أساسيات الأمان لمطوري الموقع والمسؤولين

من بين جميع المواضيع التقنية ، قد يكون الأمن هو الأكثر تعقيدا ، والأكثر أهمية بالتأكيد. هذا لأن الأمان يتطور دائمًا. إنه تطور قسري ، حيث يجب علينا التكيف مع التهديدات الناشئة باستمرار.

هناك مستويات مختلفة من الأمن سنتحمل المسؤولية عنها. المستوى الأول هو أنفسنا أو المنظمة التي نعمل من أجلها. المستوى الثاني هو عملائنا. والمستوى الثالث هو مستخدمي المواقع الإلكترونية أو التطبيقات التي نطورها لعملائنا.

على الرغم من الجهود التي نبذلها ، سيجد العملاء دومًا وسائل لتقويض الحماية التي نقدمها لهم. فهم يعتمدون علينا كمتخصصين في تكنولوجيا المعلومات لمساعدتهم على البقاء في أمان ، ولكن من المفارقات أيضًا نادرا ما تتبع نصيحة السلامة نحن نقدم لهم. معظم المستخدمين حقا أسوأ أعداءهم.

ما يتعين علينا القيام به ، هو جعل الأمر صعبًا قدر المستطاع بالنسبة للعملاء لتقويض أمنهم ، مع جعل الأمر سهلاً قدر الإمكان بالنسبة لهم للقيام بالمهام التي يحتاجون إليها. قد يكون من المستحيل تحقيق كلا الهدفين إلى الكمال ، ولكن في هذه المقالة سنغطي بعض الأشياء التي يمكنك القيام بها لخفض مخاطر حدوث خرق أمني.

gif بواسطة Patswerk

حماية أجهزتك وبياناتك الخاصة

أنت خط الدفاع الأول لنفسك ولعملائك. إذا تم اختراق أنظمتك ، فإن كل شخص تعمل به قد يكون في خطر. فيما يلي بعض التوصيات للحد الأدنى الذي يمكنك القيام به لتجنب العمل في بيئة مخاطر متزايدة:

  1. استخدم نظام تشغيل مكتبي آمن. هذه هي الترقية الأساسية الوحيدة التي يمكنك إجراؤها ، إذا كنت لا تستخدم نظام تشغيل آمن بالفعل. أنظمة التشغيل الأكثر أمانًا هي Linux و Unix و BSD. يجب أن تستخدم أحد أنظمة التشغيل هذه كنظام تشغيل سطح المكتب الأساسي.
    المكافأة للمطورين والمشرفين على حد سواء يمكنك الوصول إلى مكتبة أكبر بكثير من أدوات التطوير والأمان المجانية ، ومعظمها يعمل بشكل أفضل من Windows أو OSX. لتشغيل حقا في وضع بجنون العظمة ، واختيار توزيعات لينكس أكثر أمنا مثل ببغاء, Qubesو الذيول.
  2. الحفاظ على الفصل بين نظام التشغيل والبيانات الخاصة بك. إذا كنت تقوم بتشغيل Linux أو Unix ، فهذا أمر سهل. تأكد من أنك قمت بإنشاء قسم أو قرص ثابت مستقل لاستضافة قسم المنزل الخاص بك. بعد ذلك ، ستنجو جميع ملفات المستخدم من أي عدد من عمليات تثبيت نظام التشغيل ، ويمكن الوصول إليها كمكافأة من أنظمة تشغيل متعددة في أنظمة متعددة الإقلاع.
  3. استخدم نظام ملفات دفتر اليومية للمساعدة على منع فقدان البيانات في حالة تعطل النظام أو توقفه بشكل غير متوقع.
  4. مرآة التقسيم المنزلي الخاص بك. قم بإجراء نسخ احتياطي منتظم للملفات الهامة واستخدام إصدارات الملف لتجنب الكتابة فوق غير المقصودة.
  5. فكر في استخدام النسخ الاحتياطي السحابي (يجب عدم الخلط بينه وبين المزامنة السحابية ، التي لا تقترب من أي مكان آمن أو آمن كنسخة احتياطية حقيقية). يجب تشفير البيانات الحساسة قبل تحميلها.
  6. حافظ على تحديث النظام باستمرار ، مع عدم تجاهل البقع الأمنية مطلقًا. تتميز الأنظمة التي تستخدم التحديثات الدورية بميزة ستعرفها دائمًا عند توفر التصحيحات ، وما يحتاج إلى الترقيع ، ولماذا.
  7. تدريب الأشخاص داخل مؤسستك على الانتباه إلى أساليب الهندسة الاجتماعية التي يمكن استخدامها ضدهم للوصول إلى أنظمتك.
  8. تجنب تشغيل البرامج من مصادر لم يتم التحقق منها. عند تنزيل البرامج من مصادر موثوقة ، تحقق من توقيعات الملفات للتأكد من امتلاكك لنسخة أصلية.
  9. الحفاظ على الأمان المادي لأجهزة الكمبيوتر الخاصة بك ، وخاصة عند السفر. قد لا يكون حمل الكمبيوتر المحمول في كل مكان عمليًا ، ولكنه أفضل من تركه خادمة الشر فاسد BIOS الخاص بك. إذا لم يكن حقًا خيارًا لحمل الكمبيوتر ، فقم بحفظه في حالة قابلة للقفل وتأمين تلك الحالة في خزنة أو بخلاف ذلك.
  10. تذكر دائما أنه من الأفضل أن تكون بجنون العظمة من أن تكون أحمق الذي تم اختراقه.

