Tri lekcije za varnost spletnih aplikacij, ki jih je treba imeti v mislih. Semaltov strokovnjak ve, kako preprečiti, da bi postali žrtev kibernetskih kriminalcev

Leta 2015 je Inštitut Ponemon objavil ugotovitve iz študije "Stroški kibernetskega kriminala", ki so jo izvedli. Ni presenečenje, da se stroški kibernetskega kriminala povečujejo. Vendar pa so se številke mucale. Projekti kibernetske varnosti (globalni konglomerat), katerih stroški bodo dosegli šest milijard dolarjev na leto. V povprečju organizacija traja 31 dni, da se vrne po kibernetskem zločinu, stroški sanacije pa znašajo približno 639 500 dolarjev.
Ali ste vedeli, da zavrnitev storitve (napadi DDOS), kršitve na spletu in zlonamerni notranji strokovnjaki predstavljajo 55% vseh stroškov kibernetskega kriminala? To ne samo, da ogroža vaše podatke, ampak lahko tudi izgubi dohodek.
Frank Abagnale, vodja poslovnega uspeha stranke Semalt Digital Services, ponuja razmislek o naslednjih treh primerih kršitev v letu 2016.

Prvi primer: Mossack-Fonseca (Panamski dokumenti)
Škandal Panama Papers je v središču pozornosti izbruhnil leta 2015, a zaradi milijonov dokumentov, ki jih je bilo treba izluščiti, so ga raznesli v letu 2016. Puščanje je razkrilo, kako so se hranili politiki, bogati poslovneži, slavne osebnosti in družbena krema družbe svoj denar na obalnih računih. Pogosto je bilo to v senci in je prestopilo etično mejo. Čeprav je bila Mossack-Fonseca organizacija, ki se je specializirala za tajnost, njene strategije informacijske varnosti skorajda ni. Za začetek je vtičnik za slikovni sliki WordPress, ki so ga uporabljali, zastarel. Drugič, uporabili so 3-letnega Drupala z znanimi ranljivostmi. Presenetljivo je, da sistemski skrbniki organizacije teh težav nikoli ne rešijo.
Lekcije:
- > vedno poskrbite, da se vaše CMS platforme, vtičniki in teme redno posodabljajo.
- > ostanite na tekočem z najnovejšimi varnostnimi grožnjami CMS. Za to imajo Joomla, Drupal, WordPress in druge storitve.
- > skenirajte vse vtičnike, preden jih implementirate in aktivirate

Drugi primer: slika profila osebe PayPal
Florian Courtial (francoski programski inženir) je na novejšem spletnem mestu PayPal, PayPal.me, našel ranljivost CSRF (krivotvorenje zahtevka med spletnimi stranmi). Globalni spletni plačilni velikan je predstavil PayPal.me za lažje hitrejše plačevanje. Vendar pa je PayPal.me mogoče izkoristiti. Florian je znal urediti in celo odstraniti žeton CSRF in tako posodobil sliko profila uporabnika. Tako kot bi lahko, bi se lahko kdo drug lažno predstavil tako, da bi na spletu dobil svojo sliko, na primer s Facebooka.
Lekcije:
- > izkoristijo edinstvene žetone CSRF za uporabnike - ti bi morali biti edinstveni in se spreminjati vsakič, ko se uporabnik prijavi.
- > žeton na zahtevo - razen zgoraj navedene točke bi morali biti tudi ti žetoni na voljo, ko jih uporabnik zahteva. Zagotavlja dodatno zaščito.
- > časovni potek - zmanjša ranljivost, če račun ostane nekaj časa neaktiven.

Tretji primer: rusko ministrstvo za zunanje zadeve se sooča s stisko XSS
Medtem ko naj bi večina spletnih napadov povzročila uničenje prihodkov, ugleda in prometa organizacije, se nekateri osramotijo. Primer: kramp, ki se v Rusiji nikoli ni zgodil. Tako se je zgodilo: ameriški heker (vzdevek Jester) je izkoristil ranljivost križarskih skript (XSS), ki jo je videl na spletni strani ruskega ministrstva za zunanje zadeve. Žival je ustvaril spletno stran, ki je posnemala obrise uradne spletne strani, razen naslova, ki ga je prilagodil, da se jim posmehuje.
Lekcije:
- > sanitizira oznako HTML
- > ne vstavljajte podatkov, razen če jih preverite
- > uporabite JavaScript pobeg, preden vnesete nezaupljive podatke v vrednosti podatkov jezika (JavaScript)
- > se zaščitite pred ranljivimi XSS ranljivostmi