Injiniyoyin hanyar sadarwa, a saman, “ma’aikatan fasaha ne kawai” waɗanda ke ginawa, haɓakawa, da magance hanyoyin sadarwa, amma a zahiri, mu ne “layin tsaro na farko” a cikin tsaro ta yanar gizo. Wani rahoto na CrowdStrike na shekarar 2024 ya nuna cewa, hare-haren intanet ya karu da kashi 30 cikin 100 a duniya, inda kamfanonin kasar Sin suka yi asarar fiye da yuan biliyan 50 saboda matsalar tsaro ta intanet. Abokan ciniki ba su damu ba ko kai ƙwararren masani ne ko ƙwararren tsaro; lokacin da wata matsala ta hanyar sadarwa ta faru, injiniyan ne ya fara ɗaukar laifin. Ba a ma maganar karvawar AI, 5G, da hanyoyin sadarwar girgije, waɗanda suka sa hanyoyin kai hari na masu satar bayanai suka ƙara haɓaka. Akwai wani sanannen rubutu a kan Zhihu a kasar Sin: "Masu aikin injiniya da ba su koyi tsaro ba suna yanke hanyar tserewa!" Wannan magana, ko da yake mai tsanani, tana da gaskiya.
A cikin wannan labarin, zan ba da cikakken bayani game da hare-haren hanyar sadarwa guda takwas na yau da kullum, daga ka'idodin su da nazarin shari'ar zuwa dabarun tsaro, kiyaye shi a matsayin mai yiwuwa. Ko kai sabon shiga ne ko ƙwararren tsohon soja ne da ke neman haɓaka ƙwarewarka, wannan ilimin zai ba ka ƙarin iko akan ayyukanka. Bari mu fara!
No.1 DDoS Attack
Hare-haren hana Sabis da aka Rarraba (DDoS) sun mamaye sabar da ake hari ko cibiyoyin sadarwa tare da ɗimbin zirga-zirgar jabu, wanda ke sa su zama marasa isa ga masu amfani da halal. Dabarun gama gari sun haɗa da ambaliya ta SYN da ambaliya ta UDP. A cikin 2024, rahoton Cloudflare ya nuna cewa harin DDoS ya kai kashi 40% na duk hare-haren hanyar sadarwa.
A shekarar 2022, wani dandalin ciniki ta yanar gizo ya fuskanci harin DDoS kafin ranar Singles, inda yawan zirga-zirgar ya kai 1Tbps, wanda ya sa gidan yanar gizon ya yi hadari na tsawon sa'o'i biyu tare da yin asarar dubun-dubatar Yuan. Wani abokina ne ke da alhakin kai daukin gaggawa kuma ya kusa haukace saboda matsananciyar damuwa.
Yadda za a hana shi?
○Tsaftace Tafiya:Yi amfani da sabis na kariya na CDN ko DDoS (kamar Alibaba Cloud Shield) don tace mugayen zirga-zirga.
○Sake Sake Sabis na Bandwidth:Ajiye 20% -30% na bandwidth don jure hawan zirga-zirga kwatsam.
○Ƙararrawa Kulawa:Yi amfani da kayan aiki (kamar Zabbix) don saka idanu kan zirga-zirga a cikin ainihin lokaci da faɗakarwa akan kowane rashin daidaituwa.
○Shirin GaggawaHaɗin kai tare da ISPs don sauya layi da sauri ko toshe hanyoyin kai hari.
No.2 SQL allura
Hackers suna shigar da mugunyar lambar SQL cikin filayen shigar da gidan yanar gizo ko URLs don satar bayanan bayanai ko tsarin lalata. A cikin 2023, rahoton OWASP ya bayyana cewa allurar SQL ta kasance ɗaya daga cikin manyan hare-haren yanar gizo uku.
Wani dan dandatsa yayi allurar "1=1" a shafin yanar gizon yanar gizo daga kananan zuwa matsakaita, yana samun saukin samun kalmar sirrin mai gudanarwa, saboda gidan yanar gizon ya kasa tace bayanan mai amfani. Daga baya an gano cewa ƙungiyar haɓaka ba ta aiwatar da ingantaccen shigar da bayanai kwata-kwata ba.
