Πώς να διατηρήσετε ασφαλείς ιστότοπους: Απειλές και αντιμετώπιση τρωτών σημείων

Η επίσκεψη σε έναν κακόβουλο ιστότοπο μπορεί να είναι ένα από τα χειρότερα πράγματα που μπορεί να συμβεί σε άτομα που περιηγούνται στο Διαδίκτυο(Internet) , ειδικά σε αυτούς που ενδιαφέρονται να κάνουν αγορές στο διαδίκτυο. Οι webmasters πρέπει να γνωρίζουν τις απειλές για και για τους ιστότοπους, καθώς και τις καταστροφικές δυνατότητές τους – η πρώτη είναι η απώλεια της καταναλωτικής βάσης. Εάν διαχειρίζεστε έναν ιστότοπο ή ένα ιστολόγιο, πρέπει να γνωρίζετε τις πιθανές απειλές του ιστότοπου. Αυτό το άρθρο μιλά για τις απειλές και τα αποτελέσματά τους, ορισμένες μεθόδους που χρησιμοποιούνται από τους χάκερ για να κακολογήσουν τον ιστότοπό σας και, στη συνέχεια, συζητά τρόπους για το πώς να διατηρήσετε τους ιστότοπους ασφαλείς.

(Website) Απειλές (Threats)ιστότοπου και τα (Their) αποτελέσματα(Effects) ή οι δυνατότητές τους

Πώς να διατηρήσετε ασφαλείς ιστότοπους

Είναι μια κερδοφόρα επιχείρηση για τους χάκερ να κλέβουν δεδομένα ανθρώπων και να τα χρησιμοποιούν για προσωπικά οφέλη. Τα κέρδη μπορεί να είναι χρηματικά ή αφηρημένα. Ενώ το hacking, το phishing και η κοινωνική μηχανική είναι κοινές μέθοδοι, οι χάκερ χρησιμοποιούν επίσης ιστότοπους άλλων ανθρώπων για να θέσουν σε κίνδυνο τους υπολογιστές των χρηστών και να αποκτήσουν πρόσβαση στα δεδομένα τους. Η παρακάτω εικόνα σας δίνει μια ιδέα για τις απειλές ιστοτόπων.

Ως εκ τούτου, είναι δουλειά ενός webmaster να βεβαιωθεί ότι ο ιστότοπός του δεν περιέχει κακόβουλο κώδικα και ευπάθεια. Δεν είναι εύκολη δουλειά, δεδομένου ότι μπορεί να υπάρχουν χιλιάδες σελίδες και ο χάκερ εισάγει επιλεκτικά τον κώδικα σε ορισμένες σελίδες. Αφού είναι θέμα φήμης σου, πρέπει να το κάνεις. Ευτυχώς, υπάρχουν ορισμένα διαθέσιμα εργαλεία που μπορούν να σαρώνουν τους ιστότοπούς σας καθημερινά για να σας παρουσιάζουν μια αναφορά μολυσματικού κώδικα και σημείων ευπάθειας (όπως οθόνες σύνδεσης, φόρμες κ.λπ.).

Επιπλέον, είναι διαθέσιμα προγράμματα περιήγησης και προσθήκες προγράμματος περιήγησης που ενεργοποιούν ένα συναγερμό όταν πρόκειται να επισκεφτείτε έναν κακόβουλο, μολυσμένο ιστότοπο. Αν και μπορεί να έχετε επισκεφτεί αυτόν τον ιστότοπο στο παρελθόν, και αν και μπορεί να σας είναι δύσκολο να πιστέψετε ότι ένας ιστότοπος που εμπιστεύεστε είναι μολυσμένος, μπορεί να είναι πραγματικά κακόβουλος χωρίς να το γνωρίζει ο webmaster – επειδή μια ώρα νωρίτερα, κάποιος χάκερ πρόσθεσε κάποιο κώδικα στο ιστοσελίδα.

Μιλώντας για τα χειρότερα σενάρια – ή τις δυνατότητες απειλών ιστοτόπων – υπάρχουν δύο κύριες πλευρές της ζημιάς:

  1. Οι webmasters ενδέχεται να χάσουν την καταναλωτική τους βάση καθώς το πρόγραμμα περιήγησης των επισκεπτών ενεργοποιεί συναγερμό όταν προσπαθούν να επισκεφτούν τον ιστότοπό τους. Οι μηχανές αναζήτησης Google(Google) κ.λπ. ενδέχεται να βάλουν σε μαύρη λίστα τον ιστότοπο εάν εντοπίσουν οποιοδήποτε είδος κακόβουλου κώδικα κατά την ανίχνευση του ιστότοπου.
  2. Από την πλευρά του χρήστη, ο υπολογιστής του χρήστη και ως εκ τούτου τα δεδομένα του/της έχουν παραβιαστεί και μπορεί να οδηγήσει σε κλοπή ταυτότητας.

Συνήθεις τύποι απειλών ιστότοπου

Το πιο κοινό και παρατηρημένο είναι το clickjacking(clickjacking) . Σε αυτήν τη μέθοδο, ένα διαφανές στρώμα κακόβουλου κώδικα βρίσκεται σε ένα κουμπί ή ένα βίντεο. Όταν κάνετε κλικ στο κουμπί, κατεβάζει τον κώδικα στον υπολογιστή σας. Μπορεί να έχετε δει παρόμοιες μεθόδους διαφήμισης σε ιστότοπους κατηγορίας C(C-grade) , που σχετίζονται κυρίως με πειρατεία και περιεχόμενο για ενηλίκους κ.λπ.

