Vodopivec
Zaznavanje in preprečevanje zlorab – kaj lahko storimo v aplikaciji
- Stopnja 300
-
Datum
sreda
25. maj 2011 11:30
Izkušnje pri razvoju spletnih aplikacij z višjimi varnostnimi zahtevami, npr. e-bančništvo, kažejo, da je optimalno varnost možno najučinkoviteje doseči s kombinacijo različnih tehničnih in organizacijskih ukrepov. Močna vzajemna avtentikacija uporabnika in spletnega strežnika ter šifriranje komunikacije (SSL/TLS) nedvomno sodijo v železni repertoar preventivnih varnostnih mehanizmov. V zadnjih letih se vse bolj uveljavlja tudi potrjevanje samih transakcij (npr. plačil v e-bančni storitvi) kot preventivni ukrep, saj se znajo napadalci, npr. z izkoriščanjem varnostnih lukenj na računalniku uporabnika, uspešno vtihotapiti v vzpostavljeno sejo in izpeljati zlonamerno transakcijo po tem, ko se je uporabnik že avtenticiral. Da ranljivih spletnih aplikacij (kdo še ni slišal za napade XSS, XSRF in SQL vrivanje?) niti ne omenjamo. Ob tem pa odgovorni za varnost aplikacij pogosto spregledajo dejstvo, da je uspešen napad na uporabnika ali aplikacijo redko »strela z jasnega«. Pozoren pogled »pod površje« v času pred uspešnim napadom nam lahko razkrije zanimivo dogajanje, v katerem bomo lahko prepoznali vzorce priprave na napad, njegova uspešna izvedba pa je le vrh ledene gore. Če uspemo v aplikacijo sistematično vgraditi beleženje in spremljanje pravih dogodkov, ter jih znamo primerjati s poznanimi scenariji zlorab in ustrezno ukrepati, lahko preprečimo marsikatero zlorabo, ali pa jo zaznamo dovolj zgodaj da lahko še popravimo njene posledice.