Revelación de información por identificadores

3

Estoy haciendo una pequeña investigación y observé muchos sitios que revelan cierta información privada en los ID-s que asignan. Como ejemplo, me gustaría señalar los sitios de comercio electrónico que emiten ID-s de incremento automático para los pedidos de nuevos clientes.

Al monitorear dicha información, un adversario puede obtener datos importantes relacionados con la comercialización de un sitio determinado, por ejemplo. la cantidad de pedidos que un sitio realiza por día, la cantidad de artículos que se ordenan, la cantidad de artículos que se hicieron por orden. A veces esto es suficiente para una evaluación bastante buena de los ingresos del sitio.

Para continuar, vi algunos sitios que revelan el número de usuarios registrados de la misma manera. Junto con la cantidad de pedidos nuevos, esto crea aún más información estadística.

Mi pregunta es: ¿son estos problemas realmente importantes? Si realizo una auditoría de seguridad, ¿dónde debo ubicar dichos informes en la matriz de riesgos?

    
pregunta Lachezar Balev 14.09.2012 - 16:52
fuente

2 respuestas

4

Este defecto debe clasificarse por capacidad y explotabilidad .

La capacidad cae dentro de las siguientes categorías:

  1. La capacidad de alterar la información en el sistema que usted no debería poder.
  2. La capacidad de ver información en el sistema que no debería poder ver, por ejemplo, que se revele la información personal de una persona o se filtren credenciales (u otros elementos de información) que puedan ayudar a un atacante a obtener más acceso a la sistema.
  3. La capacidad de ver información incidental en el sistema que no debería poder, por ejemplo. la suma de los precios de los artículos en la cesta de otro usuario en un sitio de comercio electrónico.
  4. Sin habilidad.

La explotabilidad cae dentro de las siguientes categorías:

  1. Trivialmente explotable de una manera confiable, por ejemplo. el usuario del administrador siempre es ID 1, o los usuarios siempre reciben ID secuenciales.
  2. Moderadamente difícil de explotar, por ejemplo. tener que buscar en una secuencia de enteros de 24 bits los posibles identificadores.
  3. Difícil de explotar, por ejemplo. computar G n + 1 de G 0..n , donde G es un generador de números aleatorios de mala calidad.
  4. Imposible * para explotar, por ejemplo, el problema se compara con la fuerza bruta de un espacio de claves de 128 bits. (* imposible = altamente improbable y muy por fuera de la relación costo / beneficio para los atacantes)

Tenga en cuenta que esto no es una escala entera; siéntase libre de calificar algo como, por ejemplo, un 2.5 en capacidad.

El truco es que sin explotabilidad, la capacidad no tiene sentido, y sin capacidad, la explotabilidad no tiene sentido.

Para calificar esto, considere los puntos anteriores y compare sus calificaciones con la importancia del recurso protegido. Además, recuerde que las ID secuenciales facilitan el desarrollo, por lo que el análisis de riesgos debe tener esto en cuenta.

Como regla general, si está buscando algo que valga la pena proteger, y el promedio de los dos números es menor que 2, llámelo alto. Si es mayor que dos, es completamente subjetivo.

También le sugiero que eche un vistazo al Sistema de puntuación de vulnerabilidad común (CVSS) y NVD's < a href="http://nvd.nist.gov/cvss.cfm?calculator&version=2"> CVSSv2 calculator , que hace un gran trabajo de demostrar la evaluación de vulnerabilidad y la puntuación.

    
respondido por el Polynomial 14.09.2012 - 17:21
fuente
0

Sospecho que la mayoría de las empresas considerarían que el beneficio organizativo de tener números de orden secuenciales supera los inconvenientes de que alguien pueda captar cuántos pedidos puede haber en un determinado período de tiempo. Además, a los clientes les gusta mantener sus pedidos organizados por número de pedido, por lo que es probable que haya algunos clientes descontentos si aleatoriza esta información.

Incluso si una organización utilizara un orden aleatorio o ID de clientes si un atacante podía verlos a medida que se crearon, él / ella podría contarlos de todos modos, por lo que la aleatorización tiene pocos beneficios.

    
respondido por el GdD 14.09.2012 - 17:11
fuente

Lea otras preguntas en las etiquetas