Yadda za a hana shi?
○Tambayar da aka daidaita:Masu haɓaka baya yakamata suyi amfani da shirye-shiryen maganganun don gujewa haɗa SQL kai tsaye.
○Sashen WAF:Tacewar zaɓi na aikace-aikacen yanar gizo (kamar ModSecurity) na iya toshe buƙatun ƙeta.
○Binciken Na yau da kullun:Yi amfani da kayan aikin (kamar SQLMap) don bincika rashin lahani da adana bayanan bayanan kafin faci.
○Ikon shiga:Ya kamata a bai wa masu amfani da bayanan bayanai ƙananan gata don hana cikakkiyar asarar sarrafawa.
No.3 Hare-Haren Rubutun Wuta (XSS).
Hare-haren Rubutun Rubutu (XSS) suna satar kukis masu amfani, ID na zaman, da sauran rubutun mugunta ta hanyar shigar da su cikin shafukan yanar gizo. An karkasa su zuwa abubuwan nunawa, adanawa, da hare-haren tushen DOM. A cikin 2024, XSS ya ɗauki kashi 25% na duk hare-haren yanar gizo.
Wani taron ya kasa tace sharhin mai amfani, yana baiwa masu kutse damar saka lambar rubutu da satar bayanan shiga daga dubban masu amfani. Na ga shari'o'in da aka karbo abokan ciniki akan yuan CNY500,000 saboda wannan.
Yadda za a hana shi?
○Tace shigar ciki: Tserewa shigarwar mai amfani (kamar shigar da HTML).
○Dabarun CSP:Kunna manufofin tsaro na abun ciki don taƙaita tushen rubutun.
○Kariyar mai lilo:Saita taken HTTP (kamar X-XSS-Kariya) don toshe rubutun mugunta.
○Binciken Kayan aiki:Yi amfani da Burp Suite don bincika rashin lafiyar XSS akai-akai.
No.4 Fassara kalmar sirri
Masu satar bayanai suna samun kalmomin shiga na mai amfani ko mai gudanarwa ta hanyar kai hari, harin ƙamus, ko injiniyan zamantakewa. Rahoton Verizon na 2023 ya nuna cewa kashi 80 cikin 100 na kutse na Intanet suna da alaƙa da raunin kalmomin shiga.
Na'ura mai ba da hanya tsakanin hanyoyin sadarwa na kamfani, yana amfani da kalmar sirri ta tsohuwa "admin," wani dan kutse ne ya shigar da shi cikin sauki cikin sauki wanda ya dasa kofar baya. Daga baya aka kori injiniyan da abin ya shafa, sannan kuma an tuhumi manajan.
Yadda za a hana shi?
○Kalmomi masu rikitarwa:Ƙaddamar da haruffa 12 ko fiye, gaurayawan harka, lambobi, da alamomi.
○Tabbatar da abubuwa da yawa:Kunna MFA (kamar lambar tabbatarwa ta SMS) akan kayan aiki masu mahimmanci.
○Gudanar da Kalmar wucewa:Yi amfani da kayan aikin (kamar LastPass) don sarrafa tsakiya da canza su akai-akai.
○Iyakance Ƙoƙarin:Adireshin IP ɗin yana kulle ne bayan gazawar yunƙurin shiga uku na hana kai hare-hare.
Lamba.5 Mutum-in-Tsakiya Harin (MITM)
Masu satar bayanai suna shiga tsakani tsakanin masu amfani da sabar, suna tsoma baki ko lalata bayanai. Wannan ya zama ruwan dare a cikin Wi-Fi na jama'a ko sadarwar da ba a ɓoye ba. A cikin 2024, hare-haren MITM ya kai kashi 20 cikin 100 na shakar hanyar sadarwa.
Masu kutse sun lalata Wi-Fi na wani kantin kofi, lamarin da ya sa masu amfani da su suka yi asarar dubunnan daloli a lokacin da aka kama bayanansu yayin shiga gidan yanar gizon banki. Daga baya injiniyoyi sun gano cewa ba a aiwatar da HTTPS ba.
Yadda za a hana shi?
