TM_267

6 19|4|2023 #267 Οι εγκληματίες του κυβερνοχώρου συνε- χίζουν να αναπτύσσουν νέες μεθόδους για να εκμεταλλεύονται τα τρωτά σημεία των εφαρμογών των κινητών συσκευών. Χρη- σιμοποιούν «επιφάνειες επίθεσης» (attack surfaces), όπως διαπιστευτήρια χρήστη, ακεραιότητα και ευπάθειες του API, για να εξαγάγουν εμπιστευτικές πληροφορί- ες που μπορούν να αξιοποιήσουν για να διεισδύσουν στη συσκευή σας. Παρακάτω αναλύονται ορισμένοι τρόποι προστασίας από τις ανεπιθύμητες επιθέσεις: Αποτρέψτε την ανασφαλή επικοινω- νία: Εγκρίνετε ασφαλείς συνδέσεις μόνο μετά τον έλεγχο ταυτότητας του αιτήμα- τος διακομιστή. Για τον έλεγχο ταυτότη- τας των χρηστών, εφαρμόστε πρωτό- κολλα Secure Sockets Layer/Transport Layer Security (SSL/TLS) στα κανάλια με- ταφοράς της εφαρμογής που σαρώνουν ευαίσθητα δεδομένα, όπως διαπιστευ- τήρια και διακριτικά. Θα πρέπει, επίσης, να εμπιστεύεστε εγκεκριμένα πιστοποι- ητικά, υπογεγραμμένα από αξιόπιστους παρόχους για να αποφύγετε τα πλαστά πιστοποιητικά. Επικύρωση πληροφοριών εισόδου: Η επικύρωση εισόδου ελέγχει εάν τα διαπι- στευτήρια και οι πληροφορίες σύνδεσης έχουν δομηθεί κατάλληλα, ώστε να απο- τρέπεται η πρόσβαση επιβλαβούς κώ- δικα στην εφαρμογή σας. Η επικύρωση πραγματοποιείται πριν την αποδοχή των προσωπικών στοιχείων του χρήστη από την εφαρμογή. Αυτή η διαδικασία προ- στατεύει την εφαρμογή από εισβολείς που εισαγάγουν επιζήμιο κώδικα στην εφαρμογή σας. Η επικύρωση εισόδου θα πρέπει, επιπλέον, να ισχύει για τρίτους προμηθευτές και συνεργάτες, καθώς οι εισβολείς μπορεί να προσπαθήσουν να χακάρουν την εφαρμογή σας, προσποι- ούμενοι ότι είναι ο πάροχος υπηρεσιών σας ή ένας αξιόπιστος ρυθμιστής. Ασφαλίστε τον χώρο αποθήκευσης της εφαρμογής σας: Η αποθήκευση δε- δομένων της εφαρμογής σας είναι άλλος ένας στόχος για τους εισβολείς. Τα τρωτά σημεία εμφανίζονται σε χώρους αποθή- κευσης, όπως βάσεις δεδομένων SQL, cookies, αρχεία διαμόρφωσης και δυα- δικές αποθήκες δεδομένων. Επιπλέον, οι επικίνδυνοι παράγοντες «προσπερνούν» τα χαρακτηριστικά ασφαλείας που δεν εφαρμόζονται καλά, παρακάμπτοντας τις βιβλιοθήκες κρυπτογράφησης. Ένας ακόμη κοινός στόχος για τους επιτιθέμε- νους είναι οι συσκευές που έχουν υπο- στεί “jail-break” και υπονομεύουν την ενσωματωμένη ασφάλεια του gadget, διευκολύνοντας, έτσι, τους hackers να αποκτήσουν πρόσβαση. Για να προστατεύσετε τις αποθήκες δε- δομένων σας από εισβολείς, κρυπτο- γραφήστε τοπικά αρχεία που περιέχουν ευαίσθητες πληροφορίες χρησιμοποιώ- ντας τη βιβλιοθήκη ασφαλείας της συ- σκευής σας. Μπορείτε, επίσης, να μειώ- σετε τον αριθμό των