Privatna mikroplaćanja za dVPN i tuneliranje podataka

Sve veći kaos nedokumentiranih API-ja

Imate li ponekad osjećaj da se vaš razvojni tim kreće toliko brzo da iza sebe ostavlja trag digitalnih mrvica? To je klasičan slučaj pristupa "izbaci odmah, dokumentiraj kasnije", ali to "kasnije" obično nikada ne dođe.

Stvarnost je takva da većina sigurnosnih timova radi naslijepo. Prema istraživanju o stanju sigurnosti aplikacija (AppSec) koje je 2024. proveo StackHawk, samo 30 % timova doista je uvjereno da ima potpuni pregled nad svojom cjelokupnom površinom napada. To ostavlja ogroman prostor u kojem žive i dišu shadow API-ji (API-ji u sjeni) – krajnje točke (endpoints) koje postoje u sustavu, ali ih nema ni u jednoj Swagger datoteci.

• Brzina ispred sigurnosti: Programeri pod pritiskom puštaju privremene API-je za testiranje i jednostavno... zaborave ih isključiti.
• Zaobilaženje kontrolnih točaka: Budući da nisu "službeni", ovi API-ji često nemaju implementiranu standardnu logiku autentifikacije ili ograničenje broja zahtjeva (rate limiting).
• Curenje podataka: Zaboravljena krajnja točka u maloprodajnoj aplikaciji može i dalje imati pristup osobnim podacima korisnika (PII), čekajući samo jedan jednostavan IDOR napad. (To je kratica za Insecure Direct Object Reference, što je zapravo vrsta BOLA napada gdje korisnik može pristupiti tuđim podacima jednostavnim pogađanjem identifikatora resursa).

Iskreno, viđao sam naslijeđene (legacy) krajnje točke koje ostaju aktivne mjesecima nakon "migracije". To je priličan nered. U nastavku ćemo pogledati kako zapravo pronaći te duhove u sustavu.

Razlika između "shadow", "zombie" i "rogue" API-ja

Zamislite svoju API infrastrukturu kao kuću u kojoj živite deset godina. Poznajete ulazna vrata i svaki prozor, ali što je s onim čudnim otvorom u podrumu koji su prethodni vlasnici zaboravili spomenuti?

U svijetu kibernetičke sigurnosti često sve svrstavamo pod zajednički naziv "shadow API" (API u sjeni), ali to je pomalo površno. Ako doista želite riješiti taj kaos, morate točno znati koju vrstu "duha" lovite.

• Shadow API (Nenamjerni): Ovi API-ji obično nastaju slučajno. Primjerice, programer u zdravstvenom startupu brzo pokrene krajnju točku (endpoint) kako bi testirao novi portal za pacijente i zaboravi je dokumentirati. Ona je aktivna, funkcionalna, ali se ne nalazi u službenom katalogu.
• Zombie API (Zaboravljeni): Ovo su "nemrtve" verzije sučelja. Zamislite financijsku aplikaciju koja je prošle godine prešla s verzije v1 na v2. Svi su nastavili dalje, ali v1 i dalje radi na nekom poslužitelju, bez sigurnosnih zakrpa i ranjiva na napade krađe vjerodajnica (credential stuffing).
• Rogue API (Zlonamjerni): Ovo je najopasnija kategorija. Riječ je o "stražnjim vratima" (backdoors) koja je namjerno ostavio nezadovoljni zaposlenik ili zlonamjerni akter. Oni potpuno zaobilaze sigurnosne pristupnike (gateways) kako bi neovlašteno izvukli podatke.

Prema istraživačima iz Edgescan, samo u 2023. godini zabilježen je ogroman porast od 25% u API ranjivostima, čime se nastavlja trend rekordnih rizika svake godine. To nije samo blagi porast; to je prava eksplozija sigurnosnih prijetnji.

Iskreno govoreći, pronaći "zombie" API u zastarjelom maloprodajnom sustavu je kao da ste pronašli tempiranu bombu. Ne želite čekati sigurnosni proboj da biste shvatili kako verzija v1.0 još uvijek komunicira s vašom bazom podataka.

Dakle, kako ih zapravo razotkriti? Porazgovarajmo o alatima za otkrivanje (discovery tools).

Kako pronaći ono za što ni ne znate da postoji

Jeste li ikada pokušali pronaći određenu čarapu u košari za rublje koja je zapravo crna rupa? Upravo se tako osjeća potraga za nedokumentiranim krajnjim točkama (endpoints) — osim što ta "čarapa" može biti stražnji ulaz (backdoor) u vašu bazu podataka.

