Se Yahoo può essere hackerato, come possiamo proteggere i nostri piccoli siti web? [chiuso]

2

Law enforcement provided Yahoo in November 2016 with data files that a third party claimed was Yahoo user data. We analyzed this data with the assistance of outside forensic experts and found that it appears to be Yahoo user data. Based on further analysis of this data by the forensic experts, we believe an unauthorized third party, in August 2013, stole data associated with more than one billion user accounts. Yahoo has not been able to identify the intrusion associated with this theft. We believe this incident is likely distinct from the incident we disclosed on September 22, 2016. We are notifying potentially affected users and have taken steps to secure their accounts, including requiring users to change their passwords. Yahoo has also invalidated unencrypted security questions and answers so that they cannot be used to access an account.

Yahoo dice che oltre un miliardo di account è stato violato. Ovviamente è terabyte di dati.

La mia domanda è: come possiamo proteggere le informazioni degli utenti del sito web dagli hacker? Yahoo utilizza la sicurezza di alto livello, ma gli hacker sono riusciti a modificarli. Ovviamente stanno usando hash e diversi metodi di crittografia, ma come hanno fatto gli hacker a violare i loro sistemi?

Siamo tutti a rischio?

Le attuali soluzioni di sicurezza non sono sufficienti per prevenire un attacco? Hai bisogno di risposte da penetration tester e professionisti della sicurezza.

    
posta lasan 18.12.2016 - 12:30
fonte

4 risposte

2

Utilizza un computer separato per gestire il sito

La maggior parte delle violazioni dei dati non implica che il sito Web venga violato. Invece, una workstation interna viene violato quando l'utente visita una pagina Web dannosa; questo è chiamato "drive by malware". Con un sistema interno compromesso, viene eseguita l'escalation laterale, fino a quando gli aggressori assumono il controllo di un computer con accesso al database. Possono quindi estrarre ed estrarre i dati.

La ragione per cui viene utilizzata questa rotatoria è che molti siti Web sono estremamente difficili da violare direttamente. Se l'organizzazione prende precauzioni ragionevoli, non ci saranno vulnerabilità note e richiederebbe una "vulnerabilità zero day" per l'hacking diretto. Al contrario, gli ambienti IT degli uffici sono solitamente poco protetti, quindi questa è la via più semplice da indirizzare agli hacker.

La soluzione a questo è di avere "postazioni di accesso privilegiate" completamente separate e "air gapped" da Internet. Questa è stata una pratica standard nelle reti militari / di intelligence classificate per anni, ma è rara nei sistemi commerciali. La violazione indica che Yahoo non lo sta facendo. Mentre potresti criticarli per questo, sono solo gli stessi di molti colleghi del settore. Tuttavia, come un piccolo sito Web, puoi fare le cose in modo diverso. Assicurati che il tuo sito web sia protetto e utilizza un laptop separato per gestire il tuo sito. Non fare alcuna navigazione da quel laptop.

Ho mantenuto questa risposta di alto livello in modo che non diventi troppo lunga. Per ulteriori letture, cerca alcune frasi che ho incluso tra virgolette.

    
risposta data 19.12.2016 - 11:16
fonte
7

Essere grandi non equivale a essere protetti meglio

Non dare per scontato che, visto che sono grandi e famosi, tutto ciò che fanno è meglio di quello che puoi fare.

Non è cambiato nulla: puoi proteggere i tuoi piccoli siti web come facevi prima, forse meglio dal momento che puoi imparare dagli errori di Yahoo. L'aggiornamento continuo dell'hash della password, invece di usare md5, sarebbe un buon inizio.

A volte, essere grandi significa anche impiegare molto tempo ad aggiornare le misure di sicurezza, non mi sorprenderebbe se "aggiornare gli hash delle password" fosse in qualche elenco di cose da fare per molti anni.

    
risposta data 18.12.2016 - 19:05
fonte
2

Ogni sito Web è a rischio, i siti Web sicuri al 100% sono un mito. Come già detto qui, una buona cosa è imparare dagli errori degli altri (non solo Yahoo) per difendere meglio le difese. Quello che ha fatto yahoo è terribilmente debole in termini di sicurezza. Ad esempio, gli hash MD5 erano già noti nel 2013 per essere precari. Quindi, ciò che apprende è che è necessario stare al passo con le migliori pratiche di sicurezza ed essere consapevoli delle nuove vulnerabilità nelle diverse parti del tuo sito web.

Un altro aspetto per difendersi è sapere chi è il tuo nemico. In una delle dichiarazioni di Yahoo dicono che si trattava di aggressori dello stato nazione. Questa categoria di aggressori ha un sacco di soldi. E se hai la giusta quantità di denaro puoi rompere tutto. Ma probabilmente non sarà il tipo di attaccante che devi temere sul tuo piccolo sito web. Più probabili aggressori sono i ragazzini degli script che sono là fuori per divertirsi un po 'a cercare di hackerare il tuo sito web. O qualsiasi altro aggressore con un budget limitato. Ma non essere sbagliato, possono fare molto male! Ma comunque questa informazione ti dà una buona intuizione per fare compromessi sulla sicurezza.

    
risposta data 19.12.2016 - 10:47
fonte
2
  1. come possiamo proteggere le informazioni degli utenti del sito web dagli hacker? Yahoo usa la sicurezza di alto livello ...

Non ho dettagli su questa operazione, ma presumo che ci siano stati dei difetti da qualche parte. Yahoo, come altre importanti aziende, deve sempre trovare un equilibrio tra sicurezza, costi e aspettative del cliente. Utilizzeresti un sito se ti richiedesse di produrre un certificato valido? O un sito che chiedeva un compenso per pagare i propri agenti di sicurezza? Ciò potrebbe rafforzare la sicurezza, ma anche ridurre notevolmente il pubblico, che è sicuramente non che cosa vogliono quei siti principali.

  1. Siamo tutti a rischio?

Sì. O almeno dovresti dare per scontato. O più esattamente, dovresti considerare le minacce per il tuo sito, le possibili conseguenze e il costo dei processi di mitigazione. Potresti decidere che niente di più di ciò che già esiste vale il costo, ma ne sarai consapevole.

  1. Le attuali soluzioni di sicurezza non sono sufficienti per prevenire un attacco?

Questa non è la domanda corretta. Le migliori pratiche di sicurezza dovrebbero essere rispettate, e nella grande maggioranza dei casi di hacking, uno di questi (almeno) non lo era. Ma non possono essere sufficienti per nessuna minaccia, perché alcune minacce sono poco dipendenti dalla tecnologia. Non dimenticare mai che esiste anche il mondo reale

TL / DR: per piccoli siti , è sufficiente seguire le migliori pratiche di sicurezza e dovrebbe essere sufficiente. Le cose diventano più complesse quando l'importanza dei dati aumenta perché la protezione fisica arriva sulla scena.

    
risposta data 19.12.2016 - 14:59
fonte

Leggi altre domande sui tag