1. ComputerePCs SikkerhedGDPR For Dummies
  2. ComputerePCsSikkerhed Californien Consumer Privacy Act (CCPA) For Dummies

California Consumer Privacy Act (CCPA) træder i kraft 1. januar 2020. Er din virksomhed klar til CCPA-overholdelse?

Mange virksomheder har brugt de sidste 18 til 24 måneder på at arbejde på deres datastyring og privatlivsprogrammer for at overholde EU's almindelige databeskyttelsesforordning (GDPR), der trådte i kraft i maj 2018. Hvis du er en af ​​disse virksomheder, meget af det arbejde, du allerede har gjort for at opnå GDPR-overholdelse, hjælper dig med CCPA-lovgivningen, men der er nogle vigtige forskelle - som jeg forklarer i denne artikel.

Hvad er CCPA?

California Consumer Privacy Act (CCPA) definerer personlige oplysninger som ”oplysninger, der identificerer, vedrører, beskriver, er i stand til at blive forbundet med eller med rimelighed kunne knyttes direkte eller indirekte til en bestemt forbruger eller husholdning.” Denne definition er bredere end GDPRs definition af personlige oplysninger, som er begrænset til oplysninger relateret til "identificerede eller identificerbare levende personer."

California Consumer Privacy Act (CCPA)

Fra dette tidspunkt er CCPA-kravene ikke blevet afsluttet og vil sandsynligvis blive ændret, før den endelige version er vedtaget. Gå til det officielle CCPA-websted, der findes på https://oag.ca.gov/privacy/ccpa for at læse de seneste opdateringer til CCPA-lovgivningen.

Gælder CCPA for mit firma?

CCPA gælder for enhver for-profit-virksomhed (og enhver enhed, der kontrollerer eller kontrolleres af en virksomhed og deler fælles branding - såsom et delt navn, servicemark eller varemærke - med virksomheden), der udfører forretninger i staten Californien og mødes en eller flere af følgende tærskler:

* Har en årlig bruttoindtægt på over $ 25 millioner

* Køber, modtager, sælger eller deler personlige oplysninger til kommercielle formål for 50.000 eller flere forbrugere, husholdninger eller enheder årligt

* Modtager halvdelen eller mere af sine årlige indtægter fra at sælge forbrugernes personlige oplysninger

Retningslinjer for CCPA-overholdelse

Hvis du spørger, er vi GDPR-kompatible, betyder det også, at vi også er CCPA-kompatible? Ligesom GDPR, der definerer de registreredes specifikke rettigheder, definerer CCPA specifikke rettigheder for californiske forbrugere, herunder:

* Retten til adgang til specifikke personlige oplysninger, der er indsamlet om forbrugeren, men begrænset til data indsamlet i de sidste 12 måneder.

* Retten til at blive underrettet om de typer oplysninger og de formål, som informationerne skal bruges til, før eller når informationen indsamles. Krav til privatlivspolitikker og meddelelser i henhold til CCPA er mindre detaljerede end for GDPR, men der er specifikke krav til, hvor meddelelser skal placeres på websteder, og hvordan meddelelser skal modtages af forbrugerne.

* Retten til at anmode om en kopi af de personlige oplysninger, der er indsamlet i et bærbart og let læsbart format. Virksomheder er dog kun forpligtet til at give personlige oplysninger til en forbruger højst to gange i en periode på 12 måneder.

* Retten til at blive glemt (med bredere undtagelser end dem, der er angivet under GDPR)

* Retten til at begrænse behandlingen ("fravælgelse") af personlige oplysninger underlagt nogle begrænsninger. Forbrugerne har ret til at fravælge videregivelse eller salg af deres personlige oplysninger (med forbehold af nogle begrænsninger), og virksomheder skal iøjnefaldende vise et opt-out-link (og et gratis telefonnummer) på deres websted. Der forventes mere receptpligtig vejledning på dette område, og nogle eller alle følgende forventes i vid udstrækning:

* Hvor og hvordan et opt-out-link eller -knap skal vises på et websted

* Et obligatorisk, ensartet fravalgslogo eller -knap, som forbrugerne let kan genkende

* En webformular, der giver forbrugere mulighed for at fravælge nogle eller alle markedsføringskampagner (såsom e-mail-lister, loyalitetsprogrammer og så videre) fra virksomheden

I modsætning til GDPR definerer CCPA-lovgivningen (i sin nuværende form) ikke en individuel ret til at få urigtige oplysninger rettet eller til at gøre indsigelse mod behandlingen af ​​personlige oplysninger.

Minimumskrav til CCPA-overholdelse

For at forberede sig til CCPA skal virksomhederne vedtage en overholdelsesstrategi og oprette en ccpa-overholdelsestjekliste, der minimalt indeholder følgende komponenter:

Identificere. Identificer, mærk, klassificer (eller kategoriser) og indeksér de personlige oplysninger, som du indsamler og gemmer på alle personer (ikke kun Californiens forbrugere). Flere privatlivsregler kommer - det er uundgåeligt.

                         * Definere. Oprettelse af hensigtsmæssige politikker og processer for datastyring for at sikre overholdelse af CCPA-krav. Sørg for, at du har tilstrækkelige procedurer på plads (og automatiserer så meget som muligt) med et CCPA-kompatibelt websted til at reagere på de forskellige forbrugerrettigheder, som forbrugerne kan udøve i henhold til CCPA. I de fleste tilfælde har virksomheder kun 45 dage til at svare på bekræftede anmodninger fra forbrugere.

                         * Beskyt. Hvis du allerede har implementeret principperne om "privacy by design" og "privacy as default" og dataminimeringskravet specificeret under GDPR, er du i gang med en god start.

           * Administrer. Overholdelse er ikke en engangsaktivitet; det kræver, at løbende ledelse skal være vellykket. Alle i din virksomhed skal forstå, hvad CCPA specifikt kræver af dem i deres individuelle jobroller. Kravene defineret under CCPA er stadig under udvikling, så omhyggelighed og opmærksomhed er afgørende for overholdelse.

Hvis du vil vide mere om CCPA-implementering og din CCPA-overholdelsesfrist, skal du tjekke følgende ressourcer:
* Californiens kontor for retsadvokaten (https://oag.ca.gov/privacy/ccpa)
* Californians til forbrugernes privatliv (https://caprivacy.org)
* Den internationale sammenslutning af privatlivspersoner (https://iapp.org)

  1. ComputerePCsSikkerhedCybersecurity For Dummies Cheat Sheet
cybersikkerhedsgrafik
  1. ComputerePCs SikkerhedValider data for at forhindre webangreb: Inputhacks
Hacking For Dummies, 6. udgave

Af Kevin Beaver

Websteder og applikationer er berygtede for at tage praktisk talt enhver type input, forkert at antage, at det er gyldigt, og behandle det videre. Ikke validering af input er en af ​​de største fejl, som webudviklere kan begå, og et af de fineste værktøjer i en hackers værktøjssæt.

Flere angreb, der indsætter misdannede data - ofte, for meget ad gangen - kan køres mod et websted eller et program, som kan forvirre systemet og få det til at videregive for meget information til hacker. Inputangreb kan også gøre det nemt for de slemme fyre at hente følsomme oplysninger fra webbrowsere fra intetanende brugere.

Buffer løber over hacks

Et af de mest alvorlige inputangreb er en bufferoverløb, der specifikt er rettet mod inputfelter i webapplikationer. En kreditrapporteringsapplikation kan f.eks. Godkende brugere, før de har tilladelse til at indsende data eller trække rapporter. Loginformularen bruger følgende kode til at hente bruger-id'er med en maksimal indtastning på 12 tegn, som angivet med variablen maks. Størrelse:

& lt; form name = "webauthenticate" handling = "www.your_web_app.com/
login.cgi "metode =" POST "& gt;
& lt; input type = "text" name = "inputname" maxsize = "12" & gt;

En typisk login-session involverer et gyldigt login-navn på 12 tegn eller færre, men den maksimale størrelse-variabel kan ændres til noget enormt, såsom 100 eller endda 1.000. Derefter kan en hacker angive falske data i loginfeltet. Det, der sker dernæst, er nogens opkald. Programmet kan hænge, ​​overskrive andre data i hukommelsen eller ødelægge serveren.

En enkel måde at manipulere en sådan variabel er at gå gennem sideindgivelsen ved hjælp af en web-proxy, f.eks. Indbygget i de kommercielle websårbarhedsscannere eller den gratis Burp-proxy.

Web proxies sidder mellem din webbrowser og den server, du tester, og giver dig mulighed for at manipulere oplysninger, der sendes til serveren. For at begynde skal du konfigurere din webbrowser til at bruge den lokale proxy af 127.0.0.1 på port 8080. For at få adgang til denne proxy i Mozilla Firefox skal du vælge Værktøjer → Valg, rulle til bunden af ​​dialogboksen Indstillinger og vælge Indstillinger i Netværksproxy-sektion, Vælg derefter alternativknappen Manuel proxy-konfiguration. I Internet Explorer skal du klikke på gearikonet og vælge Internetindstillinger i rullemenuen; i den resulterende dialogboks skal du klikke på knappen LAN-indstillinger i sektionen Forbindelser, vælge Brug en proxyserver til din LAN-radioknap og indtaste det relevante værtsnavn / IP-adresse og portnummer.

Alt hvad du skal gøre er at ændre variabelens feltlængde, før din browser indsender siden, og siden indsendes ved hjælp af hvilken længde du giver. Du kan også bruge Firefox Web Developer-tilføjelse til at fjerne maksimale formfeltlængder defineret i webformularer.

Firefox Webudvikler hacking

Webadressemanipulation hacks

Et automatiseret inputangreb manipulerer en URL og sender den tilbage til serveren og fortæller webapplikationen at gøre forskellige ting, f.eks. Omdirigering til tredjepartswebsteder eller indlæse følsomme filer fra serveren. Lokal fil inkludering er en sådan sårbarhed. Denne sårbarhed opstår, når webapplikationen accepterer URL-baseret input og returnerer den angivne fils indhold til brugeren, som i det følgende eksempel på et forsøg på brud på en Linux-server's passwd-fil:

https://www.your_web_app.com/onlineserv/Checkout.cgi?state=
detaljer & amp; language = engelsk & amp; imageSet = / .. / .. // .. / .. // .. / .. // .. /
..///etc/passwd

Det er vigtigt at bemærke, at de nyeste applikationsplatforme, såsom ASP.NET og Java, er temmelig gode til ikke at tillade en sådan manipulation af URL-variablerne. Denne sårbarhed kan stadig findes fra tid til anden.

De følgende links viser et andet eksempel på URL-trickery kaldet URL redirection:

http://www.your_web_app.com/error.aspx?URL=http://www.
dårlig ~ site.com & ERROR = Path + 'Indstillinger' + er + forbudt.
http://www.your_web_app.com/exit.asp?URL=http://www.
dårlig ~ site.com

I begge situationer kan en hacker udnytte sårbarheden ved at sende linket til intetanende brugere via e-mail eller ved at sende det på et websted. Når brugere klikker på linket, kan de omdirigeres til et ondsindet tredjepartswebsted, der indeholder malware eller upassende materiale.

Hvis du ikke har andet end tid på dine hænder, kan du muligvis afsløre disse typer af sårbarheder manuelt. Af hensyn til nøjagtighed (og sundhed) udføres disse angreb imidlertid bedst ved at køre en websårbarhedsscanner, der kan registrere svagheden ved at sende hundredvis af URL-iterationer til websystemet meget hurtigt.

Skjult feltmanipulation hacks

Nogle websteder og applikationer integrerer skjulte felter på websider for at videregive tilstandsoplysninger mellem webserveren og browseren. Skjulte felter er repræsenteret i en webform som . På grund af dårlig kodningspraksis indeholder skjulte felter ofte fortrolige oplysninger (såsom produktpriser på et e-handelswebsted), der kun skal gemmes i en back-end-database. Brugere bør ikke se skjulte felter (dermed navnet), men en nysgerrig angriber kan opdage og udnytte dem. Følg disse trin for at gøre det selv:

  1. Se HTML-kildekoden. For at se kildekoden i Internet Explorer og Firefox skal du højreklikke på siden og vælge Vis kilde eller Vis sidekilde i den kontekstuelle menu. Skift de oplysninger, der er gemt i disse felter. En hacker kan for eksempel ændre en pris fra $ 100 til $ 10. Gentag siden til serveren. Dette trin giver angriberen mulighed for at opnå dårligt opnåede gevinster, såsom en lavere pris på et webkøb.

Sådanne sårbarheder bliver sjældne, men som URL-manipulation findes muligheden for udnyttelse, så det lønner sig at holde øje med.

