Jika kalian belum pernah mendengar perihal hack HBGary dan email yang bocor, kita sarankan browsing salah satu dari banyak artikel yang membahas duduk kasus ini semenjak insiden di awal Februari.
Ini berfungsi sebagai kisah peringatan berpengaruh perihal apa yang sanggup terjadi dalam masalah di mana perusahaan keamanan gagal mengamankan jaringan mereka sendiri dengan baik.
Bahkan kalau perusahaan kalian tidak menangani duduk kasus keamanan, ada banyak hal yang harus dipelajari perihal bagaimana melindungi situs atau jaringan dari serangan berbahaya serupa.
Mari kita jalani poin-poin kunci kegagalan dalam pola ini selangkah demi selangkah.
Jangan berhemat pada keamanan situs web
Target pertama dari kelompok hacker ialah situs HBGary Federal, di mana mereka sanggup memakai SQL injeksi sederhana untuk mengamankan susukan ke basis data situs.
Ini memberi mereka susukan ke nama pengguna, alamat email dan password "hashed" (kata sandi dienkripsi dengan fungsi hash untuk menghentikan susukan yang tidak sah).
Ini akan dilarang dengan menjalankan CMS komersial yang solid dan up-to-date atau dengan menguji sistem pengelolaan konten khusus untuk kerentanan SQL injeksi .
Jenis eksploitasi ini sering dipakai dalam komunitas hacker dan hampir tidak mempunyai kemampuan untuk memanfaatkannya, sehingga masing-masing dan setiap seorang hebat keamanan harus menyadarinya.
Buat password yang sulit
Terlepas dari kenyataan bahwa kata kunci telah dienkripsi di database, ada metode terkenal di luar sana untuk membantu peretas mencoba menemukan kata kunci yang sempurna menurut data hashed.
Jenis alat ini pra-menghitung ribuan dan kemungkinan password sanggup direferensikan silang untuk urutan hash yang dihasilkan.
Untuk alasan pragmatis mereka hanya akan menyimpan isu perihal subset terbatas dari kata kunci potensial, contohnya hanya kata kunci dari 1-8 karakter dengan abjad kecil selain angka atau kata kunci dari 1-12 abjad dalam abjad besar.
Dua orang di HBGary (CEO dan COO) memakai kata kunci yang hanya mempunyai delapan karakter dengan 6 abjad kecil dan 2 angka, yang berarti mereka rentan terhadap serangan spesifik ini.
Memilih untuk memakai kata sandi yang kompleks dengan adonan abjad besar, abjad kecil, dan karakter menyerupai % secara efektif menghilangkan ancaman jenis alat yang dipakai untuk menebak kata sandi kalian.
Buat password yang berbeda
Mengambil kata sandi pengguna untuk mengedit situs web ialah hal buruk, namun tidak berakhir dengan berakhirnya perusahaan keamanan.
Sayangnya untuk HBGary, kedua kata kunci yang dikompromikan tersebut dipakai kembali di banyak tempat, termasuk situs jejaring sosial dan manajemen email.
Mungkin sangat menarik hati untuk memakai kembali kata kunci - yang sangat rumit - namun kenyataan sederhana ialah bahwa memakai kembali kata sandi telah menjadi salah satu duduk kasus keamanan yang paling umum ketika ini.
Jika kalian menentukan kata kunci yang sama persis di email dan situs humor kecil, dan database situs web itu dikompromikan, mungkin seseorang memakai kata kunci tersebut untuk mendapat susukan ke akun email kalian dan kemungkinan besar lebih banyak lagi.
Jaga supaya perangkat lunak tetap up-to-date
Beberapa duduk kasus dengan keamanan situs web ini akan diselesaikan dengan memakai pembaruan keamanan yang tepat.
Setiap kali kerentanan diidentifikasi dalam perangkat lunak, pengembang bekerja untuk menutup celah dan lalu mengirimkan tambalan untuk memperbaiki masalah.
Pengguna yang menginstal patch semacam ini tidak akan sering melihat sistem mereka terganggu, alasannya ialah calon penyerang mempunyai jendela peluang yang jauh lebih pendek untuk bertindak menurut eksploitasi baru.
Kemungkinannya cukup manis bahwa kalau kalian pernah mempelajari praktik keamanan yang sesuai, kalian sudah tahu sebagian besar dari ini.
Ketika bahkan bisnis keamanan gagal mematuhi saran dasar ini, akan sangat baik kalau meluangkan waktu sejenak untuk mengecek keamanan sendiri alasannya ialah kesalahan kesalahan yang mungkin terjadi.
