Pregled: Sigurnosni aspekti veb 2.0 aplikacija

August 31, 2011 in E-Poslovanje

Veb aplikacije se nalaze na veb serverima koji su javno dostupni i samim tim u dometu napada hakera iz celog sveta. Dinamički i interaktivni veb predstavljaju posebno pogodne mete jer omogućavaju širi spektar napada, zato i ne čudi da je sajt Bezbednosno Informativne Agencije obična statička HTML prezentacija.[1] Iako se, kada govorimo o Veb 2.0 konceptu, pre svega misli na obične veb korisnike društvenih mreža i blogova, bezbednost poslovnih veb aplikacija predstavlja veoma važno pitanje koje ćemo razmatrati u nastavku teksta.

Veb 2.0 koncept predstavlja skup servisa koji omogućavaju interakciju između korisnika i sajta u vidu njihovog učešća u uređivanju onlajn sadržaja, povezivanja u društvene mreže, razmenu sadržaja među različitim sajtovima, ocenjivanju postojećih sadržaja i sličnog.[2] Sama postavka ovog koncepta podrazumeva velika ovlašćenja za korisnike i mogućnost da oni na server postavljaju fajlove i različite interaktivne sadržaje, kao i da uređuju određene delove i menjaju podešavanja veb aplikacije ili sajta.

Ilustracija veb 2.0 i bezbednost

Bezbednosni izazovi se nalaze na skali od promocione zloupotrebe prava postavljanja komentara do preuzimanja kontrole nad celokupnom veb aplikacijom, te krađe informacija i obaranja sajta.

Praktično sve Veb 2.0 lokacije (blogovi, društvene mreže, medijski portali…) podržavaju postavljanje komentara na vesti, tekstove i druge stranice. Većina komentarisanje omogućava svim korisnicima (anonimni komentari), dok deo zahteva registraciju korisnika. Već duži niz godina postoje softveri (veb botovi) koji automatski pronalaze takve lokacije i postavljaju reklamne poruke i grade mrežu linkova u cilju SEO promocije sajta klijenta, a neki od njih mogu čak i da se registruju na sajtu koji zahteva postojanje korisničog naloga i isto tako odgovore na konfirmacioni e-mail koji se prilikom registracije šalje.

Rešenja za ove izazove leže u tehnikama za proveru „ljudskog“ porekla poseta a među njima je najuspešnija CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) koja zahteva od korisnika da pročita tekst sa slike i unese u kontrolno polje prilikom korišćenja registracione, log-in ili neke druge veb forme na sajtu.

Generalno posmatrano, arhitekta veb aplikacije mora voditi računa o svakom aspektu veb aplikacije koji omogućava korisniku slanje podatka – nezavisno od oblika. Tako na primer za tekstualne forme mora postojati zaštita od SQL injekcije. Hakeri ovu tehniku koriste kako bi SQL instrukcijom, poslatom kroz običnu tekstualnu veb formu, neovlašćeno pristupili bazi podataka. Zaštita se postiže primenom algoritama za proveru unetog sadržaja i dizajnom koda koji neće omogućiti izvršavanje poslate instrukcije.

Kod veb aplikacija srž sistema autorizacije korisnika čini upravljanje korisničkim sesijama. Praćenje sesije se realizuje dodelom jedinstvenog ID-a svakom posetiocu preko koga se prati njegovo kretanje kroz stranice sajta. ID se smešta u cookie fajl kod korisnika ili se prenosi URL GET metodom što predstavlja sigurnosni izazov, obzirom da bi virus koji se nalazi kod korisnika na računaru mogao lako da preuzme identifikaciju i tako omogući hakeru da preotme sesiju. Kada jednom uspešno preotme sesiju, haker može promeniti pristupne parametre korisničkog naloga i tako preuzeti kontrolu nad delom veb aplikacije koji se nalazi u domenu uređivačkih ovlašćenja korisnika – žrtve.

Veb aplikacije mogu biti žrtve DoS (Denial of Service) napada – što predstavlja jednostavno bombardovanje servera zahtevima čije izvršenje ne može da postigne te dolazi do pada sistema ili njegove delimičmne ili potpune nedostupnosti. Odbrana od ovakvog napada predstavlja praćenje IP adresa i postojanje mehanizama koji automatski odbijaju zahteve koji se ponavljaju nerealno često. Brute force napadi su slične prirode i predstavljaju automatizovano „obijanje“ autorizacije (login stranice) korišćenjem ogromnog broja kombinacija korisničkih imena i šifara. Za ove napade praćenje IP adrese te vremensko zaključavanje pristupa posle određenog broja pokušaja daje određene rezultate. Ukoliko haker koristi open-proxy servere da bi zavarao svoj IP trag postoji još jedna krajnje efikasna metoda koju koriste mnoge poslovne banke, a to je TAN tabela (slika 1) koja se u štampanoj formi dostavlja korisniku.