Brug af skjulte felter til godkendelsesmekanismer (login) kan være særligt farligt. En etisk hacker kom engang over en multifaktor-autentificering af indtrængende lockout-proces, der var afhængig af et skjult felt for at spore antallet af gange, brugeren forsøgte at logge på. Denne variabel kunne nulstilles til nul for hvert loginforsøg og således lette en scriptet ordbog eller brute -force login angreb. Det var lidt ironisk, at sikkerhedskontrollen, der var designet til at forhindre indtrængende angreb, var sårbar over for et indtrængende angreb.

Flere værktøjer, såsom proxies, der leveres med kommercielle websårbarhedsscannere og Burp Proxy, kan let manipulere skjulte felter. Hvis du støder på skjulte felter, kan du prøve at manipulere dem for at se, hvad der kan gøres. Det er så simpelt som det.

Kodeindsprøjtning og SQL-injektion hacks

Ligesom angreb på URL-manipulation manipulerer angreb med kodeinjektion specifikke systemvariabler. Her er et eksempel:

http://www.your_web_app.com/script.php?info_variable=X

Angribere, der ser denne variabel, kan begynde at indtaste forskellige data i feltet info_variable og ændre X til noget som en af ​​følgende linjer:

http://www.your_web_app.com/script.php?info_variable=Y
http://www.your_web_app.com/script.php?info_variable=123XYZ/pre>

Dette eksempel er rudimentært. Ikke desto mindre kan webapplikationen svare på en måde, der giver hackere mere information, end de ønsker, såsom detaljerede fejl eller adgang til datafelter, som de ikke har tilladelse til at få adgang til. Den ugyldige input kan også forårsage, at applikationen eller serveren hænger. Angribere kan bruge denne information til at finde ud af mere om webapplikationen og dens indre funktion, hvilket kan føre til et seriøst systemkompromis.

Hvis HTTP-variabler sendes i URL'en og er let tilgængelige, er det kun et spørgsmål om tid, før nogen udnytter din webapplikation.

En webapplikation, der bruges til at administrere personlige oplysninger, præsenterede netop dette meget problem. Da en "navn" -parameter var en del af webadressen, kunne enhver få adgang til andre menneskers personlige oplysninger ved at ændre "navn" -værdien. Hvis URL-adressen indeholdt "name = kbeaver", ville en simpel ændring til "name = jsmith" få vist J. Smiths hjemmeadresse, Social Sikkerhedsnummer osv. Av! Systemadministratoren blev advaret om denne sårbarhed. Efter et par minutters benægtelse var han enig i, at det virkelig var et problem, og fortsatte med at arbejde sammen med udviklerne for at ordne det.

Kodeinjektion kan også udføres mod back-end SQL-databaser i et angreb kaldet SQL-injektion. Ondsindede hackere indsætter SQL-sætninger - såsom CONNECT, SELECT og UNION - i URL-anmodninger for at forsøge at oprette forbindelse og udtrække oplysninger fra SQL-databasen, som webapplikationen interagerer med. SQL-injektion er muliggjort af applikationers manglende validering af input korrekt kombineret med informative fejl returneret fra databaseservere og webservere.

To generelle typer SQL-injektion er standard (også kaldet fejlbaseret) og er blinde. Fejlbaseret SQL-injektion udnyttes baseret på fejlmeddelelser, der returneres fra applikationen, når ugyldige oplysninger indtastes i systemet. Blind SQL-injektion sker, når fejlmeddelelser er deaktiveret, hvilket kræver hacker eller det automatiserede værktøj at gætte, hvad databasen vender tilbage, og hvordan den reagerer på injektionsangreb.

En hurtig (selvom ikke altid pålidelig) måde at bestemme, om din webapplikation er sårbar over for SQL-injektion, er at indtaste en enkelt apostrof (') i dine webformularfelter eller i slutningen af ​​URL-adressen. Hvis der returneres en SQL-fejl, er oddsene gode for, at der er SQL-injektion.

Du får bestemt, hvad du betaler for, når det kommer til at scanne efter og afsløre SQL-injektionsfejl med en websårbarhedsscanner. Som med URL-manipulation er du meget bedre til at køre en websårbarhedsscanner for at kontrollere for SQL-injektion, som giver en angriber mulighed for at injicere databaseforespørgsler og kommandoer gennem den sårbare side til back-end-databasen. Billedet herunder viser adskillige SQL-injektionssårbarheder opdaget af Netsparker sårbarhedsscanner.

