Difetti dei processi aziendali che presentano rischi per la sicurezza

L'esecuzione di un sito Web sicuro significa molto più della semplice protezione dagli script cross-site e dagli attacchi SQL injection. I difetti nei processi aziendali che sono alla base dei siti Web possono anche comportare gravi rischi per la sicurezza, ha detto il CTO di un'azienda di sicurezza Web.

I difetti nei processi o nella logica di business, per i siti Web possono rivelarsi altamente redditizi per gli hacker, richiedono poco abilità da sfruttare e a volte tecnicamente non sono illegali per trarne vantaggio, ha affermato Jeremiah Grossman, CTO di WhiteHat Security, presso la Source Boston Security Showcase.

"Questi problemi sono comuni se si sa cosa cercare", ha affermato.

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

Ha offerto diversi esempi di questi difetti, inclusi quelli trovati nei progetti di siti Web, nei sistemi di autenticazione Captcha e nei privilegi degli utenti. Le persone che ne approfittano sono spesso semplicemente bandite dall'uso di un servizio, anche se a volte vengono perseguite.

Nel 2007 una donna è stata accusata di aver truffato QVC su US $ 412.000 sfruttando un difetto nella sua logica di business. Ha effettuato ordini per 1.800 articoli con la rete di acquisti a domicilio e quindi ha annullato gli ordini sul proprio sito Web. Ha ricevuto il credito per la restituzione della merce, ma gli oggetti sono stati inviati a lei in ogni caso e lei li ha venduti su eBay, ha detto il Dipartimento di Giustizia. QVC è venuto a conoscenza della questione quando gli utenti di eBay lo hanno contattato in merito alla ricezione di articoli ancora nella sua confezione. La donna alla fine si è dichiarata colpevole di frode.

Le funzionalità di reimpostazione della password possono portare all'accesso non autorizzato all'account se fanno domande ovvie e gli hacker hanno informazioni minori sulle loro vittime. Grossman ha offerto un esempio che coinvolge l'ex fornitore di servizi mobili Sprint. Per ripristinare le sue password, ha detto, un hacker aveva bisogno di conoscere solo il numero di cellulare di una persona e un'informazione di base come il luogo in cui vivevano o l'auto che guidavano. Ciò avrebbe potuto consentire a un hacker di ordinare nuovi telefoni nel nome della vittima o installare nuovi servizi sul proprio telefono.

I coupon elettronici rappresentano un rischio per i commercianti se i codici coupon sono vicini l'uno all'altro in sequenza. Un rivenditore ha visto alcuni dei suoi articoli costosi vendere per pochi dollari dopo che un hacker ha scritto una sceneggiatura per scoprire numeri di coupon che differivano solo di poche cifre, ha detto Grossman. Il rivenditore ha scoperto il problema quando il suo sistema registrava un'abbondanza di ordini elaborati di notte mentre veniva eseguito lo script dell'hacker.

Gli hacker possono persuadere altri navigatori Web a risolvere i test Captcha per loro attirandoli a siti Web con la promessa di musica o contenuti per adulti. I captcha richiedono a una persona di decifrare una stringa di caratteri jumbled per registrarsi per servizi come un account di posta elettronica Web. I navigatori del Web risolvono i Captcha, che vengono inviati tramite un server proxy all'hacker, che li utilizza per registrarsi a più account e-mail per l'invio di spam o altre attività.

"Se hai abbastanza utenti in arrivo al tuo sito Web, hai risolto il Captcha ", ha affermato Grossman. "I cattivi vogliono sconfiggere questi Captcha in modo che possano inviarci spam."

Un altro difetto è garantire agli utenti l'accesso a tutte le parti di un sito Web quando dispongono di un accesso o di una password per un particolare servizio. Ad esempio, i dipendenti di una società estone si sono registrati per il servizio di comunicato stampa Business Wire nel 2004. Ha capito che gli URL sul sito a volte contenevano informazioni su comunicati stampa che non erano ancora stati resi pubblici. Utilizzando un programma che cerca gli URL, i dipendenti dell'azienda sono stati in grado di scoprire informazioni commerciali e finanziarie sensibili. Dopo aver acquistato e venduto azioni in base a queste informazioni, i dipendenti hanno guadagnato $ 7,8 milioni, ma sono stati anche colpiti da accuse di frode da parte delle autorità di regolamentazione statunitensi.

Ha notato che probabilmente sono stati presentati molti casi simili che non sono mai venuti alla luce perché i perpetratori erano mai preso.

La sicurezza Web va oltre la garanzia della qualità e la corretta progettazione delle applicazioni Web per includere il modo in cui i servizi sono impostati per funzionare, ha affermato.