1. Datamaskiner PC-erSikkerhetGDPR For Dummies
  2. ComputersPCsSecurityCalifornia Consumer Privacy Act (CCPA) For Dummies

California Consumer Privacy Act (CCPA) trer i kraft 1. januar 2020. Er bedriften din klar for CCPA-overholdelse?

Mange virksomheter har brukt de siste 18 til 24 månedene på å jobbe med sine data governance og personvernprogrammer for å overholde EUs generelle databeskyttelsesforordning (GDPR), som trådte i kraft i mai 2018. Hvis du er en av disse virksomhetene, mye av arbeidet du allerede har gjort for å oppnå GDPR-samsvar vil hjelpe deg med CCPA-loven, men det er noen viktige forskjeller - som jeg forklarer i denne artikkelen.

Hva er CCPA?

California Consumer Privacy Act (CCPA) definerer personlig informasjon som "informasjon som identifiserer, forholder seg til, beskriver, er i stand til å bli assosiert med, eller med rimelighet kan kobles direkte eller indirekte til en bestemt forbruker eller husholdning." Denne definisjonen er bredere enn GDPRs definisjon av personlig informasjon, som er begrenset til informasjon relatert til "identifiserte eller identifiserbare levende personer."

California Consumer Privacy Act (CCPA)

Fra nå av har CCPA-krav ikke blitt ferdigstilt og vil sannsynligvis bli endret før den endelige versjonen blir vedtatt. Gå til det offisielle CCPA-nettstedet som ligger på https://oag.ca.gov/privacy/ccpa for å lese de siste oppdateringene til CCPA-loven.

Gjelder CCPA for selskapet mitt?

CCPA gjelder for all kommersiell virksomhet (og enhver enhet som kontrollerer eller kontrolleres av en virksomhet og deler vanlig merkevarebygging - for eksempel et delt navn, servicemark eller varemerke - med virksomheten) som driver virksomhet i staten California og møter en eller flere av følgende terskler:

* Har årlige bruttoinntekter på over $ 25 millioner

* Kjøper, mottar, selger eller deler personlig informasjon til kommersielle formål for 50 000 eller flere forbrukere, husholdninger eller enheter årlig

* Mottar halvparten eller mer av sine årlige inntekter fra å selge forbrukeres personopplysninger

Retningslinjer for CCPA-samsvar

Hvis du spør, er vi GDPR-kompatible, betyr det da at vi også er CCPA-kompatible? I likhet med GDPR, som definerer spesifikke rettigheter for registrerte, definerer CCPA spesifikke rettigheter for forbrukere i California, inkludert:

* Retten til tilgang til spesifikk personlig informasjon som er samlet om forbrukeren, men begrenset til data samlet inn de siste 12 månedene.

* Retten til å bli varslet om hvilke typer informasjon og formålene informasjonen skal brukes til før eller når informasjonen blir samlet inn. Krav til personvernregler og merknader under CCPA er mindre detaljerte enn for GDPR, men det er spesifikke krav for hvor merknader må plasseres på nettsteder og hvordan merknader skal mottas av forbrukere.

* Retten til å be om en kopi av den personlige informasjonen som er samlet inn i et bærbart og lettlesbart format. Imidlertid er virksomheter bare pålagt å gi personlig informasjon til en forbruker ikke mer enn to ganger i løpet av en 12-måneders periode.

* Retten til å bli glemt (med bredere unntak enn de som er gitt under GDPR)

* Retten til å begrense behandlingen ("bortvelgelse") av personlig informasjon underlagt noen begrensninger. Forbrukerne har rett til å velge bort avsløring eller salg av deres personlige opplysninger (med forbehold om noen begrensninger), og virksomheter må på en tydelig måte vise en fravalgslenk (og gratis telefonnummer) på deres hjemmeside. Mer forskrivende veiledning forventes på dette området, og noe eller alt av følgende er i stor grad forventet:

* Hvor og hvordan en bortvisningskobling eller -knapp må vises på et nettsted

* En obligatorisk, enhetlig fravalgslogo eller knapp som forbrukerne lett kan kjenne igjen

* En nettform som lar forbrukere velge bort noen eller alle markedsføringskampanjer (for eksempel e-postlister, lojalitetsprogrammer og så videre) fra virksomheten

I motsetning til GDPR, definerer ikke CCPA-loven (i sin nåværende form) en individuell rett til å få unøyaktige opplysninger korrigert eller til å motsette seg behandlingen av personlig informasjon.

