Ja si hakerët i shkatërrojnë faqet e internetit

2022-12-05 09:47:00, Blog CNA

Puna që bën çdo ditë Rob Olson për të jetuar është të hyjë në faqet e internetit. Por mos i telefononi policisë. Pasi është një djalë i mirë. Olson, që është gjithashtu lektor në Departamentin e Sigurisë Kompjuterike në Institutin e Teknologjisë në Roçester, Nju Jork, dhe drejtor teknik i laboratorit të Sigurisë Kibernetike të Universitetit Eton, është një ekspert mbi sigurinë kibernetike.

Me kërkesën e tyre, ai sulmon faqet e internetit të bizneseve për të ekspozuar dobësitë e sigurisë. Pastaj u tregon klientëve të tij se si mund t’i rregullojnë problemet që ai ka shfrytëzuar për të depërtuar në faqen apo sistemin e tyre. Ky është një shërbim shumë i nevojshëm sepse dikush, diku, do të përpiqet gjithmonë që të hyjë në faqet e internetit.

Gati të gjitha faqet janë nën një sulm pak a shumë të vazhdueshëm. Metodat dhe motivet e sulmeve ndryshojnë, ashtu si edhe niveli i sofistikimit të autorëve, apo kundërshtarëve, siç quhen në fushën e sigurisë kibernetike.

Kundërshtari që qëndron pas një sulmi ndaj një faqeje, mund të jetë duke punuar për një agjenci të shërbimit sekret apo ushtrinë e një shteti. Ose mund të jetë një gjimnazist që ka shkarkuar një program falas nga interneti, thotë Olson. Deri kohët e fundit, sulmet më të zakonshme ndaj uebsajteve ishin sulmet e mohimit të shërbimit (DoS), sipas një monitorimi të OWASP (Open Web Application Security Project), një organizatë që punon për të përmirësuar sigurinë e softuerve.

Këto sulme janë të njohura, pjesërisht sepse janë të lehta, ose të paktën të lehta për njerëzit që dinë t’i kryejnë ato. Ato arrijnë të dërgojnë më shumë trafik në një faqe interneti, sesa mund ta përballojë, duke shkaktuar kështu rrëzimin e tij.

Sulmet e mohimit të shërbimit të shpërndarë (DDoS) janë versione më të mëdha të sulmeve kibernetike, pra pak më të sofistikuara sesa DoS. Në rastin DDoS, përdoren shumë kompjuterë në një mënyrë të koordinuar për të dërguar sasi të mëdha trafiku në një uebsajt, duke e tejkaluar aftësinë e tij për ta përpunuar atë.

Olson shpjegon se këto sulme nuk synojnë të dëmtojnë uesbajtin apo të vjedhin të dhëna. Shpeshherë ato janë një formë proteste. Ato ishin të zakonshme gjatë viteve 2010-2012, kur “hakktivizmi” ishte shumë i përhapur. Të zakonshme janë edhe sulmet e injektimit SQL (gjuha e strukturuar e pyetjeve).

Kjo metodë e rrëzimit të një faqeje interneti është pak më e sofistikuar se sulmet DDoS. Këto sulme përfitojnë nga fakti se programimi është i vështirë, dhe njerëzit bëjnë gabime. Ose ndonjëherë, zhvilluesit e softuerit ndërmarrin disa rreziqe të llogaritura për të kursyer kohë, apo për ta bërë produktin të përshtatshëm për përdoruesit.

Për çfarëdolloj arsye, këto dobësi sigurie i japin mundësi hakeri të dërgojnë pyetje në bazën e të dhënave të një uebsajti, të cilat e mashtrojnë softuerin për t’u lejuar atyre qasjen në të. Lista e dhjetëshes më të mirë të OËASP, rendit në vendin parë Broken Access Control.

Sipas këtij skenari, hakerat depërtojnë në një faqe interneti duke e shfrytëzuar vështirësitë që kanë programuesit për t’u siguruar që aplikacioni në internet të mos lejojë hyrjen tek përdoruesi i gabuar. Sipas OËASP, pasi hyn, sulmuesi mund të bëjë shumë dëme, ndonjëherë edhe të marrë përsipër administrimin e faqes.

E gjitha kjo mund të tingëllojë si një garë e furishme midis zhvilluesve të softuerit dhe njerëzve të këqij. Por Olson thotë se nuk është tamam kështu. Ekspertët e sigurisë kibernetike, zotërojnë shumë mirë praktikat më të mira mbrojtëse.

Sfida e vërtetë nuk është zhvillimi i mbrojtjeve të reja, por edukimi i njerëzve për atë që kemi. “Unë nuk kam takuar asnjëherë dikë që të dëshirojë më pak siguri. Kur njerëzit njohin praktikat më të mira mbrojtëse, ata priren t’i përvetësojnë ato. Ata thjesht nuk e kuptojnë se çfarë duhet të bëjnë”- thekson eksperti.

Ky është një problem për zhvilluesit e softuerit dhe pronarët e faqeve të internetit. Fatmirësisht për ne të tjerët, praktikat më të mira janë shumë të lehta për t’u zbatuar:mbajeni të përditësuar softuerin tuaj; përdorni fjalëkalime të vështira, ose përdorni një menaxher fjalëkalimi; mos shkarkoni asnjë softuer që ju reklamohet si flas. (Siç e thekson Olson, askush nuk ofron kopje falas të programit Windows vetëm për shkak të mirësisë së tij).

Për shumicën prej nesh, dobësia më e madhe në aspektin e sigurisë është e njëjta që ka ekzistuar edhe shumë kohë përpara epokës së kompjuterit:naiviteti. Ju kujtohen e-mailet që përpiqeshin të merrin kodin tuaj të hyrjes? Olson e quan këtë “mashtrim teknologjik”.

Ai nuk është aspak i ndryshëm nga mashtrimet që kanë bërë njerëzit, që kur gjarpri e mashtroi Evën për të shijuar mollën e ndaluar. Sot po shohim thjesht versionin e epokës së teknologjisë. “Gjëja më e rëndësishme që duhet të dinë shumica e njerëzve për sigurinë kibernetike, është se ka shumë shanse që askush nuk do t’ju shënjestrojë.

Shumica prej nesh nuk janë aq interesantë. Nëse nuk jeni një objektiv me një pasuri të madhe, askush nuk do të shpenzojë shumë burime për të hyrë në llogarinë tuaj bankare. Ndaj keni pak sensin e përbashkët dhe do të jeni mirë”- thotë Olson.

Përkthyer nga CNA.al