Aukcje.org

Aukcje internetowe w Polsce i na świecie

• newsy
• archiwum
  • Aukcje internetowe na świecie
  • Aukcje internetowe w Polsce
  • Aukcje kredytów i social lending
  • Aukcje domen
  • Domy aukcyjne
  • Bezpieczeństwo
  • E-biznes
  • Felieton
  • Humor
  • Korespondencja
  • Narzędzia
  • Nowe serwisy
  • Podatki
  • Podsumowania roku
  • Porady
  • Przegląd prasy
  • Statystyki
  • Wyniki ankiet
  • Wywiady
  • Z forum
  • Co nowego?
• narzędzia
  • Antywirusy
  • Archiwizatory aukcji
  • Archiwizatory plików
  • Bramki SMS
  • Edytory HTML
  • Email
  • Firewall
  • FTP
  • Generatory opisów
  • Grafika
  • Hosting ilustracji
  • Kalkulatory
  • Komunikatory
  • Księgowość
  • Liczniki
  • Magazyn
  • Pakiety biurowe
  • Promocja sprzedaży
  • Przeglądarki
  • Snajpery
  • Statystyki
  • Szablony
  • Toolbar
  • Wystawianie aukcji
  • ~Inne
• linki
  • Aukcje internetowe w Polsce
  • Aukcje internetowe na świecie
  • Aukcje kredytowe w Polsce
  • Aukcje kredytowe na świecie
  • Aukcjonerzy
  • Domy aukcyjne - Polska
  • Domy aukcyjne - świat
  • Dropshipping - Polska
  • Dropshipping - świat
  • Firmy kurierskie
  • E-biznes
  • Hobby
  • Hurtownie
  • O aukcjach
  • Ogłoszenia
  • Płatności internetowe
  • Producenci
  • Sklepy
  • ~ inne

Bezpieczeństwo w sklepie internetowym

Ktoś odsyła zakupiony towar, poczta gubi przesyłkę, zakup okazuje się niezgodny z deklaracją sprzedawcy i na koniec dostajemy niezasłużonego negatywa - tak na ryzyko i niebezpieczne sytuacje w handlu elektronicznym patrzą aukcjonerzy. Hakerzy, ataki, włamania…? Administracje platform aukcyjnych robią wszystko, aby użytkownicy spali spokojnie. Działania ludzi odpowiedzialnych za bezpieczeństwo są niezauważalne.

Spora część aukcjonerów decydując się na start własnego sklepu żyje w złudnym komforcie bezpieczeństwa, do którego przyzwyczaili się w serwisach aukcji. Cóż złego może się stać? Od 10 lat jestem na Allegro i jedyne niebezpieczeństwo z jakim miałem do czynienia to spam nigeryjski i wirusy w poczcie! Tak, do tej pory ktoś dbał o Twój tyłek. Uwierz, byli to najlepsi fachowcy w branży - raczej nie uda Ci się zatrudnić żadnego z nich. Teraz, kiedy jesteś na swoim - radź sobie sam.

Jaka jest faktyczna skala zagrożenia? Jak może wyglądać atak? Czy bezpieczeństwo w sklepie można sobie kupić? O odpowiedź poprosiłem Pawła Fornalskiego, ceo IAI S.A. - producentaoprogramowania do prowadzenia sklepu internetowego IAI-Shop.com działającego w modelu SaaS:

---

Aukcje.org, Jacek Strzembkowski: Jak wygląda zabezpieczanie aplikacji w chmurze? Czy SaaS upraszcza ochronę danych Waszych klientów?

