Si Yahoo puede ser hackeado, ¿cómo podemos asegurar nuestros pequeños sitios web? [cerrado]

Navega tus respuestas
2
  

La aplicación de la ley proporcionó a Yahoo en noviembre de 2016 archivos de datos que   El tercero reclamado fue datos de usuario de Yahoo. Analizamos estos datos con   la asistencia de expertos forenses externos y encontró que parece   para ser datos de usuario de Yahoo. Sobre la base de un análisis adicional de estos datos por el   expertos forenses, creemos que un tercero no autorizado, en agosto   2013, robó datos asociados con más de mil millones de cuentas de usuarios.   Yahoo no ha podido identificar la intrusión asociada con esto   robo. Creemos que este incidente es probablemente distinto del incidente   Divulgamos el 22 de septiembre de 2016. Estamos notificando potencialmente   usuarios afectados y han tomado medidas para proteger sus cuentas,   incluyendo requerir a los usuarios que cambien sus contraseñas. Yahoo también tiene   preguntas y respuestas de seguridad sin cifrar invalidadas para que   no se puede utilizar para acceder a una cuenta.

Yahoo dice que más de mil millones de cuentas fueron hackeadas. Eso es obviamente terabytes de datos.

Mi pregunta es, ¿cómo podemos asegurar la información del usuario del sitio web de los piratas informáticos? Yahoo usa seguridad de nivel superior, pero los hackers lograron hackearlos. Obviamente, utilizan hashes y varios métodos de encriptación, pero ¿cómo los hackers violaron sus sistemas?

¿Estamos todos en riesgo?

¿Las soluciones de seguridad actuales no son suficientes para evitar un ataque? Necesita respuestas de probadores de penetración y profesionales de seguridad.

    
pregunta lasan 18.12.2016 - 12:30
fuente

4 respuestas

2

Use una computadora separada para administrar el sitio

La mayoría de las violaciones de datos no implican que el sitio web sea hackeado. En cambio, una estación de trabajo interna es hackeada cuando el usuario visita una página web maliciosa; Esto se llama "unidad por malware". Con un sistema interno comprometido, se realiza una "escalada lateral", hasta que los atacantes toman el control de una computadora con acceso a la base de datos. Luego pueden extraer y exfiltrar los datos.

La razón por la que se utiliza esta ruta indirecta es que muchos sitios web son extremadamente difíciles de piratear directamente. Si la organización toma precauciones razonables, no habrá vulnerabilidades conocidas y se requeriría una "vulnerabilidad de día cero" para hackear directamente. En contraste, los entornos de TI de las oficinas generalmente están mal asegurados, por lo que esta es la ruta más fácil para los piratas informáticos.

La solución a esto es tener "estaciones de trabajo de acceso privilegiado" completamente separadas que estén "sin espacio" desde Internet. Esta ha sido una práctica estándar en las redes militares / de inteligencia clasificadas durante años, pero es poco frecuente en los sistemas comerciales. La violación indica que Yahoo no está haciendo eso. Si bien podría criticarlos por eso, solo son lo mismo que muchos colegas de la industria. Sin embargo, como un sitio web pequeño, puedes hacer las cosas de manera diferente. Asegúrese de que su sitio web esté protegido y use una computadora portátil separada para administrar su sitio. No hagas ninguna navegación desde esa computadora portátil.

He mantenido esta respuesta de alto nivel para que no se alargue. Para leer más, busque algunas de las frases que he incluido entre comillas.

    
respondido por el paj28 19.12.2016 - 11:16
fuente
7

Ser grande no equivale a estar mejor protegido

No asumas que debido a que son grandes y famosos, todo lo que hacen es mejor de lo que puedes hacer.

Nada ha cambiado: puedes asegurar tus sitios web pequeños de la misma forma que lo hiciste antes, quizás mejor, ya que puedes aprender de los errores de Yahoo. La actualización continua de su hash de contraseña, en lugar de usar md5, sería un buen comienzo.

A veces, ser grande también significa que se necesita mucho tiempo para actualizar las medidas de seguridad, no me sorprendería si los "hash de contraseña de actualización" hayan estado en la lista de tareas pendientes de muchos años.

    
respondido por el gburton 18.12.2016 - 19:05
fuente
2

Cada sitio web está en riesgo, los sitios web 100% seguros son un mito. Como ya se dijo aquí, una buena cosa es aprender de los errores de otros (no solo Yahoo) para poner mejores defensas. Lo que hizo Yahoo es terriblemente débil en términos de seguridad. Por ejemplo, los hashes MD5 ya en 2013 se sabía que eran inseguros. Entonces, lo que aprende es que debe estar al tanto de las mejores prácticas de seguridad y estar al tanto de las nuevas vulnerabilidades en las diferentes partes de su sitio web.

Otro aspecto para defenderte es saber quién es tu enemigo. En una de las declaraciones de Yahoo dicen que fueron atacantes de estados nacionales. Esta categoría de atacantes tiene mucho dinero. Y si tienes la cantidad correcta de dinero puedes romper todo. Pero probablemente ese no sea el tipo de atacante al que tengas que temer en tu pequeño sitio web. Los atacantes más probables son los niños de secuencias de comandos que están ahí para divertirse intentando piratear su sitio web. O cualquier otro atacante con un presupuesto limitado. ¡Pero no se equivoquen, pueden hacer mucho daño! Pero de todos modos, esta información le brinda una buena perspectiva para hacer concesiones de seguridad.

    
respondido por el John Opdenakker 19.12.2016 - 10:47
fuente
2
  1. ¿cómo podemos asegurar la información del usuario del sitio web de los piratas informáticos? Yahoo usa seguridad de nivel superior ...

No tengo detalles sobre esa operación, pero asumo que hubo fallas en alguna parte. Yahoo, al igual que otras grandes empresas, siempre debe equilibrar la seguridad, los costos y las expectativas de los clientes. ¿Usaría un sitio si le exigiera presentar un certificado válido? ¿O un sitio que pediría una tarifa alta para pagar a sus agentes de seguridad? Eso podría hacer cumplir la seguridad, pero también reducir la audiencia, lo que definitivamente es no lo que quieren esos sitios importantes.

  1. ¿Estamos todos en riesgo?

Sí. O al menos deberías asumir. O más exactamente, debe considerar las amenazas para su sitio, las posibles consecuencias y el costo de los procesos de mitigación. Puede ser que decida que nada más que lo que ya existe vale el costo, pero será consciente de ello.

  1. ¿Las soluciones de seguridad actuales no son suficientes para evitar un ataque?

Esa no es la pregunta correcta. Las mejores prácticas de seguridad deben obedecerse, y en la gran mayoría de los casos de piratería, uno de ellos (al menos) no lo era. Pero no pueden ser suficientes para cualquier amenaza, porque algunas amenazas dependen poco de la tecnología. Nunca olvides que el mundo real también existe

TL / DR: Para sitios pequeños , simplemente debe seguir las mejores prácticas de seguridad y debería ser suficiente. Las cosas se vuelven más complejas cuando aumenta la importancia de los datos porque la protección física llega a la escena.

    
respondido por el Serge Ballesta 19.12.2016 - 14:59
fuente

Lea otras preguntas en las etiquetas

Telnet y vpn - protegidos o no ¿Cómo está a salvo la "palabra de seguridad" del hombre en el ataque central?