Jak donosi blog armorize.com a za nim inne portale (np. technologie.gazeta.pl) blisko 90 000 sklepów internetowych napędzanych przez silnik osCommerce zostało zainfekowanych niebezpiecznym dla użytkowników kodem.

Atak polegał na doklejeniu do kodu szablonow osCommerce odpowiednio spreparowanego kodu JavaScript który z kolei, wykorzystując luki w oprogramowaniu klienta (m.in. Internet Explorer i Adobe PDF) powodował odpalenie na komputerze klienta pliku, infekującego komputer wirusem.

Brzmi jak koszmar? Z pewnością jest koszmarem dla właścicieli sklepów, którzy nie zareaguja na zagrożenie w porę. Zbanowanie strony przez Google (dodanie jej do czarnej listy niebezpiecznych witryn) oraz stygmatyzacja jej przez przeglądarki Internetowe (czerwone alerty bezpieczeństwa) mogą w konsekwencji doprowadzić do całkowitej utraty klientów.

Nie mówiąc o kompromitacji względem użytkowników (pokazanie jak dbamy o bezpieczeństwo zakupów :-)) czy też ewentualnych procesach sądowych związanych z uszkodzeniami których dokona w komputerze ofiary. W końcu my go dystrybuujemy :)

Kilka miesięcy temu z podobnym problemem spotkali sie użytkownicy serwera reklam OpenX – problem o tyle groźniejszy, że niebezpieczny kod był doklejany do wszystkich stron ze wstawionymi kodami reklamowymi (http://m.techeye.net/security).

W przypadku osCommerce autorzy zalecają natychmiastowa aktualizację do najnowszej wersji oprogramowania, w przypadku OpenX na poprawkę należało czekać przez dłuższy czas… Nie każde oprogramowanie open source jest równie aktywnie rozwijane. Oczywiście nie każde jest równie bezpieczne.

osCommerce od dawna jest znany ze swoich wad: braku dobrego projektu programistycznego, chaotycznych zmian i braku planu rozwoju. Jednak jako jedna z pierwszych szeroko rozpropagowanych platform sklepowych – przy dużej ilości funkcji – cieszy sie nadal dużym zainteresowaniem.

Jeśli strona rozsiewa wirusy, zostanie odpowiednio alertowana przez przeglądarkę. Czy chcesz aby taki komunikat pojawiał sie przy wejściu na Twoją stronę?

attack

Wielu właścicieli sklepów internetowych uruchamiających swój biznes w sieci skupia sie na aspektach biznesowych (to dobrze) tak bardzo, że zupełnie zapominają o technologii i podstawowych zasadach jakie mogą nas obronić przed zagrożeniami (to bardzo niedobrze).

Z technologią jest jak z ubezpieczeniem. Często nie widać jej zalet na codzień. W e-commerce zaletą dobrej technologii w dużej mierze powinno być niskie ryzyko wystąpienia sytuacji kryzysowej.

Bezpieczeństwo w e-commerce to nie (tylko) SSL dla klienta i zewn. system płatności (aby nie przechowywac numerów kart płatniczych).

Na co więc warto zwrócić uwagę aby zmniejszyć ryzyko technicznej wpadki?

  1. Czy oprogramowanie z którego korzystamy jest aktywnie rozwijane (częstotliwość nowych wersji, data ostatniej stabilnej),
  2. Czy za oprogramowaniem (nawet open source) stoi firma oferująca płatny support? Czy inne firmy oferują płatny support? Czy mamy wykupione wsparcie i konserwacje oprogramowania u specjalistów?
  3. Czy wsparcie informatyczne kto mamy zawiera regularne aktualizację oprogramowania (wg. changelist producenta informujacych o poprawkach bezpieczenstwa) i kopie zapasowe?
  4. Jeśli mamy większy budżet, zadbajmy aby support obwiniał gwarantowane czasy reakcji w sytuacjach kryzysowych (np. 6 godzin dla błędów krytycznych itd),
  5. Czy oprogramowanie którego używamy cieszy sie dobra opinia wśród programistów? (wystarczy poszukać informacji na kilku forach – chociażby na goldenLine.pl – aby wiedzieć, że osCommerce to zły wybór :))
  6. Jak czesto są wykonywane i jak długo przechowywane kopie bezpieczeństwa (błedy i włamania najczęściej ujawniają sie po kilku dniach, po czasie – powinniśmy mieć możliwość przywrócenia systemu do ostatniego poprawnego stanu),
  7. Czy przeprowadzalismy testy naszego sklepu? Podstawowe testy bezpieczeństwa – XSS, CSRF, SQL Injection można przetestować automatycznie.

To tylko podstawowe czynności, które pozwolą nam poważnie zwiększyć bezpieczeństwo techniczne naszego biznesu. W dużych wdrozeniach takie i inne wytyczne służą działom IT do opracowania planów postępowania w sytuacjach awaryjnych.

To tak jak w życiu – nie da sie wyeliminować wszystkich zagrożeń, ale ich świadomość jest czesto wystarczającą obroną. Pogadaj więc ze swoim dostawcą IT na ten temat :)