IAI-Shop.com, ceo IAI S.A. Paweł Fornalski: Zabezpieczanie aplikacji webowych, działających w chmurze nie różni się znacząco od zabezpieczania aplikacji webowych działających w hostingu. Sam SaaS to po prostu model dostarczania aplikacji i rozliczania się z klientami, a nie jakaś zupełnie inna technologia. Nie jest to jakaś specjalna technologia, która zwiększa bezpieczeństwo. W ramach chmury (ang. Cloud) dostarczamy klientom rozwiązanie sprzętowo-programowe. Nie jest tak, że klient kupuje program i musi go zainstalować w środowisku produkcyjnym, do czego najczęściej osoby nie będące ekspertami od bezpieczeństwa po prostu nie mają kwalifikacji. Nawet jeżeli rozwiązania innych firm, nie działające w chmurze, mają jakieś zabezpieczenia to mogą być one nieskuteczne w środowisku produkcyjnym. To trochę tak jak by kupić system alarmowy, przynieść go do domu i będąc z zawodu sprzedawcą w hurtowni motoryzacyjnej, instalować go samodzielnie. Taki system alarmowy sam może działać, ale popełnimy błędy np. w rozmieszczeniu czujek, ich konfiguracji, nie pomyślimy o odpowiednim zabezpieczeniu przed spaleniem przepięciowym itp. Olbrzymie znaczenie w ofercie IAI ma to, że nasi inżynierowie kontrolują środowisko produkcyjne od początku do końca. A zatem klient nie musi myśleć o zgraniu technologii sprzętowej, systemu operacyjnego i programu. Olbrzymie znaczenie ma również jednorodność środowiska, które wystawiane jest na próby z zakresu bezpieczeństwa, ale również stabilności i skalowalności każdego dnia. Jeżeli tylko zostanie coś niepokojącego jest przez nas wychwycone, wprowadzamy zmiany w całej chmurze, a więc dany problem wcale nie musiał być zgłoszony przez danego klienta, aby został u niego usunięty. Podsumowując, nie jesteśmy jak Microsoft który dostarcza Windows, który musisz móc instalować na wszystkim, ale jesteśmy jak Apple, który dostarcza sprzęt i doskonale zespolony z nim system operacyjny i programy. W ten sposób można taniej uzyskać wyższą jakość i większe bezpieczeństwo.

Czy istnieją zagrożenia specyficzne dla systemów w chmurze?

Nie istnieje coś takiego jak zagrożenia specyficzne dla chmur. Oczywistym jest to, że dostawca chmury musi doskonale znać się nie tylko na pisaniu programu, ale również na sieciach, administracji serwerami i wszystkim tym co jest potrzebne aby aplikacja webowa działała. Problem w tym, że większość posiadających sklepy internetowe, a nawet wiele firm piszących soft do prowadzenia sklepu internetowego, nie orientuje się za dobrze w kwestiach bezpieczeństwa. Większość ze sprzedawców internetowych skupia się na rejestracji w GIODO, SSL i wierzy, że firmy hostingowe załatwią za nich te kwestie. Tym czasem dobra firma hostingowa zapewnia bezpieczeństwo na poziomie systemu operacyjnego i usług w rodzaju serwera WWW. A główna słabość leży w budowie programu który instalowany jest w takim środowisku. W dzisiejszych czasach rzadko obserwuję spektakularne włamania, które jak w filmach po wpisaniu magicznej komendy w terminalu dają dostęp do wszystkiego. Dzisiejsze systemy operacyjne i serwery WWW są same w sobie mocno udoskonalone, zwłaszcza te oparte o Linux i Unix. Większość zagrożeń leży w źle napisanych programach.
Wiem, że oczekujesz ode mnie konkretów, więc podam parę popularnych ataków. Po pierwsze proponuję przyjrzeć się w swoich sklepach przyjrzeć protokołom wymiany danych, zwłaszcza komunikacji AJAX. Chociaż ciągle coś takiego jak zabezpieczenia przed SQL Injection czyli spreparowaniem danych wejściowych tak aby zmienić działanie zapytań SQL są aktualne. Jeżeli na tak prosty atak jest podatny kod sklepu internetowego, a dodatkowo użytkownik nie wyłączył wyświetlania błędów serwera WWW w oknie przeglądarki, to włam jest niemal gotowy i nikt nie musi rozgryzać struktury wywołań AJAX czy stosować innych skomplikowanych technik. Inny częsty błąd to nieodpowiednie uprawnienia do plików. W tym przypadku odgadując url np. www.mojsklep.pl/export/ceneo.xml nasz konkurent może śledzić na bieżąco nasze ceny w sklepie. Gorzej jeżeli w pliku który chcemy ukryć jest np. hasło do konta na Allegro. Inny częsty rodzaj błędu to niefiltrowanie danych HTML, przez co atakujący może spreparować np. w zamówieniu, w uwagach odpowiedni kod HTML który pozwoli przejąć mu sesję, a więc być zalogowanym do naszego panelu administracyjnego, aby samodzielnie oznaczyć zamówienie jako opłacone. W ten sposób niezauważenie może kupić np. laptopa wartego 10000zł nic za niego nie płacąc. I teraz niech każdy się zastanowi, czy jest pewien że takich zamówień nie miał? Jeżeli rozważy się taki scenariusz jako prawdopodobny, to wybranie tańszej o 10zł firmy, która nie ma odpowiedniego przygotowania do pisania odpowiednio zabezpieczonych skryptów, jest po prostu żenującą oszczędnością.

W oprogramowaniu o otwartym źródle sporą część wad i podatności odnajdują sami użytkownicy - dłubiąc w kodzie. Jak wygląda testowanie i wyszukiwanie luk w systemach modelu SaaS? Jak wygląda bezpieczeństwo Waszego systemu w porównaniu do rozwiązań „open source” czy „skryptów z pudełka”?

Wtedy gdy błąd został odnaleziony przez użytkowników jest już za późno, bo równie dobrze błąd ten mógł znaleźć wcześniej inteligentniejszy od przeciętnego sprzedawcy haker. Tylko, że on tego producentowi nie zgłosił i wykorzysta lukę do swoich celów. Dlatego nie można publikować słabej jakości kodu i czekać aż użytkownicy zgłoszą błędy. Trzeba śledzić fora hakerów, publikacje internetowe na temat bezpieczeństwa w programach, systemach operacyjnych i usługach. Jednym słowem, trzeba po prostu dbać o kwestie bezpieczeństwa. Każdy sprzedawca internetowy musi albo poświęcać czas na poszerzanie wiedzy w tym zakresie, albo skorzystać z SaaS gdzie płaci za to, aby inni się o to martwili, albo dysponować większym budżetem i zatrudnić specjalistów od bezpieczeństwa.
Innym problemem programów typu open source, jest to, że wielu użytkowników nie instaluje poprawek. Oczywiste dla każdego jest to, że trzeba to robić, ale mało kto to robi. Widzimy to sami nawet u naszych klientów, którzy sami instalują aplikacje pomocnicze dla Windows. Musimy niejednokrotnie przypominać im aby zainstalowali wersję nowszą niż ta sprzed roku. Wtedy gdy dostawca systemu aktualizuje platformę SaaS, wszyscy korzystają z poprawionego kodu. Tym czasem w skryptach open source, szczególnie tych przerobionych, ludzie nie łatają odpowiednio szybko swoich sklepów, o ile w ogóle kiedykolwiek to robią. W tym momencie poprawki do kodu są nanoszone przez producenta programu, ale w konkretnym sklepie tego nie widać. Za to wszyscy wiedzą o tych lukach, bo są publicznie dostępne. Jestem w stanie zaryzykować zakład, że ponad 99% sklepów internetowych działających na pudełkowych programach open source nie jest w najnowszej wersji, przez co znane luki można od ręki wykorzystać do ich skompromitowania.

Czy w Polsce notowane są przypadki cyber-ataków na sklepy internetowe? Czy zagrożenia są na tyle poważne, aby właściciele sklepów zaprzątali sobie nimi głowę?