Minimumskrav for overholdelse av CCPA

For å forberede seg på CCPA, må virksomheter ta i bruk en overholdelsesstrategi og lage en CCL-overholdelsessjekkliste som minimalt inkluderer følgende komponenter:

Identifisere. Identifiser, merk, klassifiser (eller kategoriser) og indekser den personlige informasjonen du samler inn og lagrer på alle individer (ikke bare forbrukere i California). Flere personvernforskrifter kommer - det er uunngåelig.

                         * Definer. Etablere passende policyer og prosesser for styring av data for å sikre samsvar med CCPA-krav. Forsikre deg om at du har tilstrekkelige prosedyrer på plass (og automatiserer så mye som mulig) med et CCPA-kompatibelt nettsted for å svare på de forskjellige forbrukerrettighetene som forbrukerne kan utøve i henhold til CCPA. I de fleste tilfeller har virksomheter bare 45 dager på seg til å svare på bekreftede forespørsler fra forbrukere.

                         * Beskytte. Hvis du allerede har implementert prinsippene om "personvern ved design" og "personvern som standard" og dataminimeringskravet spesifisert under GDPR, er du i gang med en god start.

           * Få til. Overholdelse er ikke en engangsaktivitet; det krever kontinuerlig ledelse for å være vellykket. Alle i bedriften din trenger å forstå hva CCPA spesifikt krever av dem i sine individuelle jobberoller. Kravene som er definert under CCPA utvikler seg fortsatt, så flid og bevissthet er avgjørende for å overholde.

For å lære mer om CCPA-implementering og CCPA-overholdelsesfristen, sjekk ut følgende ressurser:
* California statsadvokatkontor (https://oag.ca.gov/privacy/ccpa)
* Californians for forbrukernes personvern (https://caprivacy.org)
* Den internasjonale foreningen for personvernombud (https://iapp.org)

  1. Datamaskiner PC-erSikkerhetCybersecurity For Dummies Cheat Sheet
nettbasert sikkerhetsgrafikk
  1. Datamaskiner PC-er SikkerhetValider data for å forhindre webangrep: Inputhacks
Hacking For Dummies, 6. utgave

Av Kevin Beaver

Nettsteder og applikasjoner er beryktet for å ta praktisk talt alle typer innspill, med feil antagelse om at det er gyldig og behandle det videre. Å ikke validere input er en av de største feilene som webutviklere kan gjøre, og et av de fineste verktøyene i en hackers verktøysett.

Flere angrep som setter inn misdannede data - ofte, for mye på en gang - kan kjøres mot et nettsted eller et program, noe som kan forvirre systemet og få det til å røpe for mye informasjon til hackeren. Inngangsangrep kan også gjøre det enkelt for skurkene å hente sensitiv informasjon fra nettleserne til intetanende brukere.

Buffer strømmer over hacks

Et av de mest alvorlige inputangrepene er et bufferoverløp som spesifikt retter seg mot inngangsfelt i nettapplikasjoner. En kredittrapporteringsapplikasjon, for eksempel, kan autentisere brukere før de har lov til å sende inn data eller trekke rapporter. Påloggingsskjemaet bruker følgende kode for å hente inn bruker-ID-er med en maksimal inndata på 12 tegn, som angitt av størrelsen på størrelsen:

& lt; form name = "webauthenticate" action = "www.your_web_app.com/
login.cgi "method =" POST "& gt;
& lt; input type = "text" name = "inputname" maxsize = "12" & gt;

En typisk påloggingsøkt involverer et gyldig påloggingsnavn på 12 tegn eller færre, men størrelsen på størrelsen kan endres til noe stort, for eksempel 100 eller til og med 1000. Da kan en angriper legge inn falske data i påloggingsfeltet. Det som skjer videre er noens samtale. Programmet kan henge, overskrive andre data i minnet eller krasje serveren.

En enkel måte å manipulere en slik variabel er å gå gjennom sideinnleveringen ved å bruke en web-proxy, for eksempel innebygd i de kommersielle websårbarhetsskannerne eller gratis Burp-proxy.

