Το hacking έγινε πάλι της μόδας…

Όσοι παρακολουθούν τα τεχνολογικά νέα τον τελευταίο καιρό θα έχουν παρατηρήσει ότι σχεδόν κάθε βδομάδα κάποιο site της Sony πέφτει θύμα κάποιων hackers. Αυτό που προκαλεί ακόμη μεγαλύτερη απορία είναι πως μια εταιρία κολοσσός σαν την Sony την έχει “πατήσει” έτσι!

Η αρχή έγινε με το PlayStation Network, το οποίο είναι το on-line store για την παιχνιδομηχανή PlayStation, το οποίο οι hackers όχι απλά έβγαλαν εκτός λειτουργίας, αλλά κατάφεραν να υποκλέψουν τα προσωπικά στοιχεία εκατομμυρίων χρηστών ανά τον κόσμο.

Προσωπικά στοιχεία που περιλαμβάνουν usernames,e-mails,passwords, credit card numbers κ.α.

Σειρά είχε το site της SonyBMG στην Ελλάδα, το site της Sony Ericsson στον Καναδά και ακόμη πιο πρόσφατα το site της SonyPictures στην Αμερική. Ειδικά από το τελευταίο λέγεται ότι έχουν διαρρεύσει τα πλήρη προσωπικά στοιχεία πάνω από 1.000.000 εκατομμυρίων χρηστών!

Το τραγικό της υπόθεσης είναι ότι σε σχεδόν όλες αυτές τις επιθέσεις δεν έγινε χρήση κάποιων πολύ εξελιγμένων και “περίεργων” τεχνικών για hacking. Τα περισσότερα ήταν ευάλωτα σε απλά SQL injections (1, 2)! Αυτό δείχνει ότι ο μόνος υπεύθυνος για αυτή την καταστροφή είναι η ίδια η Sony που έχει τα συστήματα της τόσο απροστάτευτα. Πόσο μάλλον αν συνυπολογίσουμε ότι σχεδον όλα τα δεδομένα τα οποία κλάπηκαν ήταν και unencrypted!

Η αλήθεια είναι ότι όποιος έχει έστω και κάποιες βασικές τεχνολογικές γνώσεις που αφορούν την ασφάλεια στα δίκτυα και τους Η/Υ, ξέρει ότι ποτέ κανένα σύστημα δεν μπορεί να είναι 100% ασφαλές από όλες τις απειλές που μπορεί να δεχτεί. Άλλα συστήματα είναι πιο ασφαλή από άλλα ενώ υπάρχουν πολλές τεχνικές για το πως μπορούν, τουλάχιστον τα κρίσιμα δεδομένα να παραμείνουν κρυφά έστω και αν πέσουν στα χέρια κάποιου επιτήδειου.

Σε κάθε περίπτωση η καλύτερη επιλογή που έχει κάθε εταιρία για να προστατεύσει την ίδια, αλλά και τους πελάτες της είναι η πρόληψη. Η θωράκιση των συστημάτων με όλους τους γνωστούς τρόπους ασφαλείας και η διακίνηση όλων των ευαίσθητων δεδομένων σε κρυπτογραφημένη μορφή θα πρέπει να θεωρούνται δεδομένα.

Γίνεται πλέον κατανοητό ότι η επένδυση στην ασφάλεια των δεδομένων δεν είναι αυτό που λέμε “πεταγμένα λεφτά”. Το αντίθετο μάλιστα. Το σωστό testing των συστημάτων, τόσο σε επίπεδο stress/functional testing όσο και σε security testing είναι κάτι που μπορεί να σώσει ζωές και θέσεις εργασίας…

Είναι πολύ σημαντικό λοιπόν να ελεγχθεί το σύστημα μας πως ανταποκρίνεται απέναντι στις πιο συνηθισμένες και γνωστές απειλές και να μελετηθεί εξ ολοκλήρου στην δομή του από ειδικά εργαλεία, που σκοπό έχουν να ανακαλύψουν “τρύπες” σε αυτό και να βοηθήσουν τους developers να τις “μπαλώσουν”.

2 Comments

  1. Andreas Panagiotopoulos

    26/04/2012 at 08:38

    Πιο εργαλείο stress testing και security testing προτείνεται;

    Υπάρχει κάποιο που προτιμάτε και χρησιμοποιείτε;

  2. Angelos Astrinidis

    26/04/2012 at 08:45

    Για το Security testing προτείνουμε το HP WebInspect. Το έχουμε χρησιμοποιήσει σε διάφορες περιπτώσεις σε πελάτες μας και έχει πολύ μεγάλο πλούτο πληροφόρισης. Σχετικά με το Stress test, αν και υπάρχουν αρκετά freeware, το LoadRunner είναι μακράν το κορυφαίο εργαλείο για load και stress testing. Υποστηρίζει σχεδόν όλες τις πλατφόρμες. Αν θέλετε περισσότερες πληροφορίες στείλτε ένα Mail στο info@iteam.gr.

    Καλή συνέχεια!

Σχολιάστε