Polska nie jest innym krajem jeżeli chodzi o bezpieczeństwo niż USA czy Rosja. Myślenie że hakerzy są tylko w amerykańskich filmach, a w Polsce wszyscy są naiwni i nic złego nie może się stać, może nabić sprzedawcy internetowemu wielkie kuku. Mam wrażenie, że wielu sprzedawców bezpieczeństwo mało obchodzi, bo przecież jak ktoś ukradnie dane klientów to im nic nie ubędzie. Bezpieczeństwo traktowane jest instrumentalnie w postaci checklisty rzeczy do zrobienia. Tym czasem o bezpieczeństwie trzeba zawsze myśleć kompleksowo.
Znana nam z ostatnich miesięcy forma ataku jak z filmu o włoskiej mafii. Atak polega na wykorzystaniu botnetu do paraliżowania sklepu atakiem DOS (Denial of Service) czyli wysyłaniem mnóstwa pakietów. Największe ataki, jakie widzieliśmy używały nawet kilku tysięcy komputerów zombie do atakowania. Po krótkiej demonstracji która paliżuje sklep, następuje kontakt ze strony atakującego z roszczeniem przesłania np. 1000$ poprzez Western Union, bo inaczej sklep będzie bombardowany non-stop. Jeżeli sklep nie korzysta z SaaS lub nie ma sztabu fachowców to zwyczajnie nie będzie w stanie obronić się przed takim atakiem i jeżeli chce pozostać w grze, musi płacić. Oczywiście za miesiąc nawet Ci sami sprawcy zażądają ponownego haraczu. W ten sposób sprzedawca internetowy utrzymuje swoimi pieniędzmi organizacje przestępcze, które mają większą motywację do pisania kolejnych wirusów i powiększania wpływów botnetu.
Mniej szkodliwi są atakujący, którzy w zamian za opłatę pomogą nam usunąć lukę w bezpieczeństwie. Zazwyczaj jednak taka „usługa” obejmuje jedną lukę. Jednak sporo to kosztuje i łatanie systemu w ten sposób może sklep słono kosztować. I teraz należy sobie odpowiedzieć na pytanie, czy niewielka opłata dla usługodawcy nie jest lepsza niż liczenie na szczęście i czekanie aż źli ludzie dostrzegą sklep i zaczną wysysać z niego pieniądze?

Co Wasz klient dostaje w standardzie?

Nasz klient w ramach abonamentu dostaje po prostu działającą usługę. Wystarczy po instalacji aby posiadał przeglądarkę internetową i zalogował się do swojego panelu. Nic więcej go nie obchodzi. Aby taka usługa mogła działać, potrzebne są oczywiście serwery, programy, system operacyjny i administratorzy. Jednak to klienta nie interesuje, bo do tego otrzymuje wsparcie poprzez ticketing system, wsparcie telefoniczne. Klient nie musi zaglądać w ogóle pod bebechy i wykonywać innych czynności niż klikanie w panelu administracyjnym. Sam soft jest zawsze w najnowszej wersji, ponieważ my instalujemy aktualizacje. Jeżeli coś niepokojącego dzieje się ze sklepem lub coś nawet tylko budzi wątpliwości, wtedy klient może nam to zgłosić, my za darmo analizujemy tę kwestię i jeżeli jest to konieczne, udoskonalamy kod systemu nagrywając poprawkę dla niego i wszystkich innych klientów. No i to wszystko potrafi kosztować 59zł netto na miesiąc, więc nie wspominając o świetnej platformie do prowadzenia sklepu, mającej najwięcej funkcji na rynku, jest już opłacalnym modelem utrzymania sprawnego sklepu internetowego.

W sytuacjach krytycznych - jak szybko reaguje Wasz support?

Nasz support reaguje tak szybko jak jest to możliwe. Wielu ludzi nietechnicznych myśli, że każdy problem można rozwiązać w stałym czasie np. w 10 minut. Czasami restart systemu i odbudowanie spójności macierzy zajmuje 2 godziny i tyle zajmie usunięcie problemu. Czymś innym będzie rozwiązanie problemu przez napisanie sporego kawałka kodu co zajmie 2 dni, ale cały system poza jednym kawałkiem działa prawidłowo. A więc prace rozpoczynamy tak szybko jak jest to możliwe i kończymy wydaniem poprawek lub naprawą również tak szybko jak jest to możliwe.
Jeżeli chodzi o awarie na poziomie serwerowym i usług, to wychwytujemy je przed klientem poprzez system monitoringu. Wiele z czynności jest zautomatyzowanych, więc nawet nie musimy interweniować a system sam potrafi podjąć odpowiednie działania. Nie chodzi o to, aby utrzymywać całodobowe pogotowie i rzucać do każdego problemu olbrzymie rzesze ludzi, ale aby uczyć się na błędach i udoskonalać środowisko tak aby problemy nie występowały. To jest nasza dewiza, chociaż jeżeli było by to niezbędne jesteśmy w stanie rzucić nawet wszystkich, kilkudziesięciu pracowników tylko do jednego problemu.

