Skip to main content

ΕΓΓΡΑΦΗ ΣΤΟ NEWSLETTER

19 Απριλίου 2023 06:46

Προστασία εφαρμογών και APIs από hackers

Της Αφροδίτης Μπαλίδου

Οι εγκληματίες του κυβερνοχώρου συνεχίζουν να αναπτύσσουν νέες μεθόδους για να εκμεταλλεύονται τα τρωτά σημεία των εφαρμογών των κινητών συσκευών. Χρησιμοποιούν «επιφάνειες επίθεσης» (attack surfaces), όπως διαπιστευτήρια χρήστη, ακεραιότητα και ευπάθειες του API, για να εξαγάγουν εμπιστευτικές πληροφορίες που μπορούν να αξιοποιήσουν για να διεισδύσουν στη συσκευή σας.Παρακάτω αναλύονται ορισμένοι τρόποι προστασίας από τις ανεπιθύμητες επιθέσεις:

Αποτρέψτε την ανασφαλή επικοινωνία: Εγκρίνετε ασφαλείς συνδέσεις μόνο μετά τον έλεγχο ταυτότητας του αιτήματος διακομιστή. Για τον έλεγχο ταυτότητας των χρηστών, εφαρμόστε πρωτόκολλα Secure Sockets Layer/Transport Layer Security (SSL/TLS) στα κανάλια μεταφοράς της εφαρμογής που σαρώνουν ευαίσθητα δεδομένα, όπως διαπιστευτήρια και διακριτικά. Θα πρέπει, επίσης, να εμπιστεύεστε εγκεκριμένα πιστοποιητικά, υπογεγραμμένα από αξιόπιστους παρόχους για να αποφύγετε τα πλαστά πιστοποιητικά.

Επικύρωση πληροφοριών εισόδου: Η επικύρωση εισόδου ελέγχει εάν τα διαπιστευτήρια και οι πληροφορίες σύνδεσης έχουν δομηθεί κατάλληλα, ώστε να αποτρέπεται η πρόσβαση επιβλαβούς κώδικα στην εφαρμογή σας. Η επικύρωση πραγματοποιείται πριν την αποδοχή των προσωπικών στοιχείων του χρήστη από την εφαρμογή. Αυτή η διαδικασία προστατεύει την εφαρμογή από εισβολείς που εισαγάγουν επιζήμιο κώδικα στην εφαρμογή σας. Η επικύρωση εισόδου θα πρέπει, επιπλέον, να ισχύει για τρίτους προμηθευτές και συνεργάτες, καθώς οι εισβολείς μπορεί να προσπαθήσουν να χακάρουν την εφαρμογή σας, προσποιούμενοι ότι είναι ο πάροχος υπηρεσιών σας ή ένας αξιόπιστος ρυθμιστής.

Ασφαλίστε τον χώρο αποθήκευσης της εφαρμογής σας: Η αποθήκευση δεδομένων της εφαρμογής σας είναι άλλος ένας στόχος για τους εισβολείς. Τα τρωτά σημεία εμφανίζονται σε χώρους αποθήκευσης, όπως βάσεις δεδομένων SQL, cookies, αρχεία διαμόρφωσης και δυαδικές αποθήκες δεδομένων. Επιπλέον, οι επικίνδυνοι παράγοντες «προσπερνούν» τα χαρακτηριστικά ασφαλείας που δεν εφαρμόζονται καλά, παρακάμπτοντας τις βιβλιοθήκες κρυπτογράφησης. Ένας ακόμη κοινός στόχος για τους επιτιθέμενους είναι οι συσκευές που έχουν υποστεί “jail-break” και υπονομεύουν την ενσωματωμένη ασφάλεια του gadget, διευκολύνοντας, έτσι, τους hackers να αποκτήσουν πρόσβαση.

