Tre sikkerhetsleksjoner for nettapplikasjoner å huske på. Semaltekspert vet hvordan man kan unngå å bli et offer for cyberkriminelle
I 2015 ga Ponemon Institute ut funn fra en studie "Cost of Cyber Crime", som de hadde utført. Det kom ikke som noen overraskelse at kostnadene for nettkriminalitet økte. Figurene stammet imidlertid. Cybersecurity Ventures (global konglomerat) prosjekter at denne kostnaden vil ramme 6 billioner dollar per år. I gjennomsnitt tar det en organisasjon 31 dager å sprette tilbake etter en cyberkriminalitet med utbedringskostnader til rundt 639 500 dollar.
Visste du at fornektelse av tjeneste (DDOS-angrep), nettbaserte brudd og ondsinnede innsidere utgjør 55% av alle cyberkriminalitetskostnadene? Dette utgjør ikke bare en trussel mot dataene dine, men kan også gjøre at du mister inntektene.
Frank Abagnale, kundesuksessjef for Semalt Digital Services, tilbyr å vurdere følgende tre tilfeller av brudd som ble gjort i 2016.
Første sak: Mossack-Fonseca (The Panama Papers)
Panama Papers-skandalen brøt ut i rampelyset i 2015, men på grunn av millionene dokumenter som måtte siktes gjennom, ble den blåst i 2016. Lekkasjen avslørte hvordan politikere, velstående forretningsmenn, kjendiser og creme de la creme i samfunnet lagret pengene sine i offshore-kontoer. Ofte var dette lyssky og krysset den etiske linjen. Selv om Mossack-Fonseca var en organisasjon som spesialiserte seg i hemmelighold, var strategien for informasjonssikkerhet nesten ikke-eksisterende. For en begynnelse var WordPress image slide-plugin de brukte, utdatert. For det andre brukte de en 3 år gammel Drupal med kjente sårbarheter. Overraskende nok løser organisasjonens systemadministratorer aldri disse problemene.
Lessons:
- > alltid sørge for at CMS-plattformene, plugins og temaer regelmessig blir oppdatert.
- > hold deg oppdatert med de siste CMS-sikkerhetstruslene. Joomla, Drupal, WordPress og andre tjenester har databaser for dette.
- > skann alle plugins før du implementerer og aktiverer dem
Andre sak: PayPal sitt profilbilde
Florian Courtial (en fransk programvareingeniør) fant en CSRF (sårbar forespørsel om forfalskning) på PayPal nyere nettsted, PayPal.me. Den globale betalingsgiganten på nettet avduket PayPal.me for å lette raskere betalinger. PayPal.me kan imidlertid utnyttes. Florian var i stand til å redigere og til og med fjerne CSRF-tokenet og derved oppdatere brukerens profilbilde. Som det var, kunne hvem som helst etterligne noen andre ved å få sitt bilde på nettet, for eksempel fra Facebook.
Lessons:
- > benytt unike CSRF-symboler for brukere - disse skal være unike og endres når brukeren logger inn.
- > token per forespørsel - bortsett fra punktet over, bør disse symbolene også gjøres tilgjengelige når brukeren ber om dem. Det gir ekstra beskyttelse.
- > timing out - reduserer sårbarheten hvis kontoen forblir inaktiv i noen tid.
Tredje sak: Det russiske utenriksdepartementet står overfor en XSS-forlegenhet
Mens de fleste nettangrep er ment å ødelegge for en organisasjons inntekter, omdømme og trafikk, er noen ment å flau. I tilfelle, hacket som aldri skjedde i Russland. Dette skjedde: en amerikansk hacker (kallenavnet Jester) utnyttet sårbarheten på tvers av stedsscripts (XSS) som han så på Russlands utenriksdepartementets nettsted. Gjerden opprettet et dummy nettsted som etterlignet utsiktene til det offisielle nettstedet bortsett fra overskriften, som han tilpasset for å gjøre en hån mot dem.
Lessons:
- > Rense HTML-markeringen
- > ikke legg inn data med mindre du bekrefter det
- > bruk en JavaScript-flukt før du legger inn ikke-tillit til data i språkets (JavaScript) dataverdier
- > skjerme deg mot DOM-baserte XSS-sårbarheter