Pre príspevky s tagom ‘bezpečnosť’

Internetová bezpečnosť po slovensky

Utorok, December 9th, 2008

Na túto tému bolo popísaných veľa článkov a blogov. Dosť intenzívne sa jej venuje aj Synopsi na svojom blogu. Dnes sa na to skúsim pozrieť očami laika, ktorý nepozná detaily zabezpečenia, a nie ako programator, ktorý sa snaží svoje “diela” zabezpečovať.

Po informácii o malých problémoch so stránkou internetbankingu ČSOB som si povedal, že bežný človek nevie, čo môže riskovať, ak používa nezabezpečený internetbanking. A o čo ide? Ak si v slušnom prehliadači na stránke ČSOB kliknete na linku IB, prehliadač vám zobrazí chybové hlásenie s bezpečnosťou certifikátu stránky, ktorá ním má byť overená.Prehliadač Safari vôbec nenačíta stránku s neplatným certifikátom Ak je prehliadač dôsedný, nedostanete sa k stránke vôbec.

A čo sa stalo? Treba použiť iný prehliadač? Podľa m?a skôr iný internetbanking. ČSOB totiž používa certifikát overený PSCA – Prvou Slovenskou Certifikačnou Autoritou. O nič by nešlo, ak by boli certifikáty PSCA štandardne dodávané vo všetkých prehliadačoch. Na to je ale táto autorita pomerne málo významná. Prehliadač teda nechá na vás, či chcete tejto stránke veriť.

Čo by bolo treba zmeniť? Nie prehliadač, nie banku (keby aspo? IB mali iný :-D ). Riešenie nie je priveľmi nákladné a je celé na strane banky. Stačí zmeniť certifikát za taký, ktorý bude podpísany dôveryhodnou autoritou (VeriSign, Thawte, Go Daddy…). Proti takémuto certifikátu nebude váš prehliadač nič namietať a stránku ním zabezpečenú vám rád zobrazí.

A ako môžete pracovať s certifikátmi?Informácie o zabezpečení Tatra Banky A čo to vôbec certifikáty sú? Jednoducho povedané, sú to akési doklady pravosti stránky. Ak pristupujete k stránke, na ktorej je potrebná zvýšená bezpečnosť (banka, elektronický obchod, prihlasovania), je dobré, ak stránka používa zabezpečený protokol. To, či ho naozaj používa zistíte tak, že v adresnom riadku na začiatku adresy nebude http, ale https. To “s” znamená “secure” – zabezpečený. Stránka je vtedy prenášaná šifrovaná a nikto, kto by bol medzi vami a serverom nemôže odchytiť a zmeniť vaše dáta. Nedostane sa k vašim heslám, číslam kreditných kariet, osobným mailom, nezmení vaše objednávky. Celá komunikácia je šifrovaná za pomoci kľúča, ktorého detaily sú v certifikáte. V tomto certifikáte sú aj detaily o tom, kto ho vydal, kto zaručuje jeho pravosť, aj o tom, komu bol vydaný. To je vaša banka, elektronický obchod a pod.Detaily certifikátu
Ak si chcete pozrieť tieto detaily (čo nie je na škodu), stačí kliknúť na ikonku zámočka (resp. iného indikátora zabezpečenia).

Ak ale nie je certifikát podpísaný autoritou, ktorú prehliadač pozná, musíte vy rozhodnúť, či mu veríte. A tu je zraniteľnosť. Nie je totiž zanedbateľné riziko, že niekto môže zmeniť údaje, ktoré vám boli zaslané. Túto zmenu už nemáte ako zistiť, keďže aj certifikát vám mohol byť nastrčený útočníkom.

Nevravím, že na vás teraz hneď budú útočiť a klienti ČSOB prídu o peniaze. Bolo by ale vhodné, aby banka zmenila svoj postoj k tejto otázke, aby si mohli byť istejší, že je všetko v poriadku.

DOPLNENÉ:

Na moje otázky mi prišlo vyjadrenie od špecialistu helpdesku ČSOB, ktoré zahŕ?alo stanovisko PSCA. To si môžete prečítať v súbore PDF uloženom na mojej stránke. V ?om je vysvetlené, že PSCA je uznávana legislatívou ČR a SR. Takisto ich kore?vé certifikáty uznala spoločnosť Microsoft.

Sám používam Windows a v zozname certifikačných autorít mám I.CA. No aj tak nie je možné načítaťv IE7 stránku internetbankingu ČSOB. A to nehovorím o iných OS a prehliadačoch.

Bezpečný web a šialenstvo okolo neho

Sobota, Jún 28th, 2008

No, možno som to s tým nadpisom prehnal, ale aspo? máme jasno v tom, že sa nechystám písať o zabezpečovaní kódu voči SQl injection, XSS a podobnej hávedi priamo ako kóder. Chcem sa na to pozrieť z troška iného uhla.

