Baza wiedzy
Bezpieczeństwo aplikacji webowych
Bezpieczeństwo aplikacji webowych
05.07.2021

Dynamiczny rozwój technologiczny i postępująca cyfryzacja to szereg udogodnień nie tylko dla przedsiębiorców, ale także każdego indywidualnego użytkownika Internetu. To również istotne zagrożenia, z których najpoważniejsze wiąże się ze zjawiskiem cyberprzestępczości.

SZANSE I ZAGROŻENIA GALOPUJĄCEJ CYFRYZACJI

Jako społeczeństwo, ale także jako podmioty będące uczestnikami życia biznesowego i gospodarczego coraz więcej czasu spędzamy wpatrzeni w ekran telefonu i monitor komputera – a w przeciągu minionego roku z oczywistych względów trend ten znacząco przyspieszył. W obecnych uwarunkowaniach dla każdego przedsiębiorstwa oczywistym jest fakt, że inwestycja w technologiczne rozwiązania mobilno-webowe to warunek konieczny do dalszego rozwoju i nadążania za wyzwaniami stawianymi przez wysoce konkurencyjne rynki.

Przenoszenie świata biznesu do przestrzeni online gwarantuje sprawniejsze zarządzanie firmą, produkcją czy sprzedażą. To ułatwiona komunikacja wewnętrzna oraz dostęp do nieograniczonej liczby potencjalnych klientów. Dla zwykłego użytkownika wielu aplikacji, które coraz częściej wyznaczają rytm naszego dnia i życia, to możliwość pracy zdalnej, kontaktu ze znajomymi czy też zamawiania posiłków i robienia zakupów bez wychodzenia z domu. To rozrywka i edukacja na wyciągnięcie ręki. To po prostu wygodniejsze i łatwiejsze życie, sprawniejsze załatwianie każdego rodzaju spraw, oszczędność czasu i środków.

Cyfryzacja kolejnych obszarów życia to jednak nie tylko same korzyści. Proces ten niesie za sobą także coraz poważniejsze zagrożenia. Omawiany trend sprzyja powstawaniu na szeroką skalę negatywnych zjawisk, na które, wraz ze wzrostem naszej aktywności w sieci, w coraz większym stopniu naraża się każdy z nas.

CYBERPRZESTĘPCZOŚĆ

Cyberprzestępczość, bo o niej mowa, najkrócej scharakteryzować możemy jako nielegalne działania skierowane przeciwko systemowi komputerowemu i czyny dokonane przy użyciu komputera jako narzędzia. Coraz częściej wyspecjalizowani hakerzy wykorzystują internet, aby dokonywać szeregu przestępstw.

Można wymienić wiele grup sklasyfikowanych jako przestępstwa komputerowe, między innymi oszustwo związane z wykorzystaniem komputera, fałszerstwo komputerowe, zniszczenie danych lub programów komputerowych, sabotaż komputerowy, obrażanie innych osób w sieci, wejście do systemu komputerowego przez osobę nieuprawnioną, podsłuch komputerowy, bezprawne kopiowanie, rozpowszechnianie lub publikowanie programów komputerowych prawnie chronionych, podszywanie się pod inne osoby lub pod firmy, modyfikacja danych lub programów komputerowych, szpiegostwo komputerowe, używanie komputera bez zezwolenia czy też używanie prawnie chronionego programu komputerowego bez upoważnienia.

Chociaż metody działania hakerów i związane z nimi zagrożenia ciężko ująć w postaci krótkiego zestawienia, często pojawiającymi się przykładami przestępczości w obszarze wirtualnym są:

  • Ataki hakerskie, które mają na celu nielegalne użycie wykradzionych danych
  • Botnet, czyli zainfekowanie grupy komputerów szkodliwym oprogramowaniem umożliwiającym sprawowanie nad nimi zdalnej kontroli, rozsyłanie spamu i inne ataki
  • Ataki DDoS, będące próbą uniemożliwienia działania systemu poprzez zajęcie wszystkich wolnych zasobów i atak z wielu komputerów
  • Szantaż Ransomware, będący rodzajem szkodliwego oprogramowania, które blokuje dostęp do systemu lub uniemożliwia korzystanie ze zgormadzonych w nim danych wymuszając od ofiary „okup” za przywrócenie pierwotnej kontroli.