Czy monitorujecie podejrzane wywołania do sklepów?

Monitorujemy wiele aspektów związanych z platformą IAI-Shop.com, ale nie mogę zdradzić jakich, bo to tak jak by zdradzić gdzie są ustawione kamery monitoringu i czujki alarmowe. Stanowi to zawsze element zaskoczenia dla potencjalnych włamujących.
Aby ponownie wywiad miał postać poradnika, proponuję np. przyjrzeć się systemowi logowania do panelu administracyjnego. W prawie każdym programie jakiego kod widziałem, nie było zabezpieczenia przed tzw. atakiem brute force, a więc takim w którym hasła zgaduje się siłowo. Bez tego zabezpieczenia, włamywacz napisze prosty skrypt, którego napisanie zajmie mu 30 minut, po czym uruchomi go i skrypt ten będzie próbował po kolei wszystkie możliwe kombinacje liter i cyfr i np. za 4 miesiące będzie miał hasło do panelu administracyjnego. W przypadku takiego ataku można realizować strategię rozproszoną przez co czas może być nawet krótszy.

Czy w wypadku klientów przetwarzających wyjątkowo wrażliwe dane oferujecie dodatkowe rozwiązania lub support?

Każdy klient IAI otrzymuje pełen support i pełen zestaw zabezpieczeń. Nie można myśleć o bezpieczeństwie jako konkretnych modułach. Ponownie podkreślam, że bezpieczeństwo to kwestia myślenia o całości, kompleksowego. System jest bezpieczny tylko tak jak bezpieczne jest jego najsłabsze ogniwo. Co z tego, że klientowi dodamy jeszcze jeden zamek do drzwi wejściowych, jeżeli te drzwi będą z dykty. Platforma SaaS daje możliwość oferowania w śmiesznie niskiej cenie zabezpieczeń na poziomie bankowym. Gdyby klient chciał to wszystko wykonać sam, zapłaciłby fortunę. Jeżeli jednak już napisaliśmy i wykonaliśmy cały system IAI-Shop.com, każdy może go wynająć dla siebie i czuć się bezpieczniej. Po co mielibyśmy tworzyć zagrożenie dla klientów dysponujących mniejszym budżetem? Bezpieczeństwo nie musi być luksusem, o ile skorzysta się z platformy takiej jak IAI-Shop.com.

Dziękuję za odpowiedzi.

Ja również dziękuję.

---

Paweł napisał w mailu z wywiadem: „starałem się, aby miał on jak największą wartość instruktarzu, mimo iż bezpieczeństwo zawsze jest tematem tabu” i dalej: „(…) nie przypominam sobie, aby ktoś dał tyle instrukcji przeciwhakerskich w sklepach ”. W trakcie redagowania tekstu wielokrotnie korciło mnie, aby podkreślić to-czy-inne zdanie w wypowiedzi Pawła jako szczególnie cenne. Po krótkim zastanowieniu doszedłem do wniosku, że tych podkreślonych zdań byłaby większość…

Więcej o oprogramowaniu do prowadzenia sklepu internetowego IAI-Shop.com, systemach bezpieczeństwa i pozostałych funkcjach tej platformy - przeczytasz na stronie IAI S.A.

 

Zobacz:

Poprzedni news: Facebook: aplikacja Moje Allegro

Następny news: Allegro: Odbiór w punkcie

 

RSS | RSS komentarzy | Kontakt | O stronie | Polityka prywatności

Copyright © Jacek Z. Strzembkowski - wszelkie prawa zastrzeżone