5 atacuri cibernetice care tintesc datele tale personale

21

Website-urile sunt in continuare tinta preferata a infractorilor cibernetici. Conform celui mai recent studiu asupra securitatii informatice lansat de Symantec – Internet Security Threat Report, au fost inregistrate 6.787 de vulnerabilitati, in comparatie cu 2012, cand numarul acestora a fost de 5.291. Mai ingrijorator este faptul ca 1 website din 8 au avut vulnerabilitati critice, cunoscute dar nerezolvate, astfel ca 67% dintre site-uri au distribuit, in necunostinta de cauza, programe Malware percepute ca fiind legitime, depistate abia ulterior.

 

Astazi, orice website poate fi compromis de catre infractorii cibernetici si folosit pentru a accesa date personale. Cele cinci dintre cele mai comune metode de atac, considerate in continuare devastatoare pentru multe website-uri sunt: SQL Injection, Cross Site Scripting (XSS), CSRF (Cross-Site Request Forgery), folosirea unor componente cu vulnerabilitati cunoscute sau atacuri de tipul de “Man in the Middle”.

 

SQL Injection este o tehnica de injectare de coduri care introduce comenzi SQL, avand ca rezultat faptul ca un server va retransmite informatii pe care nu ar trebui sa le trimita. Prin urmare, insusi server-ul pune la dispozitia atacatorului date precum numele si parolele utilizatorilor.  

 

Cross Site Scripting este cea mai raspandita vulnerabilitate, foarte intalnita in aplicatiile web si apare atunci cand o aplicatie preia date neverificate si le transmite mai departe catre un browser web, fara o validare sau o iesire corespunzatoare. Acest lucru le permite atacatorilor sa execute script-uri in browser-ele victimelor atunci cand acestia viziteaza un website, pentru a deturna, vandaliza sau chiar redirectiona utilizatorul catre alte site-uri riscante din punct de vedere al securitatii.

 

Un atac CSRF fura un cookie de sesiune de browsing si alte informatii de autentificare ale victimei sale, spre a le folosi pentru inregistrarea pe alte website-uri. Dupa terminare, atacatorul poate prelua controlul asupra sesiunii victimei, spre exemplu pe un site bancar, avand control complet asupra contului. Cu toate acestea, fiindca website-ul considera ca un utilizator legitim este conectat, este foarte dificil de detectat un astfel de atac.

 

Componentele precum biblioteci de date informatice, frameworks si alte module de aplicatii software care au vulnerabilitati cunoscute sunt o prada usoara pentru atacatorii informatici. Totusi, asa cum am experimentat odata cu recentul bug HeartBleed, managementul eficient al securitatii si securizarea codurilor pot fi dificile, in special in cazul aplicatiilor web complexe. Aplicatiile care folosesc componente cu vulnerabilitati cunoscute pot submina protejarea datelor, permitand o serie de posibile atacuri si efecte.

 

Atacurile de tipul „man-in-the-middle” intercepteaza comunicarea dintre doua sisteme. Spre exemplu, intr-o tranzactie HTTP tinta este conexiunea TCP dintre utilizator si server. In anumite circumstante, am observat ca unele site-uri transfera informatii importante, fara o criptare puternica.

 

Toate aceste vulnerabilitati exista in mare parte, pentru ca aplicatiilor web le lipsesc elementele care asigura protejarea datelor. Teoretic, acest lucru inseamna ca ele pot fi prevenite odata cu punerea in aplicare a celor mai bune practici de securitate din etapele de dezvoltarea a ciclurilor de viata ale unui softwareSoftware Development Life Cycle (SDLC). Cu toate acestea, schimbarile si exigenta cerintelor de afacerile determina multe organizatii sa implementeze solutiile de securitate din SDLC, inainte de a fi prea tarziu.

 

Pentru multe dintre companii, securitatea continua sa fie reactiva, fiind deseori aplicata dupa ce un atacator a adus deja un prejudiciu. Recomandarea noastra este ca solutiile de securitate sa fie parte din procesul de dezvoltare propriu-zis, pentru a fi proiectate inca de la inceput in aplicatiile web. Costul unui proces de dezvoltare probabil mai lent, necesar pentru producerea codului de securitate este mai mic decat riscurile asteptarii pana cand atacul asupra organizatiei devine public, parte a unei campanii avansate care tinteste datele tale confidentiale.