O skali opisywanego zjawiska najlepiej świadczy badanie McAfee z 2018 roku, które pokazało, że w wyniku cyberprzestępczości światowa gospodarka traci rocznie 600 miliardów dolarów, tj. odpowiednik 1% światowego PKB! 1

BEZPIECZEŃSTWO APLIKACJI WEBOWYCH

Wraz ze wzrostem cyfryzacji i jej wpływu na nasze życie, w obliczu narastającego zagrożenia cyberprzestępczością, coraz częściej podnoszony jest temat zasad bezpieczeństwa dotyczących poruszania się w szeroko rozumianej przestrzeni online oraz odpowiednich zabezpieczeń stosowanych przez producentów systemów informatycznych i aplikacji webowych.

W jaki sposób chronić siebie i swoje dane przed potencjalnymi atakami w sieci? Przede wszystkim należy rozsądnie korzystać z dobrodziejstw technologii online uważając na to, gdzie podaje się swoje dane, a także dbając o właściwą higienę dotyczącą odwiedzanych stron internetowych, pobieranych plików oraz stosowanych systemów i narzędzi antywirusowych.

Należy także wybierać takie systemy i oprogramowanie, które zapewnią wysoki poziom bezpieczeństwa oraz udostępniają informacje dotyczące stosowanych zabezpieczeń i wszelkiej formy ochrony przed złośliwym oprogramowaniem i atakami zewnętrznymi.

Niestety wiele z proponowanych przez producentów aplikacji posiada poważne błędy, które często wykorzystywane są przez hakerów. Dobrze opisuje je lista OWASP Top 10, czyli zestawienie powstałe w 2017 roku, obejmujące 10 najczęściej występujących błędów w aplikacjach webowych. Wśród najważniejszych mankamentów będących „wytrychami” dla cyberprzestępców warto wymienić:

  • Niepoprawną obsługę uwierzytelniania.
  • Ujawnianie poufnych danych.
  • Błędną konfigurację zabezpieczeń.
  • Używanie komponentów ze znanymi podatnościami i niewystarczające logowanie. 2

Wśród przedsiębiorstw chcących zainwestować w rozwój technologiczny i nowoczesne rozwiązania mobilno-webowe rodzi się więc uzasadniona obawa: czy dalsza cyfryzacja kolejnych obszarów działalności firmy to aby na pewno bezpieczne rozwiązanie? Czy warto ryzykować umieszczając w systemie wrażliwe dane nie tylko swoje i swoich pracowników, ale także klientów, których zaufanie z takim trudem udało się zdobyć?

Jako INTENSE Group bardzo dobrze rozumiemy tę troskę naszych klientów, dlatego rozwiewamy wszelkie wątpliwości z całą stanowczością potwierdzając: nasz system jest w pełni bezpieczny i mamy na to dowody. Audyt bezpieczeństwa wykonany przez niezależną firmę potwierdza to, że nasza aplikacja jest odporna na atakiwolna od podatności, które mogłyby stanowić zagrożenie. A jak mechanizm bezpieczeństwa wygląda w praktyce?

BEZPIECZEŃSTWO W PLATFORMIE INTENSE

Będąc świadomymi tego, jak ważnym aspektem pracy z naszym systemem jest bezpieczeństwo oraz pełna poufność przechowywanych w Platformie danych, wychodzimy naprzeciw oczekiwaniom naszych klientów. Aplikacja webowo-mobilna INTENSE Platform posiada cały szereg zaawansowanych mechanizmów zabezpieczających przed panującymi w sieci zagrożeniami, wśród których wymienić można:

