Většina případů dnešních takzvaných „hacnkutých“ webů nebyla způsobena nějakým reálným člověkem. Postaral se o to šikovný robot, který má za úkol prověřit bezpečnost, co možná největšího počtu redakčních systému. V dnešní době je totiž jednodušší zneužit slabin, či spíše „blbosti“ lidí, na profesionálních řešeních, než zkoušet hledat díru i v amatérsky udělaných systémech na míru.
Slabá hesla
Určitě znáte různá doporučení, že heslo má být alespoň sedm znaků dlouhé, obsahovat velká a malá písmena, číslo atd. No pokud je výsledkem Heslo123 tak si moc nepomůžete. Automatický skript, který má za úkol prověřit zabezpečení využívá rozsáhlé slovníky, používající právě nejčastěji používaná hesla. Aby to nebylo nápadné zkouší postupně hesla třeba na tisícovce instalací stejného redakčního systému naráz. Tím často nevzbudí podezření firewall.
Takové „šťastlivce“, kteří se rozhodli použít jako heslo pro administrátorský účet admin123 najdeme i u nás. Hlavně, že se to dobře pamatuje 🙂
Neaktualizované redakční systémy
Na aktualizaci uživatelé pravidelně zapomínají. Nebo jí spíše opomíjejí. Některé redakční systémy jako je třeba WordPress anebo Drupal mají proces bezpečnostní aktualizace poměrně jednoduchý. Od verze 4 dokonce WordPress aplikuje bezpečnostní aktualizace automaticky.
Je třeba si uvědomit, že bezpečnostní aktualizace nejsou součástí pravidelné údržby, kterou děláte jednou za čas. Ty se aplikují okamžitě a bez zbytečných odkladů. Čím delší doba od zjištění chyby uběhne tím se riziko zneužití zvyšuje. Časem se dokonce mohou některé chyby detailně rozebírat na diskuzních fórech a pokud umožňují snadný přístup do administrace, tak se nedivte, že se vám v redakčním systému objevil backdoor.
Napadených neaktualizovaných redakčních systémů je nepřeberné množství a každý den přibývají.
Podcenění role administrátora
Administrátor je nejdůležitější role ve většině systémů. Má absolutní přístup k čemukoliv. Většina zneužití je právě spojena s administrátorským účtem. Různé formy útoků vyžadují, aby uživatel byl přihlášen jako administrátor, jinak nemohou proběhnout (takzvané CSRF). Přitom roli administrátora vlastně ani nepotřebujete.
Podívejte se na svůj redakční systém, který používáte. Opravdu se k němu musíte přihlašovat jako administrátor? Nestačila by o stupeň „nižší hodnost“? Taková, která může přidávat, editovat a mazat obsah? Přitom nemá právo vytvářet nové uživatele ani nějakým jiným způsobem zasahovat do běhu celého redakčního systému. Většině lidí stačí administrátorský účet jen k aktualizaci obsahu a menším kosmetickým úpravám, které děláte jen jednou za čas. Pokud navíc přihlášení administrátora podmíníte nějakým druhým faktorem, jako je dočasné heslo přes email anebo SMS, zvýšíte tím o dost stupeň zabezpečení webu.
Většina takzvaných zero day útoků (doposud neznámých) je postavená právě na nutnosti toho, být uživatel přihlášen jako administrátor. Skript pak jeho jménem provede v systému nějakou úpravu, například přidá nového uživatele s oprávněním administrátor.
Šablony a rozšíření z Warez webů
Proč za něco platit, když je to zdarma? Ano i krásné placené šablony je možné najít na internetu „bezplatně“ ke stažení. Často si tak ale do webu nahrajete zadní vrátka anebo malware. Ten se pak nahlásí řídícímu serveru a i za pár měsíců, dávno po smazání šablony se aktivuje. Například provede útok na nějakou banku. V horším případě vytvoří na vaší doméně phishingovou stránku, kde bude z lidí loudit přihlašovací údaje. V těchto případech už se většinou nevyhnete minimálně telefonátu od policie.
Častým argumentem je, že si uživatel před koupí chtěl šablonu anebo plugin vyzkoušet. Je jedno jestli je to z etického hlediska správné či nikoliv, s tím ať se popere on sám. Všechny takovéto nebezpečné testy však mají probíhat v uzavřeném prostředí. Založte si například na počítači virtuální server, který před každým testem zazálohujete a následně po odzkoušení přehrajete zálohou. Takovéto testy v uzavřeném virtuálním prostředí jsou poměrně bezpečné. Podívejte se například po vmware. Pro osobní použití je zdarma.
Bezpečný webhosting
Založit webhostingovou společnost si může dnes každý. Stačí si k tomu pořídit dedikovaný server za tisícovku, který utáhne stovky uživatelských účtů, popřípadě někdy stačí i VPS za stovku měsíčně s možnosti škálování. S návody a trochou IT talentu to zvládne i středoškolský student, který pro kamarády provozuje herní server. Pro oficiální byznys mu pak stačí jen živnostenský list za tisícovku. Není třeba plnit žádné zkoušky ani mít jakoukoliv certifikaci.
Ačkoliv všichni začínajícím IT géniům jistě fandíme a podpoříme je nějakým menším projektem s dobrou externí zálohou, na oficiální věci si spíše vybereme zaběhnuté značky s tisíce či desítkami tisíc klientů. Velké firmy zaměstnávají lidi na to, aby veškerý svůj čas věnovali serverům a jejich bezpečnosti. Je to jejich práce, za kterou jsou placeni a pokud jí nebudou dělat dobře, tak se s nimi vedení rozloučí. Na rozdíl od nadšenců, kteří jsou zároveň podporou, obchodním oddělením a šéfovou sekretářkou.
V posledních letech pár takových incidentů bylo. Většinou se jednalo o náročnější bezpečnostní chyby, které vedli ke zcizení dat z databází, tedy i hesel. Krom toho, že je dobré si vždy vybrat pro vážnější projekt společnost s historií a spoustou klientů (spokojených i nespokojených, kteří se dokáží ozvat), je dnes nezbytné používat odlišná hesla. Každé heslo prostě jiné.
Jak poznáte velkou společnost od malé už je na vás. Můžete se řídit výší základního kapitálů anebo vybrat některou z největších registrátorů .cz domén.
