POIT #108: Ataki na strony i ich zapobieganie

Witam w sto ósmym odcinku podcastu „Porozmawiajmy o IT”. Tematem dzisiejszej rozmowy są ataki na strony internetowe i ich zapobieganie.

Dziś moim gościem jest Artur Pajkert, który od 18 lat dzieli się wiedzą i poradami w sprawach e-marketingu i hostingu, jako menedżer, autor publikacji, prelegent, bloger, wykładowca akademicki. Head of Marketing w cyber_Folks.

W tym odcinku o atakach na strony w następujących kontekstach:

  • od kiedy zaczyna się historia ataków na programy działające na maszynach?
  • jakie są przyczyny i cele ataków na strony internetowe?
  • czy mając małego bloga nadal powinienem myśleć o jego zabezpieczeniu?
  • ile razy w roku, zgodnie z badaniem cyber_Folks jest atakowana przeciętna strona internetowa?
  • jakie są najczęstsze zagrożenia związane z domeną internetową?
  • jak się bronić przed atakami?
  • czy certyfikat SSL to wystarczające zabezpieczenie?
  • dbanie o zabezpieczenia jako proces
  • jaka jest odpowiedzialność firmy hostingowej za zabezpieczenia naszej strony?

Subskrypcja podcastu:

Linki:

Wsparcie na Patronite:

Wierzę, że dobro wraca i że zawsze znajdą się osoby w bliższym lub dalszym gronie, którym przydaje się to co robię i które zechcą mnie wesprzeć w misji poszerzania horyzontów ludzi z branży IT.

Patronite to tak platforma, na której możesz wspierać twórców internetowych w ich działalności. Mnie możesz wesprzeć kwotą już od 5 zł miesięcznie. Chciałbym oddelegować kilka rzeczy, która wykonuję przy każdym podcaście a zaoszczędzony czas wykorzystać na przygotowanie jeszcze lepszych treści dla Ciebie. Sam jestem patronem kilku twórców internetowych i widzę, że taka pomoc daje dużą satysfakcję obu stronom.

👉Mój profil znajdziesz pod adresem: patronite.pl/porozmawiajmyoit

Pozostańmy w kontakcie:

 

Muzyka użyta w podcaście: „Endless Inspiration” Alex Stoner  (posłuchaj)

Transkrypcja podcastu

To jest 108. odcinek podcastu Porozmawiajmy o IT, w którym to wraz z moim gościem rozmawiam o atakach na strony internetowe oraz ich zapobieganiu. Przypominam, że w poprzednim odcinku dyskutowałem o kierunkach rozwoju software developmentu. 

Wszystkie linki oraz transkrypcję dzisiejszej rozmowy znajdziesz pod adresem porozmawiajmyoit.pl/108

Ocena lub recenzja podcastu w twojej aplikacji jest bardzo cenna, więc nie zapomnij poświęcić na to kilku minut. 

 

Tego odcinka słuchasz dzięki firmie cyber_Folks, oferującej szybki i bezpieczny hosting oraz usługi związane z domenami internetowymi. Cyber_Folks wspiera swoich klientów dzięki świetnemu supportowi i najdłuższemu na rynku backupowi – do 28 dni. Dodatkowo inspiruje blogiem i ciekawymi webinarami. Sprawdź ofertę na https://cyberfolks.pl/

 

Sponsorem dzisiejszego odcinka jest również platforma rekrutacyjna SOLID.Jobs. Jeśli szukasz pracy w IT, koniecznie odwiedź adres: https://solid.jobs/. Znajdziesz tam oferty pracy z widełkami wynagrodzeń. Jeżeli aktualnie nie myślisz o znalezieniu nowej pracy, to koniecznie zapisz się na jobalert. Otrzymasz regularne wiadomości e-mail z zestawieniem ofert, które mogą cię zainteresować. Jeśli w swojej pracy nadal korzystasz z SVN-a, to koniecznie odwiedź SOLID.Jobs. 

 

Nazywam się Krzysztof Kempiński, a moją misją jest poszerzanie horyzontów ludzi z branży IT. Środkiem do tego jest m.in. ten podcast. Zostając patronem na platformie Patronite, możesz mi w tym pomóc już dziś. Wejdź na porozmawiajmyoit.pl/wspieram i sprawdź szczegóły! 

