Ha csak fél-háromnegyed év távlatában tekintünk vissza, akkor is feltűnő, mennyire egy irányba mutatnak a legfontosabb biztonsági témák. Januárban a Windowshoz kiadtak egy javítást, amely a crypt32.dll egy sérülékenységét orvosolta. A javított dll egy olyan biztonsági összetevő, amely a CryptoAPI-ban kezeli a tanúsítványokat és kriptográfiai üzenetküldési funkciókat. A sérülékenységet a Microsoft kritikusnak minősítette. A fejlesztők ugyanis a CryptoAPI segítségével kapcsolhatják össze alkalmazásaikat a Windows titkosítási szolgáltatásaival, ám a hiba miatt veszélybe kerülhettek a hitelesítési folyamatok az asztali és a szerver Windowsokon, böngészőben, harmadik féltől származó alkalmazásban. Kiaknázásával le lehet hallgatni titkosított kommunikációt, vagy tanúsítványokat lehet hamisítani, hogy károkozó programokat megbízhatóként azonosítson a rendszer.

Három hónappal később, márciusban az androidos appok által használt Installed Application Methods API-ról bizonyították kutatók, hogy akár adatokat is szivárogtathat. Segítségével egy androidos készülékre telepített app simán le tudja szívni az eszközre felrakott egyéb alkalmazások listáját. Pedig az API feladata az lenne, hogy a fejlesztők értesülhessenek arról, ha appjuk összeütközik más alkalmazásokkal, illetve hogy az alkalmazások képesek-e szükség esetén interakcióba lépni egymással.

Július elején a Facebook esetében derült ki – sokadjára –, hogy nagyrészt egy hibás API miatt megint elszivárgott néhány millió (tíz- esetleg százmillió) felhasználó személyes adata.

Ezek a nagyobb publicitást kapó esetek jól mutatják, valami történt itt az API-k terén.

Komplex rendszerek API-kal összekötve

Egyre inkább érvényes az a szabály, hogy amit lehet, bízzunk szakértőre. Ez a szakértő lehet egy vállalat számára egy felhőszolgáltató, egy fintech startup számára egy bank és viszont, egy gyártó vállalat számára egy mérnöki tervezőcég és így tovább. Így mindenki a központi tevékenységére koncentrálhat, ám hogy ezek a kiszervezett, de összetartozó részterületek rugalmasan összekapcsolódhassanak, szükség van egy kapcsolódási felületre: ez az API (Application Programming Interface, alkalmazásprogramozási felület).

Az API lesz az, amely összeköt alkalmazást alkalmazással, szolgáltatást szolgáltatással. Ez teszi lehetővé a gép-gép kommunikációt (lásd: önvezető autók), az IoT (Internet of Things) rendszerek építését és így tovább... És pontosan az API-knak ez a központi szerepe az, ami egészen új dimenzióját adja az információbiztonságnak.

Ehhez képest még mindig kevés figyelmet kapnak a biztonság kialakításában, pedig – ahogy a bevezetőben említett példák mutatják – egyre több súlyos incidens köthető hozzájuk, és egyre több proof-of-concept bizonyítja a rajtuk keresztül végrehajtható támadások veszélyességét. A legtöbb fejlesztésnél ugyanakkor a biztonság mind a mai napig sokadlagos kérdés. A funkcionalitás, a felhasználói élmény vagy legtöbbször a határidő mindent felülír. Az is nehezíti a probléma kezelését, hogy az API-k esetében nincsenek olyan sztenderdek sem, amit a fejlesztők követhetnének.

Mivel a API-k gyakran érzékeny adatokat – személyes azonosítókat, pénzügyi és orvosi, gyártásvezérlési információk, üzleti titkokat stb. – közvetítenek különböző szoftverek, rendszerek között, vonzó célpontok is a hekkereknek. nem véletlen, hogy egyre gyakoribbak az API-kon keresztül végrehajtott támadások.

A kutatók már kategorizálták is az API-kat fenyegető leggyakoribb támadástípusokat. A paraméter-támadások az API-nak küldött adatok elemzésén alapulnak. Az azonosság elleni támadásoknál a felhasználóazonosítás, jogosultságkezelés és munkamenet-követés biztonsági hibáit próbálják kiaknázni. De alkalmas az API közbeékelődéses támadások végrehajtására is.

Ha nem védjük, a következmények beláthatatlanok

Az API-k tehát ma már mindenhol ott vannak, és a hekkerek egyre fontosabb célpontjaivá válnak. Jelenleg az OWASP (Open Web Application Security Project) kockázati listáján a harmadik helyen áll az API-k elégtelen védelme miatt bekövetkező adatszivárgás.

A pénzügyi rendszerekbe bekapcsolt szolgáltatók (maguk a pénzügyi szolgáltatók, de az online kereskedők is) a szigorú szabályzói környezet miatt jobban szem előtt vannak. A 2018 januárjában életbe lépett PSD2 értelmében a bankoknak meg kellett nyitniuk az API-jaikat az online kereskedőknek, illetve külső fizetési szolgáltatóknak. Ennek kapcsán, részben ezzel összefüggésben született egy sor olyan szabály, melyek elvben garantálják a felhasználói adatok védelmét (GDPR, PCI DSS stb.).

Mindezek azonban csak elvek, amelyekről az is bebizonyosodott, hogy nem is olyan egyszerű megfelelni nekik, hiszen a klasszikus biztonsági megoldások sok esetben elégtelenek. Itt már egy webes alkalmazástűzfal vagy más alapeszköz nem sokat segít.

Összeállításunk következő részeiben bemutatjuk az iparági problémákat és védelmi lehetőségeket.