Milyen a biztonságos a webáruház?

A személyes adatok védelme a 2018-as évben kiemelt jelentőségű Európában, ami az új európai általános adatvédelmi szabályozásnak köszönhető. Az európai uniós szabályozás az üzleti célból tárolt, az unióban élő magánszemélyek személyes adatainak védelmére vonatkozik, függetlenül az adatkezelés helyétől. Ha valaki jogosulatlanul hozzájut például a vásárlók adataihoz, akkor 2018 májusától az európai adatvédelmi szabályozás szerint kell eljárnia, illetve a kockázati szintnek megfelelő védelmet kell biztosítania, ellenkező esetben komoly mértékű pénzbüntetésre számíthat. Számos további kérdés is felmerül bennem a rendelettel kapcsolatban, amely magyar nyelven innen érhető el.

Az adatvédelem nem feltétlenül egy adott alkalmazásra vonatkozik, hanem egy konkrét szervezetre és a teljes folyamatait érinti, amit át kell vizsgálni és fel kell mérni a kockázatokat. A biztonság, mint témakör örökérvényű és mindig szükség lesz rá, mindig kell vele foglalkozni függetlenül a hatályban lévő szabályozásoktól. Fontos kiemelnem, hogy nem vagyok sem biztonságtechnikai szakértő és a jogi szakterületen sem vagyok járatos, viszont a téma iránt érdeklődöm, mivel a jelentősége úgy gondolom elég nagy. Egy adott webáruház tulajdonosa egy kereskedelmi tevékenységet végző vállakozás. A kereskedelem egyik alapja a bizalom. Ha alapjaiban rendül meg a vásárlók bizalma azáltal, hogy nem az elvárható biztonsági szintet biztosítja az áruház akkor lehet-e hosszú távon sikeres a működése?

• Mennyire felelnek meg a szabadon letöltött és felhasznált alkalmazások, webáruházak az elvárt biztonsági szintnek?
• Hogyan tudjuk ellenőrizni, mit tudunk tenni, hogy ne váljunk egy esetleges támadás vagy rosszindulatú adathalászat áldozatává?
• Ha regisztrálunk egy áruházba/oldalra, mennyire bízhatunk meg benne, hogy helyesen fogják felhasználni a személyes adatainkat?
• Melyek lehetnek a támadók motivációi?
• Miért pont a mi áruházunkat támadják és milyen célból?
• Milyen veszteségek és károk érhetnek és mi ennek a valószínűsége?
• Milyen támadásnak vannak kitéve a webáruházak?
• Mit tudunk tenni, hogy elkerüljük a veszteséget vagy hogyan tudjuk a minimálisra csökkenteni?

Ahhoz, hogy ismerjük a védelmi lehetőségeket, ismerni kell mindenekelőtt a támadási módszereket és a sebezhetőségi felületeket. Mi magunknak is támadókká kell válnunk de nem a károkozás szándékval, hanem azért, hogy ezt az ismeretet felhasználva megfelelően fel tudjunk rájuk készülni és meg tudjuk előzni.

A webáruházak kereskedelmi tevékenységet folytatnak és a tranzakcióik során a vásárlásokhoz kapcsolódó személyes adatokat gyűjthetnek, tárolhatnak. A támadók célpontjai lehetnek ezek a személyes adatok, mint például a tárolt jelszavak, email címek, bankkártyaadatok, közösségi oldalak címei, hozzáférései, céljuk lehet az adott kereskedelmi oldal megbénítása, adatok törlése, megszerzése, szándékos károkozás vagy zsarolás, üzleti haszonszerzés miatt. Az adott oldalra érkező forgalom elterelése egy másik oldalra. A motivációk között szerepelhet egy adott célra való felhívás, figyelemkeltés, illetve az áruházban szereplő pénzügyi adatok manipulációja is. Az adatokon kívül az adott szerver erőforrásait is felhasználhatják úgy, hogy erről a szerver tulajdonosa tudomást sem szerez. Egy feltört szerverről további támadásokat lehet indítani bármelyik másik gépre, vagyis a mi szerverünk fog látszódni, mint elkövető úgy, hogy erről fogalmunk sincs. Használhatják a “lopott” szerver erőforrásait mondjuk a mostanában divatos kriptopénzek bányászatára is de a lehetőségek tárháza szinte végtelen. Tehetik mindenzt a tudomásunk nélkül, a mi kárunkra. A legtöbbet a már eddig megvalósult támadásokból, illetve elkövetések módjaiból tanulhatunk. Mivel a technológia folyamatosan fejlődik, újabb és újabb támadási lehetőségek, módszerek látnak napvilágot, amelyek egyre kifinomultabb módokon valósulnak meg.

