Tri lekcije za sigurnost web aplikacija koje treba imati na umu. Semaltov stručnjak zna kako izbjeći postati žrtvom kibernetskih kriminalaca

Institut Ponemon objavio je 2015. godine nalaze iz studije „Trošak kibernetičkog kriminala“, koju su proveli. Ne iznenađuje da su troškovi cyber kriminala sve veći. Međutim, brojke su mucale. Projekti koji se bave Cybersecurity Ventures (globalni konglomerat) čiji bi troškovi dostigli šest milijardi milijardi dolara godišnje. U prosjeku je potrebno 31 dan da se odbije nakon cyber zločina, a troškovi sanacije će biti oko 639 500 USD.

Jeste li znali da uskraćivanje usluge (DDOS napadi), kršenje interneta i zlonamjerni insajderi čine 55% svih troškova cyber kriminala? To ne samo da predstavlja prijetnju vašim podacima, već i može izgubiti prihod.

Frank Abagnale, menadžer za uspjeh korisnika Semalt Digital Services, nudi razmatranje sljedeća tri slučaja kršenja počinjena u 2016. godini.

Prvi slučaj: Mossack-Fonseca (Panamski radovi)

Skandal Panama Papers izbio je u središtu pozornosti 2015. godine, ali zbog milijuna dokumenata koje je trebalo prosijati, izbio je 2016. Gubitak je otkrio kako su se političari, bogati gospodarstvenici, slavne osobe i društvo creme de la creme skladištili njihov novac na offshore računima. Često je to bilo sjenovito i prelazilo je etičku crtu. Iako je Mossack-Fonseca bila organizacija koja se specijalizirala za tajnost, njezina strategija informacijske sigurnosti gotovo da i ne postoji. Za početak, dodatak za slide WordPress slike koji su koristili je zastario. Drugo, koristili su trogodišnjeg Drupala s poznatim ranjivostima. Iznenađujuće je što administrator sustava sustava nikada ne rješava ova pitanja.

Lekcije:

  • > uvijek osigurajte da se vaše CMS platforme, dodaci i teme redovito ažuriraju.
  • > budite ažurirani s najnovijim CMS sigurnosnim prijetnjama. Joomla, Drupal, WordPress i druge usluge za to imaju baze podataka.
  • > skenirajte sve dodatke prije nego što ih implementirate i aktivirate

Drugi slučaj: slika profila PayPala

Florian Courtial (francuski softverski inženjer) otkrio je ranjivost CSRF-a (krivotvorenje internetskih stranica) na novijoj web lokaciji PayPal, PayPal.me. Globalni gigant za online plaćanje predstavio je PayPal.me kako bi olakšao brže plaćanje. Međutim, PayPal.me se može iskoristiti. Florian je uspio urediti, pa čak i ukloniti CSRF token te tako ažurirao sliku profila korisnika. Kao što je i bilo, svatko bi mogao lažno predstavljati nekoga drugoga dobivši na internetu svoje slike, primjerice, s Facebooka.

Lekcije:

  • > koristiti jedinstvene CSRF tokene za korisnike - oni bi trebali biti jedinstveni i mijenjati se kad god se korisnik prijavi.
  • > token po zahtjevu - osim točke gore, ovi tokeni također bi trebali biti dostupni kada korisnik to zatraži. Pruža dodatnu zaštitu.
  • > istekanje vremena - smanjuje ranjivost ako račun neko vrijeme ostane neaktivan.

Treći slučaj: Rusko ministarstvo vanjskih poslova suočava se sa sramotom XSS

Iako je većina web napada namijenjena donošenju prihoda, ugleda i prometa organizacije, neki bi trebali osramotiti. Slučaj, hack koji se nikada nije dogodio u Rusiji. Ovo se dogodilo: američki haker (nadimak Jester) iskoristio je ranjivost kriptografskih scenarija (XSS) koju je vidio na web stranici ruskog ministarstva vanjskih poslova. Životinja je stvorila lutku web stranice koja je oponašala izgled službenog web mjesta osim naslova, koji je prilagodio da im se podsmije.

Lekcije:

  • > sanitizirajte HTML oznaku
  • > nemojte umetati podatke ako ih ne potvrdite
  • > koristite JavaScript bijeg prije nego što unesete nepouzdane podatke u vrijednosti podataka u jeziku (JavaScript)
  • > zaštitite se od XSS ranjivosti temeljenih na DOM-u

mass gmail