Bezpieczenstwo w transakcjach online
Bezpieczeństwo w transakcjach online – zapraszamy do nowego cyklu artykułów prezentujących analizę przykładowych incydentów bezpieczeństwa.
Głównym problemem podczas wdrożenia systemów bezpieczeństwa ISO 27001 jest odpowiednia interpretacja wymagań normy oraz umiejętność odniesienia ich do oczekiwań i potrzeb organizacji.
Znane przysłowie mówi, że ludzie najszybciej uczą się na błędach. Dlatego chcąc przybliżyć tematykę praktycznego stosowania ISO 27001 w zarządzaniu organizacją, rozpoczynamy cykl w którym będziemy prezentowali opis wybranych incydentów bezpieczeństwa. Dla każdego przypadku zaprezentujemy powiązane z nim wymagania normy oraz działania, jakie powinny zostać podjęte aby zapewnić że podobne zdarzenia nie będą powtarzały się w przyszłości. Mamy nadzieję, że praktyczna analiza przypadków pomoże w odpowiedniej interpretacji i zrozumieniu znaczenia wymagań ISO 27001 w kontekście funkcjonowania Państwa organizacji.
W pierwszym artykule przeanalizujemy przypadek o którym w polskim Internecie w ostatnich dniach jest bardzo głośno – ujawnieniu luk bezpieczeństwa w skryptach wiodącego serwisu aukcyjnego.
Opis incydentu:
W drugiej połowie grudnia 2006 roku, jeden z polskich serwisów poświęconych tematyce bezpieczeństwa IT, opublikował raport w którym wskazano istnienie szeregu luk w skryptach największego portalu aukcyjnego w Polsce. Autorzy artykułu wskazywali m.in. na istnienie błędów pozwalających na przeprowadzenie skutecznych ataków XSS oraz CSRF – których konsekwencją była możliwość kradzieży danych użytkowników oraz wykonywania w ich imieniu nieautoryzowanych operacji (np. związanych z wystawianiem przedmiotów na aukcję).
Ponieważ artykuł został opublikowany zaledwie kilka dni przed Wigilią – czyli okresie bardzo intensywnych zakupów także w serwisach internetowych – temat został szybko podchwycony przez inne media. W kolejnych dniach opublikowano dodatkowe informacje, w tym także odpowiedź operatora serwisu aukcyjnego.
Ostatecznie, niecałe trzy dni po ujawnieniu sprawy, błędy zostały poprawione.
Bezpośrednio powiązane wymagania ISO 27001:
Analizując powyższy przypadek oraz zestawiając go z wymaganiami ISO 27001, większość osób wskaże zapewne na rozdział A.10.9 – dotyczący bezpieczeństwa usług handlu elektronicznego, a w szczególności na zabezpieczenia A.10.9.1 (handel elektroniczny) i A.10.9.2 (transakcje on-line).
Biorąc jednak pod uwagę charakter incydentu – związanego nie tyle z eksploatacją systemu aukcyjnego, ale z błędami popełnionymi w fazie jego rozwoju i implementacji – ważniejsze wydają się wymagania A.12.1.1 (analiza i opis wymagań bezpieczeństwa) oraz A.12.2.1 (potwierdzenie poprawności danych wejściowych).
Możliwe działania korygujące:
W pierwszej kolejności przypomnijmy różnice pomiędzy działaniami korekcyjnymi a korygującymi – działania korekcyjne są nastawione na usunięcie skutków zidentyfikowanych problemów, natomiast działania korygujące na usunięcie ich przyczyn (a przez to zapewnienie, że podobne incydenty nie będą występowały w przyszłości).
W analizowanych przypadku działania korekcyjne zostały już podjęte – poprawiono skrypty serwisu w taki sposób, aby wykryte podatności nie mogły być skutecznie wykorzystane. Problem jednak nie ogranicza się tylko do jednorazowego działania.
Operator serwisu aukcyjnego powinien pójść krok dalej – na przykład poprzez przeanalizowanie procesów rozwoju i testowania oprogramowania, a także wdrożenie bardziej skutecznych mechanizmów audytów bezpieczeństwa.
Wnioski:
Z całą sprawą powiązany jest drugi, nie mniej ciekawy wątek. Na początku grudnia 2006 w mediach przekazano informację o pierwszym w Polsce pozwie sądowym dotyczącym rozstrzygnięcia aukcji elektronicznej. Użytkownik, który wystawił na sprzedaż swój samochód, po zakończeniu aukcji odmówił sfinalizowania transakcji na uzgodnionych warunkach cenowych
– w efekcie czego kupujący, uznając że doszło do zawarcia umowy sprzedaży, skierował sprawę na drogę sądową. Sprawa ma charakter precedensowy i zapewne wyznaczy poziom wiarygodności transakcji zawieranych w serwisach aukcyjnych. Kluczowe dla rozstrzygnięcia sporu będą zapisy z systemu aukcyjnego. Ponieważ ostatnie wydarzenia udowodniły, że zapisy te mogą być w dużej mierze swobodnie modyfikowane bez wiedzy użytkowników, trudno będzie uznać logi serwisu aukcyjnego za wiarygodne.
Cała sprawa może także znacznie utrudnić toczące się postępowania organów ścigania przeciwko nieuczciwym użytkownikom portalu aukcyjnego. Praktycznie każdy użytkownik może teraz powiedzieć, że nie wystawiał kwestionowanych aukcji – a logi serwisu są niewiarygodne i podatne na manipulacje.