Divulgazione di informazioni per identificatori

3

Sto facendo una piccola ricerca e ho osservato un bel po 'di siti che rivelano alcune informazioni private negli ID-s che assegnano. Ad esempio vorrei segnalare i siti di e-commerce che rilasciano ID di incremento automatico per i nuovi ordini dei clienti.

Monitorando tali informazioni un avversario può ottenere importanti dati relativi al marketing su un dato sito, ad es. quanti ordini ordina un sito al giorno, quanti articoli sono ordinati, quanti articoli sono stati fatti per ordine. A volte questo è sufficiente per una valutazione abbastanza buona del reddito del sito.

Per continuare, ho visto pochi siti che rivelano il numero dei loro utenti registrati allo stesso modo. In coppia con il numero di nuovi ordini questo crea ancora più informazioni statistiche.

La mia domanda è: questi problemi sono davvero importanti? Se eseguo un controllo di sicurezza, dovrei posizionare tali rapporti nella matrice dei rischi?

    
posta Lachezar Balev 14.09.2012 - 16:52
fonte

2 risposte

4

Questa vulnerabilità dovrebbe essere valutata con capacità e sfruttabilità .

La capacità rientra nelle seguenti categorie:

  1. La possibilità di modificare le informazioni sul sistema che non dovresti essere in grado di
  2. La capacità di visualizzare le informazioni sul sistema che non dovresti essere in grado, in modo che le informazioni personali di una persona siano rivelate, o le credenziali (o altri elementi di informazione) siano trapelate che potrebbero aiutare un utente malintenzionato a ottenere un ulteriore accesso al sistema.
  3. La possibilità di visualizzare informazioni accidentali sul sistema che non dovresti essere in grado, ad es. la somma dei prezzi degli articoli nel carrello di un altro utente su un sito di e-commerce.
  4. Nessuna abilità.

L'exploit rientra nelle seguenti categorie:

  1. Trivially exploitable in maniera affidabile, ad es. l'utente admin è sempre ID 1, oppure gli ID vengono sempre assegnati in sequenza.
  2. Moderatamente difficile da sfruttare, ad es. dover cercare attraverso una sequenza di numeri interi a 24 bit per potenziali identificatori.
  3. Difficile da sfruttare, ad es. calcolo G n + 1 da G 0..n , dove G è un generatore di numeri casuali di scarsa qualità.
  4. Impossibile * da sfruttare, ad es. il problema equivale a forzare brutalmente uno spazio delle chiavi a 128 bit. (* impossibile = altamente improbabile, e al di fuori del rapporto costi / benefici per gli aggressori)

Si noti che questa non è una scala intera - sentiti libero di valutare qualcosa come, ad esempio, una capacità di 2.5 pollici.

Il trucco è che senza sfruttamento, la capacità è inutile e senza capacità, la sfruttabilità non ha senso.

Per valutare questo, prendi in considerazione i punti precedenti e confronta le tue valutazioni con l'importanza della risorsa protetta. Ricorda inoltre che gli ID sequenziali semplificano lo sviluppo, pertanto l'analisi del rischio dovrebbe tenerne conto.

Come regola generale, se stai guardando qualcosa che vale la pena proteggere e la media media dei due numeri è inferiore a 2, chiamala alta. Se è maggiore di due, è del tutto soggettivo.

Suggerisco anche di dare un'occhiata al Sistema di valutazione delle vulnerabilità comuni (CVSS) e NVD < a href="http://nvd.nist.gov/cvss.cfm?calculator&version=2"> Calcolatore CVSSv2 , che svolge un ottimo lavoro nel dimostrare la valutazione della vulnerabilità e il punteggio.

    
risposta data 14.09.2012 - 17:21
fonte
0

Sospetto che la maggior parte delle aziende considererebbe che il vantaggio organizzativo derivante dall'avere numeri sequenziali di ordini superi gli svantaggi di qualcuno in grado di raccogliere quanti ordini ci possono essere in un certo periodo di tempo. Inoltre, ai clienti piace mantenere i loro ordini organizzati per numero di ordine, quindi ci sarebbero probabilmente alcuni clienti insoddisfatti se hai randomizzato queste informazioni.

Anche se un'organizzazione utilizzava l'ordine o l'ID cliente randomizzati se un utente malintenzionato era in grado di vederli mentre venivano creati, sarebbe in grado di contarli comunque, quindi c'è poco beneficio per la randomizzazione.

    
risposta data 14.09.2012 - 17:11
fonte

Leggi altre domande sui tag