Mon. Aug 26th, 2019

Esabnews.com

Only For You

हमने Google,स्लैक और फेसबुक को हैक करके क्या सीखा ?

एक कहावत है कि: कंपनियों के दो प्रकार हैं; जिन्हें हैक किया जा सकता, और जो सोचते हैं कि उन्हें हैक नहीं किया जा सकता है। सुरक्षा के दृष्टिकोण से इंटरनेट सुरक्छित नहीं रह गया है, यही वजह है कि आपके लिए यह पता लगाना महत्वपूर्ण है कि आपका व्यवसाय कितना कमजोर है,बेहतर यही होगा की आप ग्राहकों की रक्षा करने का एक सुरछित तरीका खोजें। कुछ कंपनियों ने पहले ही सुरक्षा के व्यवसाय मूल्य का एहसास कर लिया है, आंतरिक रूप से यह एक आदत बना देता है, और इसे ग्राहक अनुभव का एक अहम् हिस्सा बना देता है। अन्य कंपनियां वेब सुरक्षा के बारे में आम गलत धारणाओं से जुड़ी हुई हैं, जैसे कि मैं सुरक्षित हूं क्योंकि कोई भी हमें हैक नहीं कर सकता, हम सुरक्षित हैं क्योंकि हमारी वेब एजेंसी हमारे वेब विकास को संभालती है।वास्तविकता की जांच – जिन कंपनियों पर हमने सुरक्षा परीक्षण किए हैं उनमें से 92% से अधिक असुरक्षित हैं। और अगर फेसबुक, पेपैल, Google आदि जैसी कंपनियां असुरक्षित हैं – तो आप क्यों नहीं होंगे? हमने कई टेक दिग्गजों पर कानूनी तौर पर प्रदर्शन किए हैं, और हमारी प्रस्तुत कमजोरियों की रिपोर्ट पर उनकी प्रतिक्रियाओं से सीखने के लिए बहुत कुछ है।

Google – वाइट हैट-हैकर कम्युनिटी का उपयोग करें

हमने क्या किया: कुछ साल पहले, डिटेक्टिफाई के दो संस्थापक, फ्रेड्रिक अल्मर्थ और मैथियस कार्लसन, कंपनी के एक सर्वर में दुर्भावनापूर्ण XML अपलोड करके Google के उत्पादन सर्वर पर पढ़ने की सुविधा प्राप्त करने में कामयाब रहे। यह बाद में एक बड़ा XXE दोष बन गया (किसी भी गैर-तकनीकी पाठकों के लिए, आप बस समझते हैं कि यह बहुत बुरा है)। Google ने हमारी टीम के सदस्यों को एक धन्यवाद के रूप में $ 10.000 का इनाम दिया, जिससे हमारी टीम के सदस्यों की यूरोप की उसी गर्मियों में सड़क यात्रा को कवर किया गया।

आपको क्या सीखने की ज़रूरत है: Google को यह महसूस करने की जल्दी थी कि सब कुछ खुद करना असंभव है। उन्होंने एक जिम्मेदार प्रकटीकरण कार्यक्रम की स्थापना की, जिसने एथिकल हैकर्स को अपनी ओर से कमजोरियों की खोज करने, उन्हें रिपोर्ट करने और प्रत्येक रिपोर्ट की गई सुरक्षा भेद्यता के लिए कुछ धन प्राप्त करने की अनुमति दी। कई फ्रीलांस सुरक्षा शोधकर्ताओं को अवधारणा से आकर्षित किया गया था और इन वर्षों में बड़ी संख्या में हल किए गए सुरक्षा मुद्दों के परिणामस्वरूप।

यदि आप इसे स्वयं कार्यान्वित करना चुनते हैं, तो शुरू में प्रत्येक प्रस्तुत रिपोर्ट के लिए किसी भी मौद्रिक मुआवजे की पेशकश करने की कोई आवश्यकता नहीं है। चरण एक तरह से होगा जब सुरक्षा शोधकर्ता आपसे संपर्क कर सकें (उदाहरण के लिए सुरक्षा@example.com जैसे सुरक्षा ईमेल) से संपर्क करें और किसी को भेद्यता की सूचना देने पर सराहना करें। मदद करने के लिए प्रोत्साहन बढ़ाने के लिए, उन सभी के नामों के साथ एक सूची प्रकाशित करने पर विचार करें, जिन्होंने योगदान दिया है, एक तथाकथित “सुरक्षा हॉल ऑफ फ़ेम”।

Slack – run a bug bounty and fix critical issues immediately, even on a Friday

हमने क्या किया: डिटेक्टिव के सुरक्षा शोधकर्ताओं में से एक, फ्रैंस रोजेन, एक दुर्भावनापूर्ण पृष्ठ बनाने में सक्षम था जो अपने निजी स्लैक टोकन को चुराने के लिए उपयोगकर्ताओं के स्लैक वेबस्केट को अपने स्वयं के वेबसकेट में पुन: कनेक्ट कर सकता था। भेद्यता ने ब्लैक-हैकर्स को स्लैक खातों को संभालने और अभिलेखागार को पढ़ने की अनुमति दी होगी। स्लैक ने शुक्रवार को बग को 5 घंटे में तय किया और फ्राँस को 3,000 डॉलर इनाम के रूप में दिए। प्रभावशाली!

आपको क्या सीखने की जरूरत है: प्रस्तुत भेद्यता का समय सुरक्षा कार्य और पीआर सही किया गया एक आदर्श उदाहरण था। एक महत्वपूर्ण भेद्यता अनिवार्य रूप से एक पीआर तबाही की ओर ले जाती है। रिपोर्ट पर जल्दी से कार्य करके, स्लैक की टीम ने घटना को कुछ सकारात्मक में बदल दिया और मीडिया में उनके सुरक्षा कार्य की प्रशंसा की गई। भले ही सप्ताहांत निकट आ रहा था, उनकी त्वरित प्रतिक्रिया, अनुकरणीय और गठबंधन के साथ थी कि काली टोपी-समुदाय कैसे काम करता है – सुरक्षा सप्ताहांत के दौरान अभी भी खड़ा नहीं है …

अन्य टेकवे, जो स्लैक के CISO ज्योफ बेलाकैप ने स्पष्ट रूप से ट्विटर पर कहा है, एक बग बाउंटी चलाना है, और अपने उत्पाद को सुरक्षित करने के लिए दुनिया के सर्वश्रेष्ठ शोधकर्ताओं के कौशल का उपयोग करना है।

Leave a Reply

Your email address will not be published. Required fields are marked *