  1. Bezpieczna autoryzacja przez aplikację: mechanizm zabezpieczający przed atakami Brute force na konta użytkowników:
    • Blokowanie konta użytkownika po określonej w konfiguracji ilości nieudanych prób logowania w jednostce czasu.
    • Możliwość „wymuszenia” siły haseł zgodnie z zasadami systemowymi lub autoryzacja poprzez login domenowy LDAP.
    • Możliwość ukrycia szczegółów: użytkownik zobaczy tylko ogólny komunikat ‘Błąd loginu lub hasła’.
    • Możliwość ustawienia timeoutu sesji www/mobile (wylogowywane po dłuższej bezczynności).
    • Funkcja wymuszenia zmiany hasła.
    • Zabezpieczenie przypominania hasła specjalnie generowanym kodem PIN wysyłany na adres email.
  2. Zabezpieczenie witryny za pomocą szyfrowanego protokołu HTTPS
    • Protokół komunikacyjny chroni integralność i poufność danych przesyłanych między komputerem a witryną.
  3. Ograniczanie możliwości masowego wykonywania operacji
    • Możliwość wprowadzenia limitów dla określonych operacji wykonywanych w jednostce czasu.
  4. Odporność na ataki typu DoS (Denial of Service)
  5. Odporność na ataki typu Cross-Site Scripting (XSS) and HTML Injection
    • Kod aplikacji został opracowany w taki sposób, aby niemożliwe było wykonanie nieautoryzowanego kodu Java Script lub HTML w przeglądarce użytkownika aplikacji.
  6. Zwiększona kontrola dostępu do danych (identyfikator i ticket)
    • Stosujemy mechanizm tworzenia tymczasowego identyfikatora ATT oraz drugiego parametru (ticket), którego znajomość umożliwia pobranie załącznika. Ich ważność jest ograniczona czasowo i powiązana z dodawaniem konkretnego dokumentu.
  7. Odporność na ataki CSRF Cross-Site Request Forgery
    • Każdy komunikat w aplikacji wyposażony jest w token, który spełnia cechy: Unique per user session, Secret, Unpredictable.
  8. Odporność na ataki typu Clickjacking
    • Kod aplikacji wykonywany po stronie przeglądarki internetowej zawiera mechanizmy wykrywające i blokujące ładowanie treści strony.
  9. Dodatkowe zabezpieczenie poprzez odpowiednie nagłówki HTTP
    • Aplikacja może zostać wyposażona w nagłówki http, które zwiększają poziom bezpieczeństwa.
  10. Możliwość kontroli wielkości i rozszerzeń wprowadzanych do bazy załączników.
  11. Zaawansowane narzędzia do monitoringu i kontroli pracy z aplikacją www/mobile
    • System wyposażony jest w narzędzia umożliwiające informowanie administratora o nieautoryzowanych działaniach i incydentach oraz posiada wbudowany monitor aktywności użytkowników, wykorzystania parametrów systemu, analizy logów tekstowych.
  12. Trójwarstwową architekturę aplikacji
    • Architektura systemu jest trójwarstwowa, podstawowy podział na warstwy uwzględnia: warstwę danych (np. bazy danych, pliki),warstwę aplikacyjną (serwery aplikacyjne), warstwę prezentacji (serwery obsługujące interfejsy użytkownika, dostęp kliencki do systemu).
  13. Konfigurację ról i uprawień użytkowników
    • Mechanizmy kontroli dostępu zaimplementowane w aplikacji, zapewniające możliwość przydzielania użytkownikom wyłącznie tych uprawnień, które są im niezbędne. Konfiguracja ról, filtrów obowiązkowych, menu, widoczności/edytowalności zakładek i pól na formularzach, widoczności/edytowalności akcji.
  14. Reguły kontroli dostępu wymuszane po stronie serwera
    • Wszystkie ustalone reguły kontroli dostępu do usług, funkcji, danych i obiektów są wymuszane po stronie serwera.

Jak widać, nawet hasłowa prezentacja głównych mechanizmów zabezpieczających użytkowników Platformy INTENSE przed zjawiskiem cyberprzestępczości to lista długa i obszerna. W realiach, w których zarówno wielkie koncerny, jak i małe firmy coraz częściej padają ofiarami ataków hakerów i innych przestępców operujących w przestrzeni wirtualnej, nie sposób jednak przecenić znaczenia kwestii bezpieczeństwa aplikacji webowych. Zapewniamy, że ciągle trzymamy rękę na pulsie monitorując otoczenie tak, aby sprawnie reagować na wszelkie nowe potencjalne zagrożenia i na bieżąco dostosowywać nasz system do aktualnych wymogów.

Cieszy nas fakt, że rozwiązanie w postaci webowej wersji naszego systemu jest częstym wyborem uznanych marek, firm, które poza wygodą użytkowania, elastycznością i konfigurowalnością Platformy INTENSE, doceniają także wysokie bezpieczeństwo oferowanych przez nas innowacyjnych rozwiązań informatycznych.

1 https://businessinsider.com.pl/twoje-pieniadze/prawo-i-podatki/czym-jest-cyberprzestepczosc-i-jak-z-nia-walczyc/cs323gc

2 https://eduweb.pl/programowanie-i-www/biznes/bezpieczenstwo-aplikacji-webowych