Kolme verkkosovellusten tietoturvatuntia, jotka tulee pitää mielessä. Semalt-asiantuntija osaa välttää tietoverkkorikollisten uhriksi joutumista

Vuonna 2015 Ponemon-instituutti julkaisi tulokset heidän tekemästään tutkimuksesta "Tietoverkkorikollisuuden kustannukset". Ei ollut yllättävää, että tietoverkkorikollisuuden kustannukset nousivat. Luvut kuitenkin kokosivat. Kyberturvallisuusyritykset (globaali ryhmittymä) hankkeita, joiden kustannukset nousevat 6 biljoonaan dollariin vuodessa. Organisaatiolla on keskimäärin 31 päivää palautumista verkkorikollisuuden jälkeen, kun kunnostamisen kustannukset ovat noin 639 500 dollaria.

Tiesitkö, että palvelun epääminen (DDOS-hyökkäykset), verkkopohjaiset rikkomukset ja haitalliset sisäpiiriläiset muodostavat 55% kaikista tietoverkkorikollisuuden kustannuksista? Tämä ei pelkästään vaaranna tietojasi, vaan voi myös menettää tuloja.

Semalt Digital Services -yrityksen menestyspäällikkö Frank Abagnale tarjoaa pohtia seuraavia kolmea vuonna 2016 tehtyä rikkomustapausta.

Ensimmäinen tapaus: Mossack-Fonseca (The Panama Papers)

Panama Papers -skandaali puhkesi parrasvaloon vuonna 2015, mutta miljoonien seulottavien asiakirjojen takia se räjähti vuonna 2016. Vuoto paljasti, kuinka poliitikot, varakkaat liikemiehet, kuuluisuudet ja yhteiskunnan creme de la creme varastoivat. heidän rahansa offshore-tileillä. Usein tämä oli varjoisaa ja ylitti eettisen linjan. Vaikka Mossack-Fonseca oli salassapitoon erikoistunut organisaatio, sen tietoturvastrategiaa ei ollut lähes ollenkaan. Ensinnäkin heidän käyttämänsä WordPress-kuvaesityslaajennus oli vanhentunut. Toiseksi he käyttivät 3-vuotista Drupalia, jolla oli tunnettuja haavoittuvuuksia. Yllättäen organisaation järjestelmänvalvojat eivät koskaan ratkaise näitä ongelmia.

Lessons:

  • > Varmista aina, että CMS-alustasi, laajennuksia ja teemoja päivitetään säännöllisesti.
  • > Pysy ajan tasalla uusimmista CMS-tietoturvauhista. Joomlalla, Drupalilla, WordPressillä ja muilla palveluilla on tätä varten tietokannat.
  • > skannaa kaikki laajennukset ennen niiden käyttöönottoa ja aktivointia

Toinen tapaus: PayPalin profiilikuva

Florian Courtial (ranskalainen ohjelmistosuunnittelija) löysi CSRF-haavoittuvuuden PayPalin uudemmalla sivustolla PayPal.me. Globaali verkkomaksujärjestö julkisti PayPal.me-palvelun nopeuttaaksesi maksuja. PayPal.me-palvelua voidaan kuitenkin hyödyntää. Florian pystyi muokata ja jopa poistaa CSRF-tunnuksen päivittäen siten käyttäjän profiilikuvan. Kuitenkin kuka tahansa voi matkia joku muu hankkimalla kuvansa verkossa esimerkiksi Facebookista.

Lessons:

  • > käyttävät käyttäjille ainutlaatuisia CSRF-tunnuksia - niiden tulisi olla ainutlaatuisia ja muuttua, kun käyttäjä kirjautuu sisään.
  • > tunnus pyyntöä kohden - muu kuin yllä oleva kohta, näiden tunnusten tulisi olla myös saatavissa, kun käyttäjä pyytää niitä. Se tarjoaa lisäsuojaa.
  • > aikakatkaisu - vähentää haavoittuvuutta, jos tili pysyy jonkin aikaa passiivisena.

Kolmas tapaus: Venäjän ulkoministeriö kohtaa XSS-hämmennyksen

Vaikka suurin osa verkkohyökkäyksistä on tarkoitettu tuhoamaan organisaation tuloja, mainetta ja liikennettä, jotkut on tarkoitettu hämmentämään. Esimerkkinä hakkerointi, jota ei koskaan tapahtunut Venäjällä. Näin tapahtui: amerikkalainen hakkeri (lempinimeltään Jester) käytti sivustojenvälistä komentosarjojen (XSS) haavoittuvuutta, jonka hän näki Venäjän ulkoministeriön verkkosivuilla. Jester loi näppisivuston, joka jäljitteli virallisen verkkosivuston näkymiä paitsi otsikkoa, jonka hän mukautti tekemään pilkkaa heistä.

Lessons:

  • > puhdista HTML-merkinnät
  • > älä lisää tietoja, ellet tarkista niitä
  • > käytä JavaScriptiä ennen kuin kirjoitat epäluotettavia tietoja kielen (JavaScript) tietoarvoihin
  • > suojaa itsesi DOM-pohjaisilta XSS-haavoittuvuuksilta

mass gmail