التوضيح من قبل نقاط الوهمية الإبداعية

حماية العملاء

إن الحفاظ على سلامة العملاء من تهديدات تكنولوجيا المعلومات أمر صعب ، لأنهم لا يفهمون جميعًا حجم التهديد الذي يواجهونه. سيكون لدى الكثيرون أيضًا وجهة نظر مفادها أنه إذا تم اختراق موقعهم ، فستكون مشكلتك هي حل المشكلة وليس تصنيفها.

وقد تم استغلال العديد من المواقع لسنوات دون أن يكون مالكو الموقع على دراية بها ، لأن معظم الهجمات الخبيثة ضد المواقع ليس من المفترض أن تجعل وجودهم معروفًا. لذلك لا يمكنك الاعتماد على العملاء لإبلاغك بالمشاكل. ستحتاج إلى اتباع نهج استباقي.

  1. حاول تثقيف عملائك حول المخاطر. أكثر من المشكلة يرجع إلى الجهل بأن هناك أي خطر أن تكون حذرة ضد.
  2. أبلغ عملاء الشركات أن أكبر خطر سيواجهونه هو التهديدات الداخلية تم إنشاؤها بواسطة موظفيها ومقاوليها (غالبًا ما تكون غير متعمدة ، ولكن ليس دائمًا كذلك). تأكد أيضًا من أنهم على دراية بمشاكل مثل الهندسة الاجتماعية ، وتصفح الكتفين ، والغوص في القمامة.
  3. الحفاظ على خوادم مصححة. إجراء نسخ احتياطية منتظمة.
  4. قم بالبحث عن أدلة عن استغلال الباب الخلفي أو أي نشاط ضار آخر. سيساعد تصميم بنية الملف والمجلد للموقع على أن يكون بسيطًا قدر الإمكان على تسهيل عملية الكشف. معرفة الملفات التي يجب أن تكون في كل مجلد. إذا رأيت ملفات جديدة غير مألوفة أو يبدو أنها تحتوي على أسماء مولدة للكمبيوتر ، فهذا هو العلم الأحمر الخطير.
  5. تعرف على الملفات التي يجب أن تكون في مجلد cgi-bin (لمعظم المواقع ، التي لن تكون ملفات) ، لأن هذا هو المكان المفضل لتخريب البرامج الخبيثة.
  6. تحقق بشكل دوري من ملف htaccess للتأكد من أنه لم يتم العبث به.
  7. من غير المحتمل أن تستخدم الشفرة التي تكتبها استخدامًا مكثفًا لسلاسل التشفير وفك التشفير أو أن تحتوي على محتوى مشفّر بشكل كبير. إذا كانت ملفات PHP تحتوي على تعليمات برمجية غير معتادة ، فمن غير المحتمل أن تكون هذه الملفات مشروعة. تعليمات ترميز الأحرف غير المعتادة هي أيضا الهبات. من غير المحتمل أن يتم ترميز ملفاتك المشروعة في ترميز Windows-1251 ، على سبيل المثال.
  8. بعد تأكيد الخرق ، قم بتغيير كلمات المرور الخاصة بك. يتم تعيين أذونات ملف التحقق بشكل صحيح لكافة الملفات والمجلدات. علامات مراقب عاد الدخيل. حتى بعد تغيير كلمة المرور الخاصة بك ، قد يكون لدى المهاجمين طريقة. يجب أن تتأكد من أنهم لا يفعلون ذلك. تعيين الخادم الخاص بك لإعلامك عن طريق البريد الإلكتروني عند إجراء أية تغييرات على الخادم.
  9. ساعد المستخدمين على اختيار كلمات المرور بشكل مناسب من خلال شرح القواعد لهم بطريقة يفهمونها. هذه هي الطريقة التي يحب بها معظم الأشخاص تعيين كلمات المرور الخاصة بهم: jenny23 هذه هي الطريقة التي ينصح بها مسؤولو النظام عادةً بتعيين كلمات المرور الخاصة بهم: n @ ^ 2z`jGAnd - المشكلة هي أن كلمة المرور الأولى يمكن اختراقها في ثوانٍ ، بينما يمكن تشقق كلمة المرور الثانية في بضع ساعات. أيضا لا يوجد أمل على الإطلاق أن يتذكر المستخدم كلمة المرور الأكثر تعقيدًا. في ما يلي مثال لكلمة مرور من شأنها أن تستغرق عدة أضعاف للتصدع ولا يمكن نسيانها أبدًا: Ialwaysfly @ 40,000feet - تشمل خصائص كلمة المرور أعلاه: Over 20 characters in length، mix of upper and smallcase characters، includes both numbers and letters، includes أحرف غير أبجدية رقمية ، لا تنسى بسهولة. مثال مشابه قد يكون:

