Þrjár kennslustundir á öryggi vefforrita til að hafa í huga. Semalt sérfræðingur veit hvernig á að forðast að verða fórnarlamb Cyber glæpamanna

Árið 2015 sendi Ponemon stofnunin niðurstöður úr rannsókninni „Kostnaður við netbrot“ sem þeir höfðu framkvæmt. Það kom ekki á óvart að kostnaður við netbrot hækkaði. Tölurnar voru samt stamandi. Cybersecurity Ventures (alþjóðasamsteypa) verkefni sem þessi kostnaður mun skila 6 billjón dali á ári. Að meðaltali tekur það stofnun 31 daga að skoppa aftur eftir netbrot og kostnaður vegna úrbóta er um 639 500 dollarar.

Vissir þú að afneitun á þjónustu (DDOS árásir), vefbundin brot og illgjarn innherjar gera upp 55% af öllum netheilakostnaði? Þetta er ekki aðeins ógn við gögnin þín heldur getur það einnig valdið því að þú tapar tekjum.

Frank Abagnale, viðskiptastjóri viðskiptavinar Semalt Digital Services, býður upp á að skoða eftirfarandi þrjú tilvik um brot sem gerð voru árið 2016.

Fyrsta mál: Mossack-Fonseca (The Panama Papers)

Panama Papers hneykslið braust út í sviðsljósinu árið 2015 en vegna þeirra milljóna skjala sem þurfti að sigta í gegnum var það sprengt árið 2016. Lekinn leiddi í ljós hvernig stjórnmálamenn, auðugir kaupsýslumenn, frægt fólk og creme de la creme samfélagsins geymdu fé þeirra á aflandsreikningum. Oft var þetta skuggalegt og fór yfir siðferðilega línuna. Þrátt fyrir að Mossack-Fonseca væru samtök sem sérhæfðu sig í leynd, var upplýsingaöryggisstefna hennar nær engin. Til að byrja með var WordPress myndrennibrautarforritið sem þeir notuðu gamaldags. Í öðru lagi notuðu þeir 3 ára Drupal með þekktar varnarleysi. Það kemur á óvart að kerfisstjórar samtakanna leysa aldrei þessi mál.

Lærdómur:

  • > tryggðu alltaf að CMS pallur, viðbætur og þemu séu uppfærð reglulega.
  • > vertu uppfærður með nýjustu CMS öryggisógnunum. Joomla, Drupal, WordPress og önnur þjónusta eru með gagnagrunna fyrir þetta.
  • > skannaðu öll viðbætur áður en þú setur þau inn og virkjar

Annað mál: prófílmynd PayPal

Florian Courtial (franskur hugbúnaðarverkfræðingur) fann CSRF (krosssýni fyrir fölsun beiðni) á nýrri síðu PayPal, PayPal.me. Alheimsgreiðslusjóðurinn á netinu afhjúpaði PayPal.me til að auðvelda greiðslur. Hins vegar væri hægt að nýta PayPal.me. Florian gat breytt og jafnvel fjarlægt CSRF-táknið og þar með uppfært prófílmynd notandans. Eins og það var gæti hver sem er verið að herma eftir einhverjum öðrum með því að fá mynd sína á netinu, til dæmis frá Facebook.

Lærdómur:

  • > nýta sér CSRF tákn fyrir notendur - þetta ætti að vera einstakt og breytast þegar notandinn skráir sig inn.
  • > Tákn á hverja beiðni - annað en atriðið hér að ofan, þessi tákn ættu einnig að vera tiltæk þegar notandinn biður um þær. Það veitir viðbótarvörn.
  • > tímasetning - dregur úr varnarleysi ef reikningurinn er óvirkur í nokkurn tíma.

Þriðja málið: Rússneska utanríkisráðuneytið stendur frammi fyrir vandræði með XSS

Þótt flestum vefárásum sé ætlað að valda skaða af tekjum, orðspori og umferð stofnunarinnar, er sumum ætlað að skammast sín. Dæmi um málið, hakkið sem aldrei gerðist í Rússlandi. Þetta er það sem gerðist: Bandarískur tölvuþrjótur (kallaður Jester) nýtti sér varnarleysi krosssíðu skriftarinnar (XSS) sem hann sá á vefsíðu utanríkisráðuneytis Rússlands. Damminn bjó til heimsk vefsíðu sem líkir eftir horfum á opinberu vefsíðunni nema fyrirsögnina, sem hann sérsniðin að því að gera spotta af þeim.

Lærdómur:

  • > hreinsa HTML merkið
  • > settu ekki inn gögn nema þú staðfestir það
  • > notaðu JavaScript flótta áður en þú slærð inn ósannfærin gögn í (JavaScript) gagnagildum tungumálsins
  • > verja þig fyrir DOM byggðum XSS varnarleysi

send email