Co Ty wiesz o black hat, ziomuś? Czyli zostań pożywką dla hakera!

Ostatnia globalna akcja hakerów rozsyłająca ransomeware wiper Petya – a raczej wirusa zacierającego ślady/usuwającego dane – pokazuje, jak bardzo wciąż jeszcze nie jesteśmy odporni na, wcale nie wyszukane, ataki hakerskie.

I tym razem komputery zostały zainfekowane poprzez podatność wykorzystaną już przy wcześniejszej tego typu akcji – WannaCry. Oczywiście, zaatakowane zostały komputery z systemem Windows z racji tego, że są one po prostu najpopularniejsze. Najczęściej wystarczyło po prostu posiadać zaktualizowany system oraz – jak to zazwyczaj bywa – nie otwierać niepewnych załączników wysłanych do nas mailem.

Niestety, znów najpewniej zawiódł „człowiek” poprzez brak aktualizacji systemu lub co gorsza – pracując na przestarzałych rozwiązaniach (Użytkownicy Windows XP dają łapkę w górę ;-))) )

Dlaczego o tym piszę? Sytuacja z WannaCry czy Petyą, jest idealnym odzwierciedleniem tego jak wygląda podejście większości osób do zabezpieczeń.

Praktycznie każdego dnia natrafiam na wpis czy to na forach czy na grupach, z pytaniem o pomoc z usunięciem wstrzykniętych podstron na wordpressie. Mimo, że wszyscy wciąż trąbią o tym aby dbać o bezpieczeństwo swoich stron (a już w szczególności WordPressa!), starać się mieć jak najnowsze wersje wtyczek, szablonów czy CMSów – wiele osób ma na to delikatnie ujmując – stosunek obojętny.

Zadbajmy o bezpieczeństwo naszych stron, serwerów i komputerów, bo inaczej wciąż będziemy dawać pożywkę osobom zajmującym się prawdziwym black hatem.

Prawdziwy black hat?! Stopka wtf?

Gdy słyszę, że ktoś zajmuje się black hat, po czym mówi, że stawia PBNy lub korzysta z systemów wymiany linków, zawsze na moich ustach pojawia się drobny uśmiech z domieszką politowania.

Absolutnie nie jestem i nigdy nie byłem choćby blisko środowiska black hat, jednak śledząc najczęściej pojawiające się problemy ze stronami dochodzę do bardzo prostego wniosku do którego pewnie doszło już wielu z Was – najczęściej atakowane są strony o które nie dba się prawidłowo. Stara wtyczka? Szablon pobrany z niepewnego źródła? A może nieumiejętnie zaimplementowany kod PHP/JS? To wszystko jest zaproszeniem dla (nazwijmy go ogólnie) hakera.

Wystarczy, że nasza strona zaindeksuje się w taki sposób, że odpowiada footprintowi hakera i już możemy być niemal pewni, że prędzej czy później pan Haker zapuka do nas poprzez swoje zautomatyzowane skrypty i doda do naszej strony nowe podstrony z linkami.

Powodem włamań nie są jednak jedynie zaniedbania. Mając dostęp do FTP strony klienta, jest spora szansa, że w przypadku dedykowanego CMSa gdzieś w kodzie strony zostanie użyte hasło do bazy danych, panelu administracyjnego lub inne miejsca zablokowanego przed klientem przez Twórcę strony. Kilka razy już zdarzyło mi się dotrzeć do jakiegoś głównego panelu z które mogłem zarządzać wieloma innymi stronami czy domenami. Ktoś wredny mógłby wykorzystać takie informacje i dodać sobie na przykład linki do własnej strony. Warto zaznaczyć, że często do takiego panelu podpięte są strony klientów którzy regularanie promują swoje witryny. Znaczy to tyle, że panel jest swego rodzaju dostępem do wysokiej jakości zaplecza.

Dlatego też, zwłaszcza w przypadku większych stron, koniecznie trzeba przyjrzeć się temu jak strona jest indeksowana, jakie adresy inne niż preferowane przez nas indeksują się w Google. Rzuć okiem na raport ze ScreamingFrog na wszelkie pliki PDF, DOC czy JSON. Koniecznie też – korzystając z zewnętrznych narzędzi sprawdźmy czy nasze newralgiczne dane nie będą widoczne w Google. Może na przykład Wasza tablica w Trello właśnie się indeksuje i ktoś przegląda sobie panel Waszego WordPressa poprzez trzymane w tablicy Trello hasło?

Musimy też pamiętać, że hakerzy zawsze są o krok przed nami. Wykorzystują lub wręcz kreują rozwiązania mające na celu uzyskanie nieautoryzowanego dostępu do naszych stron czy danych. Dlatego też pamiętajmy o rzeczach:

  1. Róbcie regularnie backup (wtyczka w WordPress, cron na serwerze),
  2. Aktualizujcie CMSy, wtyczki, szablony,
  3. Nie otwierajcie podejrzanych plików,
  4. Pamiętajcie aby potencjalnie newralgiczne dane chować „za hasłem” i/lub oznaczać „noindex, nofollow”,
  5. Jeżeli coś jest głupie i działa (szczególnie oprogramowanie) to kwestią czasu jest gdy działać przestanie z czyjąś pomocą z zewnątrz

Ja wiem – powtarzam to co wszyscy w koło piszą. Ja jednak nie za bardzo bym chciał być pożywką dla „rayban sunglasses” albo „buy cheap cialis”, a Ty?

Jedna odpowiedź do “Co Ty wiesz o black hat, ziomuś? Czyli zostań pożywką dla hakera!”

  1. Często te nowe wersje CMS są bardziej dziurawe niż starsze. Zwłaszcza jak wchodzą duże zmiany. Osobiście wolę chwilę poczekać niż instalować jako pierwszy. Przydaje się sprawdzać najnowsze posty na oficjalnym forum np. WordPress. Powinieneś jeszcze dopisać, aby hasło nie było admin :D

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *