שלושה שיעורי אבטחת יישומי אינטרנט שיש לזכור. מומחה Semalt יודע כיצד להימנע מקורבן של עברייני סייבר

בשנת 2015 פרסמה מכון הפונימון ממצאים ממחקר "עלות פשע סייבר", שערכו. לא מפתיע שעלות עבירת הסייבר גדלה. עם זאת, הדמויות גמגמו. Cybersecurity Ventures (קונצרן עולמי) מעלה כי עלות זו תגיע ל -6 טריליון דולר לשנה. בממוצע לוקח לארגון 31 יום להתאושש לאחר פשע סייבר בעלות התיקון בסך של 639 500 דולר.

האם ידעת ששלילת שירות (התקפות DDOS), הפרות מבוססות אינטרנט ומבקרי זדון מהווים 55% מכל עלויות פשעי הסייבר? זה לא רק מהווה איום על הנתונים שלך, אלא גם עלול לגרום לך לאבד הכנסות.

פרנק אבגנאלה, מנהל הצלחת הלקוחות של Semalt Digital Services, מציע לשקול את שלושת המקרים הבאים של הפרות שנעשו בשנת 2016.

מקרה ראשון: מוסק-פונסה (עיתוני פנמה)

שערוריית "ניירות פנמה" פרצה לאור הזרקורים בשנת 2015, אך בגלל מיליוני המסמכים שצריך היה לנפות דרכם, היא פוצצה בשנת 2016. ההדלפה חשפה כיצד שמרו פוליטיקאים, אנשי עסקים אמידים, ידוענים וקרם דה לה קרם של החברה את הכסף שלהם בחשבונות בחו"ל. לעתים קרובות זה היה מוצל וחצה את הקו האתי. למרות שמוסק-פונסקה היה ארגון שהתמחה בסודיות, אסטרטגיית אבטחת המידע שלו כמעט ולא הייתה קיימת. ראשית, תוסף שקופיות התמונות בוורדפרס בהן השתמשו היה מיושן. שנית, הם השתמשו בדרופל בן שלוש עם פגיעויות ידועות. באופן מפתיע, מנהלי המערכת של הארגון אף פעם לא פותרים סוגיות אלה.

שיעורים:

  • > ודא תמיד שפלטפורמות ה- CMS, התוספים והנושאים שלך מתעדכנים באופן קבוע.
  • > הישאר מעודכן עם האיומים האחרונים על אבטחת CMS. לג'ומלה, דרופל, וורדפרס ושירותים אחרים יש מאגרי מידע עבור זה.
  • > סרוק את כל התוספים לפני שתיישם והפעל אותם

מקרה שני: תמונת הפרופיל של PayPal

פלוריאן קורטייל (מהנדס תוכנה צרפתי) מצא פגיעות ב- CSRF (זיוף בקשת אתרים) באתר החדש יותר של PayPal, PayPal.me. ענקית התשלומים המקוונת העולמית חשפה את PayPal.me כדי להקל על תשלומים מהירים יותר. עם זאת, ניתן לנצל את PayPal.me. פלוריאן הצליח לערוך ואף הסיר את אסימון ה- CSRF ובכך לעדכן את תמונת הפרופיל של המשתמש. כביכול, כל אחד יכול להתחזות למישהו אחר על ידי קבלת תמונתו באופן מקוון, למשל מפייסבוק.

שיעורים:

  • > הועילו אסימוני CSRF ייחודיים למשתמשים - אלה צריכים להיות ייחודיים ולהשתנות בכל פעם שהמשתמש מתחבר.
  • > אסימון לבקשה - מלבד הנקודה שלמעלה, אסור שיהיו זמינים לאסימונים אלה כאשר המשתמש מבקש אותם. זה מספק הגנה נוספת.
  • > פסק זמן - מפחית את הפגיעות אם החשבון לא פעיל במשך זמן מה.

מקרה שלישי: משרד החוץ הרוסי מתמודד עם מבוכה של XSS

בעוד שרוב ההתקפות באינטרנט נועדו לגרום הרס להכנסות, למוניטין ולתעבורה של הארגון, חלקן נועדו להביך. במקרה זה, הפריצה שמעולם לא התרחשה ברוסיה. זה מה שקרה: האקר אמריקני (שכונה "הז'סטר") ניצל את הפגיעות של אתר ה- scripting (XSS) שראה באתר משרד החוץ של רוסיה. השומר יצר אתר דמה שמחקה את השקפתו של האתר הרשמי למעט הכותרת, שאותה הוא התאים ללעג להם.

שיעורים:

  • > לרוקן את סימון ה- HTML
  • > אל תכניס נתונים אלא אם תאמת אותם
  • > השתמש בבריחה של JavaScript לפני שתזין נתונים לא מהימנים בערכי הנתונים של השפה (JavaScript)
  • > הגן על עצמך מפני פגיעויות ב- XSS מבוססות DOM

send email