A webáruházak védelme egyrészt attól függ, hogy milyen környezetben vannak feltelepítve és milyen infrastruktúrában működnek. Önmagában a biztonság is több rétegben valósul meg, a rendszer különböző szintjein, ezért maga a biztonság kialakítása, megteremtése egy összetettebb feladat. Az alkalmazás szintjén lévő biztonsági hibák gyakran előfordulhatnak, mert a biztonsági előírásoknak való megfelelés általában nem célja a fejlesztéseknek. Sokkal inkább a megvalósítandó funkciókra fókuszálnak, mivel a gyorsaság és a megfelelő időben kitett új funkciók piaci előnnyel bírnak. Ha egy szabadon letölthető áruházat veszek alapul, amihez bárki fejleszthet bármit és bárki telepíthet bármilyen ismeret nélkül bármit, ki és mi garantálja azt, hogy biztonságosan fog működni a telepítés/élesítés után? Mi alapján mondják ki, hogy biztonságos az adott webáruház, valaki elvégzi az időszakos felülvizsgálatot? Időszakos, mivel a biztonság egy pillanatnyi állapot és folyamatos felülvizsgálatra, ellenőrzésre, auditra van szükség ahhoz, hogy megyőzödjünk róla.

Egy nemzetközi információ biztonsági szakértőkből álló csoport kidolgozta a Common Criteria nevű, biztonságos szoftver fejlesztéssel kapcsolatos módszertant, amely 2009-ben 15408-as azonosítószám alatt ISO/IEC szabvánnyá vált. Az iránymutatás szerint az adott szoftver biztonságának alapjait már a tervezési időben ki kell alakítani. A lépéseket a következőkben határozza meg:

• A fenyegettségek azonosítása
• Védelmi funkciók tervezése, amely a feltárt fenyegetettség elhárítására képes
• A szoftver kívánt mélységű megtervezése, az elvárt védelmi funkciók figyelembe vételével
• Impementáció a tervek precíz betartásával, a tervezett fejlesztési eljárások mentén
• Szükséges alaposságú tesztelés és forráskód audit, javítás
• A szállítási, üzemeltetési eljárások biztonsági kívánalmaknak megfelelő tervezése
• Érthető, betartható felhasználói dokumentáció

A Common Criteria szerves és elválaszthatatlan része az értékelési módszertan CEM (Common Evaluation Methodology) (ISO/IEC 18045), amely meghatározza azt a folyamatot, amit az auditornak végre kell hajtania a biztonsági kritériumok ellenőrzése során.

A webes alkalmazások fejlesztéseit az OWASP (Open Web Application Security Project) útmutatás alapján kell elkészíteni, majd sérülékenység vizsgálatot kell végezni rajta. A következő támadási típusok, biztonsági rések potenciális veszélyt jelenthetnek minden internetes alkalmazásnál, így a webáruházaknál is:

• SQL Injection
• Ármanipuláció
• Buffer túlcsordulás
• Cross-site scripting
• Távoli parancs végrehajtása
• Gyenge authentikáció és authorizáció
• Ellenőrizetlen bemenő adatok
• Helytelen session kezelés
• Nem megfelelő hibakezelés
• Nem biztonságos adattárolás
• Túlterheléses támadás
• Nem biztonságos konfiguráció menedzsment

Laikus vásárlóként gyanakodhatunk, hogy biztonsági szempontból nem kellően felkészült az adott oldal, ha:

• Az adott kereskedelmi oldal nem rendelkezik tanúsítvánnyal, nem érhető el védett https-en keresztül
• Küldenek-e emailben plain text formátumban jelszó emlékeztetőt
• Közvetlenül bekérnek bankkártya adatokat (feltehetőleg nem implementálják a PCI DSS szabványt)
• Az áruház nem rendelkezik általános szerződési feltételekkel és adatvédelmi leírással

Webáruház tulajdonosként pedig szintén tisztában kell lennünk, hogy mennyire biztonságos a saját áruházunk. Önmagában például az SSL certificate megléte még nem jelenti azt, hogy az adott webáruház vagy oldal biztonságos, így a helytelenül beállított tanúsítvány is biztonsági kockázatot hordoz magában. Egyszerűen meg tudunk róla győződni, ha az erre szolgáló ingyenesen elérhető eszközzel leellenőrizzük, ami elérhető innen. Számos ismert külföldi nagyvállalat időszakosan egy bizonyos összeget elkülönít a biztonsági felülvizsgálatokra és felderítésekre. Inkább a probléma elé megy és fizet azért, ha valaki egy sebezhetőséget talál az adott rendszerében, így mindenki jól jár és a kár bekövetkezésnek a valószínűségét is csökkenti egyben. Esetleg már a több évtized alatt felépített márkája jó hírnevét megőrizheti és az ügyfeleinek a bizalmát is erősítheti egyben.