Trí Cheacht Slándála Feidhmchlár Gréasáin le Coinnigh i gcuimhne. Tá a fhios ag Saineolaí Semalt Conas Gan a bheith i d’Íospartach Cibear-Choirpeach

In 2015, d’eisigh Institiúid Ponemon torthaí ó staidéar “Costas na Cibear-Choireachta”, a rinne siad. Níorbh aon iontas é go raibh costas na cibear-choireachta ag méadú. Mar sin féin, bhí na figiúirí ag stuttering. Tionscadail Cybersecurity Ventures (ilchuideachta domhanda) a bhuailfidh an costas seo $ 6 trilliún in aghaidh na bliana. Ar an meán, tógann sé 31 lá ar eagraíocht preabadh ar ais tar éis cibear-choireachta le costas an fheabhais ag thart ar $ 639 500.

An raibh a fhios agat go bhfuil séanadh seirbhíse (ionsaithe DDOS), sáruithe ar an ngréasán agus cos istigh mailíseach mar 55% de na costais chibear-choireachta go léir? Ní amháin go bhfuil sé seo ina bhagairt ar do chuid sonraí ach d’fhéadfadh sé go gcuirfeadh sé ort ioncam a chailleadh.

Tairgeann Frank Abagnale, Bainisteoir Rathúlachta Custaiméirí Semalt Digital Services, machnamh a dhéanamh ar na trí chás sáruithe seo a leanas a rinneadh in 2016.

An chéad chás: Mossack-Fonseca (Páipéir Panama)

Bhris scannal Páipéir Panama isteach san imlíne in 2015, ach mar gheall ar na milliúin doiciméad nár mhór a scagadh, séideadh é in 2016. Nocht an sceitheadh an chaoi ar stóráil polaiteoirí, lucht gnó saibhir, daoine cáiliúla agus creme de la creme na sochaí a gcuid airgid i gcuntais amach ón gcósta. Go minic, bhí sé seo scáthach agus thrasnaigh sé an líne eiticiúil. Cé gur eagraíocht í Mossack-Fonseca a rinne speisialtóireacht ar rúndacht, ní raibh a straitéis slándála faisnéise beagnach ann. Chun tús a chur leis, bhí an breiseán sleamhnán íomhá WordPress a d'úsáid siad as dáta. Ar an dara dul síos, d’úsáid siad Drupal 3 bliana d’aois le leochaileachtaí aitheanta. Is ionadh nach réitíonn riarthóirí córais na heagraíochta na saincheisteanna seo riamh.

Ceachtanna:

  • > déan cinnte i gcónaí go ndéantar d’ardáin, breiseáin agus téamaí CMS a nuashonrú go rialta.
  • > fanacht cothrom le dáta leis na bagairtí slándála CMS is déanaí. Tá bunachair sonraí ag Joomla, Drupal, WordPress agus seirbhísí eile chuige seo.
  • > scanadh gach breiseán sula ndéanann tú iad a chur i bhfeidhm agus a ghníomhachtú

An dara cás: Pictiúr próifíle PayPal

Fuair Florian Courtial (innealtóir bogearraí Francach) leochaileacht CSRF (brionnú iarratais tras-láithreáin) ar shuíomh níos nuaí PayPal, PayPal.me. Nocht an fathach íocaíochta domhanda ar líne PayPal.me chun íocaíochtaí níos gasta a éascú. Mar sin féin, d’fhéadfaí PayPal.me a shaothrú. Bhí Florian in ann an comhartha CSRF a chur in eagar agus fiú é a bhaint agus ar an gcaoi sin pictiúr próifíl an úsáideora a nuashonrú. Mar a bhí, d’fhéadfadh duine ar bith aithris a dhéanamh ar dhuine eile trína phictiúr a fháil ar líne mar shampla ó Facebook.

Ceachtanna:

  • > leas a bhaint as comharthaí uathúla CSRF d’úsáideoirí - ba cheart go mbeadh siad seo uathúil agus go n-athródh siad gach uair a logálann an t-úsáideoir isteach.
  • > comhartha in aghaidh na hiarrata - seachas an pointe thuas, ba cheart na comharthaí seo a chur ar fáil freisin nuair a iarrann an t-úsáideoir iad. Soláthraíonn sé cosaint bhreise.
  • > uainiú - laghdaíonn sé an leochaileacht má fhanann an cuntas neamhghníomhach ar feadh tamaill.

An tríú cás: Tá Aireacht Gnóthaí Eachtracha na Rúise ag tabhairt aghaidh ar náire XSS

Cé go bhfuil sé i gceist ag mórchuid na n-ionsaithe gréasáin scrios a dhéanamh ar ioncam, ar cháil agus ar thrácht eagraíochta, tá náire ar chuid acu. Cás i bpointe, an hack nár tharla riamh sa Rúis. Seo a tharla: bhain haca Meiriceánach (leasainm an Jester) leas as an leochaileacht scripteála tras-láithreáin (XSS) a chonaic sé ar shuíomh Gréasáin aireacht Gnóthaí Eachtracha na Rúise. Chruthaigh an jester suíomh Gréasáin caocha a rinne aithris ar dhearcadh an láithreáin ghréasáin oifigiúil ach amháin an ceannlíne, a shaincheapadh chun magadh a dhéanamh díobh.

Ceachtanna:

  • > sláintigh an marcáil HTML
  • > ná cuir isteach sonraí mura bhfíoraíonn tú iad
  • > bain úsáid as éalú JavaScript sula ndéanann tú sonraí neamhiontaofa a iontráil i luachanna sonraí na teanga (JavaScript)
  • > sciath tú féin ó leochaileachtaí XSS atá bunaithe ar DOM

mass gmail