TAN tabela pinova

Slika 1. Primer TAN tabele koju koristi sajt www.veles.rs za zaštitu pristupa svom CMS-u. Naravno, prikazane vrednosti nisu upotrebi.

Prilikom svakog pokušaja autorizacije sistem, pored korisničkog imena i šifre, od korisnika traži i PIN kod sa slučajno odabrane pozicije u TAN tabeli. Na prikazanom primeru, ako bi sistem trašio TAN E 5, korisnik bi morao da unese kod: 4113.

Kompromitovanje prava pristupa ili nepredviđena dostupnost drugih poverljivih informacija može biti i posledica greške na serveru ili u kodu aplikacije. Ove opasnosti moraju biti svesne najviše kompanije koje sve češće koriste veb 2.0 koncept za poslovne sisteme poput CRM-a i ekstranet portala kojima je moguće pristupiti preko javno dostupne ip adrese. Zbog ovoga je mogućnost „curenja“ informacija ili krađe veoma osetljivo pitanje.

Klasične Veb 2.0 aplikacije podrazumevaju razmenu podataka između različtih veb lokacija korišćenjem XML i RSS standarda kao i primenu multimedijalnih i naprednih interaktivnih tehnologija (Rich Media, Rich Internet Applications).[3] Poslovne aplikacije, poput ERP i SCM sistema takođe sve češće koriste veb platformu i internet protokole za razmenu informacija između udaljenih delova kompanije, zaposlenih i partnerskih organizacija. Zbog ovoga posebnu pažnju treba usmeriti na tačke preko kojih se vrši automatska razmena informacija (data-points).

Društvene mreže donose nove opasnosti za upravljačke informacione sisteme te je ponašanje korisnika u organizacijama od ključne važnosti za uspešnu sigurnosnu politiku. U literaturi se, sa druge strane, ističe da poslodavci sve češće pretražuju veb u želji da nađu što je moguće više informacija o kandidatu za zaposlenje te je potrebno voditi računa kakvi se sve sadržaji postavljaju na društvenim mrežama. Kompanija Reputation Defender je razvila poseban servis koji prikuplja sve dostupne informacije o pojedincu i predstavlja ih u formi izveštaja. Ova kompanija takođe nudi i uslugu brisanja svih „netačnih i neprikladnih informacija“ na zahtev korisnika.[4]

Oslanjanje na otvorene platforme i globalnu mrežu donelo je znatne uštede u infrastrukturi i troškovima razvoja poslovnih softvera. Ovo unapređenje nije prošlo bez novih opasnosti, što je gotovo pravilo kada pričamo o tehničko-tehnološkom razvoju, a neke od njih je ovaj rad težio da objasni i predloži dostupne kontra-mere.

Sadržaj i podatke iz ovog članka možete citirati u svom akademskom (seminarski, diplomski rad…) ili naučnom radu kao internet izvor:
Goran Grubić (2011), Sigurnosni aspekti veb 2.0 aplikacija, www.omnetwork.net
Prilikom navođenja internet/veb izvora neke institucije / časopisi zahtevaju datum i vreme preuzimanja teksta nakon adrese.

 


[1] Bezbednosno Informativna Agencija, http://www.bia.gov.rs/, 29. avgust 2011.

[2] Prilagođeno: Dave Chaffey (2009), E-Business and E-Commecre management, Pearson Education, Edinburgh Gate, str. 22

[3] Prilagođeno: Dave Chaffey (2009), E-Business and E-Commecre management, Pearson Education, Edinburgh Gate, str. 22

[4] R. Kellz Rainer Jr., Efraim Turban (2009), Uvod u informacione sisteme, Data Status, Beograd , str. 396

Slični članci:

  1. Rad: Facebook aplikacije u funkciji e-marketinga (2009)
  2. Rad: Društvene mreže – psihološke implikacije II (2011)
  3. Rad: CRM kao faktor konkurentske prednosti (2011)
  4. Pregled: Top 40 – Struktura (2010)
  5. Rad:Društvene mreže – psihološke implikacije III (2011)
  6. Studija: Stavovi e-potrošača u Srbiji (2010) pilot
  7. Rad:Društvene mreže – psihološke implikacije (2011)
  8. Rad: SCM sistemi u praksi (2011)

Comments are closed, but trackbacks and pingbacks are open.