Jika kalian belum pernah mendengar wacana hack HBGary dan email yang bocor, kita sarankan browsing salah satu dari banyak artikel yang membahas problem ini semenjak kejadian di awal Februari.
Ini berfungsi sebagai kisah peringatan berpengaruh wacana apa yang sanggup terjadi dalam kasus di mana perusahaan keamanan gagal mengamankan jaringan mereka sendiri dengan baik.
Bahkan jikalau perusahaan kalian tidak menangani problem keamanan, ada banyak hal yang harus dipelajari wacana bagaimana melindungi situs atau jaringan dari serangan berbahaya serupa.
Mari kita jalani poin-poin kunci kegagalan dalam teladan ini selangkah demi selangkah.
Jangan berhemat pada keamanan situs web
Target pertama dari kelompok hacker ialah situs HBGary Federal, di mana mereka sanggup memakai SQL injeksi sederhana untuk mengamankan kanal ke basis data situs.
Ini memberi mereka kanal ke nama pengguna, alamat email dan password "hashed" (kata sandi dienkripsi dengan fungsi hash untuk menghentikan kanal yang tidak sah).
Ini akan dilarang dengan menjalankan CMS komersial yang solid dan up-to-date atau dengan menguji sistem pengelolaan konten khusus untuk kerentanan SQL injeksi .
Jenis eksploitasi ini sering dipakai dalam komunitas hacker dan hampir tidak mempunyai kemampuan untuk memanfaatkannya, sehingga masing-masing dan setiap seorang andal keamanan harus menyadarinya.
Buat password yang sulit
Terlepas dari kenyataan bahwa kata kunci telah dienkripsi di database, ada metode terkenal di luar sana untuk membantu peretas mencoba menemukan kata kunci yang sempurna menurut data hashed.
Jenis alat ini pra-menghitung ribuan dan kemungkinan password sanggup direferensikan silang untuk urutan hash yang dihasilkan.
Untuk alasan pragmatis mereka hanya akan menyimpan info wacana subset terbatas dari kata kunci potensial, contohnya hanya kata kunci dari 1-8 karakter dengan karakter kecil selain angka atau kata kunci dari 1-12 karakter dalam karakter besar.
Dua orang di HBGary (CEO dan COO) memakai kata kunci yang hanya mempunyai delapan karakter dengan 6 karakter kecil dan 2 angka, yang berarti mereka rentan terhadap serangan spesifik ini.
Memilih untuk memakai kata sandi yang kompleks dengan adonan karakter besar, karakter kecil, dan karakter ibarat % secara efektif menghilangkan ancaman jenis alat yang dipakai untuk menebak kata sandi kalian.
Buat password yang berbeda
Mengambil kata sandi pengguna untuk mengedit situs web ialah hal buruk, namun tidak berakhir dengan berakhirnya perusahaan keamanan.
Sayangnya untuk HBGary, kedua kata kunci yang dikompromikan tersebut dipakai kembali di banyak tempat, termasuk situs jejaring sosial dan manajemen email.
Mungkin sangat menarik hati untuk memakai kembali kata kunci - yang sangat rumit - namun kenyataan sederhana ialah bahwa memakai kembali kata sandi telah menjadi salah satu problem keamanan yang paling umum ketika ini.
Jika kalian menentukan kata kunci yang sama persis di email dan situs humor kecil, dan database situs web itu dikompromikan, mungkin seseorang memakai kata kunci tersebut untuk mendapat kanal ke akun email kalian dan kemungkinan besar lebih banyak lagi.
Jaga biar perangkat lunak tetap up-to-date
Beberapa problem dengan keamanan situs web ini akan diselesaikan dengan memakai pembaruan keamanan yang tepat.
Setiap kali kerentanan diidentifikasi dalam perangkat lunak, pengembang bekerja untuk menutup celah dan lalu mengirimkan tambalan untuk memperbaiki masalah.
Pengguna yang menginstal patch semacam ini tidak akan sering melihat sistem mereka terganggu, alasannya ialah calon penyerang mempunyai jendela peluang yang jauh lebih pendek untuk bertindak menurut eksploitasi baru.
Kemungkinannya cukup elok bahwa jikalau kalian pernah mempelajari praktik keamanan yang sesuai, kalian sudah tahu sebagian besar dari ini.
Ketika bahkan bisnis keamanan gagal mematuhi saran dasar ini, akan sangat baik jikalau meluangkan waktu sejenak untuk mengecek keamanan sendiri alasannya ialah kesalahan kesalahan yang mungkin terjadi.
Dua orang di HBGary (CEO dan COO) memakai kata kunci yang hanya mempunyai delapan karakter dengan 6 karakter kecil dan 2 angka, yang berarti mereka rentan terhadap serangan spesifik ini.
Memilih untuk memakai kata sandi yang kompleks dengan adonan karakter besar, karakter kecil, dan karakter ibarat % secara efektif menghilangkan ancaman jenis alat yang dipakai untuk menebak kata sandi kalian.
Buat password yang berbeda
Mengambil kata sandi pengguna untuk mengedit situs web ialah hal buruk, namun tidak berakhir dengan berakhirnya perusahaan keamanan.
Sayangnya untuk HBGary, kedua kata kunci yang dikompromikan tersebut dipakai kembali di banyak tempat, termasuk situs jejaring sosial dan manajemen email.
Mungkin sangat menarik hati untuk memakai kembali kata kunci - yang sangat rumit - namun kenyataan sederhana ialah bahwa memakai kembali kata sandi telah menjadi salah satu problem keamanan yang paling umum ketika ini.
Jika kalian menentukan kata kunci yang sama persis di email dan situs humor kecil, dan database situs web itu dikompromikan, mungkin seseorang memakai kata kunci tersebut untuk mendapat kanal ke akun email kalian dan kemungkinan besar lebih banyak lagi.
Jaga biar perangkat lunak tetap up-to-date
Beberapa problem dengan keamanan situs web ini akan diselesaikan dengan memakai pembaruan keamanan yang tepat.
Setiap kali kerentanan diidentifikasi dalam perangkat lunak, pengembang bekerja untuk menutup celah dan lalu mengirimkan tambalan untuk memperbaiki masalah.
Pengguna yang menginstal patch semacam ini tidak akan sering melihat sistem mereka terganggu, alasannya ialah calon penyerang mempunyai jendela peluang yang jauh lebih pendek untuk bertindak menurut eksploitasi baru.
Kemungkinannya cukup elok bahwa jikalau kalian pernah mempelajari praktik keamanan yang sesuai, kalian sudah tahu sebagian besar dari ini.
Ketika bahkan bisnis keamanan gagal mematuhi saran dasar ini, akan sangat baik jikalau meluangkan waktu sejenak untuk mengecek keamanan sendiri alasannya ialah kesalahan kesalahan yang mungkin terjadi.
