Kiberbiztonság, Penetrációs teszt, Sérülékenység vizsgálat

Etikus hacker

Etikus hacker

Hackertámadás Startup-ok ellen

2019. május 05. - nagy.zsombor

adult-brainstorming-caucasian-1437908.jpg

Egyik legfontosabb feladatomnak tekintem, hogy a KKV szektor szereplőinek körében népszerűsítsem a biztonság fontosságát. Sok cégvezető és startupper még nem vagy csak mostanában szembesül a kiberbiztonság jelentőségével, illetve a hacker támadások veszélyével.

A legfőbb probléma a KKV-k esetében nem is technikai, hanem hozzáállásbeli kérdés. Egy online vállalkozás esetében hatalmas felelősség van a cégen, főleg ha felhasználói adatokat is kezel vagy pénzforgalmat is bonyolít. Arról most nem is beszélnék, hogy a GDPR is komoly hangsúlyt fektet az adatok védelmére. Tehát ha adatot kezelünk, akkor tegyük ezt biztonságosan.

Hogy érzékeltessem a biztonsági tesztelés szükségességét, egy korábbi megbízásom példáján keresztül mutatom be.

Hogy néz ki élesben?

Egyik közelmúltbeli teszt során egy videó streamelő oldalt teszteltem, amit a cég méretéből adódóan a KKV-k közé tartozik. Ez a site abból él, hogy fizetős tartalmakat értékesít, Európa szinten jelentős és egy speciális szegmenst szolgál ki. Az éves bevétel is bőven meghaladja azt a szintet, ahol már nem lehet arra hivatkozni, hogy nem fér bele a költségvetésbe a biztonság. Éppen ezért különösen érdekes, hogy miket találtam. Kiválasztottam néhány érdekességet.

Tartalomszivárgás

A legérdekesebb, amit találtam egy konfigurációs hiba volt, ami lehetővé tette egy be nem jelentkezett felhasználó számára, hogy megnézzen bármilyen videót, elég tudni a teljes URL-t hozzá, amit forráskódból könnyen ki lehetett olvasni. Azt gondolom, hogy egy ilyen kaliberű hiba megismerése, már önmagában jelentős, hiszen a bevételi forrásokat veszélyezteti. Könnyen orvosolható is a helyes jogosultságok beállításával a szerveren

DDoS elleni védelem hiánya

A DDoS (Distributed Denial-of-Service) támadás, vagy más néven Szolgáltatásmegtagadással járó támadást sokszor nem veszik elég komolyan a vállalkozások, mert a hacker nem tud közvetlen anyagi hasznot vagy adatokat szerezni. Nem nehéz védekezni ellene, viszont hatalmas károkat tud okozni és a presztízsveszteség akár egy adatszivárgás szintjét is elérheti. Ha a forgalmunkat egy Cloudflare-hez hasonló CDN-en keresztül vezetjük az oldalunkra, akkor megtettük a szükséges lépéseket egy DDoS támadás kivédésének érdekében. A Cloudflare mellesleg tűzfal funkciókat is ellát, szűri a veszélyesnek ítélt http kéréseket.

Felhasználónevek enumerációja és brute force védelem hiánya

Egy klasszikus hiba, amire sokan legyintenek, hogy nem veszélyes. Gondoljunk csak bele, hogy adott egy oldal mondjuk 10000 fős user bázissal és a hacker képes egy szótár fájl segítségével enumerálni a felhasználókat, mert a login panel egy ilyen üzenettel válaszol:

ke_pernyo_foto_2019-05-05_17_22_15.png

A login panel gyakorlatilag megerősíti a user valódiságát. Ha már van egy komolyabb felhasználó lista, akkor neki is áll a hacker a brute force-nak és egy szótár fájl segítségével (amiben több 10000 gyakori jelszó szerepel) elkezdi próbálgatni az accountokat. Mivel nincs brute force elleni védelem, ezért a próbálkozások száma lehet végtelen. Ez a két hiba együttesen igen nagy rizikó faktor, hiszen tudjuk, hogy elég nagy az esélye, hogy valamelyik user gyenge jelszót használ.

A legtöbb CMS (wordpress,Joomla) esetében egy plugin telepítésével orvosolhatjuk is ezt a problémát.

 

A fenti néhány példából láthatjuk, hogy a kiberbiztonság hatalmas károkat képes okozni, pedig csak néhány apró elővigyázatos lépést kell megtenni.

Ha ön is teszteltetné vállalkozása online felületeit, kérjen személyre szabott ajánlatot az info@axen-cyber.com címen, vagy látogassa meg weboldalunkat.

A képek forrása a pexels.com
süti beállítások módosítása