आतापर्यंत आम्ही सायबर सुरक्षेविषयी भरपूर लेख इंग्रजी मध्ये लिहले पण हा प्रथमच लेख आम्ही मराठी मध्ये प्रकाशित करत आहोत ,कारण कोरोनासारख्या महामारीत फिशिंग अटॅक पासून अनेक लोकांचे आर्थिक नुकसान आणि फसवणूक होऊ शकते हे लक्ष्यात आल्यानंतर आम्ही हा लेख लोकांपर्यंत पोहचवण्याचे ठरवले.

काय आहे हा फिशिंग प्रकार?

फिशिंग हा एक सायबर क्राइम(गुन्हा) आहे ज्यात एखाद्या व्यक्तीस वैयक्तिक माहिती, बँकिंग आणि क्रेडिट कार्ड तपशील आणि ओटीपी ,पासवर्ड ,बँक अकाउंट  यासारख्या सं��ेदनशील डेटा(माहिती) मिळविण्याकरीता कायदेशीर संस्था म्हणून एखाद्याद्वारे ईमेलद्वारे, टेलिफोनद्वारे किंवा मजकूर संदेशाद्वारे,व्हाट्सअप ,सोसिअल मीडिया द्वारे लक्ष्य किंवा लक्ष्यांशी संपर्क साधला जातो.

कशे होतात फिशिंग अटॅक?

१. बनावट वेबसाईट लिंक,बनावट अँप तुम्हाला काहीतरी मोह दाखवून किवां वोट, सर्वे च्या नावाखाली तुमची वयक्तिक माहिती रजिस्टर करा सांगतात आणि हि माहिती हल्लेखोरांना पाठवली जाते/किवां माहितीचा दुरुपयोग केला जातो(या सर्व बनावट लिंक आणि अँप ई-मेल , मेसेज , सोसिअल मीडियावर पाठवले जातात)

2. फसव्या लोकांकडून २५ लाखाची लॉटरी लागली आहे/KBC ची लॉटरी आहे /एवढे हजार मिळणार म्हणून अनेक कॉल्स आणि मेसेजेस,ई-मेल येत असतात,असे कॉल्स आणि मेसेजेस फक्त तुमचे बँक अकाउंट, क्रेडिट कार्ड, बँक माहिती, ओटीपी , पासवर्ड गोळा करण्यासाठी केले जातात ..गोळा केलेली माहिती तुमचे अकाउंट मधले पैसे चोरण्यासाठी किवां आंतरराष्ट्रीय ऑनलाईन शॉपिंग मध्ये वापरले जाऊ शकतात(जो कॉल्स Voice over Internet Protocol (VoIP) प्रोटोकॅल वापरून केला जातो आणि तो संवेदनशील माहिती चोरतो अश्या हल्ल्याना विशिंग म्हणतात.)

3. एखादी बनावट वेबसाईट लिंक,app(जी तंतोतंत खऱ्या वेबसाइट, अँप सारखी दिसते फक्त त्यात सुक्ष्म फरक असतो आणि तो लोकांच्या नजरेत येत नाही) तुम्हाला ई-मेल मेसेज,व्हाट्सअप वर येते ती लिंक बनावट बँक अकाउंट/आर्थिक खाते लॉगिन पेज असते जे पीडित व्यक्तीचे लॉगिन क्रेडेन्शियल गोळा करते आणि त्यांना हल्लेखोरांना पाठवते, नंतर तुमची हि माहिती वापरून खऱ्या वेबसाईट वरून तुमचे पैसे चोरले जाऊ शकतात( DECEPTIVE फिशिंग म्हणतात )

4. बनावट लिंक डाकुमेंट्स ,वेबसाइट लिंक, अँप तुम्हाला ई-मेल मेसेज,व्हाट्सअप वर पवाठवले जातात ,तुम्ही जेव्हा यावर क्लिक करता त्यावेळी  malware हे वायरस तुमच्या कॉम्पुटर/लॅपटॉप , मोबाईल ची माहिती करप्ट(दूषित) करतात ..नंतर हल्लेखोर तुम्हाला धमकी देतो/ब्लॅकमेल करतो कि तुमचा डेटा आणि माहिती परत हवी असेल तर एवढे पैसे द्या.  

5. हल्लेखोर तुमचे ई-मेल चे पासवर्ड  चोरून त्या ई-मेल चा चुकीचा वापर करतो.

अशा प्रकारचे वेगवेगळे हल्ले ई-मेल मेसेज,सोसिअल मीडिया(व्हाट्सअप, ट्विटर,फ���सबुक इत्यादी),फोन वापरून केले जातात..

फिशिंग हल्ल्यांपासून किवां अटॅक पासून सुरक्षित कशे राहू शकतो 

१. लॉटरी आणि इतर फसव्या मेसेजेस,ई-मेल आणि फोन कॉल ना कधिच रिप्लाय करू नका.

२. जर वेबसाईट आणि अँप विश्वासू नसेल तर त्या वेबसाईट आणि अँप वरून /लिंक वरून काही पण डाउनलोड करू नका.

३. सतत तुमचा पासवर्ड बदलत राहा आणि तो कठीण आणि वेगळा असला पाहिजे, पासवर्ड कोणाला पण सांगू नका पाठवू पण नका.

४. तुमची संवेदनशील माहिती उदाहरण तुमचा ओटीपी ,पासवर्ड, कार्ड CVV कुणाला सांगू नका आणि पाठवू पण नका, कोणतीही बँक कधीच अशी माहिती मागवत नसते. 

