Eesti e-kaubandus sihtmärgina

Käesolev artikkel on veidi muudetuna ilmunud ka ajakirjas Arvutimaailm.

E-poed sihtmärkidena

Elu ja kaubandus on juba tükk aega tagasi läinud üle ka internetti ning iga aastaga suureneb sealt ostetavate kaupade hulk. Kliendi andmed, müüdavad kaubad ja siseinfo on kõik asjad, mis võivad motiveerida häkkerit valima just e-poe enda sihtmärgiks. Ja kuna Eestis pole keegi väga valusalt sellega näppe kõrvetada saanud, siis ei olda selleks tegelikult ka valmistunud. Eesti e-poed kubisevad kõiksugu tehnilistest ja ka väga lihtsatest turvaaukudest, mille kaudu on kõik varem mainitu võimalik kätte saada. Ja seda isegi vägagi mainekates poodides. Järgnevalt kirjeldangi mõned ülimalt levinud vead, mis vaatamata lihtsusele on ohtlikud ning mida välismaal on kurjategijad edukalt ära kasutanud.

Negatiivsed arvud

E-poest ostes, sooritavad poe serveris olevad programmid lihtsaid arvutusi, et teha kindlaks ostu kogusumma, vahesummad jms. Kõige lihtsam näide sellest on hind*kogus=summa, mis arvutab välja, vastavalt kasutaja valitud tootele ja kogusele, ostu summa. Summa mida klient on sunnitud toote saamiseks maksma. Iga isik sooviks midagi ostes, selle summa võimalikult väiksena hoida. Ründaja aga võib saavutada sama tulemuse tehislikult. Kui siinkohas uuesti vaadata selleks valemiks kasutatvaid väärtusi, siis loomulikult ei saa kasutaja muuta toote hinda (kuigi, nagu hiljem seletan, siis vahel ikka saab ka), seega jääb ainult kogus, mida kasutaja saab tihti lihtsalt kuhugi tekstikasti vabalt sisestada. Siinkohal tuleb aga sisse oht. Loomulikult peaks ostetava kauba kogus olema positiivne arv, kuid kuna see on nii loogiline ja keegi ei arva vastupidist, siis tihtipeale kontrollib programm ainult, et kas tegu on arvuga, mitte aga, et kas tegu on ikka positiivse arvuga. Seega on võimalik osta näiteks -1 kuvar väärtusega näiteks 4000 krooni. Mis teeb ostu kogusummaks -4000 krooni. Õnneks pole Eesti poodides, kus maksmine käib Eesti oma pankade kaudu, ohtu, et negatiivse arve saadab server automaatselt kuhugi täitmisele ja lõpptulemusena kantakse see raha hoopis poe külastaja arvele (mida negatiivne summa sisuliselt tähendaks).

Samas aga on oht kombineerida ostusid. Näitkes on poes 2 kuvarit. Ühe hinnaks on 4000 krooni, teise hinnaks on 3999 krooni. Ostes sellisel juhul 1 esimese kuvari ja -1 teist kuvarit, saame 1*4000+(-1)*3999=1, ehk kogusumma on 1 kroon. Sooritades aga sellise ostu, on olemas 3 võimalust:

Variant A Tähelepaneliku müüja puhul paneb poe mõni töötaja tähele negatiivset kogust ja arvatavasti võetakse ostjaga ühendust. Siinkohal on aga väga raske ostjat milleski süüdistada, sest häkkimiseks kõnealust tegevust nimetada on keeruline. Ei tehtud mitte midagi tehnilist, ainult sisestati number, mida poos ise lubas sisestada. Halvemal juhul kaotab ründaja 1 krooni.

Variant B Vähemteadliku müüja puhul paneb näiteks kauba komplekteerija negatiivset arvu küll tähele, kuid järeldab, et tegu on nt tagastatud või välja vahetatud kaubaga, ning väljastab ainult 4000 kroonise kuvari. Sellega sai ründaja 1 krooniga ühe kuvari.