αιτημάτων και των αδειών εφαρμογών για να αποτρέψετε την πρόσβαση των εφαρμογών. Ασφαλίστε τον κώδικά σας: Εφαρ- μόστε πρακτικές ασφαλούς κωδικο- ποίησης και χρησιμοποιήστε εργαλεία ανάλυσης κατάστασης, για να ελέγξετε την ασφάλεια της εργασίας σας κατά τη διαδικασία ανάπτυξης. Τέλος, μόλις ο κώδικάς σας είναι έτοιμος για ανάπτυ- ξη, μην ξεχάσετε να εφαρμόσετε ένα obfuscation tool. Εφαρμόστε κατάλληλες πρακτικές ελέγχου ταυτοποίησης και εξουσιοδό- τησης: Ελέγχετε πάντα τα αιτήματα του διακομιστή. Ο έλεγχος ταυτοποίησης αποτρέπει τη φόρτωση εσφαλμένων και επιβλαβών δεδομένων στην εφαρμογή. Χρησιμοποιήστε κρυπτογράφηση για να προστατεύσετε με ασφάλεια τα δεδομέ- να τόσο του πελάτη όσο και τα δικά σας, ειδικά εάν η εφαρμογή απαιτεί πρόσβα- ση στον χώρο αποθήκευσης του πελάτη. Επαληθεύστε πάντα τα δικαιώματα των ελεγμένων χρηστών, χρησιμοποιώντας μόνο δεδομένα υποστήριξης. Η επαλή- θευση εμποδίζει τους εισβολείς να χρησι- μοποιήσουν διαπιστευτήρια παρόμοιας εμφάνισης για να αποκτήσουν πρόσβα- ση στις πληροφορίες υποστήριξης και στα APIs σας. Χρησιμοποιήστε, ακόμη, έλεγχο ταυτοποίηση δύο παραγόντων για να επικυρώσετε τα διαπιστευτήρια και την ταυτότητα ενός χρήστη. Αποτρέψτε την «αντίστροφη μη- χανική» (reverse engineering) από hackers: Περιορίστε τις δυνατότητες του πελάτη και διατηρήστε το μεγαλύτερο μέρος της λειτουργικότητας της εφαρ- μογής στην πλευρά του διακομιστή. Μειώστε, δηλαδή, τη λειτουργικότητα του χρήστη και τα δικαιώματα από την πλευρά του πελάτη για να αποτρέψετε τους hackers να αποκτήσουν πρόσβαση στη βάση κωδικών σας. Τα «κλειδιά» API αποτελούν κίνδυνο ασφαλείας από μόνα τους και είναι δύσκολο να «κρυφτούν» σε μια εφαρμογή για κινητά. Επομένως, χρειάζεται να προστατεύσετε την πα- ράνομη χρήση τους διασφαλίζοντας ότι απαιτείται ένας δεύτερος, ανεξάρτητος παράγοντας από τον διακομιστή υπο- στήριξης μαζί με το κλειδί API για τον μετριασμό του κινδύνου. Προστασία από απειλές API: Η τεχνο- λογία “API Threat Protection” προσφέρει στις εταιρείες μια λύση θωράκισης χρό- νου εκτέλεσης που είναι εύκολη στην ανάπτυξη και προστατεύει τις εφαρ- μογές για κινητά, τα APIs και το κανάλι μεταξύ τους από οποιαδήποτε αυτομα- τοποιημένη επίθεση. Αυτή η τεχνολογία εμποδίζει αποτελεσματικά την εκτέλεση επιθέσεων, ανεξάρτητα από τα ήδη γνω- στά τρωτά σημεία ή αυτά που αποκαλύ- πτονται μέσω δοκιμών. Επιπλέον, μπορεί να επαληθεύσει την ασφάλεια και την αυθεντικότητα του χρόνου εκτέλεσης της εφαρμογής σας για βέλτιστη προ- στασία της συσκευής. Προστασία εφαρμογών και APIs από hackers Της Αφροδίτης Μπαλίδου