Przeglądarka jako narzędzie zbrodni
Oj, może być wesoło: zdaniem specjalisty od zabezpieczeń Jeremiaha Grossmana dni wyrafinowanych ataków na serwery sieciowe, dokonywane za pomocą specjalistycznego oprogramowania, są już policzone. Zamiast nich narzędziem kryminalistów może się stać zwykła przeglądarka.
Według Grossmana będzie to możliwe dzięki coraz bardziej rozpowszechnionym usterkom typu Business Logic Flaw w aplikacjach sieciowych, czyli np. brakowi autentykacji, niezabezpieczonemu dostępowi i tym podobnym.
Najlepszym przykładem jest wykryta w lutym luka w otwartoźródłowych systemach handlowych osCommerce i xt:commerce, w których przez wywołanie URL-a łatwo można było pominąć proces zapłaty, ale transakcja i tak była uznawana za ważną.
Zamiast wymagających wielu nakładów ataków Cross-Site Scripting wymierzonych w użytkowników i ataków typu SQL Injection stosowanych wobec baz danych serwera od teraz wystarczy jedynie nieco fachowych informacji, aby zdobyć pieniądze albo towary. Ten rodzaj błędów w zabezpieczeniach nie jest wcale nowy, a jednym z wariantów opisanej metody jest praktykowane od lat przez wielu hakerów tzw. Forced Browsing, czyli wywoływanie stron albo zasobów, które w zasadzie nie są nigdzie podlinkowane. Zwłaszcza Google często ujawnia różne informacje wbrew woli operatora serwera.
Ze względu na to, że obecnie wiele firm przenosi swoje usługi do internetu, zdaniem Grossmana będzie znacznie łatwiej niż kiedyś znaleźć aplikacje narażone na atak. Ponadto takie działanie nie musi być wcale nielegalne; w wielu przypadkach intruz narusza jedynie warunki umowy stawiane przez firmę oferująca usługę.
Ochrona przed takimi atakami jest relatywnie trudna, ponieważ inaczej niż w przypadku ataków SQL Injection tutaj nie pojawiają się żadne konkretne wzory. Zwykłe systemy zapobiegania włamaniom (IPS) albo firewalle dla aplikacji sieciowych (WAF) raczej słabo sobie radzą z ich rozpoznawaniem i powstrzymywaniem. Już teraz kryminaliści są w stanie wykorzystywać te luki w doskonałym stylu.
Na zbliżającej się konferencji Black Hat w Las Vegas Grossman zamierza przedstawić szczegółowe informacje na temat tych ataków. Mają w nich wystąpić także niektóre sieci afiliacyjne, które są w perfidny sposób okradane przez fałszywe logowania użytkowników. Grossman zamierza także zaprezentować przykład pewnego banku, z którego przez Business Logic Flaw wypłynęło 70 tysięcy dolarów.
