Одного разу мені попалися на очі записи етичних хакерів. Так називають професіоналів, які за гроші аналізують уразливості комп’ютерних систем і видають вердикт, наскільки десктоп або ноутбук готовий до хакерської атаки. Судячи з усього, зламати можна все, що завгодно. Ми розповімо читачам про те, в яких випадках користувачі ризикують втратити цінні дані, втративши пильність і контроль над ситуацією.
Слідкуйте за співробітниками
Ви – власник невеликої, але перспективної компанії? Будьте впевнені, ваш успіх не залишився непоміченим на ринку, і напевно, вами зацікавилися конкуренти.
Можливо, аноніми вже пропонували вашим співробітникам гроші за бази даних і цінну корпоративну інформацію.
Перевірити це можна, встановивши на робочий стіл трекер часу з можливістю робити скріни кожні п’ять-десять хвилин.
Шукайте SQL-код
SQL ін’єкція – популярний різновид хакерської атаки. Це відомий вектор атаки з використанням шкідливого SQL-коду для проведення маніпуляції з серверною базою даних. Це дарує доступ до інформації, яку ви хочете приховати від чужих очей, наприклад, сенситивні дані, списки користувачів або деталі клієнтів.
Щоб запобігти цій проблемі, скористайтеся опцією найменших привілеїв. Переконайтеся, що до кожного процесу або компоненту в програмному забезпеченні може отримати доступ обмежена кількість користувачів. Обмеження допоможуть пом’якшити ефект від атак з внесенням SQL-коду.
Крім того, в самій базі даних SQL подбайте, щоб продуктові акаунти виконували вимоги DML (мова маніпулювання даними), а не DDL (мова опису даних).
Дізнайтеся більше про Google Dorking
Для користувача, не знайомого з питаннями програмування і розробки, Google – лише пошукова система, здатна відповісти на будь-яке питання.
Але для хакера Google може стати знаряддям вбивства. Google володіє неймовірним потенціалом: пошукова система індексує ваш веб-сайт, включаючи сенситивну інформацію. А значить, якщо десь в соціальних мережах або навіть в приватному листуванні ви ділилися логінами, паролями або обговорювали деталі нового проєкту, Google знає про це.
З’являється таке явище, як Google Dorking – використання пошукової системи для пошуку вразливих веб-додатків і серверів. Єдиний спосіб приховати інформацію від Google – заблокувати певні ресурси веб-сайту файлом robots.txt.
Наступна міра безпеки: готуючи проєкт до релізу, не дозволяйте пошуковим системам (а також хакерам) відстежувати вашу IP-адресу. Дізнайтеся, що таке VPN, залишайтеся анонімними.
Уважно поставтеся до створення сайтів на WordPress
Метод підбору паролів шляхом математичних обчислень називається у хакерів брутфорсом.
Наступний напад на інформацію компанії на сленгу звучить як можливість “збрутити backup” бази даних. Особливо це актуально для тих, хто створив сайт на WordPress.
Як правило, провайдери хостингу обмежують доступ до сайт з боку зовнішніх мереж і прив’язують до власних серверів, щоб звести до мінімуму ризик небажаного вторгнення.
У той же час, хакеру всього лише потрібно зламати певний сайт, щоб почати брутфорс-атаку на всю базу даних з внутрішньої IP-адреси.
Втім, на кожну проблему знайдеться рішення. Вибираючи платформу і хостинг при створенні сайту або Інтернет-магазину, переконайтеся в наявності належної конфігурації серверів, що дозволить істотно знизити ризик хакерської атаки. Акаунти користувачів повинні бути повністю ізольовані, щоб інші власники сайтів не зчитували конфігурації CMS-файлів.
Висновок
Зламати можна все, що завгодно, навіть саму захищену систему. Але, розібравшись в тому, як працюють хакери, ви забезпечите належний рівень захисту і будете готові, при необхідності, відбити атаку. Завжди будьте напоготові, і нехай цифрові баталії обходять вас стороною!
