Τι είναι Ασφάλεια Διαδικτυακών Eφαρμογών

Οι  διαδικτυακές εφαρμογές  (Web Applications)  έχουν τα δικαιώματα πρόσβασης στις Βάσεις Δεδομένων ακολουθώντας την παρακάτω “Ασφαλή Διαδρομή” :

 Web Browser –> firewall  –> Web Server –> firewall  –>

  Application  Server  –>  firewall –>  Data Base

Το πρόβλημα που υπάρχει σ’αυτόν  τον σχεδιασμό ελέγχου κίνησης από τον Browser μέχρι την βάση δεδομένων είναι ότι,  τα firewalls  λειτουργούν με δεδομένο ότι  η κάθε εφαρμογή λειτουργεί χωρίς κενά ασφάλειας και επομένως όλα τα  αιτήματα  της θεωρούνται έμπιστα , και έτσι θα πρέπει να επιτραπεί η διέλευσή τους μέχρι την βάση δεδομένων για να απαντηθούν .

Κάτι τέτοιο όμως δεν συμβαίνει, διότι σχεδόν όλες οι διαδικτυακές εφαρμογές  εμφανίζουν πολλά κενά ασφάλειας (αδυναμίες) που ενσωματώθηκαν κατά τον σχεδιασμό τους αλλά και κατά την  κωδικοποίησή τους. Αυτό το γεγονός το γνωρίζουν πολύ καλά οι διάφοροι «επιτήδειοι» (hackers), οι οποίοι με κίνητρο κυρίως το οικονομικό όφελος, εκμεταλλεύονται τα κενά ασφάλειας των εφαρμογών με σκοπό να διεισδύσουν  παράνομα στις βάσεις δεδομένων, και να υποκλέψουν πληροφορίες , οι οποίες μπορούν να πωληθούν στην «αγορά» έναντι σημαντικού οικονομικού ανταλλάγματος. Βεβαίως υπάρχουν και άλλα κίνητρα , όπως αυτό της κατασκοπείας για οικονομικούς ή και πολιτικούς λόγους.

Τι κάνει η δοκιμή διείσδυσης ( penetration testing , ethical hacking) ;

Κατά  τον κύκλο ανάπτυξης  του λογισμικού μετά την κωδικοποίηση της διαδικτυακής εφαρμογής , γίνεται επιθεώρηση (review) του κώδικα για έλεγχο, αν ενσωματώθηκαν οι  απαιτήσεις ασφάλειας.

Μετά από αυτόν τον έλεγχο ακολουθεί ο έλεγχος διείσδυσης (penetration testing) της εφαρμογής, σε εγκατάστασή της στον χώρο ανάπτυξής της και πριν την διάθεσή της για εγκατάσταση στον τελικό της χώρο. Γίνεται ένας έλεγχος που ακολουθεί  συγκεκριμένα πρότυπα (OWASP και άλλα). Μετά την ολοκλήρωση τους όπως και των υπόλοιπων ελέγχων, εγκαθίσταται στον ενδιαφερόμενο πελάτη.

Επειδή το περιβάλλον στο οποίο λειτουργεί η εφαρμογή , επηρεάζει την ασφαλή της λειτουργία , αλλά και επειδή οι απαιτήσεις ασφάλειας αυξάνονται  στο πέρασμα του χρόνου θα πρέπει να γίνονται περιοδικοί έλεγχοι ασφάλειας της κάθε εφαρμογής (penetration testing)  για τον εντοπισμό νέων κενών ασφάλειας (αδυναμιών). Οι υπεύθυνοι διαχείρισης ρίσκου ασφάλειας θα αξιολογήσουν την αναγκαιότητα ή όχι διόρθωσης κάθε αδυναμίας χωριστά. Για όσες αδυναμίες θα πρέπει να διορθωθούν, γίνεται συντήρηση του εφαρμογής αλλά και ενδεχομένως ρυθμίσεων του τεχνολογικού περιβάλλοντος στο οποίο έχει εγκατασταθεί η εφαρμογή.

Ποια είναι η συνήθης κατάσταση που επικρατεί σήμερα;

Τα τελευταία χρόνια, η εκμετάλλευση των αδυναμιών ασφάλειας διαδικτυακών εφαρμογών έχει ανεβεί στην πρώτη θέση. Η αιτία γι’ αυτό το γεγονός είναι, ότι οι αδυναμίες των διαδικτυακών εφαρμογών αποτελούν τον πιο αδύναμο κρίκο στην αλυσίδα μέτρων πρόληψης ασφάλειας πληροφοριακών συστημάτων. Οι επίδοξοι  hackers  το γνωρίζουν πολύ καλά, έτσι εκμεταλλεύονται τις αδυναμίες αυτές , προκειμένου να αποκτήσουν τις πληροφορίες που θέλουν. Δυστυχώς οι διαχειριστές εφαρμογών και δικτύων , συνήθως, δεν έχουν την απαραίτητη εκπαίδευση και γνώση για να αξιολογήσουν τον κίνδυνο υποκλοπής πληροφοριών μέσω των αδυναμιών των εφαρμογών και έτσι δεν ενσωματώνουν στην πολιτική ασφάλειας τα απαραίτητα προληπτικά μέτρα.

Επίσης δεν έχουν την απαραίτητη εκπαίδευση και γνώση για τον προσδιορισμό απαιτήσεων ασφάλειας των διαδικτυακών εφαρμογών. Οι απαιτήσεις αυτές θα πρέπει να συμπεριλαμβάνονται  στον σχεδιασμό και υλοποίηση των εφαρμογών, εφόσον οι υπεύθυνοι διαχείρισης ρίσκου ασφάλειας το κρίνουν αναγκαίο.

Ανάλογος έλεγχος είναι απαραίτητος και για τις εφαρμογές κινητών τηλεφώνων που συνδέονται στο διαδίκτυο.

Εμμανουήλ Κυρ. Μιρτζάνης

it-seminars.com

This entry was posted in ΑΣΦΑΛΕΙΑ ΕΦΑΡΜΟΓΩΝ ΔΙΑΔΙΚΤΥΟΥ, ΕΚΠΑΙΔΕΥΣΗ-ΕΡΕΥΝΑ. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *