Liiketoiminnan prosessin puutteita on havaittu aiheuttavan tietoturvariskit

Turvallisen Web-sivuston käyttäminen merkitsee muutakin kuin pelkkä sivustojen komentosarjoamisen ja SQL-injektio-hyökkäysten vartiointi. Web-sivustojen perustana olevat liiketoimintaprosessit saattavat myös aiheuttaa vakavia turvallisuusriskejä, mutta tietoturvayhtiöiden tietotekniikkaorganisaatio ilmoitti torstaina.

Web-sivustojen prosessien tai liiketoimintalogiikan puutteet voivat osoittautua erittäin kannattaville hakkereille, vaativat vähän kyky hyödyntää ja joskus teknisesti ei ole lainvastaista hyödyntää, sanoi Jeremiah Grossman, WhiteHat Securityin varatoimitusjohtaja Boston Bostonin tietoturva-esityksessä.

"Nämä asiat ovat yleisiä, jos tiedät, mitä etsiä", hän sanoi.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Hän tarjosi useita esimerkkejä näistä puutteista, kuten Web-sivuston suunnittelusta, Captcha-todennusjärjestelmistä ja käyttäjän oikeuksista. Ihmiset, jotka hyödyntävät heitä, ovat usein yksinkertaisesti kiellettyjä käyttämästä palvelua, vaikka heitäkin syytetäänkin.

Vuonna 2007 naista syytettiin QVC: n huijauksesta 412 000 dollarista hyödyntämällä liiketoiminnan logiikan puutetta. Hän teki tilauksia 1 800 tuotteelle kodin ostosverkossa ja peruutti tilaukset sen verkkosivustolla. Hän sai luottoa tavaroiden palauttamisesta, mutta tavarat lähetettiin hänelle joka tapauksessa, ja hän myi ne eBay: lle, oikeusministeriö sanoi. QVC sai tietää, milloin eBay-käyttäjät ottaisivat yhteyttä siihen, kun vastaanotettiin edelleen pakkauksissaan olevia tuotteita. Nainen lopulta syyttää syyllisyydestä langattomaan petokseen.

Salasanan palautusominaisuudet voivat johtaa luvattomaan tilin käyttöön, jos he kysyvät selviltä kysymyksiä ja hakkereilta puuttuu pieniä tietoja uhreistaan. Grossman tarjosi esimerkin Sprintin entisestä matkapuhelinoperaattorista. Salasanojensa palauttamiseksi hän sanoi, hakkeri tarvitsi tietää vain henkilön matkapuhelinnumeron ja perustiedot, kuten missä he asuivat tai autolla, jota he ajoivat. Tämä olisi voinut sallia hakkereiden tilaavan uuden puhelimen uhrin nimeä tai asentaa uusia palveluita puhelimeen.

E-kupongit aiheuttavat riskin kauppiaille, jos kuponumerot ovat lähellä toisiaan peräkkäin. Yksi jälleenmyyjä näki muutamia dollareita, jotka myytiin muutaman dollarin verran, kun hakkeri kirjoitti käsikirjoituksen, joka paljasti kuponginumerot, jotka poikkeaisivat vain muutamasta numerosta, Grossman sanoi. Jälleenmyyjä löysi ongelman, kun järjestelmän lokit paljastivat runsaasti tilauksia, joita käsitellään yöllä hakkeri-komentosarjan aikana.

Hakkerit voivat saada muut verkkopelaajat ratkaisemaan Captcha-testit heille houkuttelemalla heitä verkkosivustoihin lupaamalla ilmaisia musiikkia tai aikuisten sisältöä. Captchas edellyttää, että henkilö tulkitsee merkkijonoja hämmästyneiden merkkien avulla palveluun, kuten Web-sähköpostitiliin. Web-surffaajat ratkaisevat Captchat, jotka lähetetään välityspalvelimen kautta hakkeriin, ja sitten he käyttävät heitä liittymään useisiin sähköpostitileihin roskapostin tai jonkin muun toiminnan lähettämiseksi.

"Niin kauan kuin sinulla on tarpeeksi käyttäjiä sivustoosi, sinulla on Captcha ratkaistu ", sanoi Grossman. "Huonoja ihmisiä haluaa torjua nämä Captchat, jotta he voivat roskattaa meidät."

Toinen virhe on antaa käyttäjille pääsy kaikkiin Web-sivuston osiin, kun heillä on sisäänkirjautuminen tai salasana tietylle palvelulle. Esimerkiksi virolaisen yrityksen työntekijät allekirjoittivat Business Wire -lehden lehdistöpalvelun vuonna 2004. Se totesi, että sivuston URL-osoitteet toisinaan sisälsivät tietoja uutisista, joita ei vielä ole julkistettu. URL-osoitteita hakevan ohjelman avulla yrityksen työntekijät pystyivät paljastamaan arkaluonteisia yritystietoja ja taloudellisia tietoja. Kun he ostavat ja myyvät näitä tietoja, työntekijät tekivät 7,8 miljoonaa dollaria, mutta heitä lyötiin myös Yhdysvaltojen sääntelyviranomaisten petoksilla.

Hän totesi, että on ollut todennäköisesti monia vastaavia tapauksia, joita ei koskaan tullut esiin, koska tekijät olivat koskaan kiinni.

Web-tietoturva ulottuu laadunvarmistuksen ulkopuolelle ja web-sovellusten oikeanlaisen suunnittelun sisällyttämiseksi siihen, miten palvelut perustetaan toimimaan, hän sanoi.