Nedtspraker hacking

Det pæne ved Netsparker er, at når det afslører SQL-injektion, kan du bruge det indbyggede værktøj Udfør SQL-kommandoer til yderligere at demonstrere svagheden. En skærme, der er varm af SQL-injektion i aktion, er omtrent så god, som sårbarhed og penetrationstest bliver!

Når du opdager SQL-injektionssårbarheder, kan du være tilbøjelig til at stoppe der uden at prøve at udnytte svagheden. Det er fint. Men du kan lige så godt se, hvor langt du kan komme. Prøv at bruge eventuelle SQL-injektionsfunktioner, der er indbygget i din websårbarhedsscanner, hvis det er muligt, så du kan demonstrere fejlen i ledelsen.

Hvis dit budget er begrænset, kan du overveje at bruge et gratis SQL-injektionsværktøj som SQL Power Injector eller Firefox add-on SQL Inject Me.

Cross-site scripting hacks

Cross-site scripting (XSS) er måske den mest kendte og mest udbredte websårbarhed, der opstår, når en webside viser brugerinput - typisk via JavaScript - som ikke valideres korrekt. En hacker kan drage fordel af fraværet af inputfiltrering og få en webside til at udføre ondsindet kode på enhver computer, der ser siden.

Et XSS-angreb kan f.eks. Vise bruger-id og kodeord-login-side fra et andet useriøst websted. Hvis brugere ubevidst indtaster deres bruger-id'er og adgangskoder på login-siden, indtastes bruger-id'er og adgangskoder i hackerens webserver-logfil. Anden ondsindet kode kan sendes til et offers computer og køres med de samme sikkerhedsrettigheder som webbrowseren eller e-mail-applikationen, der ser det på systemet. Den ondsindede kode kan give en hacker fuld læse / skriveadgang til browsercookies eller browserhistorikfiler eller endda give ham mulighed for at downloade eller installere malware.

En simpel test viser, om din webapplikation er sårbar over for XSS. Kig efter eventuelle felter i applikationen, der accepterer brugerinput (f.eks. I en login- eller søgeform), og indtast følgende JavaScript-erklæring:

& Lt; script & gt; alert ( 'XSS) & lt; / script & gt;

Hvis der dukker op et vindue, der læser XSS, er applikationen sårbar. XSS-Me Firefox-tilføjelsen er også en ny måde at teste for denne sårbarhed.

XSS hack

Der er mange flere måder at udnytte XSS, såsom dem, der kræver brugerinteraktion via JavaScript onmouseover-funktionen. Som med SQL-injektion, skal du virkelig bruge en automatiseret scanner til at kontrollere for XSS. Både Netsparker og Acunetix Web Sårbarhedsscanner gør et godt stykke arbejde med at finde XSS, men de har tendens til at finde forskellige XSS-problemer - en detalje, der fremhæver vigtigheden af ​​at bruge flere scannere, når du kan. Tjek nedenfor for at se nogle eksempler på XSS-fund i Acunetix Web Sårbarhedsscanner.

Acunetix-hacking

En anden websårbarhedsscanner, der er god til at afdække XSS, som mange andre scannere ikke finder, er AppSpider (tidligere NTOSpider) fra Rapid7. AppSpider fungerer bedre end andre scannere til at udføre godkendte scanninger mod applikationer, der bruger multifaktorgodkendelsessystemer. AppSpider skal være på din radar. Glem aldrig: Når det kommer til websårbarheder, jo flere scannere, jo bedre! Hvis noget, kan en hacker muligvis bruge en af ​​de scannere, som du ikke bruger.

Modforanstaltninger mod inputangreb

Websteder og applikationer skal filtrere indgående data. Webstederne og applikationerne skal sikre, at de indtastede data passer inden for de parametre, som applikationen forventer. Hvis dataene ikke stemmer overens, skal applikationen generere en fejl eller vende tilbage til den forrige side. Applikationen må under ingen omstændigheder acceptere uønskede data, behandle dem og reflektere dem for brugeren.

Sikker software-kodningspraksis kan eliminere alle disse problemer, hvis de er kritiske dele af udviklingsprocessen. Udviklere bør kende og implementere denne bedste praksis for at undgå inputhacks:

  • Præsenter aldrig statiske værdier, som webbrowseren og brugeren ikke behøver at se. I stedet skal disse data implementeres i webapplikationen på serversiden og kun hentes fra en database, når det er nødvendigt. Filtrer