full screen background image

Κώος εντόπισε κενό ασφαλείας σε ένα από τα μεγαλύτερα eshop στην Ελλάδα! (Αποσοβήθηκε κίνδυνος διαρροής προσωπικών δεδομένων εκατοντάδων χιλιάδων πελατών)

Εντόπισε όχι απλά ένα πρόβλημα, αλλά ένα απίστευτο κενό σφαλείας σε ένα από τα μεγαλύτερα καταστήματα ηλεκτρονικού εμπορίου στην Ελλάδα. Ο λόγος για τον Δημήτρη Χατζηδημήτρη,  Κώο τεχνικό δικτύων για τον οποίο όσοι τον γνωρίζουν λένε ότι «τα συστήματα ασφαλείας γονατίζουν μπροστά του».
2017: Χρονιά τεχνολογικών εξελίξεων, επιχειρηματικών νέων δεδομένων σε διαδικτυακές πλατφόρμες εκατομμυρίων.

Κάθε επιτυχημένη επιχείρηση eshop στηρίζεται σε μια ομάδα έμπειρων τεχνικών (server administrators, network managers, developers, κ.τ.λ), σε μια εργασία που δεν σταματά ποτέ, αφού οι κίνδυνοι εμφανίζονται σε κάθε δευτερόλεπτο.

Όταν οι πωλήσεις σταματήσουν για 1 ώρα σε ενα σύγχρονο ηλεκτρονικό κατάστημα ή διαρρεύσουν τα στοιχεία των πελατών του, τότε μιλάμε για την απόλυτη δυσφήμισή του, κατάσταση δύσκολα αναστρέψιμη.
Ο συμπολίτης μας Δημήτρης Χατζηδημήτρης, τεχνικός δικτύων με εξειδίκευση στην ασφάλεια των ηλεκτρονικών συστημάτων, εντόπισε μια δυσδιάκριτη μεν αλλά σημαντική αδυναμία, στο σύστημα ασφαλείας σε ένα  από τα μεγαλύτερα ηλεκτρονικά καταστήματα της Ελλάδας.

Η αδυναμία στο σύστημα αυτό, του επέτρεπε να εισχωρήσει σε πολύ σημαντικά αρχεία του συστήματος και στον κωδικό της κεντρικής βάσης δεδομένων.

Η συγκεκριμένη αδυναμία στα χέρια οποιουδήποτε -όπως γίνεται εύκολα αντιληπτό- θα μπορούσε να δημιουργήσει τεράστιο πρόβλημα (ιδιαίτερα σε μία επιχείρηση η οποία βασίζεται στα προσωπικά δεδομένα εκατοντάδων χιλιάδων πελατών της).

Έπειτα  από επικοινωνία του με το συγκεκριμένο eshop η αδυναμία διορθώθηκε (πράγμα που η εν λόγω εταιρία εκτίμησε δεόντως, αντιλαμβανόμενη ότι αν συνέβαινε η παραμικρή διαρροή η δυσφήμηση και το πλήγμα για αυτήν θα ήταν ανεπανόρθωτα).
Ας δούμε το θέμα πιο αναλυτικά μέσα από την οπτική και την περιγραφή του Δημήτρη Χατζηδημήτρη:

 

-Δημήτρη, πόσο σημαντικό είναι το θέμα της ασφάλειας ενός ηλεκτρονικού καταστήματος;
-Η ασφάλεια είναι το σημαντικότερο κομμάτι σε μια επιχείρηση και συμβάλλει στην καλή λειτουργία και την διασφάλιση των προσωπικών δεδομένων των πελατών της.

Ένας τυπικός πελάτης συμπληρώνει τα προσωπικά του στοιχεία (όνομα, επίθετο, τηλέφωνο, διεύθυνση, email, κ.τ.λ) και συνήθως χρησιμοποιεί την χρεωστική/πιστωτική του κάρτα για την πληρωμή.

Στα παραπάνω καταγράφονται και οι εμπορικές του προτιμήσεις…

Οι κίνδυνοι από την έλλειψη ασφάλειας μπορούν να δημιουργήσουν πάρα πολλά προβλήματα όπως την διαρροή των προσωπικών δεδομένων των πελατών σε ανταγωνιστές ή ακόμα χειρότερα στο διαδίκτυο δημόσια.

Μια ενδεχόμενη διαγραφή των δεδομένων και ο χρόνος αποκατάστασης από κάποιο backup μπορεί να είναι πολύτιμος εφόσον οι παραγγελίες στο διαδίκτυο δεν σταματούν ποτέ.

