ваш сайт зламати, чому вам потрібно турбуватися

Апокаліпсис сьогодні

Просто тому, що ви думаєте, що ваші дані в безпеці не означає, ваша база даних конфіденційної інформації організації ще не були клоновані і проживають в інших країнах готові до продажу за високою ціною. Що ще гірше, тільки останнім часом, було виявлено, що хакери не просто продавати ваші; вони також продають той факт, що у вас є вразливість до інших будь то хакери, промислових шпигунів або терористів.

Все це звучить апокаліптичний, чи не так? Ну, замість того, щоб Ангел Долі, я дам статистики говорять самі за себе.

TJX компаній Inc.,

TJX компаній, власники T.J. Maxx, Marshalls, переможці, HomeGoods, А.Ю. Райт, і зберігає Боба, на 17 січня цього року, повідомив, що 40 мільйонів своїх клієнтів кредитні і дебетові карти ці дані були вкрадені. Паралельно Федеральний кредитний союз SEFCU опублікував аналогічне попередження про те, що особисті дані 10 тисяч її клієнтів були скомпрометовані в хак атаки.

Ще 60 банків, включаючи громадянина Союзу Ощадбанку і Банку Америки, здається, є клієнти, чиї кредитні та дебетові карти були порушені в цій атаці.

Бен Cammarata, голова і виконуючий обов’язки генерального директора TJX компаній, заявив, що характер рубати не відомо, чи і два експерта з комп’ютерної безпеки під рукою розгляді проблеми. Попередження, винесене SEFCU проливає більше світла і держав “Шахрай може отримали доступ до … карти через одне з тих осіб в платіжній мережі, у тому числі торгових.”

SC Magazine повідомляє, що хакери використовували дані порушення для купівлі товарів в ряді штатів США, в Гонконзі і в Швеції.

Дайджест останніх подій таким чином:

* Відповідно до 3WCAX-сайт телеканалу, напад очікується, буде коштувати споживачам одноточечную п’яти (M) мільйонів доларів. Ця стаття була опублікована до початку судових позовів проростання.
* Брайан Фрага, Standard-Times, повідомляє, що позов поданий на цьому тижні в окружний суд США (Бостон) проти TJX. Сума збитку прагнули не розкривається. За даними журналу SC Magazine, вчора житель Західної Вірджинії вдарив ще один позов і судиться TJX за $ 5000000.
* США конгресмен Ед Маркі, демократ від штату Массачусетс, голова підкомітету Палати з телекомунікацій і Інтернету, закликав Федеральну торгову комісію для розслідування злому, згідно eport сьогодні в Бостон глоб.
* Сьогодні, уряду Канади, заявив, що він починає розслідування TJX і дані порушення.
* Слід зазначити, що злом, можливо, почалося в травні 2006 року, і порушення було виявлено тільки в грудні 2006 року (і розголосу в січні 2007 року).

університетів

Університет систем, як правило, високим ступенем децентралізації що робить його важко забезпечити високий рівень безпеки. У тій мірі, один відділ, можливо, розгорнуть загартовані інфраструктури безпеки, а інші сидіти розвалившись в пухких шляхом вживання заходів, вся система слабка.

Нижче наведені деякі з останніх хакі університету через уразливості веб-додатків:

* Минулого місяця, хакер проник масивна база даних з Університету Каліфорнії, Лос-Анджелес, що містять персональну інформацію (включаючи номери соціального страхування, дати народження, домашньої адреси та контактна інформація) на 800 000 чоловік в одному з найгірших порушень комп’ютер коли-небудь в університетів США.
* У січні 2007 року в університеті Арізони повідомили про порушення відбувається листопаді та грудні минулого року, здійснив кілька послуг відповідно до Інформаційним центром конфіденційності. Кількість записів здійснюється поки ще нерозкритою.
* У грудні 2006 року, Університет Колорадо – Boulder випробував хак атаки, які привели до крадіжки тисячі імен та номери соціального страхування – в цілому 17 500 записів були скомпрометовані.
* Університет Техасу, Даллас, повідомила в грудні 2006 року, що дані 35000 фізичних осіб (нинішніх студентів і випускників) був скомпрометований. Номери соціального страхування були виставлені, відповідно до Інформаційним центром конфіденційності.