    asImove ^ inlife، Iwillnever4getwhereIstarted لا يوجد حد حقيقي لكيفية الإبداع التي يمكنك الحصول عليها بكلمات المرور ، وهناك ميزة أكثر

    asImove ^ inlife، Iwillnever4getwhereIstarted compared to n @ ^ 2z`jG. المثال الأول (أحرف مختلطة 41) سيستغرق حتى نهاية الوقت للتصدع ويسهل تذكره ، في حين يمكن كسر المثال الثاني (أحرف مختلطة 8) في أقل من ست ساعات ويكاد يكون من المستحيل تذكره. لا أعتقد أنه يمكنك فقط تجميع الكلمات معًا وسيكون كل شيء على ما يرام ، لأن المتسللين هم على ذلك. ما زلت بحاجة إلى خلط الحالات واستخدام الأحرف غير الأبجدية الرقمية ، ولكن بالتأكيد الطول أكثر أهمية من التعقيد كما الأمور الآن. الجمع بين كليهما يمنحك ميزة على أولئك الذين يستخدمون واحدًا أو آخرًا.

    تركز معظم الهجمات المستندة إلى القاموس على اللغة الإنجليزية لأنها اللغة الأكثر استخدامًا على نطاق واسع ومعظم المواقع الأفضل لاستهدافها (من حيث قيمة ما يمكن أن يحققه) هي المواقع التي يديرها الأشخاص الذين يتحدثون الإنجليزية. إذا كنت تعرف لغة أخرى ، فاستخدمها عند إنشاء كلمات المرور الخاصة بك.

    ممتازة مثل

    asImove ^ inlife، Iwillnever4getwhereIstarted is، it's still as perfect as aMedidaQue ^ enLaVida، nuncaolivdarededondecomence لأن هذا يضيف طبقة أخرى من التعقيد ، مما يجبر التكسير على اللجوء إلى القوة الغاشمة. قد يكون تعلم لغة أخرى فقط لإنشاء كلمات مرور أفضل قليلاً ، لذا فإن الشيء الآخر الذي يمكنك فعله هو أن تصبح (أو تبقى) سيئاً للغاية في اللغة الإنجليزية عند تصميم عبارة المرور. فمثلا:

    asImoov ^ inlyfIwillnevar4getwhereIstarted

    في نهاية المطاف ، يمكنك استخدام كلمات لغة أجنبية سيئة للغاية واستبدال جميع حروف العلة بأحرف Leet المتحركة:

    4M3d1d4Qu3^3nL4V1d3,nunc40l1vd4r3d3dond3c0m3nc3

    لا أعرف عنك ، لكنني لن أملك الصبر لكتابة ذلك. ومع ذلك ، فهي كلمة مرور آمنة للغاية ، وتجبر المتطفلين على القيام بالكثير من العمل المجنون (على أمل أن تكتشف أن كل ما قاموا بالوصول إليه هو مجموعة من صور القطط)

  10. تأكد من فهم العملاء للأخطار الكامنة في إرسال معلومات حساسة عن طريق البريد الإلكتروني ، أو Skype ، إلخ.

gif بواسطة هوانغ نجوين

ملاحظة خاصة للمطورين

إن تحولاً ثقافياً سريعاً وسهلاً للمطورين من أجل تبني ذلك من شأنه أن يمنع حدوث خروقات أمنية لا تعد ولا تحصى في كل عام هو ببساطة تقليل سلسلة التبعية الخارجية لمواقعهم. نحن نرتبط بلا داعٍ مع البرامج النصية المستضافة الخاصة بطرف ثالث. العديد من هذه النصوص قد يكون لها اعتماديات خارجية خاصة بها. كل ذلك من أجل إنقاذ عدد قليل من البايت.

كلما كان ذلك ممكنًا ، يجب أن نحاول استضافة كل نصوصنا بأنفسنا. برنامج نصي مستضاف من قبل طرف ثالث هو هدف مغري لأحد المهاجمين ، لأنه من خلال السيطرة على النص البرمجي ، من الممكن تشغيل عمليات الاستغلال على الآلاف من أجهزة الكمبيوتر.

ملاحظات ختامية

إن أمن الحاسوب هو تحد لا نهاية له ، وهناك الكثير من المال الذي يجب بذله على جانبي التحدي. الرهانات عالية جداً ، ولا أحد آمن تماماً ، حتى أولئك الذين يعتقدون أنه ليس لديهم ما يخفونه. الفوز هو في الغالب مسألة استخدام الحس السليم والبقاء في حالة تأهب ، وعدم السماح أبداً لنفسك بالرضا.

رأس الصورة مجاملة من جوش وارن

بوجدان رانسيا

بوجدان هو أحد الأعضاء المؤسسين لشركة Inspired Mag ، حيث اكتسب خبرة تقرب من سنوات 6 خلال هذه الفترة. يحب في وقت فراغه دراسة الموسيقى الكلاسيكية واستكشاف الفنون البصرية. انه مهووس جدا مع إصلاحات كذلك. يمتلك 5 بالفعل.