Για να προστατεύσετε τις αποθήκες δεδομένων σας από εισβολείς, κρυπτογραφήστε τοπικά αρχεία που περιέχουν ευαίσθητες πληροφορίες χρησιμοποιώντας τη βιβλιοθήκη ασφαλείας της συσκευής σας. Μπορείτε, επίσης, να μειώσετε τον αριθμό των αιτημάτων και των αδειών εφαρμογών για να αποτρέψετε την πρόσβαση των εφαρμογών.

Ασφαλίστε τον κώδικά σας: Εφαρμόστε πρακτικές ασφαλούς κωδικοποίησης και χρησιμοποιήστε εργαλεία ανάλυσης κατάστασης, για να ελέγξετε την ασφάλεια της εργασίας σας κατά τη διαδικασία ανάπτυξης. Τέλος, μόλις ο κώδικάς σας είναι έτοιμος για ανάπτυξη, μην ξεχάσετε να εφαρμόσετε ένα obfuscation tool.

Εφαρμόστε κατάλληλες πρακτικές ελέγχου ταυτοποίησης και εξουσιοδότησης: Ελέγχετε πάντα τα αιτήματα του διακομιστή. Ο έλεγχος ταυτοποίησης αποτρέπει τη φόρτωση εσφαλμένων και επιβλαβών δεδομένων στην εφαρμογή. Χρησιμοποιήστε κρυπτογράφηση για να προστατεύσετε με ασφάλεια τα δεδομένα τόσο του πελάτη όσο και τα δικά σας, ειδικά εάν η εφαρμογή απαιτεί πρόσβαση στον χώρο αποθήκευσης του πελάτη. Επαληθεύστε πάντα τα δικαιώματα των ελεγμένων χρηστών, χρησιμοποιώντας μόνο δεδομένα υποστήριξης. Η επαλήθευση εμποδίζει τους εισβολείς να χρησιμοποιήσουν διαπιστευτήρια παρόμοιας εμφάνισης για να αποκτήσουν πρόσβαση στις πληροφορίες υποστήριξης και στα APIs σας. Χρησιμοποιήστε, ακόμη, έλεγχο ταυτοποίηση δύο παραγόντων για να επικυρώσετε τα διαπιστευτήρια και την ταυτότητα ενός χρήστη.

Αποτρέψτε την «αντίστροφη μηχανική» (reverse engineering) από hackers: Περιορίστε τις δυνατότητες του πελάτη και διατηρήστε το μεγαλύτερο μέρος της λειτουργικότητας της εφαρμογής στην πλευρά του διακομιστή. Μειώστε, δηλαδή, τη λειτουργικότητα του χρήστη και τα δικαιώματα από την πλευρά του πελάτη για να αποτρέψετε τους hackers να αποκτήσουν πρόσβαση στη βάση κωδικών σας. Τα «κλειδιά» API αποτελούν κίνδυνο ασφαλείας από μόνα τους και είναι δύσκολο να «κρυφτούν» σε μια εφαρμογή για κινητά. Επομένως, χρειάζεται να προστατεύσετε την παράνομη χρήση τους διασφαλίζοντας ότι απαιτείται ένας δεύτερος, ανεξάρτητος παράγοντας από τον διακομιστή υποστήριξης μαζί με το κλειδί API για τον μετριασμό του κινδύνου.

Προστασία από απειλές API: Η τεχνολογία “API Threat Protection” προσφέρει στις εταιρείες μια λύση θωράκισης χρόνου εκτέλεσης που είναι εύκολη στην ανάπτυξη και προστατεύει τις εφαρμογές για κινητά, τα APIs και το κανάλι μεταξύ τους από οποιαδήποτε αυτοματοποιημένη επίθεση. Αυτή η τεχνολογία εμποδίζει αποτελεσματικά την εκτέλεση επιθέσεων, ανεξάρτητα από τα ήδη γνωστά τρωτά σημεία ή αυτά που αποκαλύπτονται μέσω δοκιμών. Επιπλέον, μπορεί να επαληθεύσει την ασφάλεια και την αυθεντικότητα του χρόνου εκτέλεσης της εφαρμογής σας για βέλτιστη προστασία της συσκευής.

Τεύχος 267

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