शेलशॉक बग: देखें कि क्या आपका व्यवसाय जोखिम में है

“Google ने अपने आंतरिक सर्वर और वाणिज्यिक क्लाउड सेवाओं दोनों में बग को ठीक करने के लिए कदम उठाए हैं, इस मामले से परिचित एक व्यक्ति ने कहा। अमेज़न ने गुरुवार को एक बुलेटिन जारी किया जिसमें अमेज़न वेब सेवा ग्राहकों को समस्या को कम करने का तरीका दिखाया गया। "

Amazon Web Services ने अपने ग्राहकों के लिए इस विषय पर एक ब्लॉग पोस्ट जारी किया, जो अपने वेब सेवा प्रभाग का उपयोग करता है जैसे कि अपनी साइटों को होस्ट करने या एप्लिकेशन चलाने के लिए। अमेज़ॅन पैच लागू कर रहा है और आने वाले सप्ताह में अपने सर्वर के लगभग 10% को रीबूट करेगा, जिससे "कुछ मिनट" रुकावट होगी। पूरा अमेज़न पोस्ट यहाँ है। नोट: यह अमेज़न उपभोक्ता ईकॉमर्स साइट को प्रभावित नहीं करता है जो लाखों की दुकान पर है। यह केवल उन कंपनियों से संबंधित है जो Amazon Web Services का उपयोग करते हैं।

मैं अपनी कंपनी की वेबसाइट की सुरक्षा कैसे करूं?

यदि आप अपने परिसर में अपने स्वयं के सर्वर के साथ स्वयं-होस्ट करते हैं या अपने स्वयं के होस्टिंग या नेटवर्क सर्वर (एस) के प्रबंधन के लिए जिम्मेदार हैं, तो व्यावहारिक रूप से बोलना, आपके पास जोखिम में एक वेबसाइट होने की अधिक संभावना है। ऐसा इसलिए है क्योंकि सर्वर सॉफ़्टवेयर की जाँच और पैचिंग के लिए आपकी इन-हाउस टीम की उन परिस्थितियों में प्राथमिक ज़िम्मेदारी है।

यदि आप अपनी होस्टिंग स्थिति के बारे में निश्चित नहीं हैं, तो अपनी तकनीकी टीम से जाँच करके शुरू करें। पूछें कि वे मुद्दे को कैसे संबोधित कर रहे हैं।

यदि आप ऐसा करने वाले हैं या आपकी सहायता करने के लिए तकनीकी सहायता उपलब्ध नहीं है, तो यहां आपकी वेबसाइट की जाँच करने और / या उसकी सुरक्षा करने के तीन तरीके हैं:

1. यदि आप एक बाहरी होस्टिंग कंपनी का उपयोग करते हैं, तो अपने होस्ट के साथ यह देखने के लिए जांचें कि वे शेलशॉक को कैसे संभाल रहे हैं।

अधिकांश बड़ी और पेशेवर होस्टिंग कंपनियों ने प्रभावित सर्वरों के लिए जगह-जगह पैच लगाने या लगाने की प्रक्रिया शुरू की है।

अब तक, उन्होंने अपने ब्लॉग, ट्विटर फीड या सपोर्ट फोरम पर भी कुछ पोस्ट किया होगा। उदाहरण के लिए, यहां शेलशॉट के बारे में ब्लूहोस्ट का अपडेट है।

2. अपनी वेबसाइट की सुरक्षा के लिए एक अन्य तरीका अपनी वेबसाइट के साथ एक वेब एप्लिकेशन फ़ायरवॉल / सुरक्षा सेवा ("WAF") का उपयोग करना है।

ये सेवाएं आपकी साइट से हैकर्स, खराब बॉट और अन्य दुर्भावनापूर्ण ट्रैफ़िक को बाहर रखने के लिए एक दीवार के रूप में कार्य करती हैं। लेकिन वे ऐसे ट्रैफ़िक को जाने देते हैं जो किसी ख़तरे को प्रकट नहीं करता है।