Τα τρωτά σημεία ανακατεύθυνσης ιστότοπου(Website redirection) επιτρέπουν στους χάκερ να χρησιμοποιούν τις ανακατευθύνσεις για τα κέρδη τους. Μπορούν είτε να υποκλέψουν δεδομένα που ανταλλάσσονται είτε να χρησιμοποιήσουν την ανακατεύθυνση για να ανακατευθύνουν τους χρήστες σε έναν ιστότοπο phishing.

Μεταξύ άλλων τύπων ιστοτόπων, οι απειλές είναι στοχευμένες επιθέσεις που χρησιμοποιούν έτοιμα κιτ εκμετάλλευσης(readymade exploit kits) διαθέσιμα εύκολα στο Διαδίκτυο(Internet) . Αυτά τα κιτ επιτρέπουν στους χάκερ να στοχεύουν συγκεκριμένους (τύπους) ιστοτόπους και να προσθέτουν κακόβουλους συνδέσμους σε αυτούς. Μια άλλη μέθοδος είναι να στέλνετε μηνύματα ηλεκτρονικού ταχυδρομείου στον ιστότοπο με κακόβουλους συνδέσμους που παρακάμπτουν τον ανυποψίαστο webmaster για να τον κάνουν κακόβουλο ιστότοπο.

Οι πρόσφατες επιθέσεις σε δημοφιλείς ιστότοπους δείχνουν ότι ακόμη και οι μεγαλύτεροι ιστότοποι είναι ευάλωτοι. Τα άτομα που χάνουν μια φορά τα διαπιστευτήριά τους δεν είναι πιθανό να επιστρέψουν ξανά στον ιστότοπο.

Φανταστείτε(Imagine) την επιχείρησή σας ή τον ιστότοπο ηλεκτρονικού εμπορίου σας να μπαίνει στη μαύρη λίστα και να μείνετε στο σκοτάδι για εβδομάδες έως ότου οι μηχανές αναζήτησης να τους προσθέσουν ξανά στη λευκή λίστα. Ενώ η διαδικασία κατάργησης ενός ιστότοπου από τις μαύρες λίστες είναι δύσκολη, μπορεί η επιχείρησή σας να επιβιώσει εάν δεν είναι στη δημόσια προβολή για εβδομάδες;

Διαβάστε(Read) : Πώς να αφαιρέσετε το σενάριο εξόρυξης κρυπτογράφησης Coinhive από τον ιστότοπό σας.

Πώς να διατηρήσετε ασφαλείς ιστότοπους

  • Ενημερωμένο λογισμικό(Up-to-date software) : Διατηρήστε το λογισμικό διακομιστή του ιστότοπού σας πλήρως ενημερωμένο και επιδιορθωμένο
  • Πιστοποιητικά SSL:(SSL Certificates:) Οι εταιρείες που προσφέρουν πιστοποιητικά ασφάλειας ελέγχουν τον ιστότοπό σας πριν εκδώσουν το πιστοποιητικό εμπιστοσύνης. Το πράσινο τμήμα στη γραμμή διευθύνσεων δίπλα στο "https" παρέχει κάποια διαβεβαίωση στους χρήστες του ιστότοπου.
  • Κρυπτογράφηση:(Encryption:) Χρησιμοποιήστε μια ασφαλή σύνδεση για οτιδήποτε κάνουν οι χρήστες στον ιστότοπό σας, ειδικά εάν εμπλέκονται σε συναλλαγές.
  • Αναβάθμιση σε EV SSL: (Upgrade to EV SSL: ) Κάντε αυτό σε οποιοδήποτε μέρος του ιστότοπου όπου ο πελάτης μπορεί να εισάγει δεδομένα
  • Καθημερινή σάρωση κακόβουλου λογισμικού:(Daily Malware Scan:) Μπορείτε να χρησιμοποιήσετε προϊόντα που σαρώνουν τις σελίδες του ιστότοπού σας για κακόβουλο λογισμικό χωρίς να μειώνουν τον χρόνο φόρτωσης. Με αυτόν τον τρόπο, μπορείτε να αφαιρέσετε τον κακόβουλο κώδικα –σε περίπτωση που υπάρχει– προτού επηρεαστούν οι χρήστες.
  • Εβδομαδιαία αξιολόγηση τρωτών σημείων: (Weekly Assessment of Vulnerabilities:) Ελέγξτε(Check) για πιθανά σημεία τρωτών σημείων και εφαρμόστε πρόσθετη ασφάλεια εκεί.

Τα παραπάνω είναι μερικές μόνο συμβουλές για την ασφάλεια του ιστότοπού σας. Εξηγεί εν συντομία τις απειλές για τους ιστότοπους και τις δυνατότητές τους.

Διαβάστε τώρα(Now read) : Πώς να ασφαλίσετε έναν ιστότοπο WordPress(How to secure a WordPress site) .

Αργότερα σήμερα, θα διαβάσουμε για τις λήψεις Drive-by(Drive-by downloads)  και σε λίγες μέρες για το πώς να διατηρήσετε ασφαλή έναν ιστότοπο WordPress .



About the author

Είμαι μηχανικός λογισμικού με πάνω από 10 χρόνια εμπειρίας στον κλάδο του Xbox. Ειδικεύομαι στην ανάπτυξη παιχνιδιών και στις δοκιμές ασφαλείας. Είμαι επίσης έμπειρος κριτικός και εργάζομαι σε έργα για μερικά από τα μεγαλύτερα ονόματα του gaming, συμπεριλαμβανομένων των Ubisoft, Microsoft και Sony. Στον ελεύθερο χρόνο μου, μου αρέσει να παίζω βιντεοπαιχνίδια και να παρακολουθώ τηλεοπτικές εκπομπές.



Related posts