Ako želite prestati tapkati u mraku, na raspolaganju su vam dva glavna načina lova. Prvi je praćenje prometa. To u osnovi znači da nadzirete mrežni promet i promatrate što pogađa vaše pristupnike (gateways). Alati poput Apigee-ja izvrsni su za to jer vam omogućuju praćenje prometa i sigurnosnih događaja bez usporavanja aplikacije. To je sjajno za uvid u ono što je trenutno aktivno, ali propušta "mračne" krajnje točke koje se aktiviraju samo jednom mjesečno za specifičan automatizirani zadatak (cron job).

Zatim imamo otkrivanje temeljeno na kodu. Ovdje skenirate svoje GitHub ili Bitbucket repozitorije kako biste pronašli gdje su programeri zapravo definirali rute. Kao što StackHawk ističe, skeniranje koda pomaže vam pronaći krajnje točke prije nego što uopće dospiju u produkciju.

• Dnevnici prometa (Traffic logs): Najbolji su za uvid u stvarnu upotrebu i uočavanje neobičnih skokova u aplikacijama za zdravstvo ili maloprodaju.
• Statička analiza: Pronalazi skrivene rute u izvornom kodu koje nisu pozvane mjesecima.
• Hibridna pobjeda: Iskreno, korištenje oba pristupa jedini je ispravan put. Da bi ovo funkcioniralo, potreban vam je središnji API inventar ili katalog koji objedinjuje podatke iz prometa i koda kako biste imali jedan izvor istine.

Prema izvješću Verizona, povrede povezane s API-jima vrtoglavo rastu jer napadači pomiču fokus s tradicionalnih web aplikacija. (2024 Data Breach Investigations Report (DBIR) - Verizon) Ako ne nadzirete i promet i kod, zapravo ostavljate stražnji prozor otključanim.

Ovo ne možete raditi ručno. Vidio sam timove koji pokušavaju voditi tablice s API-jima, što se pretvori u katastrofu već drugog dana. Otkrivanje morate integrirati izravno u svoj CI/CD proces (kontinuirana integracija i isporuka).

Kada se pojavi nova krajnja točka, alati poput APIsec.ai mogu je automatski mapirati i označiti ako obrađuje osjetljive podatke poput osobnih informacija (PII) ili podataka o kreditnim karticama. To je ključno za financijske ili e-trgovinske timove koji moraju biti usklađeni s PCI standardima.

Nakon što pronađete ove "duhove", morate poduzeti sljedeći korak. U nastavku ćemo istražiti kako zapravo testirati te krajnje točke bez da pritom srušite cijeli sustav.

Napredne tehnike testiranja za moderne API-je

Pronalaženje nedokumentiranog API-ja samo je pola posla; prava glavobolja počinje kada pokušate utvrditi je li on doista siguran. Standardni skeneri su izvrsni za otkrivanje očitih propusta, ali obično zakažu kod složene logike koju koriste moderni API-ji.

Ako doista želite mirno spavati, morate otići korak dalje od osnovnog "fuzzinga". Većina sigurnosnih proboja događa se zbog logičkih pogrešaka, a ne samo zbog neinstaliranih zakrpa.

• BOLA (Narušena autorizacija na razini objekta): Ovo je apsolutni "kralj" ranjivosti API-ja. Dogodi se kada promijenite ID u URL-u — primjerice, prebacite s /user/123 na /user/456 — a poslužitelj vam jednostavno isporuči tuđe podatke. Automatizirani alati često to previde jer ne razumiju "kontekst" oko toga tko bi što trebao vidjeti.
• Masovna dodjela (Mass Assignment): Vidio sam kako ovo uništava proces naplate u jednoj maloprodajnoj aplikaciji. Programer zaboravi filtrirati ulazne podatke i odjednom korisnik može poslati skriveno polje "is_admin": true unutar ažuriranja profila.
• Pogreške u poslovnoj logici: Razmislite o fintech aplikaciji u kojoj pokušate prenijeti negativan iznos novca. Ako API ne provjeri matematiku ispravno, mogli biste zapravo završiti s dodavanjem sredstava na svoj račun.

Iskreno, hvatanje ovih "škakljivih" bugova razlog je zašto se mnogi timovi okreću specijaliziranim uslugama. Inspectiv je ovdje solidan primjer jer kombinira stručno testiranje s upravljanjem programima za nagrađivanje pronalaska bugova (bug bounty), kako bi se pronašli oni neobični rubni slučajevi koje bot nikada neće uočiti.

