
Pełny tekst raportu znajdziecie na stronie http://security.psnc.pl (.pdf)