Jednocześnie bardzo dziękuję moim obecnym patronom. 

Teraz, nie przedłużając, życzę ci miłego słuchania. Odpalam! 

 

Cześć! Gość dzisiejszego podcastu od osiemnastu lat dzieli się swoją wiedzą i poradami w sprawach e-marketingu i hostingu – jako manager, autor publikacji, prelegent, bloger, wykładowca akademicki. Obecnie sprawuje funkcję Head of Marketing w cyber_Folks. Moim i waszym gościem jest dzisiaj Artur Pajkert. Cześć Artur! Bardzo mi miło gościć cię w podcaście. 

 

Cześć! Bardzo mi miło, dziękuję za zaproszenie. Mega się cieszę, że mogę dzisiaj z tobą tutaj porozmawiać. Przed milionami słuchaczy, którzy nas słuchają. 

 

Z pewnością! Tym bardziej jest to, według mnie, wartościowy odcinek, ponieważ o jego temat zapytaliśmy na social mediach. Większość osób odpowiedziała, że ataki na strony i ich zapobieganie to właśnie kwestia, która ich zainteresuje, więc stąd twoja, Artur, obecność. Ruszajmy z tematem! 

Na początku pytam zawsze moich gości, czy słuchają podcastów. Jeśli tak, to może będą w stanie podzielić się swoimi ulubionymi audycjami. Jak to jest w twoim przypadku? Słuchasz podcastów? 

 

Tak, można powiedzieć, że moja przygoda ze słuchaniem zaczęła się dosyć dawno temu, ponieważ moja praca wymagała częstych podróży samochodem. Długich podróży… Słuchanie to idealny sposób na spożytkowanie tego czasu, który mamy w trakcie dwu-trzygodzinnej jazdy autem. Wciągnąłem się wtedy zarówno w podcasty, jak i w audiobooki. Okazało się to dla mnie bardzo efektywną metodą pozyskiwania wiedzy. Jeśli chodzi o podcasty, to słucham ich, mimo tego, że teraz nie jeżdżę już tak często, cały czas. Można podzielić je na dwa nurty.

Pierwszy jest bardziej związany z IT właśnie, więc poza Porozmawiajmy o IT oczywiście, mogę wymienić na przykład Rób WordPressa Maćka Kuchnika. Tego podcastu słucham bardzo dużo. Sam uwielbiam pracować w WordPressie. Nasze strony, jako firmy hostingowej zresztą, są na WordPressie, więc musimy być na bieżąco. To jest aktualnie CMS numer 1 na świecie, a w Polsce jego statystyki są jeszcze lepsze niż te światowe. Jeśli chodzi o WordPressa w ogóle, to dzisiaj mamy badania, które też prowadzimy nieustannie, badania rynkowe. Wynika z nich, że WordPress stanowi aż 66% wszystkich CMS-ów w Polsce. Bardzo konkretny udział. Stąd właśnie ten podcast. 

Oprócz tego jest jeszcze drugi nurt, bardziej marketingowy. W naszej firmie hostingowej zajmuję się marketingiem, więc ten drugi nurt zawiera w sobie właśnie treści marketingowe i ogólnobiznesowe. Niekoniecznie związane z twardym IT, ale na przykład z SEO. Neil Patel i Eric Siu tworzą bardzo ciekawy podcast – Marketing School. Mówią w nim m.in. o SEO. Mogę tutaj wymienić również Copyblogger, w którym znajdują się interesujące informacje marketingowe. 

To tyle jeżeli chodzi o audycje anglojęzyczne, natomiast z polskich podcastów bardzo lubię słuchać FIRMY ON-LINE Agaty Chmielewskiej. Również Nowoczesnej Sprzedaży i Marketingu Szymona Negacza – kapitalny podcast ogólnobiznesowy. Bez technologicznego zacięcia, mimo tego, że Szymon dużo mówi na przykład o CRM-ach oraz o wsparciu procesów sprzedażowych i marketingowych przy użyciu IT. Jednak, jak dla mnie, jest to warstwa uzupełniająca – Szymon skupia się na miękkich obszarach. Przynajmniej ja tak odczytuję jego treści. Uważam, że są bardzo wartościowe dla osób zajmujących się sprzedażą, marketingiem lub też po prostu dla managerów. 

