Nezabezpečené API jako pozvánka pro hackery

Kyberzločinci se začínají soustředit na protokol, jehož prostřednictvím mluví programy mezi sebou. Není divu. Autoři aplikací ho používají pořád víc.

Zkratka API (Application Programming Interface) označuje způsob, jak si mohou dvě různé aplikace předávat data. Je to podobné uživatelskému rozhraní. Uživatelem ale není člověk, nýbrž počítačový program. Příkladem využití API je třeba aplikace, která zobrazuje v telefonu počasí. Funguje tak, že si bere údaje o teplotě, oblačnosti, srážkách, a kdoví, o čem všem ještě, od meteorologického ústavu nebo z jiného podobného zdroje. Data ovšem musí být v nějakém standardním formátu, aby je aplikace uměla přečíst.

V dnešním světě se s API setkáváme na každém kroku. Používají je třeba banky, platební služby jako PayPal, maloobchodní řetězce, nebo i streamovací služby typu Netflixu. Nejrůznější API stojí skoro za vším, co každý den člověk dělá pomocí svého telefonu nebo počítače na internetu. Běžný uživatel většinou neví o jejich existenci. Často o nich neví ani firmy, které API provozují. Nebo se ve vlastních API nevyznají.

Z hlediska kybernetické bezpečnosti je to problém. API fungují na pozadí. Dokud se neporouchají, nikdo si jich nevšímá. Detaily jejich architektury mnohdy znají jen autoři systému. Bezpečnostní týmy jim často nevěnují tolik pozornosti, kolik by si zasloužila.  Pro všelijaké počítačové poberty je každé takové opomenutí zajímavé.

Jelikož jsou API určená pro stroje, nikoliv lidské uživatele, mívají často v rámci aplikace neomezená přístupová práva. Ne že by autoři aplikací nemysleli na bezpečnost informací a ochranu dat. Lidské uživatele ověřují. Pak ale předají jejich požadavky API. Pokud se útočníkovi podaří nějak přemostit proces autentizace a dostat se k programovacímu rozhraní přímo, získá přístup k drahocenným datům.

Americká společnost Gartner, zabývající se mino jiné bezpečností internetu, dokonce vloni odhadla, že do roku 2022 budou útoky na API nejoblíbenější metodou krádeže dat. V nedávné minulosti se hackerům podařilo prostřednictvím API odcizit například osobní data uživatelů webu americké pošty nebo peníze z bitcoinové peněženky GateHub.

Zabezpečení těchto rozhraní je proto třeba se náležitě věnovat a udržovat si přehled, jaká API organizace používá, zaznamenávat, s kým se propojují, a používat šifrování. Hodí se také omezit maximální počet požadavků za určitý čas, aby se obrana nedala prolomit hrubou silou. Firemní firewall má umět kontrolovat požadavky na spojení prostřednictvím API a poznat, jestli jsou legitimní. Zní to komplikovaně, a taky to komplikované je. Kdo se na to všechno necítí, ať jednoduše svěří bezpečnost svých API profesionálům.

 

 

Další články

Na rojení kyberútočníků začínají být odpovědí „myslící“ stroje
Více
IT infrastruktura velkých společností je plná bezpečnostních chyb, říká výzkum
Více

Zpět na výpis novinek

Naše webová stránka používá cookies

Data o tom, co vás na našem webu zajímá, sdílíme s našimi partnery pro sociální média, inzerci a analýzy.
Partneři tyto údaje mohou použít s dalšími informacemi, které jste jim poskytli nebo které získali v důsledku toho, že používáte jejich služby.

OK

Druhy cookies

1. Nutné cookies pomáhají základním funkcím této stránky, jako je navigace stránky a přístup k zabezpečeným sekcím webové stránky. Webová stránka nemůže správně fungovat bez těchto cookies.

2. Preferenční cookies umožňují, aby si webová stránka zapamatovala vaše preference. Je to například preferovaný jazyk nebo region, kde se nacházíte.

3. Statistické cookies nám pomáhají porozumět tomu, jak návštěvníci používají webové stránky. Statistické cookies anonymně sbírají informace.

4. Marketingové cookies používáme pro sledování návštěvníků na našich stránkách. Záměrem je zobrazit vám reklamu, která je pro vás relevantní a neobtěžuje vás.

5. Neklasifikované cookies máme v procesu klasifikování společně s poskytovateli jednotlivých cookies.

Co jsou cookies?

Cookies jsou malé textové soubory, které mohou být používány webovými stránkami, aby učinily uživatelský zážitek více efektivní.

Podle zákona můžeme ukládat cookies na vašem zařízení, pokud jsou nezbytně nutné pro provoz této stránky. Pro všechny ostatní typy cookies potřebujeme vaše povolení.

Tato stránka používá různé typy cookies. Některé cookies jsou umístěny službami třetích stran, které se objevují na našich stránkách.