Yorum bölümünüz ne kadar güvenli? Bir ürün sayfasındaki görünüşte masum bir ‘teşekkür ederim’ yorumunun kötü niyetli bir güvenlik açığını nasıl gizlediğini ve sağlam güvenlik önlemlerinin gerekliliğinin altını çizdiğini keşfedin. Gerçek hayattaki vaka çalışmasının tamamını buradan okuyun.
Bir ‘Teşekkür ederim’ ne zaman ‘Teşekkür ederim’ değildir? Birisinin bir ürün sayfasının yorumlar bölümüne gönderdiği ‘Teşekkür ederim’ görselinin içine gizlenmiş sinsi bir kod parçası olduğunda! Bu özel kod parçasının içine gizlenen suç sırrı, bilgisayar korsanlarının güvenlik kontrollerini aşmasına ve çevrimiçi alışveriş yapanların kişisel kimlik bilgilerini çalmasına olanak sağlamak için tasarlandı; bu da hem kendileri hem de şirket için büyük sorun anlamına gelebilirdi.
Söz konusu sayfa küresel bir perakendeciye ait. Kullanıcı toplulukları genellikle meraklı arkadaşlardan gelen tarafsız tavsiyeler için harika bir kaynaktır; bir Nikon fotoğraf makinesi sahibinin bu toplulukta paylaşım yapmasının nedeni de budur. İdeal 50 mm lensi arıyorlardı ve öneri istediler. Yanıt verme zahmetine katlanacak herkese şimdiden teşekkür ettiler ve hatta “Teşekkür ederim” yazan küçük bir resim bile bıraktılar ve çıplak gözle bakıldığında güzel görünüyordu.
Yorum ve görsel üç yıl boyunca sitede kaldı(!), ancak şirket, lider bir web güvenliği firması olan Reflectiz’in sürekli web tehdit yönetimi çözümünü kullanmaya başladığında, rutin bir izleme sırasında bu masum görünen grafikte rahatsız edici bir şeyler tespit etti. tarayın. Bu makalede, olup bitenlere ilişkin geniş bir genel bakış sunuyoruz ancak daha derin bir açıklamayı ve kendi yorum sayfalarınızı nasıl koruyabileceğinize ilişkin daha fazla ayrıntıyı tercih ederseniz, ayrıntılı örnek olay incelemesinin tamamını buradan indirebilirsiniz.
Değiştirilmiş Görüntüler
Web ile ilgili en iyi şeylerden biri, görüntüleri kolayca paylaşabilmenizdir, ancak her gün yüzlercesine bakan bir insan olarak, her birinin tıpkı diğer dijital varlıklar gibi koddan oluştuğunu unutmak kolaydır. bir web sayfası. Durum böyle olunca, kötü niyetli aktörler sıklıkla kendi kodlarını içlerinde saklamaya çalışırlar ve bu da bizi steganografi uygulamasına getirir. Bu, bir bilgi parçasını diğerinin içine saklamak için kullanılan terimdir. Mesajları anlaşılamayacak şekilde anlamsız hale getiren kriptografi ile aynı şey değildir. Bunun yerine steganografi, verileri görünür bir şekilde, bu durumda, bir görüntünün içinde gizler.
Bir Pikselin Anatomisi
Bilgisayar monitörlerinin görüntüleri piksel adı verilen noktalardan oluşan bir mozaik kullanarak görüntülediğini ve her pikselin kırmızı, yeşil ve mavi ışık karışımı yayabildiğini biliyor olabilirsiniz. Bu RGB piksellerinden birindeki her rengin gücü 0 ile 255 arasında bir değerle belirlenir, yani 255,0,0 bize kırmızıyı, 0,255,0 bize yeşili verir vb.
255,0,0 ekranın görüntüleyebileceği en güçlü kırmızıdır ve 254,0,0 biraz daha az güçlü olsa da insan gözüne tamamen aynı görünecektir. Kötü niyetli aktörler, seçilen piksellerin değerlerinde çok sayıda bu küçük değişiklik yaparak kodu göz önünde gizleyebilir. Bunlardan yeterince değiştirerek, bir bilgisayarın kod olarak okuyabileceği bir değerler dizisi oluşturabilirler ve fotoğraf perakendecisinin yorumlar bölümünde yayınlanan örnekte, değiştirilen görüntüde gizli talimatlar ve güvenliği ihlal edilmiş bir alanın adresi yer alıyordu. Sayfadaki JavaScript’in gizli bilgileri iletişim kurmak için kullandığını bulmak sürpriz oldu.
Sonuçlar
Bir e-ticaret web sitesini işleten herkes için en büyük sorun, kötü niyetli aktörlerin her zaman müşterinin kişisel bilgilerini ve ödeme kartı ayrıntılarını çalmak için fırsatlar araması ve görüntü dosyalarını değiştirmenin kullandıkları birçok olası yöntemden yalnızca biri olmasıdır. Giderek artan sayıda bölgedeki yasa koyucular ve ödeme kartı endüstrisi gibi alanlardaki kural koyucular, sağlayıcılara sıkı güvenlik gereksinimleri uygulayan ve başarısız olmaları durumunda büyük para cezaları uygulayan ayrıntılı düzenleyici çerçeveler uygulayarak yanıt verdiler.
GDPR, Avrupa Birliği müşterilerine satış yapan herkesin onun geniş ve ayrıntılı çerçevesini takip etmesini gerektirir. Bir e-ticaret perakendecisi steganografiye veya müşteri bilgilerini tehlikeye atan başka türde bir saldırıya yenik düştüğünde, milyonlarca dolarlık para cezalarına maruz kalabilir, toplu davaları tetikleyebilir ve itibarın zarar görmesine yol açacak kötü tanıtım yaratabilir. Bu nedenle web sitenizi bu tür saldırılara karşı nasıl koruyacağınızı anlamak çok önemlidir; örnek olay incelemesinin tamamı da bunu açıklamaktadır.
Sürekli Koruma
Vaka çalışması, bu tehdidin nasıl ortaya çıkarıldığı ve kontrol altına alındığı konusunda derinlemesine bilgi veriyor ancak kısa açıklama, platformun izleme teknolojisinin bir web bileşeninde şüpheli aktivite tespit ettiği ve ardından belirli ayrıntılara kapsamlı tehdit veritabanıyla çapraz referans verdiği yönünde.
Sistem, kullanıcı etkinliğini izinleri olmadan izleyen tüm üçüncü taraf web bileşenlerini rutin olarak tanımlar ve engeller. Hangi üçüncü taraf bileşenlerin kullanıcıların coğrafi konum, kamera ve mikrofon izinlerini rızası olmadan ele geçirdiğini tespit eder ve hassas bilgilere erişebilecek tüm web bileşenlerini haritalandırır.
Bu durumda Reflectiz’deki insan güvenliği uzmanları, şirketi bu güvenlik açığı konusunda uyardı, güvenlik personeline net hafifletme adımları verdi ve saldırganların onu oraya nasıl yerleştirmeyi başardığını anlamak için şüpheli kodu araştırdı. Bulgularını buradan, vaka çalışmasının tamamını okuyabilir ve aynı şeyin kendi yorum sayfalarınızın başına gelmesini önlemek için hangi güvenlik adımlarına öncelik vermeniz gerektiğini öğrenebilirsiniz.