Как да избегнем следващ “Hearbleed”?
Когато Hearbleed беше създаден, се разкри, че най-малко две трети от всичките сайтове в света са с риск от кражба на данни като имена, имейли, пароли и дори кредитни карти!
Специалисти по сигурност и програмисти предупреждават, че има и много други сериозни уязвимости, чрез които всеки хакер може да открадне личните ни данни. От така наречените “хакове инжекции” до дефекти в системата, винаги има злонамерени хора, които могат да се сдобият с личните ви данни и да ги използват против вас, съобщи ibtimes.
“Несигурния софтуер подкопава нашата финансова инфраструктура, здравеопазването, отбраната, енергетиката, както и други изключително важни инфраструктури”, заяви “OWASP” в доклада си за 10-те най-големи риска в сигурността през 2013 година.
“Тъй като нашата дигитална инфраструктура става все по-сложна и взаимосвързана, трудността за постигане на сигурност на приложенията се увеличава драстично”
На върха на най-голямата несигурност в сайтовете са така наречените “инжекции”, което представлява специално изготвени скриптове, които хакерите успяват да качат на сайта, когато открият “дупка” в него. По този начин скриптовете позволяват достъп до цялата база данни на сайта, която може да съдържа имена, адреси, имейли, пароли и дори личните сметки на потребителя.
Това което е най-тревожно в списъка на най-големите рискове за сигурността през 2013, е че в топ 5 попадат едни и същи резултати още от 2010 година.
И въпреки, че програмистите са научени да избягват тези грешки, неопитните програмисти, работещи по трудни кодове, все още правят пропуски, които могат да се окажат врата за пробив в системата на самия сайт.
Хората пишещи код, обаче, не винаги могат да бъдат винени. На програмистите често се предлагат неизгодни условия- като ниско заплащане, спрямо огромната сложност на задачите и психическото натоварване, от тяхното изпълнение.
Оупен-соурс софтуери като OpenSSL, който Heartbleed атакува, често се изграждат от група програмисти-доброволци.
Частните компании също често не желаят да харчат пари за нови системи или подходящо тестване на възможни дупки в сигурността, което ги прави потенциални жертви.
ИТ специалист написа интересен отговор на тема “Уязвимости в киберсигурността, за които обществото не знае”, той каза следното: “Наистина не знаете, колко много хората разчитат на прекалено стари системи и технологии. Ние можем да напишем добър софтуер, но той ще струва цяло състояние, което е далеч от бизнес приоритетите на фирмите.”
Често срещана практика е компании да наемат добри разработчици, които да изградят надежден софтуер, след което биват заменени от по-евтини и съответно по-неопитни програмисти, което довежда до доста нелепи проблеми, в повечето случаи новите разработчици дори не знаят как да боравят със съответния софтуер, нито как да направят коректни промени в него, без да нарушат сигурността му.
Фирми за сигурност като “Codenomicon”, която откри “Heartbleed”, имат вградени програми за автоматично тестване на компютърни системи, което прави тестването на бъгове по-бързо и по-евтино. ИТ специалистите много често говорят за “отбранителни програми” и призоваха бизнеса да осъзнае, че е по-евтино да платят за бъг-тест програми, отколкото да оставят сайта си несигурен и в последствие това да им излезе прескъпо.
Налице е и проблемът с компютърната неграмотност на потребителите, която ежедневно излага личните им данни на риск. Повечето потребители все още използват твърде подразбиращи се пароли като “password” или “123456”. Друг проблем са незаключените Wi-Fi мрежи, които могат да бъдат използвани за лесна кражба на вашите пароли.
Дори и заключените мрежи, използващи WPS защита са много уязвими, и позволяват дори на неопитни хакери лесно да получат достъп до вашата мрежа и да нанесе сериозни щети.
Все пак ИТ специалистите смятат, че може да подобрите сигурността си с малко увеличаване на компютърната си грамотност.