U svakom slučaju, testiranje je neprekidni ciklus, a ne jednokratni događaj. U nastavku ćemo istražiti zašto je održavanje organiziranog inventara API-ja od presudne važnosti za vaše pravne timove i timove za usklađenost.

Usklađenost i poslovna strana priče

Jeste li ikada pokušali objasniti članu uprave zašto je "fantomski" krajnji uređaj uzrokovao ogromnu kaznu? To nije nimalo ugodan razgovor, pogotovo kada revizori počnu kopati po vašem inventaru prilagođenog softvera.

Usklađenost (compliance) više nije samo puko označavanje kvačica na popisu – radi se o dokazivanju da doista znate što se izvodi u vašoj infrastrukturi. Ono što ne vidite, ne možete ni osigurati, a regulatori su postali iznimno strogi po tom pitanju.

• Revizorska provjera: Prema standardu PCI DSS v4.0.1, obvezni ste voditi precizan inventar svog prilagođenog softvera i API-ja. Ako zastarjeli maloprodajni krajnji uređaj i dalje obrađuje podatke o kreditnim karticama, a nije na popisu, to se smatra ozbiljnim propustom.
• Zakonita obrada podataka: Sukladno GDPR-u, Članak 30, morate dokumentirati svaki način na koji se obrađuju osobni podaci. Nedokumentirani API-ji u aplikacijama za zdravstvo ili financije koji propuštaju osobne podatke (PII) pravi su magnet za visoke kazne.
• Pogodnosti osiguranja: Iskreno govoreći, čista i dokumentirana površina napada na API-je zapravo može pomoći u smanjenju onih vrtoglavo visokih premija kibernetičkog osiguranja. Osiguravatelji cijene kada vide da imate potpunu kontrolu nad svojim "digitalnim širenjem".

Vidio sam timove u fintech sektoru kako tjednima panično pokušavaju riješiti situaciju jer je revizor pronašao v1 krajnji uređaj na koji su svi zaboravili. To je kaotičan i skup proces. Kao što smo ranije napomenuli, otkrivanje onoga za što niste ni znali da postoji jedini je način da ostanete korak ispred birokracije.

Sada kada smo pokrili razloge "zašto" i poslovne rizike, zaključimo ovu temu pogledom u budućnost otkrivanja mrežnih resursa.

Zaključak i sljedeći koraci

Nakon svega navedenog, kristalno je jasno da sigurnost API-ja više nije samo opcionalni dodatak. To je doslovno prva linija obrane na kojoj se većina aplikacija suočava s napadima onih koji definitivno nemaju dobre namjere.

Iskreno govoreći, ne možete popraviti ono što ne vidite. Evo kako bih ja započeo s raščišćavanjem tog digitalnog kaosa:

• Pokrenite skeniranje i otkrivanje (discovery scan) već ovaj tjedan: Nemojte previše komplicirati. Jednostavno upotrijebite automatizirani alat – poput onih o kojima smo pričali – na svojim glavnim repozitorijima. Vjerojatno ćete pronaći neku "testnu" krajnju točku (endpoint) iz 2023. koja je još uvijek aktivna. Možda ćete dobiti infarkt, ali bolje da je pronađete vi nego netko drugi.
• Educirajte svoje programere o OWASP API Top 10 listi: Većina inženjera želi pisati siguran kod, ali su jednostavno pretrpani poslom. Pokažite im kako jednostavan BOLA propust (neispravna autorizacija na razini objekta) može dovesti do curenja cijele baze podataka korisnika. To će im ostati u sjećanju puno dulje od dosadne prezentacije.
• Prestanite čekati sigurnosni proboj: Briga o "shadow" (nepoznatim) API-jima tek nakon što se osobni podaci pojave na "dark webu" preskup je način za učenje lekcije. Kontinuirano otkrivanje resursa mora postati dio "definicije završenog" (definition of done) za svaki razvojni sprint.

Vidio sam timove u zdravstvenom sektoru koji su pronašli API-je namijenjene isključivo razvoju, a koji su slučajno izlagali kartone pacijenata jer su preskočili formalni sustav autentifikacije. To su ozbiljne i opasne stvari. No, kao što smo vidjeli na primjeru Apigee platforme, moderni sustavi znatno olakšavaju nadzor bez ugrožavanja performansi sustava.

Na kraju dana, sigurnost API-ja je maraton, a ne sprint. Samo nastavite "loviti te duhove" u sustavu i bit ćete korak ispred 70 % konkurencije. Čuvajte svoje podatke i ostanite sigurni.