Tres lecciones de seguridad de aplicaciones web a tener en cuenta. El experto de Semalt sabe cómo evitar convertirse en víctima de delincuentes cibernéticos

En 2015, el Instituto Ponemon publicó los resultados de un estudio "Costo del delito cibernético", que habían realizado. No fue una sorpresa que el costo del delito cibernético estuviera aumentando. Sin embargo, las cifras tartamudearon. Cybersecurity Ventures (conglomerado global) proyecta que este costo alcanzará los $ 6 billones por año. En promedio, una organización tarda 31 días en recuperarse después de un delito cibernético con un costo de remediación de alrededor de $ 639 500.

¿Sabía que la denegación de servicio (ataques DDOS), las infracciones basadas en la web y los intrusos maliciosos representan el 55% de todos los costos de delitos cibernéticos? Esto no solo representa una amenaza para sus datos, sino que también podría hacerle perder ingresos.

Frank Abagnale, Gerente de Éxito del Cliente de Semalt Digital Services, ofrece considerar los siguientes tres casos de infracciones cometidas en 2016.

Primer caso: Mossack-Fonseca (The Panama Papers)

El escándalo de los Papeles de Panamá entró en el centro de atención en 2015, pero debido a los millones de documentos que tuvieron que ser examinados, se desató en 2016. La filtración reveló cómo los políticos, los empresarios ricos, las celebridades y la crema de la crema de la sociedad almacenaron su dinero en cuentas offshore. A menudo, esto era sombrío y cruzaba la línea ética. Aunque Mossack-Fonseca era una organización especializada en el secreto, su estrategia de seguridad de la información era casi inexistente. Para empezar, el complemento de diapositivas de imagen de WordPress que usaban estaba desactualizado. En segundo lugar, utilizaron un Drupal de 3 años con vulnerabilidades conocidas. Sorprendentemente, los administradores del sistema de la organización nunca resuelven estos problemas.

Lecciones

  • > asegúrese siempre de que sus plataformas, complementos y temas de CMS se actualicen periódicamente.
  • > Manténgase actualizado con las últimas amenazas de seguridad de CMS. Joomla, Drupal, WordPress y otros servicios tienen bases de datos para esto.
  • > escanee todos los complementos antes de implementarlos y activarlos

Segundo caso: foto de perfil de PayPal

Florian Courtial (un ingeniero de software francés) encontró una vulnerabilidad CSRF (falsificación de solicitudes entre sitios) en el sitio más nuevo de PayPal, PayPal.me. El gigante global de pagos en línea presentó PayPal.me para facilitar pagos más rápidos. Sin embargo, PayPal.me podría ser explotado. Florian pudo editar e incluso eliminar el token CSRF actualizando así la imagen de perfil del usuario. Tal como estaban las cosas, cualquiera podría hacerse pasar por otra persona al obtener su imagen en línea, por ejemplo, desde Facebook.

Lecciones

  • > haga uso de tokens CSRF únicos para los usuarios: estos deben ser únicos y cambiar cada vez que el usuario inicie sesión.
  • > token por solicitud: además del punto anterior, estos tokens también deberían estar disponibles cuando el usuario los solicite. Proporciona protección adicional.
  • > tiempo de espera agotado: reduce la vulnerabilidad si la cuenta permanece inactiva durante algún tiempo.

Tercer caso: el Ministerio de Asuntos Exteriores de Rusia enfrenta una vergüenza XSS

Si bien la mayoría de los ataques web están destinados a causar estragos en los ingresos, la reputación y el tráfico de una organización, algunos están destinados a avergonzar. Caso en cuestión, el hack que nunca sucedió en Rusia. Esto es lo que sucedió: un pirata informático estadounidense (apodado Jester) explotó la vulnerabilidad de scripting entre sitios (XSS) que vio en el sitio web del Ministerio de Asuntos Exteriores de Rusia. El bufón creó un sitio web ficticio que imitaba la perspectiva del sitio web oficial a excepción del titular, que él personalizó para burlarse de ellos.

Lecciones

  • > desinfectar el marcado HTML
  • > no inserte datos a menos que lo verifique
  • > use un escape de JavaScript antes de ingresar datos no confiables en los valores de datos del lenguaje (JavaScript)
  • > protegerse de las vulnerabilidades XSS basadas en DOM

mass gmail