2006-12-23


Bezpieczeństwo w transakcjach online – zapraszamy
do nowego cyklu artykułów prezentujących analizę przykładowych incydentów
bezpieczeństwa.

Głównym problemem podczas
wdrożenia systemów bezpieczeństwa ISO 27001 jest odpowiednia interpretacja
wymagań normy oraz umiejętność odniesienia ich do oczekiwań i potrzeb
organizacji.

Znane przysłowie mówi, że ludzie
najszybciej uczą się na błędach. Dlatego chcąc przybliżyć tematykę praktycznego
stosowania ISO 27001 w zarządzaniu organizacją, rozpoczynamy cykl w którym
będziemy prezentowali opis wybranych incydentów bezpieczeństwa. Dla każdego
przypadku zaprezentujemy powiązane z nim wymagania normy oraz  działania, jakie powinny zostać podjęte aby
zapewnić że podobne zdarzenia nie będą powtarzały się w przyszłości. Mamy
nadzieję, że praktyczna analiza przypadków pomoże w odpowiedniej
interpretacji i zrozumieniu znaczenia wymagań ISO 27001 w kontekście
funkcjonowania Państwa organizacji.

W pierwszym artykule
przeanalizujemy przypadek o którym w polskim Internecie w ostatnich dniach jest
bardzo głośno – ujawnieniu luk bezpieczeństwa w skryptach wiodącego serwisu
aukcyjnego.

 

 

Opis incydentu:

 


W drugiej połowie grudnia 2006
roku, jeden z polskich serwisów poświęconych tematyce bezpieczeństwa IT,
opublikował raport w którym wskazano istnienie szeregu luk w skryptach
największego portalu aukcyjnego w Polsce. Autorzy artykułu wskazywali m.in. na
istnienie błędów pozwalających na przeprowadzenie skutecznych ataków XSS oraz
CSRF – których konsekwencją była możliwość kradzieży danych użytkowników oraz
wykonywania w ich imieniu nieautoryzowanych operacji (np. związanych z
wystawianiem przedmiotów na aukcję).

Ponieważ artykuł został
opublikowany zaledwie kilka dni przed Wigilią – czyli okresie bardzo
intensywnych zakupów także w serwisach internetowych  – temat został szybko podchwycony przez inne
media. W kolejnych dniach opublikowano dodatkowe informacje, w tym także
odpowiedź operatora serwisu aukcyjnego.

Ostatecznie, niecałe trzy dni po
ujawnieniu sprawy, błędy zostały poprawione.

 

 

 

 

 

 

 

 

 

 


Bezpośrednio powiązane wymagania ISO 27001:


Analizując powyższy przypadek oraz
zestawiając go z wymaganiami ISO 27001, większość osób wskaże zapewne na rozdział
A.10.9 – dotyczący bezpieczeństwa usług handlu elektronicznego, a w
szczególności na zabezpieczenia A.10.9.1 (handel elektroniczny) i A.10.9.2
(transakcje on-line).

Biorąc jednak pod uwagę charakter
incydentu – związanego nie tyle z eksploatacją systemu aukcyjnego, ale z
błędami popełnionymi w fazie jego rozwoju i implementacji – ważniejsze wydają
się wymagania A.12.1.1 (analiza i opis wymagań bezpieczeństwa) oraz A.12.2.1
(potwierdzenie poprawności danych wejściowych).

 


Możliwe działania korygujące:

W pierwszej kolejności
przypomnijmy różnice pomiędzy działaniami korekcyjnymi a korygującymi –
działania korekcyjne są nastawione na usunięcie skutków zidentyfikowanych
problemów, natomiast działania korygujące na usunięcie ich przyczyn (a przez to
zapewnienie, że podobne incydenty nie będą występowały w przyszłości).

W analizowanych przypadku
działania korekcyjne zostały już podjęte – poprawiono skrypty serwisu w taki
sposób, aby wykryte podatności nie mogły być skutecznie wykorzystane. Problem
jednak nie ogranicza się tylko do jednorazowego działania.

Operator serwisu aukcyjnego
powinien pójść krok dalej – na przykład poprzez przeanalizowanie procesów
rozwoju i testowania oprogramowania, a także wdrożenie bardziej skutecznych
mechanizmów audytów bezpieczeństwa.


Wnioski:


Z całą sprawą powiązany jest
drugi, nie mniej ciekawy wątek. Na początku grudnia 2006 w mediach przekazano informację o pierwszym w Polsce pozwie sądowym dotyczącym rozstrzygnięcia
aukcji elektronicznej. Użytkownik, który wystawił na sprzedaż swój samochód, po
zakończeniu aukcji odmówił sfinalizowania transakcji na uzgodnionych warunkach cenowych
– w efekcie czego kupujący, uznając że doszło do zawarcia umowy sprzedaży,
skierował sprawę na drogę sądową. Sprawa ma charakter precedensowy i zapewne
wyznaczy poziom wiarygodności transakcji zawieranych w serwisach aukcyjnych.
Kluczowe dla rozstrzygnięcia sporu będą zapisy z systemu aukcyjnego. Ponieważ
ostatnie wydarzenia udowodniły, że zapisy te mogą być w dużej mierze swobodnie
modyfikowane bez wiedzy użytkowników, trudno będzie uznać logi serwisu
aukcyjnego za wiarygodne.

Cała sprawa może także znacznie
utrudnić toczące się postępowania organów ścigania przeciwko nieuczciwym
użytkownikom portalu aukcyjnego. Praktycznie każdy użytkownik może teraz
powiedzieć, że nie wystawiał kwestionowanych aukcji – a logi serwisu są
niewiarygodne i podatne na manipulacje.