Variant C Tähelepanematu või hoolimatu müüja puhul kauba väljastaja ei märkagi miinust märki kauba ees, peab seda printeri veaks või lihtsalt ei hooli sellest ja väljastab mõlemad kuvarid. Sellisel juhul on ründaja saanud 1 krooni eest kaks kuvarit.

Sellise rünnaku puhul on variant C eriti tõenäoline, kui tegu on veidi suuremate poodidega, kus lao ja komplekteerimisega tegelevad inimesed väga rutiinset tööd teevad. Firmas, kus iga tellimus on eriline ja mitte pidevalt korduv, on sellise vea märkamine tõenäolisem. Samas aganagu mainitud, ei saa klienti selles väga süüdistada, sest pood lubas sisestada negatiivset arvu ja lõppude lõpuks võib selliseid asju ka kogemata juhtuda. See viga on Eesti poodides hämmastavalt laialt levinud.

Määrame ise hinna

Järgmine viga ei ole nii levinud kui eelmine ja nõuab hästi veidi tehnilisemat lähenemist, kuid sellega saab samuti igaüks hakkama kui vähegi soovib. Nimelt hoiavad mõned e-poed toote hindasid ostmise protsessi jooksul lehekülje enda peal ja kui inimene valib toote, siis saadab kasutaja veebilehitseja koos toote tähisega ka hinna ning server loeb selle välja päringust ning ei kontrolli andmebaasist üle. Loomulikult ei hoita sellist väärtust lehekülje mõnes nähtavas tekstikastis, et igaüks seda muuta saaks, vaid hoitakse näiteks hidden tüüpi kastis. Seda tavakasutaja ei näe, kuid selle nägemiseks ja muudetavaks tegemiseks piisab näiteks mõnest tasuta firefoxi pluginast vms. Seejärel on seda sama lihtne muuta kui näiteks kogust. Ja jällegi saab kasutaja osta mõne 1000.- krooni väärtusega toote näiteks 1 krooni eest. Veel hiljaaegu oleks seda viisi kasutades saanud endale näiteks ajakirju ja ajalehti aastateks 1 krooni eest tellida.

Minu arve või sinu arve

Tihti antakse e-poodides peale ostu sooritamist võimalus vaadata oma arvet või ostu kinnitust, kus muuhulgas võib peal olla palju konfidentsiaalset infot. See võimalus antakse tihti näiteks maili peale saadetud viite kujul. Viide võib olla midagi sellist http://www.mingiEpood.ee/arve.php?id=105423

Kui te seda viidet nüüd vaatate, siis http://www.mingiEpood.ee/ on poe nö asukoht internetis, arve.php on fail, mis serveris käivitatakse ja ?id=105423 on lisainfo, mis annab sellele failile teada, et millist arvet/kinnitust näidata. See toimib seetõttu, et serveris on kõigile arvetele/kinnitustele antud numbriline väärtus, et neid oleks lihtsam otsida ja eristada. 105423 on number mis vastab kasutaja ostetud kaubale. Kui seda väärtust aga muuta veebilehitseja aadressireal, siis on võimalus, et nähtavale tuleb mõni teine arve, mis enam ründajale ei kuulu. See toimub põhjusel, et programmi kirjutanud arendaja unustas lisada kontrolli, kas arve, mida küsitakse, kuulub ikka isikule, kes antud hetkel on sisse loginud. Ja seega saabki ründaja väga lihtsalt (kasutades ainult veebilehitsejat) ligipääsu teiste inimeste tellimustele ja andmetele.

Seis Eestis

Olukord Eestis on selliste vigade osas väga halb. See oli kõigest väga lühike nimekiri eksisteerivatest vigadest. Tegelike veatüüp on palju rohkem ja mitmed neist on palju palju ohtlikumad. Aga kuna Eestis pole olnud tõeliselt halbu kogemusi või suuri kahjusid, siis ei huvitu poed ka nende probleemide parandamisest. Kannatada aga võivad saada mitte ainult poed vaid ka poe kliendid.

Leave a Reply

Your email address will not be published. Required fields are marked *