Falhas nos Processos de Negócios Observando os Riscos de Segurança

A execução de um site seguro significa mais do que proteger contra ataques de script entre sites e de injeção de SQL. As falhas nos processos de negócios que fundamentam os sites também podem apresentar sérios riscos de segurança, disse o CTO de uma empresa de segurança da Web. Falhas nos processos, ou lógica de negócios, para sites podem se tornar altamente lucrativas para hackers, habilidade para explorar e às vezes não é tecnicamente ilegal aproveitar, disse Jeremiah Grossman, CTO da WhiteHat Security, na Source Boston Security Showcase. "Essas questões são comuns se você souber o que procurar", disse ele.

[Leitura adicional: Como remover malware do seu PC Windows]

Ele ofereceu vários exemplos dessas falhas, incluindo aquelas encontradas em projetos de sites, sistemas de autenticação Captcha e privilégios de usuário. As pessoas que se aproveitam delas são geralmente proibidas de usar um serviço, embora às vezes sejam processadas. Em 2007, uma mulher foi acusada de fraudar a QVC de US $ 412.000, explorando uma falha em sua lógica de negócios. Ela fez pedidos para 1.800 itens com a rede de compras domésticas e cancelou os pedidos em seu site. Ela recebeu crédito por devolver a mercadoria, mas os itens foram enviados para ela de qualquer maneira e ela os vendeu no eBay, disse o Departamento de Justiça. A QVC tomou conhecimento do assunto quando os usuários do eBay entraram em contato com ele sobre o recebimento de itens ainda em sua embalagem. A mulher acabou se declarando culpada de fraude eletrônica.

Os recursos de redefinição de senha podem levar a acesso não autorizado a contas se eles fizerem perguntas óbvias e os hackers tiverem pequenas informações sobre suas vítimas. Grossman ofereceu um exemplo envolvendo a antiga operadora de serviços móveis Sprint. Para redefinir suas senhas, ele disse, um hacker precisava saber apenas o número de telefone celular de uma pessoa e uma informação básica, como onde ela morava ou o carro que dirigia. Isso poderia ter permitido que um hacker pedisse novos telefones em nome da vítima ou instalasse novos serviços em seus telefones. Os cupons E

representam um risco para os comerciantes se os números de cupom estiverem próximos uns dos outros sequencialmente. Um varejista viu alguns de seus itens de alto preço sendo vendidos por alguns dólares depois que um hacker escreveu um roteiro para descobrir números de cupons que diferiam apenas em alguns dígitos, disse Grossman. O varejista descobriu o problema quando seu sistema registrou uma abundância de pedidos sendo processados ​​durante a noite enquanto o script do hacker era executado.

Os hackers podem persuadir outros internautas a resolver os testes do Captcha, atraindo-os a sites com a promessa de liberdade. música ou conteúdo adulto. Os captchas exigem que uma pessoa decifre uma sequência de caracteres desordenados para se inscrever em serviços como uma conta de e-mail da Web. Os internautas resolvem os Captchas, que são enviados via servidor proxy para o hacker, que então os usa para se inscrever em várias contas de e-mail para enviar spam ou alguma outra atividade.

"Contanto que você tenha usuários suficientes vindo para o seu site, você tem o Captcha resolvido ", disse Grossman. "Os malvados querem derrotar esses Captchas para que possam nos enviar spam."

Outra falha é conceder aos usuários acesso a todas as partes de um site quando eles tiverem um login ou senha para um determinado serviço lá. Por exemplo, os funcionários de uma empresa da Estônia se inscreveram para o serviço de press releases da Business Wire em 2004. Descobriu-se que as URLs no site às vezes continham informações sobre comunicados de imprensa que ainda não haviam sido tornados públicos. Usando um programa que procura URLs, os funcionários da empresa conseguiram descobrir informações comerciais e financeiras confidenciais. Depois de comprar e vender ações com base nessas informações, os funcionários ganharam US $ 7,8 milhões, mas também foram acusados ​​de fraude por reguladores dos EUA.

Ele observou que provavelmente houve muitos casos semelhantes que nunca vieram à tona porque os autores eram nunca pego

A segurança da Web se estende além da garantia de qualidade e projeta corretamente aplicativos da Web para incluir como os serviços são configurados para operar, disse ele.