Nett proxyer sitter mellom nettleseren din og serveren du tester, og lar deg manipulere informasjon som er sendt til serveren. For å begynne, må du konfigurere nettleseren din til å bruke den lokale proxyen fra 127.0.0.1 på port 8080. For å få tilgang til denne proxyen i Mozilla Firefox, velg Verktøy → Alternativer, bla til bunnen av dialogboksen Alternativer og velg Innstillinger i Network Proxy-delen, og velg deretter alternativknappen Manuell proxy-konfigurasjon. I Internet Explorer klikker du på tannhjulikonet og velger Internett-alternativer fra rullegardinmenyen. i den resulterende dialogboksen, klikker du på LAN-innstillinger-knappen i Tilkoblinger-delen, velger du Bruk en proxy-server for LAN-radioknappen din og oppgir riktig vertsnavn / IP-adresse og portnummer.

Alt du trenger å gjøre er å endre feltlengden til variabelen før nettleseren din sender inn siden, og siden sendes inn med den lengden du gir. Du kan også bruke Firefox Web Developer-tillegg for å fjerne maksimale formfeltlengder definert i nettformer.

Firefox Web Developer hacking

URL-manipulasjon hacks

Et automatisert inputangrep manipulerer en URL og sender den tilbake til serveren, og ber webapplikasjonen om å gjøre forskjellige ting, for eksempel viderekobling til tredjepartssider eller laste sensitive filer fra serveren. Lokal filinkludering er en slik sårbarhet. Dette sikkerhetsproblemet oppstår når webapplikasjonen godtar URL-basert input og returnerer den angitte filens innhold til brukeren, som i følgende eksempel på et forsøk på brudd på en Linux-server passwd-fil:

https://www.your_web_app.com/onlineserv/Checkout.cgi?state=
detalj & Co. Language = engelsk & Co. imageSet = / .. / .. // .. / .. // .. / .. // .. /
..///etc/passwd

Det er viktig å merke seg at de nyeste applikasjonsplattformene, som ASP.NET og Java, er ganske bra med å ikke tillate slik manipulering av URL-variablene, og dette sikkerhetsproblemet kan fremdeles finnes fra tid til annen.

Følgende lenker viser et annet eksempel på URL-lureri kalt URL-omdirigering:

http://www.your_web_app.com/error.aspx?URL=http://www.
dårlig ~ site.com & ERROR = Bane + Alternativer + er + forbudt.
http://www.your_web_app.com/exit.asp?URL=http://www.
dårlig ~ site.com

I begge situasjoner kan en angriper utnytte sårbarheten ved å sende lenken til intetanende brukere via e-post eller ved å legge den ut på et nettsted. Når brukere klikker på koblingen, kan de omdirigeres til et skadelig tredjepartsnettsted som inneholder skadelig programvare eller upassende materiale.

Hvis du ikke har annet enn tid på hendene, kan du avdekke disse typer sårbarheter manuelt. Av hensyn til nøyaktighet (og tilregnelighet) utføres imidlertid disse angrepene best ved å kjøre en websårbarhetsskanner, som kan oppdage svakheten ved å sende hundrevis av URL-iterasjoner til websystemet veldig raskt.

Skjult feltmanipulering hacks

Noen nettsteder og applikasjoner legger inn skjulte felt på websider for å overføre tilstandsinformasjon mellom webserveren og nettleseren. Skjulte felt er representert i en nettform som . På grunn av dårlig kodingspraksis inneholder skjulte felt ofte konfidensiell informasjon (for eksempel produktpriser på et e-handelssted) som bare skal lagres i en back-end-database. Brukere skal ikke se skjulte felt (derav navnet), men en nysgjerrig angriper kan oppdage og utnytte dem. Følg disse trinnene for å gjøre det selv:

  1. Vis HTML-kildekoden. Hvis du vil se kildekoden i Internet Explorer og Firefox, høyreklikker du på siden og velger Vis kilde eller Vis sidekilde fra hurtigmenyen. Endre informasjonen som er lagret i disse feltene. En hacker kan for eksempel endre en pris fra $ 100 til $ 10. Send siden på nytt til serveren. Dette trinnet lar angriperen oppnå dårlige gevinster, for eksempel en lavere pris på et nettkjøp.

Slike sårbarheter blir sjeldne, men som URL-manipulering eksisterer muligheten for utnyttelse, så det lønner seg å holde et øye med.