मानव के लिए जो एक आगंतुक या अंतिम उपयोगकर्ता है, एक वेब फ़ायरवॉल अदृश्य है। लेकिन यह आपकी वेबसाइट को कई कमजोरियों और हमलों से बचाता है। (और आपको यह जानकर झटका लग सकता है कि आपकी साइट पर टकराने से कितनी गतिविधि बॉट ट्रैफिक होती है - आपको तब तक पता नहीं चलता जब तक कि आप इसे ट्रैक करने वाले फ़ायरवॉल को नहीं लगाते।)

आज, ये वेब फ़ायरवॉल सेवाएं सस्ती और लागू करने में आसान हैं। कम अंत में कीमतें $ 10 प्रति माह से शुरू होती हैं। उच्च अंत में, वे बड़े और लोकप्रिय साइटों और प्लेटफार्मों के लिए कई सौ डॉलर से ऊपर जाते हैं। लेकिन वे मन की शांति के लिए इसके लायक हैं। अधिकांश क्लाउड-आधारित सेवाएं हैं, जिसका अर्थ है स्थापित करने के लिए कोई हार्डवेयर नहीं है। आप ऑनलाइन खरीदारी करते हैं, कुछ सेटिंग्स समायोजित करते हैं, और आपकी साइट सुरक्षित रहती है। कई लोग आपको अपनी साइट से बाहर रखी जा रही खराब गतिविधि की मात्रा दिखाने के लिए एनालिटिक्स देते हैं।

कुछ वेब फ़ायरवॉल सेवाओं में शामिल हैं, इनसापुला, क्लाउडफ़्लेयर, बाराकुडा और सुचुरी फ़ायरवॉल। हालाँकि, सुनिश्चित करें कि यदि आप सुरक्षा प्रदाता का उपयोग कर रहे हैं, तो यह उनकी फ़ायरवॉल सेवा है जिसका आप उपयोग कर रहे हैं। कई CDN और सुरक्षा सेवाएँ विभिन्न उत्पाद या सेवा स्तर प्रदान करते हैं। सभी वेब फ़ायरवॉल या WAF फ़ायरवॉल नहीं हैं।

और सभी WAF फ़ायरवॉल समान नहीं बनाए गए हैं। कुछ दूसरों की तुलना में बेहतर काम करते हैं। इसलिए समीक्षा पढ़ें और चुनते समय अपना शोध करें।

3. भेद्यता के लिए अपने डोमेन का परीक्षण करें।

यह स्कैनर मदद कर सकता है:

वेबसाइटों पर जाने के बारे में क्या - क्या मैं या मेरे कर्मचारी ऑनलाइन सर्फिंग करके संक्रमित हो सकते हैं?

व्यक्तिगत उपयोगकर्ता - जिसमें आपके कर्मचारी भी शामिल हैं - को एक समझौता किए गए वेबसाइट, वेब एप्लिकेशन या नेटवर्क के अवशिष्ट प्रभावों से बचाने के लिए चिंतित होना पड़ेगा।

उदाहरण के लिए, मान लीजिए कि एक वेबसाइट शेलशॉक के परिणामस्वरूप मैलवेयर से संक्रमित हो रही है। उस स्थिति में, संक्रमित वेबसाइट पर आने वाले लोगों को वायरस जैसे वायरस से खतरा हो सकता है। दूसरे शब्दों में, भले ही आपका कंप्यूटर सीधे शेलशॉक के लिए असुरक्षित नहीं है, फिर भी आप एक समझौता किए गए वेबसाइट से "वायरस पकड़ सकते हैं"।

यह बिना कहे चला जाता है - एक महत्वपूर्ण बात यह सुनिश्चित करना है कि आप व्यक्तिगत कंप्यूटर पर एंटीवायरस / इंटरनेट सुरक्षा सॉफ़्टवेयर को स्थापित और नियमित रूप से अपडेट करते हैं।

अधिक शेलशॉक संसाधन

शेलशॉक की व्याख्या करने वाले इस YouTube वीडियो को देखें। यह लगभग 4 मिनट में एक अच्छी व्याख्या है:

हैकरस्टॉक के माध्यम से हैकर की छवि