Зміна тенденції в те, що мотивує хакерів

Згідно Zone-H, 50 кращих нападаючих зіпсовані в цілому близько 2,5 мільйона веб-сайтів по всьому світу. Згідно CSI / FBI комп’ютерної злочинності та безпеки Огляду 2005 року, одна з найдраматичніших висновків був експоненціальне зростання сайті порчу, пережитих їх респондентів: у 2004 році, 5% респондентів зазнали псування в той час як в 2005 році ця цифра зросла до 95 %. Останні тенденції протягом останніх 12 місяців показують, що є перехід від такий руйнівний вандалізм, яка отримує популярність до крадіжки даних, який переводиться в прибуток. Доповідь за 2006 рік ще не опубліковані.

статистика

Оскільки багато організацій не відстежують онлайн-активність на рівні веб-додатки, хакери мають повну свободу і навіть з найдрібнішими бійницями у веб-коду програми компанії, будь-який досвідчений хакер може зламати, використовуючи лише веб-браузер і дози творчості та визначення. Здається, що більшість атак хака виявлені місяців після першого порушення просто тому, що нападники не хочуть і не залишать аудиту суду. У веб-додаток атакує речових доказів (наприклад, відсутня база даних) є неіснуючим – хакери зацікавлені у крадіжці даних і залишити його без змін.

Недавнє дослідження, проведене провідною фірмою дослідження показують, що 75% кібератак виконуються на рівні веб-додатки. Ще опубліковані дослідження на Acunetix, здається, підтверджують цей висновок. Конкуруючі організації веб-безпеки програм записувати подібні дані.

Будинок конфіденційності клірингових звітів більш цікаві результати, включаючи той факт, що більше 100 мільйонів записів були скомпрометовані з лютого 2005 року. Однак ця цифра не включає TJX епізод близько 40 мільйонів записів. З в цілому близько 140 мільйонів приблизно 80 мільйонів були через хакерські атаки. Сказавши це, це не відомо чи епізод TJX було мережі або порушенням веб-додатків.

Вартість злому

Витрати на хакерських атак для будь-якої організації обширні з можливим фінансовим тягарем, який може призвести до закриття:

* Втрата довіри клієнтів, довіра і репутацію з наступним шкоди бренду і подальше вплив на виручку і рентабельність;
* Можлива втрата здатності приймати певні платіжні інструменти, наприклад, VISA, Mastercard
* Негативний вплив на доходи і прибуток, одержуваний від будь-яких фальсифікованих операціями, а також співробітника простоїв;
* Сайт простою яке по суті замикання однієї з найбільш важливих каналів продажів для електронного бізнесу;
* Витрат, пов’язаних з ремонтом збиток і будівництва планів щодо забезпечення безпеки сайтів та веб-додатків, а також,
* Юридичні баталії та пов’язані з цим наслідки від атак веб-додатків і слабкий заходи безпеки, включаючи штрафи і збитку, що підлягає виплаті жертвам.

На малюнку вище показано сумарні втрати як повідомили в 2005 CSI / FBI Річний комп’ютерної злочинності та безпеки обстеження.

Загальні втрати в категорію порушення (тільки для США), як повідомляється, понад $ 130 м для 639 респондентів готові і в змозі оцінити свої втрати. Огляд Автори також стверджують, що в той час як явні витрати (наприклад, вартість переустановлення програмного забезпечення і переналаштування комп’ютерних систем) більш точно припадає на респондентів, неявні витрати (такі як втрата майбутніх продажів через негативного висвітлення в ЗМІ після порушення) важче обліку і значною мірою не представлені у втраті цифри, представлені тут.

Зараз це звучить апокаліптичні? Я думаю, що є серйозна необхідність для всіх хвилюватися.

Acunetix Web Vulnerability Scanne

Дізнатися більше про Acunetix Web Vulnerability Scanner (http://www.acunetix.com/vulnerability-scanner), і як рішення допомагає регулярно аудит Вашого сайту та веб-додатків на наявність вразливостей до хакерських атак.