Det kan være spesielt farlig å bruke skjulte felt for autentiserings (innloggings) mekanismer. En etisk hacker kom en gang over en flerbruksautentiseringsintrenger-lockout-prosess som stolte på et skjult felt for å spore antall ganger brukeren forsøkte å logge på. Denne variabelen kunne tilbakestilles til null for hvert påloggingsforsøk og dermed muliggjøre en skriptet ordbok eller brute -Tvinge påloggingsangrep. Det var noe ironisk at sikkerhetskontrollen designet for å forhindre inntrengerangrep var sårbar for et inntrengerangrep.

Flere verktøy, for eksempel fullmaktene som følger med kommersielle skanner for websårbarhet og Burp Proxy, kan enkelt manipulere skjulte felt. Hvis du kommer over skjulte felt, kan du prøve å manipulere dem for å se hva som kan gjøres. Det er så enkelt.

Kodeinnsprøytning og SQL-injeksjon hacks

I likhet med URL-manipulasjonsangrep manipulerer kodeinjeksjonsangrep spesifikke systemvariabler. Her er et eksempel:

http://www.your_web_app.com/script.php?info_variable=X

Angripere som ser denne variabelen kan begynne å legge inn forskjellige data i feltet info_variable, og endre X til noe som en av de følgende linjene:

http://www.your_web_app.com/script.php?info_variable=Y
http://www.your_web_app.com/script.php?info_variable=123XYZ/pre>

Dette eksemplet er rudimentært. Ikke desto mindre kan webapplikasjonen svare på en måte som gir hackere mer informasjon enn de ønsker, for eksempel detaljerte feil eller tilgang til datafelt som de ikke har tilgang til. Den ugyldige inngangen kan også føre til at applikasjonen eller serveren henger. Angripere kan bruke denne informasjonen for å finne ut mer om nettapplikasjonen og dens indre virkning, noe som kan føre til et alvorlig systemkompromiss.

Hvis HTTP-variabler sendes i URL-en og er lett tilgjengelige, er det bare et spørsmål om tid før noen utnytter webapplikasjonen din.

En nettapplikasjon som ble brukt til å administrere personlig informasjon, presenterte en gang dette problemet. Fordi en "navn" -parameter var en del av nettadressen, kunne hvem som helst få tilgang til andre menneskers personlige informasjon ved å endre "navn" -verdien. Hvis nettadressen inkluderte "name = kbeaver", ville en enkel endring til "name = jsmith" hente opp J. Smiths hjemmeadresse, personnummer og så videre. Au! Systemadministratoren ble varslet om dette sikkerhetsproblemet. Etter noen minutters benektelse var han enig i at det virkelig var et problem og fortsatte å samarbeide med utviklerne for å fikse det.

Kodeinjeksjon kan også utføres mot back-end SQL-databaser i et angrep kjent som SQL-injeksjon. Ondsinnede hackere setter inn SQL-setninger - for eksempel CONNECT, SELECT og UNION - i URL-forespørsler for å forsøke å koble til og trekke ut informasjon fra SQL-databasen som webapplikasjonen samhandler med. SQL-injeksjon er muliggjort av applikasjonenes unnlatelse av å validere input riktig kombinert med informative feil returnert fra databaseservere og webservere.

To generelle typer SQL-injeksjon er standard (også kalt feilbasert) og blind. Feilbasert SQL-injeksjon utnyttes basert på feilmeldinger som returneres fra applikasjonen når ugyldig informasjon legges inn i systemet. Blind SQL-injeksjon skjer når feilmeldinger er deaktivert, og krever hackeren eller det automatiserte verktøyet for å gjette hva databasen returnerer og hvordan den reagerer på injeksjonsangrep.

En rask (men ikke alltid pålitelig) måte å finne ut om webapplikasjonen din er sårbar for SQL-injeksjon, er å legge inn en enkelt apostrof (') i nettformfeltene eller på slutten av URL-en. Hvis en SQL-feil returneres, er oddsen gode for at SQL-injeksjon er til stede.

Du kommer garantert til å få det du betaler for når det gjelder å skanne etter og avdekke SQL-injeksjonsfeil med en websårbarhetsskanner. I likhet med URL-manipulering har du det mye bedre å kjøre en websårbarhetsskanner for å se etter SQL-injeksjon, som lar en angriper injisere databasespørsmål og kommandoer gjennom den sårbare siden til back-end-databasen. Bildet under viser mange SQL-injeksjonssårbarheter oppdaget av Netsparker sårbarhetsskanner.

