Drie beveiligingslessen voor webapplicaties om in gedachten te houden. Semalt-expert weet hoe hij moet voorkomen dat hij slachtoffer wordt van cybercriminelen

In 2015 heeft het Ponemon Institute bevindingen bekend gemaakt van een studie "Cost of Cyber Crime", die zij hadden uitgevoerd. Het was geen verrassing dat de kosten van cybercriminaliteit toenamen. De cijfers stotterden echter. Cybersecurity Ventures (wereldwijd conglomeraat) projecteert dat deze kosten 6 biljoen dollar per jaar zullen bedragen. Gemiddeld duurt het 31 dagen voordat een organisatie terugkeert na een cybercriminaliteit, met herstelkosten van ongeveer $ 639 500.

Wist je dat denial of service (DDOS-aanvallen), webgebaseerde inbreuken en kwaadwillende insiders 55% van alle cybercriminaliteitskosten uitmaken? Dit vormt niet alleen een bedreiging voor uw gegevens, maar kan u ook inkomsten opleveren.

Frank Abagnale, de Customer Success Manager van Semalt Digital Services, biedt aan om de volgende drie gevallen van inbreuken in 2016 te overwegen.

Eerste geval: Mossack-Fonseca (The Panama Papers)

Het Panama Papers-schandaal brak in 2015 in de schijnwerpers, maar vanwege de miljoenen documenten die moesten worden doorzocht, werd het in 2016 opgeblazen. Het lek onthulde hoe politici, vermogende zakenlieden, beroemdheden en de creme de la creme van de samenleving werden opgeslagen hun geld op offshore rekeningen. Dit was vaak duister en overschreed de ethische lijn. Hoewel Mossack-Fonseca een organisatie was die gespecialiseerd was in geheimhouding, bestond haar strategie voor informatiebeveiliging bijna niet. Om te beginnen was de plug-in voor WordPress-afbeeldingen die ze gebruikten verouderd. Ten tweede gebruikten ze een 3 jaar oude Drupal met bekende kwetsbaarheden. Verrassend genoeg lossen de systeembeheerders van de organisatie deze problemen nooit op.

Lessen:

  • > zorg er altijd voor dat uw CMS-platforms, plug-ins en thema's regelmatig worden bijgewerkt.
  • > blijf op de hoogte van de nieuwste CMS-beveiligingsbedreigingen. Joomla, Drupal, WordPress en andere diensten hebben hiervoor databases.
  • > scan alle plug-ins voordat u ze implementeert en activeert

Tweede geval: profielfoto van PayPal

Florian Courtial (een Franse software-engineer) ontdekte een CSRF-kwetsbaarheid (cross site request forgery) op de nieuwere site van PayPal, PayPal.me. De wereldwijde online betalingsgigant heeft PayPal.me onthuld om snellere betalingen mogelijk te maken. PayPal.me kan echter worden misbruikt. Florian was in staat om het CSRF-token te bewerken en zelfs te verwijderen, waardoor de profielfoto van de gebruiker werd bijgewerkt. Zoals het was, kon iedereen zich voordoen als iemand anders door zijn foto online te zetten, bijvoorbeeld van Facebook.

Lessen:

  • > gebruik unieke CSRF-tokens voor gebruikers - deze moeten uniek zijn en veranderen wanneer de gebruiker inlogt.
  • > token per verzoek - behalve het bovenstaande punt, moeten deze tokens ook beschikbaar worden gemaakt wanneer de gebruiker erom vraagt. Het biedt extra bescherming.
  • > time-out - vermindert de kwetsbaarheid als het account enige tijd inactief blijft.

Derde geval: het Russische ministerie van Buitenlandse Zaken wordt geconfronteerd met een XSS-schaamte

Hoewel de meeste webaanvallen bedoeld zijn om de inkomsten, reputatie en het verkeer van een organisatie te schaden, zijn sommige bedoeld om in verlegenheid te brengen. Voorbeeld: de hack die nooit in Rusland is gebeurd. Dit is wat er gebeurde: een Amerikaanse hacker (bijgenaamd de nar) maakte misbruik van de kwetsbaarheid voor cross-site scripting (XSS) die hij zag op de website van het Russische ministerie van Buitenlandse Zaken. De nar creëerde een dummy-website die het uiterlijk van de officiële website nabootste, behalve de kop, die hij aanpaste om er een aanfluiting van te maken.

Lessen:

  • > de HTML-opmaak opschonen
  • > voeg geen gegevens in tenzij u dit verifieert
  • > gebruik een JavaScript-escape voordat u niet-vertrouwde gegevens invoert in de gegevenswaarden van de taal (JavaScript)
  • > bescherm uzelf tegen op DOM gebaseerde XSS-kwetsbaarheden

mass gmail