Hvis du endnu ikke har læst om HBGary hack og email læk, Jeg foreslår kraftigt at læse en af de mange artikler eller blogindlæg offentliggjort om emnet siden hændelsen i begyndelsen af februar . Det tjener som en stærk advarsel om, hvad der kan svede, når vagtselskaber undlader at sikre deres egne netværk korrekt. Selv hvis din virksomhed ikke handler med sikkerhedsspørgsmål, der er helt sikkert meget at lære om, hvordan du kan ordentligt beskytte en hjemmeside samt et netværk fra lignende ondsindede hacks. Lad os gå gennem de kritiske punkter for fiasko fra dette eksempel trin for trin.
Må ikke slæk på hjemmesiden Sikkerhedstjeneste
Det oprindelige mål for hacker-gruppen blev HBGary Federal corporate site, hvor de var kunne gøre brug af en basisk SQL injektion for at få adgang til webstedet databasen. Dette gav dem adgang til brugernavne, e-mails og "punkterede" adgangskoder (passwords krypteret med en hash-funktion til at forhindre opdagelse). Dette kunne have været forhindret af enten ansætte en solid, up-to-date kommercielt management indhold system eller ved at kontrollere den brugerdefinerede CMS til SQL injektion huller. Denne form for udnyttelse er ofte anvendes til hacker-samfundet og tager næsten ingen talent at gennemføre som følge hver eneste sikkerhedsekspert skal være klar over det.
Opret komplicerede passwords
Selvom alle de passwords var blevet krypteret i databasen, der er fælles værktøjer til rådighed for at hjælpe hackere forsøger at arbejde ud egentlige passwords baseret på hashed data. Disse typer af værktøjer på forhånd beregne tusinder og atter tusinder af potentielle passwords og er derefter søgbare for den resulterende hash sekvens. Der er selvfølgelig grænser for, hvad disse typer af værktøjer kan gøre. Af praktiske grunde kan de kun gemme oplysninger i en begrænset undergruppe af mulige passwords, for eksempel bare passwords fra et til otte tegn, der har små bogstaver og tal eller bare passwords fra en til tolv tegn i CAPS LOCK. To mennesker på HBGary (den administrerende direktør og COO) valgte adgangskoder, der var kun otte tegn med seks små bogstaver og to tal, hvilket gør dem sårbare over for denne særlige angreb. Brug komplekse passwords med en kombination af store og små bogstaver, tal og tegn inklusive & amp; og% mere eller mindre fjerner faren for disse former for værktøjer, der er ansat til at finde ud af en adgangskode.
Vælg unikke adgangskoder
Indhentning brugernes adgangskoder til redigering af et corporate site er uønsket, men ikke liv -ending for en sikkerhedsbranchen. Desværre for HBGary, begge disse udækkede passwords blev genbrugt flere steder, såsom sociale netværkssider og e-mail-administration. Det kan være frygtelig fristende at genbruge passwords - især vanskelige - men faktum er, at genbrug passwords har vist sig at være en af de mest banale sikkerhedsspørgsmål lige nu. Hvis du bruger den samme adgangskode på din e-mail som en lav-profil nyhedsside, og at hjemmesidens database er kompromitteret, kunne det være muligt for folk at bruge denne adgangskode for at få adgang til din e-mail og muligvis meget mere.
Hold computersoftware up-to-date
En masse problemer med sikkerheden af disse hjemmesider kunne have været løst med passende sikkerhedsopdateringer. Når sikkerhedshuller findes i programmer, udviklere arbejde for at lukke sikkerhedshuller og derefter sende opdateringer til at håndtere problemet. Brugere, der kører disse patches, som de er frigivet, er betydeligt mindre egnet til at have deres systemer brudt ind, simpelthen fordi håbefulde angribere har en signifikant kortere vindue af muligheder for at handle på en sårbarhed.
Odds er temmelig godt, at hvis du nogensinde har studeret effektive sikkerhedsprocedurer, du allerede vidste det meste af dette. Når selv sikkerhedsmæssige virksomheder undlader at overholde denne elementære råd, selv om, kan det være godt at dobbelttjekke din egen sikkerhed for potentielt fejl fejl.
Jeg arbejder på en IT-support virksomhed, hjælpe små virksomheder med deres it-outsourcing. Jeg elsker at holde op med de seneste nyheder og dele, hvad jeg ved med mine klienter til at holde deres netværk sikkert.