Francesco Giammanco Esci dalla modalità Reader

Sicurezza per gli e-commerce e minacce

La digitalizzazione del commercio ha portato allo sviluppo delle tecniche cyber-criminali, e di conseguenza allo sviluppo e alla necessità di sistemi sicurezza per gli e-commerce.

La sicurezza riguarda sia lo sviluppo del codice, sia l’integrazione di sistemi terzi, sia il rapporto con gli utenti.

Le minacce

Molto spesso la sicurezza per gli e-commerce è inerente alla piattaforma scelta per operare, per ovvie ragioni.

Le falle sulla sicurezza riguardano la notorietà del codice utilizzato, proprio perché più un codice viene utilizzato maggiori sono le probabilità che attiri attenzione e studi (criminali).

Questo è il caso di WordPress ad esempio, spesso accusato di essere poco sicuro, affermazione che è vera solo in parte.

Tipi di vulnerabilità

Sebbene le vulnerabilità degli e-commerce inizino e finiscano con lo stesso ritmo con cui aggiornamenti e accortezze di usabilità cercando di prevenire ulteriori attacchi, è possibile dividere le falle generate nelle categorie sotto elencate.

SQL Injection

Si tratta di una tecnica volta a rubare, cancellare o modificare i dati presenti in un database.

Molto spesso i database sono di tipo SQL, il linguaggio relazionale più diffuso tra quelli utilizzati per i database. La tecnica di intrusione si bassa sulla capacità dell’attaccante di rendere legittime alcune informazioni, generando secondariamente account da amministratori o qualsiasi cosa possa controllare il sistema.

Malware

I malware sono programmi che funzionano come trojans (si intrufolano nelle difese dell’e-commerce e da lì attaccano). Per il commercio elettronico la forma di furto forse più diffusa è l’acquisizione illegale di dati personali.

Phishing

Si tratta forse della seconda tecnica più nominata, e quella più presente online insieme ai malware e da cui la cybersicurezza deve difendersi.

Si tratta di una tecnica che mira a rubare le informazioni di accesso dell’utente, che molto spesso è l’anello debole della catena di sicurezza del processo di acquisto, al fine di utilizzare i dati per portare a termine transazioni illecitamente.

Nonostante siano sicuramente più comuni tra i normali utenti, anche gli amministratori degli e-commerce sono ugualmente vulnerabili a questo tipo di attacchi, ch possono colpire a quel punto diversi siti installando un unico malware nel “giusto” PC.

Cross Site Scripting

Questo sistema utilizza pezzi di Javascript infettanti che riescono ad accedere alle informazioni dei cookie rubandone le informazioni (quindi anche eventuali accessi).

In generale tutti gli e-commerce fanno largo uso di Javascript, e molto spesso una iniezione di codice infetto porta ad un successivo attacco tramite malware che sfruttano la breccia creata e che puntano a colpire con operazione di phishing.

DDoS

Saliti alle cronache negli ultimi anni, gli attacchi DDoS o Distribuited Denial of Service generano una quantità di richieste ai server che ospitano l’e-commerce da bloccare il servizio e la navigazione sul sito.

Nonostante la difesa tradizionale contro le richieste massive sia semplice e consiste nel blocco dell’IP attaccante, nel caso dell’attacco DDoS il numero di IP è tale da non poter bloccarli tutti efficacemente.

Attacchi Man in the Middle

Gli MITM o Attacchi Man in the Middle richiedono la presenza di un “terzo” che riesca a intercettare il collegamento dell’utente da colpire. Di norma accade quando la navigazione non è sicura perché la connessione che utilizza non è crittografata.

Bot malevoli

A differenza della controparte “legale” si tratta di tools che scansionano il sito al fine di trovare una falla o utilizzare i dati pubblici (prezzi, numero di prodotti) per generare una serie di operazioni automatizzate volte a penalizzare commercialmente il sito colpito.

Molto bad bots o bot malevoli utilizzano i nomi delle controparti famose, per confondersi durante i primi tentativi di analisi delle anomalie.

Modalità di sicurezza per gli e-commerce

Come per le minacce, non esiste un metodo univoco valido in ogni situazione, ma esistono delle best practice da seguire.

Scansioni

Avere un’idea precisa di ciò che accade sul sito è sempre buona norma. Si può iniziare guardando i server log dell’e-commerce ma man mano che la propria piattaforma guadagna dati e valore, sarebbe necessario utilizzare dei tools specifici per controllare il proprio grado di sicurezza ma anche il tipo di visite che bot malevoli possono effettuare.

Aggiornamenti

Piattaforme come WooCommerce risentono del bisogno di ricevere continui aggiornamenti, plugin per plugin.

Si tratta infatti di piattaforme modulari in cui al perfezionamento del codice sono deputati programmatori esterni, motivo per cui è probabile che il lavoro del webmaster si limiti all’aggiornamento. Pur che venga effettuato il prima possibile.

Protocollo SSL/TLS

Ho scritto un articolo in merito, che puoi leggere cliccando sul titolo del paragrafo. La crittografia HTTPS protegge dal furto di dati, ed ormai tutti i browser segnalano come pericoloso procedere su un dominio che non ne è provvisto.

Qualora fosse possibile, si consiglia di aggiornare il sito con la versione TLS, che ha la stessa funzione del protocollo SSL ma è più recente.

Password e autenticazione a due fattori

Ormai molti servizi online utilizzano questo metodo per mettere in sicurezza gli account.

Questo tipo di autenticazione si affida alla presenza di un secondo strumento per verificare l’autenticità del tentativo di accesso, fornendo infatti solo al possessore dell’account un metodo per validare l’accesso.

Per quanto riguarda le password, è un fatto assodato che bisogna utilizzare password che abbiano una certa complessità, anche se ormai sono le piattaforme stesse a richiedere una combinazione cifrata più difficile da scoprire.

Per chiunque utilizzi WooCommerce consiglio di implementare queste informazioni con un articolo sulle sicurezza su WordPress