५. जर वेबसाईट आणि अँप विश्वासू नसेल तर त्या वेबसाईट आणि अँप वर तुमची वयक्तिक माहिती रजिस्टर करू नका. 

६. फसवे वेबसाइट्स आणि app नेत्यांना वोट करा ,अनेक ऑनलाईन स्पर्धा आणि सर्वे घेत असतात फक्त विश्वासू व माहित असलेल्या लिंक्स आणि वेबसाइट्स वापरा.

धन्यवाद मित्रानो 

Interfaces provide the ability to name and parameterize object types and to compose existing named object types into new ones.

Interfaces have no run-time representation—they are purely a compile-time construct. Interfaces are particularly useful for documenting and validating the required shape of properties, objects passed as parameters, and objects returned from functions.

Here we use an interface that describes objects that have a firstName and lastName field. In TypeScript, two types are compatible if their internal structure is compatible. This allows us to implement an interface just by having the shape the interface requires, without an explicit implements clause.

Typescript interface code example:

interface IEmployee {
    firstName: string;
    lastName: string;
}
 
function getFullName(person:
IEmployee) {
    return "Hello,
" + person.firstName + " " +
person.lastName;
}
 
var user = {
firstName: "Shourya", lastName: "Kendre" };
 
window.onload = () => {
    var elFullNameName =
document.getElementById('lblFullNameName');
    elFullNameName.innerHTML = getFullName(user);  
};

HTML code:

<html lang="en">
<head>
    <meta charset="utf-8" />
    <title>TypeScript
HTML App</title>
    <link rel="stylesheet" href="app.css" type="text/css" />
    <script src="InterfaceExample.js"></script>
</head>
<body>
    <h1>TypeScript
HTML App</h1>
<label id="lblFullNameName"></label>
</body>
</html>

Result Page:

धन्यवाद मित्रानो !!!

I written around 7 web security and cyber security related articles, in this article i will summarize latest version OWSAP top 10 critical security risks.

What is OWASP?

The Open Web Application Security Project (OWASP), an online community, produces freely-available articles, methodologies, documentation, tools, and technologies in the field of Web application security.

How OWASP decides top 10 risks?

The OWASP Top 10 focuses on identifying the most serious web application

security vulnerabilities and risks for a different types companies and organizations.

For those risks OWASP team provides generic information about likelihood and technical impact using simple rating scheme, based in OWASP Risk RatingMethodology

The final version of the 2017 OWASP Top 10 was released on November 21, 2017 according to OWASP team following are the ten most critical web application security risks presently.

OWASP Top 10 year 2017

 A1: Injection
 A2: Broken Authentication
 A3: Sensitive Data Exposure
 A4: XML External Entities (XXE) [NEW]
 A5: Broken Access Control [Merged]
 A6: Security Misconfiguration
 A7: Cross-Site Scripting (XSS)
 A8: Insecure Deserialization [NEW]
 A9: Using Components with Known Vulnerabilities
 A10: Insufficient Logging & Monitoring [NEW]

OWASP team introduced three new critical security risks in 2017 version release I will explain those in short.

A4: XML External Entities (XXE)

Many older or poorly configured XML processors evaluate external entity references within XML documents.
External entities can be used to disclose internal files using the file URI handler,
internal file shares, internal port scanning, remote code execution, and denial of service attacks.

Prevention:

a. In must require case only use complex data formats such as JSON and serialization and deserialization else avoid it.

b. Upgrade XML dll, libraries those used like XML processors Update SOAP to latest version.

c. User server side while list approach for input validation, data sanitization, for xml document, headers and xml nodes.

d. Validate all external XML/XSL files.

e. Use tools like SAST to detect XXE and perform manual code review

d. According to OWASP the safest way to prevent XXE is always to disable DTDs (External Entities) completely.

For more details use OWASP prevention cheat sheet

https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet

A8: Insecure Deserialization

What is serialization and deserialization

To store and use for communication convert data into stream of bytes, deserialization is reverse process.

Insecure Deserialization

Insecure deserialization often leads to remote code execution. Even if deserialization flaws do not result in remote code execution, they can be used to perform attacks, including replay attacks, injection attacks, and privilege escalation attacks.

Prevention:

a. Safest way is to avoid serialized data from untrusted users and untrusted sources.

b. Implement integral check such as digital signature

c. use strict type constraint when deserialization and serialization, for example allow only defined classes

d. code that prevents deserialization and serialization in low privileges environment

e. Log deserialization and serialization failures, exceptions and monitoring incoming and outgoing connectivity from containers and servers that deserialize and monitoring deserialization.

f. There are some language specific Guidelines and proper coding techniques for developers that prevent from this attack, I suggest developers and programmers to refer following cheat sheet documents from OWASP.

https://www.owasp.org/index.php/Deserialization_Cheat_Sheet

A10: Insufficient Logging & Monitoring

Insufficient logging and monitoring, coupled with missing or ineffective integration with incident response, allows attackers to further attack systems, maintain persistence, pivot to more systems, and tamper, extract, or destroy data.

Prevention:

a.  Log all login, access, validation failures with sufficient details, that details you can use to track identify suspicious or malicious accounts.

To maintain logs, use standard centralized log management system.

b.  Implement effective monitoring and alerting such that suspicious activities are detected and responded in timely fashion.

c. Requires audit and monitoring on high value transaction.

d. Adopt incident/failure plan and recovery plan for system.

e. Use proper notification and alerts for suspicious activities.

References: //www.owasp.org

धन्यवाद मित्रो !! 

Thanks Friends