Tre lezioni sulla sicurezza delle applicazioni Web da tenere a mente. L'esperto di Semalt sa come evitare di diventare una vittima dei criminali informatici

Nel 2015, il Ponemon Institute ha pubblicato i risultati di uno studio "Cost of Cyber Crime", che avevano condotto. Non è stata una sorpresa che il costo del crimine informatico fosse in aumento. Tuttavia, le cifre stavano balbettando. Cybersecurity Ventures (conglomerato globale) prevede che questo costo raggiungerà i 6 trilioni di dollari all'anno. In media, sono necessari 31 giorni a un'organizzazione per riprendersi dopo un crimine informatico con un costo di riparazione di circa $ 639 500.

Sapevi che la negazione del servizio (attacchi DDOS), le violazioni basate sul web e gli addetti ai lavori dannosi rappresentano il 55% di tutti i costi della criminalità informatica? Ciò non solo rappresenta una minaccia per i tuoi dati, ma potrebbe anche farti perdere entrate.

Frank Abagnale, Customer Success Manager di Semalt Digital Services, si offre di prendere in considerazione i seguenti tre casi di violazione commessi nel 2016.

Primo caso: Mossack-Fonseca (The Panama Papers)

Lo scandalo Panama Papers è scoppiato alla ribalta nel 2015, ma a causa dei milioni di documenti che hanno dovuto essere vagliati, è stato spazzato via nel 2016. La perdita ha rivelato come archiviati politici, ricchi uomini d'affari, celebrità e la crema della crema della società i loro soldi in conti offshore. Spesso, questo era ombroso e attraversava la linea etica. Sebbene Mossack-Fonseca fosse un'organizzazione specializzata nella segretezza, la sua strategia di sicurezza delle informazioni era quasi inesistente. Tanto per cominciare, il plugin per diapositive di immagini WordPress che hanno usato era obsoleto. In secondo luogo, hanno usato un Drupal di 3 anni con vulnerabilità note. Sorprendentemente, gli amministratori di sistema dell'organizzazione non risolvono mai questi problemi.

Lezioni:

  • > assicurarsi sempre che le piattaforme CMS, i plug-in e i temi vengano aggiornati regolarmente.
  • > rimani aggiornato con le ultime minacce alla sicurezza CMS. Joomla, Drupal, WordPress e altri servizi hanno database per questo.
  • > scansiona tutti i plugin prima di implementarli e attivarli

Secondo caso: immagine del profilo di PayPal

Florian Courtial (un ingegnere informatico francese) ha riscontrato una vulnerabilità CSRF (falsificazione richiesta tra siti) nel nuovo sito di PayPal, PayPal.me. Il gigante mondiale dei pagamenti online ha presentato PayPal.me per facilitare pagamenti più rapidi. Tuttavia, PayPal.me potrebbe essere sfruttato. Florian è stato in grado di modificare e persino rimosso il token CSRF aggiornando così l'immagine del profilo dell'utente. Così com'era, chiunque poteva impersonare qualcun altro pubblicando la propria foto online, ad esempio da Facebook.

Lezioni:

  • > usufruire di token CSRF univoci per gli utenti: questi dovrebbero essere unici e cambiare ogni volta che l'utente accede.
  • > token per richiesta - oltre al punto sopra, questi token dovrebbero anche essere resi disponibili quando l'utente li richiede. Fornisce una protezione aggiuntiva.
  • > timeout: riduce la vulnerabilità se l'account rimane inattivo per qualche tempo.

Terzo caso: il ministero degli Affari esteri russo affronta un imbarazzo XSS

Mentre la maggior parte degli attacchi web ha lo scopo di devastare le entrate, la reputazione e il traffico di un'organizzazione, alcuni sono destinati a mettere in imbarazzo. Caso in questione, l'hacking che non è mai avvenuto in Russia. Questo è quello che è successo: un hacker americano (soprannominato il Giullare) ha sfruttato la vulnerabilità di cross site scripting (XSS) che ha visto sul sito web del ministero degli Affari esteri della Russia. Il giullare ha creato un sito Web fittizio che imitava le prospettive del sito Web ufficiale ad eccezione del titolo, che ha personalizzato per farne beffe.

Lezioni:

  • > disinfetta il markup HTML
  • > non inserire dati a meno che non vengano verificati
  • > usa una escape JavaScript prima di inserire dati non attendibili nei valori dei dati della lingua (JavaScript)
  • > proteggiti dalle vulnerabilità XSS basate su DOM

send email