2200 harmadik féltől származó szkript. Ennyi fut átlagosan egyetlen vállalati domainen a Cloudflare mérései szerint.
A legtöbb cég talán ötöt tud megnevezni közülük. A Google Analyticset, persze. Talán a chat widgetet. A fizetési átjárót. Ezután már homályba vész. Pedig ezek a szkriptek mind az Ön ügyfelének böngészőjében futnak, ugyanolyan jogosultságokkal, mint az Ön saját kódja. Ki tudják olvasni az űrlapokat. Bárhová el tudják küldeni az adatokat. Az Ön szervere pedig mit sem sejt erről, mert a szerver csak azt látja, ami a szerveren történik.
Így néz ki egy észrevétlen kompromittálás
A Magecart-típusú támadások évek óta ugyanígy működnek. A támadónak nem is kell betörnie az Ön webhelyére. Elég, ha kompromittál egy könyvtárat, amelytől az Ön valamelyik külső szkriptje függ (egy chat widget függősége, egy analitikai SDK, egy fizetési űrlap modulja). Néhány sor JavaScriptet ad hozzá, amely csendben a fizetési űrlap adatait másolja egy külső szerverre.
Semmi leállás. Semmi hibaoldal. Az ügyfél a szokásos módon fizet. Az egyetlen különbség, hogy a kártyaszámát és a CVV-jét mostantól valaki más is ismeri.
Ugyanez az elv érvényes a bejelentkezési adatok ellopására (módosított szkriptek olvassák ki a bejelentkezési űrlapokat), a munkamenet-eltérítésre (session hijacking), kiválasztott látogatók adathalász oldalakra való átirányítására, sőt a cryptojackingre is, amikor a látogató böngészője kriptovalutát bányászik. A webhely lassabb, de „működik".
Minden ilyen esetben a webhely rendben lévőnek tűnik. Csak a bankja csalási jelentéséből tudja meg. Vagy egyáltalán nem tudja meg.
Amit a Cloudflare épp most nyitott meg
- március 30-án a Cloudflare minden ügyfele számára elérhetővé tette az Advanced Client-Side Security funkciót. Korábban csak az enterprise csomagokban volt elérhető. Mostantól bárki bekapcsolhatja, akinek a domainje a Cloudflare mögött fut.
A rendszerük naponta 3,5 milliárd JavaScript szkriptet elemez gráf neurális hálózatok (GNN) és nagy nyelvi modellek (LLM) kombinációjával. A GNN feltérképezi a szkriptek közötti kapcsolatokat, és jelzi a viselkedésbeli anomáliákat. Az LLM réteg ezután kiértékeli, hogy egy jelzés valódi fenyegetés-e vagy téves riasztás.
Ez a második réteg az igazán érdekes. A korábbi módszerekhez képest 200-szoros csökkenést hozott a téves riasztásokban, összességében 0,3%-ról 0,1%-ra, az egyedi szkriptek esetében pedig 1,39%-ról 0,007%-ra. Ez a különbség egy olyan eszköz között, amelyik folyton vaklármát csap, és egy olyan között, amelyet valóban bekapcsolva lehet hagyni.
Az észlelőeszközöknek évek óta ugyanez a problémájuk. Túl sok a téves riasztás, ezért a csapatok egy idő után nem olvassák, végül kikapcsolják őket. Ha a Cloudflare számai a gyakorlatban is megállják a helyüket (és napi 3,5 milliárd mintavétel mellett az adathalmaz elég nagy ahhoz, hogy érdemi legyen), ez átírja a kliensoldali megfigyelés költség-haszon mérlegét.
Az alapok, amelyeket a legtöbb webhely még mindig kihagy
A Cloudflare nélkül is két dolognak ott kellene lennie minden olyan webhelyen, amely bejelentkezéseket vagy fizetéseket kezel:
Content Security Policy (CSP), egy HTTP fejléc, amely megmondja a böngészőnek, mely domainek szolgálhatnak ki szkripteket. Ha egy szkript nem engedélyezett forrásból töltődik be, a böngésző blokkolja. A bökkenő az, hogy a legtöbb webhelynek egyáltalán nincs CSP-je. Amelyeknek meg van, azok gyakran unsafe-inline vagy unsafe-eval beállítást használnak, ami épp a lényeget teszi tönkre. A CSP ráadásul nem az a fajta dolog, amit egyszer beállít az ember és kész, minden új widget, minden analitikai módosítás, minden fizetési integráció megváltoztatja.
Subresource Integrity (SRI), egy hash, amely a külső script tagekhez kapcsolódik. Ha a szkript tartalma megváltozik (mondjuk egy CDN kompromittálása után), a böngésző megtagadja a futtatását. Egyszerű és hatékony megoldás statikus függőségekhez.
Kezdje azzal, hogy megnyitja a böngészőben a DevTools-t, átvált a Network fülre, és megszámolja, hány külső domaint keres meg a webhelye. Ez a szám általában magasabb, mint bárki gondolná.
A kiberbiztonság tágabb képéhez írtunk arról, hogyan alakítja át az AI az adathalász- és deepfake-támadásokat, valamint a szlovák cégeket jelenleg célzó adathalász-kampányokról. Az infrastruktúra oldalán a CI/CD folyamatok biztonsága kapcsolódó téma.
Ha az Ön webhelye harmadik féltől származó szkripteket futtat, márpedig futtat, érdemes tudni, mit csinálnak. Elvégzünk egy biztonsági ellenőrzést, és rendesen beállítjuk a CSP-t.