Η φήμη της εταιρείας μπορεί να πληγεί ανεπανόρθωτα.

 

-Κατά την άποψη σου σε ποιό επίπεδο βρίσκεται η ασφάλεια των ηλεκτρονικών καταστημάτων στην Ελλάδα;
-Στα μεγαλύτερα καταστήματα στην Ελλάδα η ασφάλεια βρίσκεται σε πολύ υψηλό επίπεδο και είναι πάρα πολύ δύσκολο να εντοπίσει κάποιος μια αδυναμία στο σύστημα ασφαλείας ενός eshop με δεκάδες τεχνικούς από πίσω.

Σε μικρότερης κλίμακας eshop τα πράγματα δεν είναι πολύ καλά εφόσον δεν γνωρίζουν τον κίνδυνο ή πιστεύουν ότι δεν θα γίνουν ποτέ στόχος από κάποιον παγκοσμίως.Ο χρόνος και η ιστορία έχουν αποδείξει ακριβώς το αντίθετο.

Ευτυχώς όσο περνάνε τα χρόνια οι εταιρείες έχουν αρχίσει να φεύγουν από την λογική, «Δουλεύει; Ναι. Δεν το ακουμπάμε!» και έχουν περάσει στα νέα δεδομένα που απαιτούν να ακολουθούν την τεχνολογία και να ενημερώνονται και να αναβαθμίζουν τα συστήματα τους με νέες διορθώσεις και προσθήκες.

Ο κίνδυνος που ίσως δεν υπήρχε κατά την αγορά ενός εξοπλισμού πριν από έναν μόλις χρόνο δεν σημαίνει ότι δεν υπάρχει σήμερα.

Έπειτα και από τις πρόσφατες αποκαλύψεις σε διάφορες ειδησεογραφικές ιστοσελίδες σε πολλές περιπτώσεις τα εξαρτήματα που αγοράζουμε έχουν ήδη προεγκατεστημένα προγράμματα παρακολούθησης (malware).
-Πιστεύεις οτι υπάρχει πρόβλημα γενικά στις επιχειρήσεις που χρησιμοποιούν δίκτυο (ενσύρματο – ασύρματο);
-Οι κίνδυνοι σε μια φυσική επιχείρηση είναι λίγο διαφορετικοί, αλλά παραμένουν πολύ σοβαροί, με κυρίαρχο θέμα τα δεδομένα, είτε προσωπικά είτε πελατών, που συνδέονται σε ένα ασύρματο δίκτυο.

Μέσα από το ασύρματο δίκτυο είναι εφικτά από έναν τρίτο τα παρακάτω:

1)Μπορεί να δει σε ποιές σελίδες πλοηγήστε
2)Μπορεί να δει τους προσωπικούς κωδικούς σας σε σελίδες που συνδέεστε και δεν χρησιμοποιούν ασφάλεια https
3)Μπορεί να σας κατευθύνει σε όποια σελίδα θέλει ασχέτως με το πια σελίδα εσείς ζητήσατε να πλοηγηθείτε
4)Μπορεί να σας ξεγελάσει και να φορτώσει κακόβουλο λογισμικό στον υπολογιστή/κινητό/tablet σας και να αποκτήσει μόνιμη πρόσβαση στην συσκευή σας

και πολλά ακόμα….
– Πόσο εύκολα θα μπορούσε κάποιος να πετύχει κάτι ανάλογο και ποιές γνώσεις απαιτούνται;
-Για το επίπεδο ασφαλείας που χρησιμοποιείται στα κορυφαία eshop της Ελλάδος σίγουρα απαιτείται υψηλή τεχνογνωσία γιατί πρέπει να ξέρεις καλά πως δουλεύει κάτι για να μπορείς να εντοπίσεις ένα πρόβλημα σε αυτό και μια εξειδίκευση στον τομέα της ασφάλειας.
-Ποια είναι η συμβουλή σου στις επιχειρήσεις που χρησιμοποιούν ηλεκτρονικούς υπολογιστές, ώστε να είναι προστατευμένες;
-Θα χρησιμοποιήσω κάτι που είχε πει ο Βρετανός πρωθυπουργός Ουίνστον Τσώρτσιλ (βραβευμένος με Nobel το 1953):

«Δεν πρέπει να γυρνάς την πλάτη σου σε έναν επαπειλούμενο κίνδυνο και να προσπαθείς να ξεφύγεις απ’ αυτόν.Αν το κάνεις θα διπλασιάσεις τον κίνδυνο.
Αν τον αντιμετωπίσεις εγκαίρως θα τον μειώσεις στο μισό.Ποτέ μην τρέχεις να γλιτώσεις από κάτι!»

Οι μεγάλες επιχειρήσεις θα πρέπει να έχουν έναν εξειδικευμένο τεχνικό σε θέματα ασφαλείας σε μόνιμη βάση.

Οι μικρότερες επιχειρήσεις αν δεν έχουν την οικονομική δυνατότητα να έχουν μόνιμα έναν εξειδικευμένο τεχνικό για την ασφάλεια των δικτύων τους θα πρέπει να κάνουν όλες τις απαραίτητες εργασίες τουλάχιστον μια φορά τον μήνα.

Θα πρέπει να χρησιμοποιούν εφαρμογές ανοικτού κώδικα εφόσον προσφέρουν μεγαλύτερη ασφάλεια.

Για τα backup που είναι πάντα απαραίτητα να χρησιμοποιούν διαφορετικό λειτουργικό σύστημα από τα Windows όπως διανομές Linux.

Πρέπει να χρησιμοποιούν κρυπτογράφηση για τα δεδομένα των πελατών τους ώστε αν κάποιος καταφέρει να αποσπάσει αυτά τα αρχεία να του είναι εντελώς άχρηστα.

Υπάρχουν πάρα πολλές συμβουλές οι οποίες προσαρμόζονται και εφαρμόζονται διαφορετικά ανάλογα με τις ανάγκες της κάθε εταιρείας.
– Ενδέχεται να βρείς και άλλες αδυναμίες σε συστήματα ασφαλείας μεγάλων εταιρειών;

 

-Έχω εντοπίσει ήδη μια πολύ σοβαρή αδυναμία σε έναν από τους μεγαλύτερους παρόχους τηλεφωνίας/internet/τηλεόρασης στην Ελλάδα αλλά δεν μπορώ να αναφέρω κάτι άλλο σχετικά μέχρι να διορθωθεί το πρόβλημα.
– Ποιές είναι οι πιο σημαντικές υπηρεσίες που ζητούν από εσένα οι περισσότερες επιχειρήσεις;
-Σε διαδικτυακές επιχειρήσεις η ασφάλεια είναι η πρώτη στην λίστα και μου ζητάνε συνήθως να δω αν μπορώ να εντοπίσω κάποια αδυναμία στο σύστημα ασφαλείας τους που μπορεί να επιτρέψει την πρόσβαση σε σημαντικά αρχεία του συστήματος ή σε στοιχεία της βάσης δεδομένων.

Η αμέσως επόμενη υπηρεσία είναι η διαχείριση της εταιρικής ιστοσελίδας τους και η βελτίωση της ταχύτητας σε αυτήν.
Σε φυσικές επιχειρήσεις συνήθως μου ζητείται η μελέτη και η εγκατάσταση του δικτύου, ενσύρματου ή ασύρματου.

Σε υπάρχουσες εγκαταστάσεις μου ζητείται ο έλεγχος της ασφάλειας των πληροφοριακών συστημάτων και του ασύρματου δικτύου, και της αναβάθμισης αυτών αν κρίνετε απαραίτητη.

Μια ακόμα σημαντική υπηρεσία που μου ζητείται, είναι το αυτοματοποιημένο backup σε συστήματα όπου δεν μπορούν να εισχωρήσουν διάφοροι τύποι ιών όπως Ransomware με αποτέλεσμα την αποφυγή κρυπτογράφησης των αρχείων τους από κάποιον τρίτο.
Η σημαντικότερη από όλες της υπηρεσίες είναι η εκπαίδευση των υπαλλήλων πάνω στα θέματα ασφάλειας.
Οποιοδήποτε σύστημα ασφάλειας μπορεί να καταρρεύσει από ένα λάθος χειρισμό ενός υπαλλήλου.

Δημήτρης Χατζηδημήτρης

Linux Servers Administrator
Certified Penetration Tester
Security Researcher
Cryptography Enthousiast

Κινητό: 6944884661

 

 

 

MNb3WYb.png

QwAFf7V.png

dfIK0AV.png


Anastasis Vasileiadis

PC Technical || Penetration Tester || Ethical Hacker || Cyber Security Expert || Cyber Security Analyst || Information Security Researcher || Part-Time Hacker || Child Pornography & Sexual Abuse Combat


Leave a Reply

Your email address will not be published. Required fields are marked *