Nedtspraker hacking

Det fine med Netsparker er at etter at den har avdekket SQL-injeksjon, kan du bruke det innebygde verktøyet Utfør SQL-kommandoer for å demonstrere svakheten ytterligere. En skjermer med SQL-injeksjon i aksjon er omtrent så god som sårbarhet og penetrasjonstesting blir!

Når du oppdager SQL-injeksjonssårbarheter, kan du være tilbøyelig til å stoppe der uten å prøve å utnytte svakheten. Det er greit. Men du kan like godt se hvor langt du kan komme. Prøv å bruke eventuelle SQL-injeksjonsfunksjoner som er innebygd i websårbarhetsskanneren hvis mulig, slik at du kan demonstrere feilen for ledelsen.

Hvis budsjettet ditt er begrenset, kan du vurdere å bruke et gratis SQL-injeksjonsverktøy som SQL Power Injector eller Firefox tillegg SQL Inject Me.

Cross-site scripting hacks

Cross-site scripting (XSS) er kanskje det mest kjente og mest utbredte websårbarheten som oppstår når en webside viser brukerinput - vanligvis via JavaScript - som ikke er validert riktig. En hacker kan dra fordel av fraværet av inndatafiltrering og føre til at en webside kjører ondsinnet kode på hvilken som helst datamaskin som ser på siden.

Et XSS-angrep kan for eksempel vise bruker-ID og passord-påloggingsside fra et annet useriøst nettsted. Hvis brukere ubevisst legger inn bruker-ID-er og passord på innloggingssiden, legges bruker-ID-er og passord inn i hackerens webserver-loggfil. Annen ondsinnet kode kan sendes til offerets datamaskin og kjøres med de samme sikkerhetsrettighetene som nettleseren eller e-postprogrammet som ser den på systemet. Den ondsinnede koden kan gi en hacker full lese- / skrivetilgang til nettleserkaker eller nettleserhistoriske filer, eller til og med tillate ham å laste ned eller installere skadelig programvare.

En enkel test viser om webapplikasjonen din er sårbar for XSS. Se etter eventuelle felt i applikasjonen som godtar brukerinndata (for eksempel i påloggings- eller søkeskjema), og skriv inn følgende JavaScript-setning:

& Lt; script & gt; alert ( 'XSS') & lt; / script & gt;

Hvis det dukker opp et vindu som leser XSS, er applikasjonen sårbar. XSS-Me Firefox-tillegget er en ny måte å teste for dette sikkerhetsproblemet også.

XSS-hack

Det er mange flere måter å utnytte XSS, for eksempel de som krever brukerinteraksjon via JavaScript onmouseover-funksjonen. Som med SQL-injeksjon, må du virkelig bruke en automatisert skanner for å se etter XSS. Både Netsparker og Acunetix Web Vulnerability Scanner gjør en god jobb med å finne XSS, men de har en tendens til å finne forskjellige XSS-problemer - en detalj som fremhever viktigheten av å bruke flere skannere når du kan. Sjekk nedenfor for å se noen eksempler på XSS-funn i Acunetix Web Vulnerability Scanner.

Acunetix-hacking

En annen websårbarhetsskanner som er flink til å avdekke XSS som mange andre skannere ikke finner, er AppSpider (tidligere NTOSpider) fra Rapid7. AppSpider fungerer bedre enn andre skannere for å utføre autentiserte skanninger mot applikasjoner som bruker multifaktor-autentiseringssystemer. AppSpider skal være på radaren din. Glem aldri: Når det gjelder sårbarheter på nettet, jo flere skannere, jo bedre! Hvis noe, kan en hacker ende opp med å bruke en av skannerne du ikke bruker.

Motmål mot innsatsangrep

Nettsteder og applikasjoner må filtrere innkommende data. Nettstedene og applikasjonene må sikre at dataene som er lagt inn, passer innenfor parametrene som applikasjonen forventer. Hvis dataene ikke stemmer, bør applikasjonen generere en feil eller gå tilbake til forrige side. Under ingen omstendigheter skal applikasjonen godta søppeldata, behandle dem og gjenspeile den for brukeren.

Sikker programkodingspraksis kan eliminere alle disse problemene hvis de er viktige deler av utviklingsprosessen. Utviklere bør kjenne til og implementere denne beste fremgangsmåten for å unngå input hacks: