V době, kdy webové stránky a aplikace čelí stále více útokům se v nedávném průzkumu americké softwarové společnosti JanRain vyjádřilo 71 % respondentů v tom duchu, že zabezpečení jejich účtů na webových stránkách a aplikacích je jednou z nejvyšších priorit při volbě poskytované služby. Zároveň z ankety vyplynulo, že uživatelé ve velké míře na straně poskytovatelů online služeb oceňují transparentnost a férový přístup.
Transparentnost a férový přístup poskytovatelů webových aplikací
Férové jednání vůči uživatelům se projevuje ve více rovinách, může projevovat například různou rychlostí odbavování požadavků, poskytování informací nebo, pokud mluvíme o webových aplikacích nabízejících online hry, také v rovině “štěstí”. S tímto problémem se v sektoru online her potýká řada vývojářů a řešení jsou mnohdy monumentální, jako v případě generátoru náhodných čísel založeného na kvantové teorii, který využívá známá herní platforma PokerStars.
Jinou kapitolou je uživatelská přívětivost webu nebo aplikace i pro “nováčky”. V případě například rezervačních systémů nebo inzertních aplikací je důležité, aby byl systém přehledný pro všechny uživatele a nebyli tak zvýhodňováni “starousedlíci”.
Samotnou kapitolou fér přístupu poskytovatelů online služeb je pak informování klientů o úrovni zabezpečení a případných úniích dat. Ze zmíněného průzkumu vyplývá, že i když k něčemu takovému dojde, uživatelé ocení, když dostanou v co nejkratším čase pravdivé informace. V Evropské Unii mají dokonce na takový přístup zákonem zakotvené právo. Ale pokud se podíváme hlouběji do minulosti, spíše bylo zvykem takové incidenty tutlat.
Zlatý věk phishingu
Před rokem 2008 byly úniky dat poněkud vzácné a nejčastěji k nim docházelo zejména v důsledku lidské chyby, jako je ztráta notebooku, USB flash disku nebo jiného média. Další úniky dat byly způsobeny phishingovými útoky, které instalovaly malware, útoky ze strany některého zaměstnavatele poskytovatele dané služby nebo organizacemi, které zneužívaly fakt, že některé firmy používaly slabá hesla a špatné šifrovací techniky. Některé organizace, které byly podobnými incidenty postiženy, dodnes neznají opravdovou příčinu.
Rychlý posun vpřed o 12 let a počet úniků data vzrostl nad jakákoliv očekávání. Únik dat je hlavním důvodem, proč vlády dnes zavádějí předpisy o ochraně soukromí a údajů. Zabezpečení webových aplikací je zásadní, protože právě útoky na webové aplikace vystavené na internetu jsou hlavní příčinou úniku dat. Podle zprávy o stavu zabezpečení softwaru společnosti Veracode z roku 2019 mělo 77 procent webových aplikací alespoň jednu bezpečnostní chybu.
Útoky na webové aplikace zevnitř
Phishingové útoky, kdy se útočník naboural na uživatele, instaloval malwaru a dálkově ovládal infikovaný počítač, aniž by si toho vůbec někdo všiml, neměly příliš vysokou úspěšnost. Kromě toho, nalezení dat, která stála za odcizení, bylo potřeba mnoho času a čím delší dobu útočník trávil na síti, tím větší byla šance na jeho odhalení.
V důsledku toho se útočníci začali zaměřovat na hledání bezpečnostních chyb webových aplikací. Takové útoky jsou výrazně účinnější a efektivnější.
Pokaždé, když uživatel navštíví web a zadá své přihlašovací údaje, registruje se k účtu, otevře nějaký záznam, provede nákup atd., všechny tyto informace – včetně osobních údajů – jsou uloženy na serveru, na kterém daná aplikace běží. Převzetí kontroly nad webovou stránku nebo aplikací skrze zranitelná místa v softwaru často poskytuje útočníkům volný přístup k datům uloženým na tomto serveru.
Útočníci mohou také do webových formulářů vložit škodlivý kód, aby využili aplikací, které nemají řádně ošetřené možnosti toho, co mohou uživatelé do jednotlivých polí vložit. Například, místo zadání jména osoby do pole Jméno, mohou hackeři zadat kód, který je poté spuštěn aplikací a/nebo back-endovu databází a pokud se to podaří, často útočníkovi zobrazí celou databázi.
Budoucnost zabezpečení webových aplikací
Protože útočníci využívají zranitelnosti zabezpečení webových aplikací, aby získali přístup k soukromým datům, musí organizace chránit weby a aplikace ještě usilovněji, než chrání své počítače a jiná zařízení připojená k síti.
Jak více organizací přesouvá své webové stránky a aplikace do cloudu, zabezpečení webových aplikací bude tedy mít naprosto rozhodující význam – a bude komplikovanější. Technologie zabezpečení založené na cloudu, jako jsou brány firewall webových aplikací, mohou chránit webové stránky, aplikace a data za nimi uložená, bez ohledu na to, odkud běží. U webových stránek používajících open source řešení také stojí za zvážení, jaké řešení bude využito. V počtu úspěšných útoků totiž suverénně vede Wordpress, jako nejbezpečnější se jeví redakční systém MODX. Dlužno ovšem dodat, že Wordpress je světově nejrozšířenější, takže je jasné, že i počet útoků bude zdaleka nejvyšší.
