Nezabezpečené API jako pozvánka pro hackery

Kyberzločinci se začínají soustředit na protokol, jehož prostřednictvím mluví programy mezi sebou. Není divu. Autoři aplikací ho používají pořád víc.

Zkratka API (Application Programming Interface) označuje způsob, jak si mohou dvě různé aplikace předávat data. Je to podobné uživatelskému rozhraní. Uživatelem ale není člověk, nýbrž počítačový program. Příkladem využití API je třeba aplikace, která zobrazuje v telefonu počasí. Funguje tak, že si bere údaje o teplotě, oblačnosti, srážkách, a kdoví, o čem všem ještě, od meteorologického ústavu nebo z jiného podobného zdroje. Data ovšem musí být v nějakém standardním formátu, aby je aplikace uměla přečíst.

V dnešním světě se s API setkáváme na každém kroku. Používají je třeba banky, platební služby jako PayPal, maloobchodní řetězce, nebo i streamovací služby typu Netflixu. Nejrůznější API stojí skoro za vším, co každý den člověk dělá pomocí svého telefonu nebo počítače na internetu. Běžný uživatel většinou neví o jejich existenci. Často o nich neví ani firmy, které API provozují. Nebo se ve vlastních API nevyznají.

Z hlediska kybernetické bezpečnosti je to problém. API fungují na pozadí. Dokud se neporouchají, nikdo si jich nevšímá. Detaily jejich architektury mnohdy znají jen autoři systému. Bezpečnostní týmy jim často nevěnují tolik pozornosti, kolik by si zasloužila.  Pro všelijaké počítačové poberty je každé takové opomenutí zajímavé.

Jelikož jsou API určená pro stroje, nikoliv lidské uživatele, mívají často v rámci aplikace neomezená přístupová práva. Ne že by autoři aplikací nemysleli na bezpečnost informací a ochranu dat. Lidské uživatele ověřují. Pak ale předají jejich požadavky API. Pokud se útočníkovi podaří nějak přemostit proces autentizace a dostat se k programovacímu rozhraní přímo, získá přístup k drahocenným datům.

Americká společnost Gartner, zabývající se mino jiné bezpečností internetu, dokonce vloni odhadla, že do roku 2022 budou útoky na API nejoblíbenější metodou krádeže dat. V nedávné minulosti se hackerům podařilo prostřednictvím API odcizit například osobní data uživatelů webu americké pošty nebo peníze z bitcoinové peněženky GateHub.

Zabezpečení těchto rozhraní je proto třeba se náležitě věnovat a udržovat si přehled, jaká API organizace používá, zaznamenávat, s kým se propojují, a používat šifrování. Hodí se také omezit maximální počet požadavků za určitý čas, aby se obrana nedala prolomit hrubou silou. Firemní firewall má umět kontrolovat požadavky na spojení prostřednictvím API a poznat, jestli jsou legitimní. Zní to komplikovaně, a taky to komplikované je. Kdo se na to všechno necítí, ať jednoduše svěří bezpečnost svých API profesionálům.

 

 

Další články

Voda nechráněná hesly
Více
Většinu času jsme v defenzívě, přiznávají bezpečnostní experti
Více

Zpět na výpis novinek