Webtruslerne stiger og der er penge i det....

»Alle Hackere på top ti hos Zone-H har fået tilbudt et job til en kvart million dollars,« udtaler teknisk chef i IBM Rational's sikkerhedsafdeling Danny Allen i en artikel fra Version2.

Og det var jo netop det der blev talt så meget om på C-cure’s årlige konference d. 29. maj i år. Der er så store penge i IT kriminalitet, at vi ikke kan sidde hotfixes og patching overhørigt. Ligeledes er det useriøst at sidde webtruslerne overhørige. Der må og skal laves grundige IT politikker og de SKAL revideres jævnligt. Men der skal også løbes hurtigere for at man i det hele taget kan nå det hele og en del løsninger skal revideres.

Over 100 danske hjemmesider er i weekenden 7. og 8. juni 2008 blevet udsat for SQL-angreb. Bl.a. blev Elsparefonden ramt. Ifølge C-cure's samarbejdspartner CSIS har hackerne formentlig anvendt Google til at finde huller i hjemmesidernes sikkerhedssettings og har efterladt ondsindet kode på hjemmesiderne.

C-cure og andre profesionelle IT sikkerhedsrådgivende virksomheder kan sagtens fortælle flere skræmmehistorier om både danske og udenlandske virksomheder, for hvem ulykken er sket og derfor ønsker vi endnu engang at understrege vigtigheden af websikkerhed….

Når vi taler websikkerhed er der jo adskillige elementer vi skal være opmærksom på:

• Er forbindelserne krypteret og på hvilket et niveau?
• Lagres informationerne krypteret?
• Er der tale om .asp applikationer på webben, som nemt kan kompromitteres?
• Er der sørget for alle nødvendige hotfixes og patches?
• Hvor effektive er de løsninger der anvendes, scannes der både for Spyware, virus, phishing og med URL filtre? Og hvor effektivt opdateres URL filteret?
• Anvendes sikkerhedsforanstaltningerne optimalt eller er de utidssvarende?
• Hvordan er brugernes adfærd? Ved de og respekterer, hvad der i virksomhedens øjne er konfidentiel information?
• Kan uvedkommende gætte en direkte URL og derved skaffe adgang til fortrolige oplysninger?
• Har virksomheden kategoriseret og prioriteret de sårbarheder man har kendskab til?

Som udbyder af services på web, bør man sørge for at det ikke er muligt for uvedkommende at gætte den direkte URL uden brug af yderligere identificering, for det gør det muligt få adgang til kritiske dele af den webapplikation, som man måske netop forsøger at beskytte, eller endnu værre de informationer der ligger bag ved applikationen. Derved er det vigtigt at man ikke kun definerer sårbarhederne hurtigt, men også kategoriserer og prioriterer dem i forhold til ens forretning.

Som besøgende på et kendt såvel som ukendt website, har man ingen mulighed for at se om sitet er kompromitteret. Sårbarheder og Cros site scripting muliggør at et websted kan køre i en iFrame eller med en ekstra AJAX AJAX Læs mere om "AJAX" i Version2's it leksikon forbindelse, som sender og henter information fra en tredje part, uden at der som sådan bliver installeret ondsindet kode på klienten. Dette gør at ingen kan stole på hinanden, hverken netværket, applikationen eller brugeren. En sårbarhed kan med AJAX frameworks være sværere at styre, fordi HTTP-forespørgsler ikke længere kun kommer fra brugeren.

For meget kryptering?
Man bør huske at krypteringen kan forhindre at data der skal scannes af egne systemer, bliver checket til bunds. Der skal med andre ord tænkes processorienteret ved kryptering af data og man skal selvfølgelig også se på kvaliteten af den kryptering der foretages. Alt for mange webapplikationer benytter svag kryptering,

Kan vi styre brugerne?
Næppe, men vi kan fortælle brugerne om god skik og brug på internettet. Vigtigt er det dog at understrege at med god skik og brug når man kun en bid af vejen. Idag skal der værktøjer til som løbende scanner op imod registrerede URL filtre og disse skal være velopdaterede. Desuden skal man scanne for phishing, spyware og andet malware undervejs. Der skal desuden et løbende eftersyn til for at sikre at man ikke har falsk tryghed..

Hvad kan C-cure gøre for Jer?
Desværre vokser udfordringerne stadigt og pådrager IT afdelinger væsentlig mere overvågning, flere værktøjer, ressource behov og en tungere økonomi, som følge af de stigende webtrusler.

C-cure har et stærkt fokus på websikkerhed og kryptering og vil løbende holde kritisk øje med hvilke producenter af løsninger på markedet, som bedst kvalificerer sig med løsninger og kvalificeret support. Har I behov for en gennemgang, rådgivning om løsninger på markedet eller hjælp til anvendelse, står vi selvfølgelig til rådighed.