Центр исследования компьютерной преступности

home контакты

Как киберпреступность влияет на развитие оффлайн обменных пунктов электронных платежных систем и электронных магазинов в Восточной Европе

Дата: 07.11.2007
Источник: crime-research.ru
Автор: Павел Тоннэ


etc/eye.jpg ... классификацией оказывается мало действенной при защите.

Применение новой классификации позволит определить методы и способы защиты от киберпреступлений для надежного и бесперебойного функционирования оффлайн обменных пунктов и электронных магазинов.

Исследование влияния киберпреступлений на развитие оффлайн обменных пунктов и электронных магазинов и определение уровня регресса и прогресса в развитии на современном этапе позволит изменить подходы в создании оффлайн обменных пунктов и электронных магазинов.

Прогнозирование влияния киберпреступлений на развитие электронной коммерции (e-Commerce) в Восточной Европе даст представление о будущих шагах этих отраслей электронного бизнеса.
Угрозы информационной безопасности магазинов пин-кодов и оффлайн обменных пунктов целесообразно классифицировать по нескольким признакам:
• по преследуемым злоумышленником целям.
• по размещению субъекта-нарушителя относительно системы для осуществления угрозы.
• по целевым объектам-жертвам.
• по типам субъектов, от которых может исходить угроза.
Угрозы информационной безопасности магазинов пин-кодов и оффлайн обменных пунктов по преследуемым злоумышленником целям можно разделить на следующие группы:
• угрозы несанкционированного получения конфиденциальной информации, обрабатываемой в магазинах пин-кодов и оффлайн обменных пунктов.
• угрозы нарушения целостности информации магазинов пин-кодов и оффлайн обменных пунктов.
• угрозы нарушения работоспособности магазинов пин-кодов и оффлайн обменных пунктов.
Угрозы информационной безопасности по размещению субъекта-нарушителя относительно системы для осуществления угрозы можно разделить на следующие группы:
• угрозы осуществимые из внешней сети – сети Интернет.
• угрозы, осуществимые при непосредственном доступе к оборудованию.
Эти виды угроз в некоторой степени типичны для многих сетевых распределенных информационных систем и Интернет-систем, наработана методология противодействия этим видам угроз, которая может быть успешно применена и для магазинов пин-кодов и оффлайн обменных пунктов.
Угрозы информационной безопасности по возможным целевым объектам-жертвам можно разделить на следующие группы:
• угрозы интересам хозяина магазинов пин-кодов и оффлайн обменных пунктов, когда хозяева выступают в роли пострадавших.
• угрозы интересам покупателей, в результате которых пострадавшими оказываются покупатели.
• угрозы интересам магазинов пин-кодов и оффлайн обменных пунктов, в результате которых они оказываются скомпрометированы.
Угрозы информационной безопасности по типам субъектов от которых может исходить угроза можно разделить на следующие группы:
• угрозы, исходящие от покупателей – для реализации угрозы злоумышленник представляется покупателем и пользуется ресурсами системы, доступными покупателям.
• угрозы, исходящие от обслуживающего персонала – для реализации угрозы злоумышленнику необходимо обладать полномочиями, доступными обслуживающему персоналу.
• угрозы, исходящие от любого анонимного пользователя сети.
Эти виды угроз обусловлены спецификой функционирования ЭПС, магазинов пин-кодов и оффлайн обменных пунктов и не являются типичными для других классов информационных систем, поэтому разработка методов противодействия этим угрозам особенно актуальна. Разработка мер противодействия таким угрозам должна начинаться уже на этапе проектирования архитектуры магазинов, то есть система должна изначально разрабатываться как защищенная с учетом угроз, специфичных для этого класса информационных систем.
Использование приведенной выше классификации угроз позволяет более детально, тщательно и точно разрабатывать модель нарушителя безопасности и политику безопасности.

Можно классифицировать угрозы во видам атак на вэб-серверы, где расположены ресурсы магазинов пин-кодов и обменных пунктов.

Атаки, называемые инъекциями, не являются специфическими для интернет-магазинов. В принципе, они могут быть использованы против любого веб-сервера. Суть их заключается в том, что злоумышленник вместо ожидаемых данных или параметров скриптов отправляет специальные команды. И если сервер не защищен от этого, то он будет эти команды выполнять. О том, какую это несет опасность для владельца интернет-магазина, наверное, не стоит и говорить.

Основу практически любого интернет-магазина составляет специальная база данных SQL. Именно в ней хранится вся информация о товарах, клиентах, платежах и т. д. Нужно ли говорить, что, заставив базу данных выполнять его команды, злоумышленник может сделать практически все. Ну а если он при этом не будет зарываться, то вполне вероятно, что какое-то время его проникновение не смогут обнаружить. Именно поэтому наибольшее распространение среди атак интернет-магазинов получили SQL-инъекции.

