W dzisiejszych czasach każda firma w mniejszym lub większym stopniu zależy od Internetu. Aplikacje mobilne to doskonały i łatwy sposób na poprawę jakości obsługi klienta oraz forma rozwoju nowej działalności. Aplikacje mogą być jednak łatwym celem cyberprzestępców. Hakerzy są doskonale przygotowani do znajdowania i wykorzystywania luk w aplikacjach w celu kradzieży danych i innych informacji wrażliwych.
Luki w zabezpieczeniach – raj dla hakerów
Rynek od lat stale rośnie, pojawia się coraz więcej rozwiązań, a przy wszystkich możliwych opcjach nie jest zaskoczeniem, że firmy mają trudności z podjęciem decyzji, które aplikacje są odpowiednie, a które nie. Niektóre z nich, na pierwszy rzut oka przydatne, mogą w rzeczywistości zwiększyć podatność firmy na zagrożenia.
Większość udanych cyberataków bierze się z niedopatrzeń w zabezpieczeniach aplikacji, które hakerzy mogą wykorzystać. Ponieważ rośnie liczba i złożoność aplikacji, łańcuch dostaw oprogramowania jest o wiele bardziej skomplikowany, biorąc pod uwagę outsourcing rozwoju, liczbę starszych aplikacji w połączeniu z wykorzystaniem zewnętrznych, otwartych i komercyjnych komponentów oprogramowania.
Firmy potrzebują dobrych rozwiązań w kwestii bezpieczeństwa aplikacji, od tych używanych wewnętrznie po popularne aplikacje zewnętrzne używane na telefonach komórkowych klientów. Rozwiązania te muszą obejmować cały etap programowania i pozwalać na testowanie po uruchomieniu aplikacji w celu monitorowania potencjalnych problemów, a także oferować testy bezpieczeństwa, które są łatwe w użyciu i wdrażaniu.
Bezpieczeństwo aplikacji w sieci publicznej
Czasem zdarza się, że jesteśmy zmuszeni do skorzystania z Internetu poza domem lub poza firmą, na przykład w pociągu lub w kawiarni w celu i skorzytać z firmowej poczty za pomocą przeglądarki. Wówczas świetnym rozwiązaniem może okazać się skorzystanie z sieci VPN.
Co to jest VPN? Wirtualna sieć prywatna to usługa, która pozwala na bezpieczne korzystanie z Internetu i eliminuje możliwość „podsłuchiwania” naszego połączenia, ponieważ wykorzystuje komunikację szyfrowaną. Dodatkowo zalecamy nie łączyć się z sieciami publicznymi w ogóle i wykorzystać rozwiązanie hybrydowe czyli połączyć usługę VPN z danymi pakietowymi z naszego telefonu.
Jak sprawdzić bezpieczeństwo aplikacji?
Niemal połowa dostępnych w Internecie stron internetowych zawiera luki w zabezpieczeniach, które stanowią zagrożenie dla użytkowników aplikacji oraz ryzyko strat finansowych. Często błędy te nie są jednak wcale trudne do wykrycia. Jedną z możliwości jest usługa testów penetracyjnych, czyli legalne hakowanie aplikacji za zgodą jej właściciela. Polega na przeprowadzaniu symulowanych ataków na sieci i aplikacje firmy w celu weryfikacji skuteczności procesów i narzędzi bezpieczeństwa sieci. Taki cyberatak jest całkowicie kontrolowany i jego celem jest wykrycie potencjalnych zagrożeń, takich jak luki w systemie, błędy sprzętu oraz analiza słabych punktów systemu informatycznego i ocena ryzyka.
Powodzenie takich testów jest zależne od poprzednio wykonanego tzw. „Białego wywiadu” – OSINT (open source intelligence). Operacja ta m na celu wykorzystanie legalnych narzędzi do zgromadzenia jak największej ilości informacji na temat aplikacji, która jest testowana. Zbierane są informacje takie jak: technologie jakie zostały użyte do stworzenia systemu, adres ip na których jest uruchomiona, inne domeny powiązane z systemem, nagłówki http, wersje bibliotek i frameworków użytych do jej zbudowania. Dzięki tym informacjom tester może przygotować odpowiednią strategię do złamania zabezpieczeń.
Proces testowania aplikacji zakończony jest obszernym raportem w którym znajdziemy znalezione luki. Szacowane jest również ryzyko oraz krytyczność danego problemu. Często pentesterzy w raporcie przedstawiają sposób w jaki można wykorzystać podatności tzw PoC (Proof of concept). Ważnym aspektem dokumentu, który powstaje, są zalecenia dla deweloperów oraz sysadminów, które zawierają informacje jak daną podatność usunąć oraz jakie zastosować zabezpieczenia w aplikacji.
Nagrody dla hakerów
Firmy prześcigają się w pomysłach, jak zwalczać zagrożenia. Ciekawy przykład projektów dotyczących legalnego hakowania w zamian za wynagrodzenie mogą stanowić programy Bug Bounty oraz Hackerone.
Bug Bounty to program premiowy oferujący nagrody za odkrycie błędów związanych z podatnościami na cyberprzestępstwo, takich jak przede wszystkim phishing (próba przejęcia haseł służących użytkownikowi do logowania), oferowany przez wiele stron internetowych i organizacji, takich jak Google, Mozilla, Facebook, Yahoo, Allegro i Microsoft. Pomaga zatem dostawcy witryny odkrywać i rozwiązywać problemy zapobiegając przypadkom powszechnego nadużywania.
HackerOne z kolei to osobna platforma służąca do koordynowania luk w zabezpieczeniach i zgłaszania błędów, która skupia przedsiębiorstwa, testerów penetracji i badaczy cyberbezpieczeństwa. Jest to największa tego typu firma zajmująca się cyberbezpieczeństwem, według danych z lipca 2018 r. składała się z około 200 000 badaczy, usunęła 72 000 luk w zabezpieczeniach w ponad 1000 programów klientów i wypłaciła 31 milionów dolarów amerykańskich w nagrodach za wykrycie błędów.
System cyberbezpieczeństwa rozwija się dynamicznie, stanowi obecnie główną gałąź rozwoju branży informatycznej. Na uczelniach powstają wyspecjalizowane kierunki studiów, a zawód związany z bezpieczeństwem w sieci należy do najbardziej przyszłościowych – szacuje się, że w samym 2020 roku ma brakować ponad 1,5 mln specjalistów.