Τρία μαθήματα ασφαλείας εφαρμογών Ιστού που πρέπει να θυμάστε. Η Semalt Expert ξέρει πώς να αποφύγει να γίνει θύμα εγκληματιών στον κυβερνοχώρο

Το 2015, το Ινστιτούτο Ponemon δημοσίευσε ευρήματα από μια μελέτη "Κόστος του εγκλήματος στον κυβερνοχώρο", την οποία είχαν πραγματοποιήσει. Δεν αποτελεί έκπληξη το γεγονός ότι το κόστος του εγκλήματος στον κυβερνοχώρο αυξανόταν. Ωστόσο, οι αριθμοί ήταν τραυλισμένοι. Τα έργα Cybersecurity Ventures (παγκόσμιος όμιλος) που κοστίζουν 6 τρισεκατομμύρια δολάρια ετησίως. Κατά μέσο όρο, χρειάζεται ένας οργανισμός 31 ημέρες για να ανακάμψει μετά από ένα έγκλημα στον κυβερνοχώρο, με κόστος αποκατάστασης περίπου 639 500 $.

Γνωρίζατε ότι η άρνηση υπηρεσίας (επιθέσεις DDOS), οι παραβιάσεις μέσω διαδικτύου και οι κακόβουλοι εμπιστευτικοί φορείς αντιστοιχούν στο 55% του συνολικού κόστους εγκλήματος στον κυβερνοχώρο; Αυτό όχι μόνο αποτελεί απειλή για τα δεδομένα σας, αλλά επίσης θα μπορούσε να σας κάνει να χάσετε έσοδα.

Ο Frank Abagnale, ο Διαχειριστής Επιτυχίας Πελατών της Semalt Digital Services, προσφέρει να εξετάσει τις ακόλουθες τρεις περιπτώσεις παραβιάσεων που έγιναν το 2016.

Πρώτη υπόθεση: Mossack-Fonseca (The Panama Papers)

Το σκάνδαλο του Panama Papers έφτασε στο προσκήνιο το 2015, αλλά λόγω των εκατομμυρίων εγγράφων που έπρεπε να κοπούν, διοχετεύτηκε το 2016. Η διαρροή αποκάλυψε πώς αποθηκεύτηκαν οι πολιτικοί, οι πλούσιοι επιχειρηματίες, οι διασημότητες και το creme de la creme της κοινωνίας τα χρήματά τους σε υπεράκτιους λογαριασμούς. Συχνά, αυτό ήταν σκιερό και πέρασε την ηθική γραμμή. Αν και η Mossack-Fonseca ήταν ένας οργανισμός που ειδικεύτηκε στο απόρρητο, η στρατηγική της για την ασφάλεια των πληροφοριών ήταν σχεδόν ανύπαρκτη. Αρχικά, το πρόσθετο διαφανειών εικόνων WordPress που χρησιμοποίησαν ήταν ξεπερασμένο. Δεύτερον, χρησιμοποίησαν ένα 3χρονο Drupal με γνωστές ευπάθειες. Παραδόξως, οι διαχειριστές συστήματος του οργανισμού δεν επιλύουν ποτέ αυτά τα ζητήματα.

Μαθήματα:

  • > βεβαιωθείτε πάντα ότι οι πλατφόρμες, τα πρόσθετα και τα θέματα CMS ενημερώνονται τακτικά.
  • > μείνετε ενημερωμένοι με τις τελευταίες απειλές ασφαλείας CMS. Το Joomla, το Drupal, το WordPress και άλλες υπηρεσίες διαθέτουν βάσεις δεδομένων για αυτό.
  • > σαρώστε όλες τις προσθήκες πριν την υλοποιήσετε και ενεργοποιήστε τις

Δεύτερη περίπτωση: Η εικόνα προφίλ του PayPal

Ο Florian Courtial (ένας Γάλλος μηχανικός λογισμικού) βρήκε μια ευπάθεια CSRF (πλαστογράφηση αιτήματος πλατφόρμας) στον νεότερο ιστότοπο του PayPal, PayPal.me. Ο παγκόσμιος διαδικτυακός γίγαντας πληρωμών παρουσίασε το PayPal.me για τη διευκόλυνση των ταχύτερων πληρωμών. Ωστόσο, το PayPal.me θα μπορούσε να αξιοποιηθεί. Ο Florian μπόρεσε να επεξεργαστεί και ακόμη και να αφαιρέσει το διακριτικό CSRF ενημερώνοντας έτσι την εικόνα προφίλ του χρήστη. Όπως ήταν, οποιοσδήποτε θα μπορούσε να πλαστοπροσωπεί κάποιον άλλον παίρνοντας την εικόνα του στο διαδίκτυο για παράδειγμα από το Facebook.

Μαθήματα:

  • > χρησιμοποιήστε μοναδικά διακριτικά CSRF για χρήστες - αυτά πρέπει να είναι μοναδικά και να αλλάζουν κάθε φορά που ο χρήστης συνδέεται.
  • > διακριτικό ανά αίτημα - εκτός από το παραπάνω σημείο, αυτά τα διακριτικά θα πρέπει επίσης να διατίθενται όταν ο χρήστης το ζητά. Παρέχει πρόσθετη προστασία.
  • > χρονικό όριο - μειώνει την ευπάθεια εάν ο λογαριασμός παραμένει ανενεργός για κάποιο χρονικό διάστημα.

Τρίτη υπόθεση: Το ρωσικό Υπουργείο Εξωτερικών αντιμετωπίζει μια αμηχανία XSS

Ενώ οι περισσότερες διαδικτυακές επιθέσεις έχουν ως στόχο να καταστρέψουν τα έσοδα, τη φήμη και την επισκεψιμότητα ενός οργανισμού, ορισμένες προορίζονται να ντροπιάσουν. Για παράδειγμα, το hack που δεν συνέβη ποτέ στη Ρωσία. Αυτό συνέβη: ένας Αμερικανός χάκερ (παρατσούκλι του Jester) εκμεταλλεύτηκε την ευπάθεια του cross site scripting (XSS) που είδε στον ιστότοπο του υπουργείου Εξωτερικών της Ρωσίας. Ο jester δημιούργησε έναν εικονικό ιστότοπο που μιμούσε τις προοπτικές του επίσημου ιστότοπου, εκτός από τον τίτλο, τον οποίο έκανε προσαρμοσμένος για να τους κοροϊδεύσει.

Μαθήματα:

  • > απολυμάνετε τη σήμανση HTML
  • > μην εισάγετε δεδομένα εκτός εάν τα επαληθεύσετε
  • > χρησιμοποιήστε μια διαφυγή JavaScript πριν εισαγάγετε μη αξιόπιστα δεδομένα στις τιμές δεδομένων της γλώσσας (JavaScript)
  • > προστατευθείτε από τις ευπάθειες XSS που βασίζονται στο DOM

mass gmail