Принцип проведения этих атак очень прост. Злоумышленник заходит на одну из страниц магазина, содержащую веб-форму, и вводит в каком-либо текстовом поле специальные символы или строки, после чего отправляет их на сервер. И если база данных не защищена от инъекции, то она выполнит команды, которые передал ей злоумышленник. Особенно уязвимыми в этом плане являются серверы MS SQL. Дело в том, что они по умолчанию работают с высокими привилегиями и могут выполнять команды операционной системы. Кроме того, они умеют обрабатывать множественные запросы, разделенные символом точка с запятой. Все это, конечно, весьма удобно для программиста, но становится крайне опасным, если он забыл включить в скрипты защиту от SQL-инъекций.

Впрочем, для инъекций могут использоваться не только базы данных. Достаточно часто злоумышленники получают возможность выполнять команды операционной системы сервера благодаря скриптам, написанным на языках PHP или Perl. Особенно опасным в этом плане является запрос system. С его помощью и с использованием разделителей команд и системных метасимволов хакер может попытаться заставить сервер выполнять нужные ему действия.

Вызов исключительных ситуаций

Одним из универсальных способов атак различных компьютерных систем является искусственный вызов тех или иных исключительных ситуаций. В большинстве случаев это ничего не дает, поскольку разработчики предусмотрели такую возможность и определили реакцию системы на такие ошибки. Однако всегда есть шанс того, что создатели не учли возможность возникновения каких-либо исключительных ситуаций. И если злоумышленнику удастся вызвать такую ошибку, то система может повести себя самым неожиданным образом, в том числе и выгодным для злоумышленника.
Самой известной атакой рассматриваемого типа является искусственный вызов переполнения буфера. Этой ошибкой могут попытаться воспользоваться хакеры и в отношении интернет-магазинов. Причем данной опасности подвергаются системы, написанные на различных языка программирования: Perl, PHP, ASP и т. д. Впрочем, сразу стоит отметить, что вызов исключительной ситуации не позволяет хакеру автоматически получить контроль над удаленной машиной, исправить базу данных или выполнить произвольную команду. Но зато сообщения, которые выдаются в результате ошибок, могут стать для злоумышленника поистине бесценным источником информации.

Так, например, попытавшись отправить через веб-форму слишком длинную строку, хакер может раскрыть пути используемых в ней функций PHP. И это очень важно. Дело в том, что, видя сайт снаружи, нельзя догадаться, где располагаются служебные скрипты. Между тем эта информация позволяет злоумышленнику попробовать провести те или иные атаки.

Но, естественно, опасность несут не только сложные исключительные ситуации, но и простые ошибки. И за примерами далеко ходить не нужно. В некоторых интернет-магазинах ошибки в скриптах возникают в том случае, если пользователь ввел данные не того типа. Например, в параметрах какого-либо скрипта должно передаваться какое-то число. Если же злоумышленник вместо него ввел символьную строку, а разработчик не предусмотрел такую возможность и не создал соответствующую обработку сложившейся ситуации, то на экране браузера будет отображено сообщение об ошибке. А в нем многие серверы сообщают такие данные, как свой тип и версию, используемые дополнительные компоненты, путь к скрипту и т. д. Эта информация позволяет хакеру использовать узконаправленные атаки с использованием известных уязвимостей программного обеспечения.

Подмена цены

Атаки, направленные на подмену цены товара, являются уникальными, они применяются только к интернет-магазинам. Принцип их работы заключается в следующем. В некоторых интернет-магазинах при генерации динамической HTML-страницы с формой заказа цена товара указывается в специальном скрытом поле вместе с другими данными (номер заказа, номер товара, дата и т. п.). И хакер вполне может изменить их перед отправкой на сервер. Делается это с помощью специального программного обеспечения. Эти инструменты представляют собой особые прокси-серверы, способные прерывать данные HTTP-сеанса между клиентом и сервером. При этом информация отображается в текстовом виде. Так что пользователь получает возможность легко ее исправить. То есть фактически злоумышленник может самостоятельно установить цену на приобретаемый товар. Конечно, по логике все поступаемые заказы перед проведениями транзакций должны проверяться вручную.

Вот только по такой схеме работают не все интернет-магазины. Кроме того, если злоумышленник не будет зарываться, ставя цену товара в 1 доллар, то менеджер может легко не заметить его правку.

Впрочем, такие сложные манипуляции нужны далеко не всегда. Некоторые движки интернет-магазинов используют для хранения информации о заказе cookies, то есть специальные файлы, размещенные на компьютере клиента. Естественно, хакер может легко исправить...

Добавить комментарий
Всего 0 комментариев


Copyright © 2001–2019 Computer Crime Research Center

CCRC logo
Главным направлением в деятельности Центра является широкое информирование общественности об основных проблемах и способах их решения, с которыми сталкивается общество в сфере противодействия компьютерной преступности.