○Tilasta HTTPS:An rufaffen gidan yanar gizon da API tare da TLS, kuma an kashe HTTP.
○Tabbatar da Takaddun shaida:Yi amfani da HPKP ko CAA don tabbatar da takaddun shaida amintacce ne.
○Kariyar VPN:Ayyukan m yakamata suyi amfani da VPN don ɓoye zirga-zirga.
○Kariyar ARP:Saka idanu akan tebur na ARP don hana ARP spoofing.
No.6 Hare-Haren Fishing
Masu satar bayanai suna amfani da saƙon imel, shafukan yanar gizo, ko saƙonnin rubutu don yaudarar masu amfani da su wajen bayyana bayanai ko danna hanyoyin haɗin yanar gizo. A cikin 2023, hare-haren phishing sun kai kashi 35% na abubuwan da suka faru na tsaro ta yanar gizo.
Wani ma'aikacin wani kamfani ya karɓi imel daga wani yana da'awar cewa shi ne shugabansu, yana neman a aika masa kudi, kuma ya yi asarar miliyoyin. Daga baya an gano cewa adireshin imel ɗin na bogi ne; ma'aikacin bai tabbatar da shi ba.
Yadda za a hana shi?
○Horon Ma'aikata:Gudanar da horo na wayar da kan jama'a akai-akai don koyar da yadda ake gano saƙon imel.
○Tace Imel:Sanya ƙofa ta anti-phishing (kamar Barracuda).
○Tabbatar da yanki:Duba yankin mai aikawa kuma kunna manufar DMRC.
○Tabbatarwa Biyu:Ayyuka masu ma'ana suna buƙatar tabbatarwa ta waya ko cikin mutum.
Na 7 Ransomware
Ransomware yana ɓoye bayanan waɗanda abin ya shafa kuma yana buƙatar fansa don ɓarna. Rahoton Sophos na 2024 ya nuna cewa kashi 50% na kasuwancin duniya sun fuskanci hare-haren fansa.
LockBit ransomware ya lalata hanyar sadarwar wani asibiti, yana haifar da gurguncewar tsarin da kuma dakatar da aikin tiyata. Injiniyoyin sun kwashe mako guda suna kwato bayanan, inda suka yi hasarar dimbin yawa.
Yadda za a hana shi?
○Ajiyayyen Kullum:Ajiyayyen waje na mahimman bayanai da gwajin tsarin dawowa.
○Gudanar da Faci:Sabunta tsarin da software da sauri don toshe rashin ƙarfi.
○Kula da Halaye:Yi amfani da kayan aikin EDR (kamar CrowdStrike) don gano ɗabi'a mara kyau.
○Warewa Network:Rarraba m tsarin don hana yaduwar ƙwayoyin cuta.
Na 8 Hare-haren Ranar Sifili
Hare-haren na kwana-kwana suna cin gajiyar raunin software da ba a bayyana ba, wanda ke sa su da wahalar hana su. A cikin 2023, Google ya ba da rahoton gano wasu lahani guda 20 masu haɗarin gaske na kwanaki 20, waɗanda yawancinsu aka yi amfani da su don harin sarƙoƙi.
Wani kamfani da ke amfani da software na SolarWinds ya sami matsala ta rashin lahani na kwana-kwana, wanda ya shafi dukkan sassan samar da kayayyaki. Injiniyoyi ba su da taimako kuma suna iya jira faci kawai.
Yadda za a hana shi?
○Gano Kutse:Sanya IDS/IPS (kamar Snort) don saka idanu akan cunkoson ababen hawa.
○Binciken Sandbox:Yi amfani da akwatin yashi don keɓe fayilolin da ake tuhuma da bincika halayensu.
○Hankalin Barazana:Biyan kuɗi zuwa ayyuka (kamar FireEye) don samun sabbin bayanan rashin lahani.
○Mafi Karancin Gata:Ƙuntata izinin software don rage saman harin.
'Yan uwa, wadanne irin hare-hare kuka fuskanta? Kuma yaya kuka rike su? Mu tattauna wannan tare kuma mu yi aiki tare don ƙara ƙarfafa hanyoyin sadarwar mu!
Lokacin aikawa: Nuwamba-05-2025