Ok… Takže som začínajúci webdeveloper, ktorý si chce zbúchať svoj vlastný webový projekt, ktorý nebude stáť už iba na HTML, ale skúsim niečo dynamické. Super vec je php. Je to ľahký jazyk so širokými možnosťami a asi nenájdem hosting, ktorý by ho nepodporoval. Ako prvú vec si naprogramuje guestbook alebo anketu, jednoduchšie fórum. Alebo využijem nejaké hotové komponenty, prípadne celý systém (framework, CMS, wordpress…). No čím viac možností, tým viac problémov. Ak mám vstupné brány do systému, musím si dávať pozor, aby mi nimi neprišlo TO, čo nechcem. Chceme ochrániť svoje dáta, máme povinnosť voči používateľovi našej aplikácie. A navyše nám môže uškodiť informácia o tom, že sme zraniteľní.

No fajn. Pri malom projekte, ktorý robíme sami sa dá dozrieť na bezpečnosť relatívne ľahko (i keď bývajú práve tieto malé projektíky najviac “odfláknuté”). Vo väčsom tíme je to už ťažšie veľmi záleží na štábnej kultúre a návykoch jednotlivých developerov. A v neposlednom rade i na ich postoji. Nejde iba o to, dokončiť projekt, ale urobiť ho kvalitne. Sú možno určité objektívne okolnosti, ktoré to sťažujú (a to nevravím čisto alibisticky), ale ruku na srdce, komu sa z nejakej “lajdáckosti” v kóde neobjavila nejaká zraniteľnosť.

Je mnoho expertov a “expertov”, ktorí vedia tieto zraniteľnosti nájsť, niektorí ich aj zneužijú. Stretol som sa s viacerými postojmi programátorov, ktorí mali veľmi vyhranený negatívny názor na takéto testovanie – možno práve kvôli tomu, že sa mi urobili chybu. Jedno ich prirovnanie vraví, že testovanie cudzích stránok je, ako keby ste chodili v paneláku od bytu k bytu a šperhákom skúšali, či sa dajú dvere otvoriť. Skúste to povedať majiteľovi bytu a budete radi, že neležíte na ARO (obzvlášť pri stave nášho zdravotníctva). Títo programátori odmietali s analytikmi komunikovať.

Potom sa dá chápať, že je analytik znechutený z programátora dvojnásobne: jednak robí chyby a ešte si za nimi stojí drzo ukazujúc na niekoho iného. Možno by však bolo užitočné zmeniť spôsob komunikácie na oboch stranách. Sám viem, že prístup nezávislého experta môže byť subjektívne vnímaný ako arogantný a nepríjemný. Potom sa vytráca chuť komunikovať.

Hmm… Čo teda robiť? Spomaliť vývoj dôkladným testovaním? Šprintovať a riskovať diery vo funkčnosti? Na to už odpovedať nebudem, je to na Vás. Ale pamätajme na to, že situáciu treba brať s nadhľadom a mať na vedomí, čo môže každý náš krok spôsobiť, aby sme potom neboli skôr na smiech. Všetkého veľa škodí – to dokumentuje aj obrázok so zobrazením ponuky pracovných miest, ktorý je veľmi, veľmi dobre ošetrený ;-)

Ak máš čo povedať, bloguj. Neviem, kto to povedal, neviem, či som túto vetu neskomolil. Ale takto nejak chápem úlohu blogu. Dať ľuďom, ktorí ma chcú počuť, vedieť, že som tu, že mám svoj názor a nehanbím sa zaň. Je ťažké zhrnúť, o čom budem písať inak ako "o tom, čo ma baví". Nechcem si dávať fixné hranice, ale nechcem sa tváriť ako odborník na všetko. Tento svet je perfektný a okolo nás je toľko fajn vecí, že je asi hriech o nich nepísať. Tak ja tu doťuknem pár riadkov o tom, čo okolo seba vidím svojimi očami. A prosím: Ak niečo napíšem nešikovne, ak sa zle vyjadrím, ak nechtiac napíšem niečo, čo radšej napísané byť nemalo, prepáčte mi. Prosím... :-)

A čo to mám rád? Fotenie. Obrázky toho, čo pekné sa dá vidieť. Asi žiadne výtvarné umenie ma neoslovuje tak ako práve fotografia. Hudba. Perfektný relax a odstraňovač bolehlavov. Milujem akustickú hudbu, ska-jazz, pop, folk, rock.... Medzi tým, čo počúvam sa nájde Paulo Nutini, Jarek Nohavica, Jack Johnson, Norah Jones, Nerina Pallot a milión ďalších (nebo tak nějak). Film. Vždy poteší pekný príbeh v pohyblivých obrázkoch. Technika. Je to tiež akési umenie, ktoré ukazuje, čo všetko dokážeme, aké sú naše možnosti. Príroda. Ak sú tie predchádzajúce veci umením ľudí, toto je umením Boha. Tu ukázal, žo dokáže (fakt svelý chlap - alebo žena? :-D ).

A ak mám vypichnúť zopár vecí, ktoré mám fakt rád, tu je môj minizoznam:

  • Aďka
  • iPod nano & Koss Porta pro
  • Nerina Pallot: Fires
  • Petti di pollo al forno
  • Leffe blonde
  • Wacom bamboo
  • Nikon D40
  • Garmont Nagevi
  • Tolkien's books
  • Lunch on skyscraper
  • I Am Sam
Grafika by Števo Bačkor running Wordpress