Także jeżeli chodzi o podcasty, to wyróżniam dwa nurty – jeden twardszy, drugi bardziej marketingowo-managerski. 

 

Super! Dzięki za te polecenia. Na początku chcę zapytać cię o to, jak w ogóle spojrzeć na bezpieczeństwo takich tworów jak strony internetowe. To też jest przecież jakiś rodzaj programu działającego na maszynie. Może nam się kojarzyć jako wynalazek dwudziestu/trzydziestu ostatnich lat. Tymczasem wiem, że masz bardzo ciekawą historię dotyczącą początków dbania o bezpieczeństwo czy w ogóle hackowania programów wykonywanych przez maszyny. Podziel się swoim spojrzeniem. 

 

Chciałabym zaprosić ciebie, drogi słuchaczu, na małą podróż historyczną. Do mniej więcej początków wieku XIX, gdy na mapie Europy, bardziej na zachód, znajdowały się dwa duże mocarstwa – Francja i Anglia, które ze sobą konkurowały. Militarnie, ale również gospodarczo. To jest okres wojny o wpływy. Wtedy też Francją rządzi Napoleon. Bardzo zależy mu na tym, aby pobudzić gospodarkę francuską po to, by była bardziej konkurencyjna wobec gospodarki angielskiej. 

W ramach swoich planów składa ogromne zamówienia na tkaniny. Przemysł tkacki był jedną z istotniejszych gałęzi przemysłu ówczesnej Francji. Każdy z nas z pewnością mniej więcej wie, jak wyglądała wtedy ta praca – tkacze, krosna, bardzo dużo nitek, które przekładało się ręcznie pomiędzy nićmi wiodącymi. W ten sposób stopniowo wytwarzało się tkaniny. Była to praca żmudna, dosyć nisko opłacana, ale zawodowe lobby tkaczy było stosunkowo mocne. W ówczesnym świecie byli oni istotną grupą społeczną. Żeby sprostać tym dużym zamówieniom, wynaleziono pewną maszynę. Odpowiada za to Joseph Marie Jacquard. Wynalazł on krosno, które tkało w sposób zautomatyzowany, a wzór był zakodowany na karcie zero-jedynkowej, perforowanej. 

Znamy to z początków informatyki. Kojarzymy, że pierwsze komputery miały takie karty perforowane. Jednak okazuje się, że sterowały one pracą urządzeń przemysłowych właśnie na początku wieku XIX. Tkacze byli wtedy bardzo zaniepokojeni tą sytuacją. Nagle okazuje się, że powstaje maszyna, która nie choruje, nie ma żądań płacowych, zawsze ma dobry humor oraz, co najgorsze chyba, jest wydajna i bezbłędna. Zera i jedynki w deterministyczny sposób kodowały wzór tkaniny i nie było tam pola do pomyłki. To po prostu działało. Żeby chronić swoje miejsca pracy, ponieważ zwyczajnie się o nie bali, tkacze zaczęli dorabiać dziurki w kartach. Maszyna nie robiła już tego, czego chciała osoba kodująca kartę. Nowe dziurki psuły wzór tkaniny. 

 

Nagle okazuje się, że powstaje maszyna, która nie choruje, nie ma żądań płacowych, zawsze ma dobry humor oraz, co najgorsze chyba, jest wydajna i bezbłędna. Zera i jedynki w deterministyczny sposób kodowały wzór tkaniny i nie było tam pola do pomyłki. To po prostu działało. Żeby chronić swoje miejsca pracy, ponieważ zwyczajnie się o nie bali, tkacze zaczęli dorabiać dziurki w kartach. Maszyna nie robiła już tego, czego chciała osoba kodująca kartę. Nowe dziurki psuły wzór tkaniny. 

 

Także pomimo tego, że nie było komputerów takich, jakie dzisiaj pojmujemy oraz nie było to oprogramowanie, jakie rozumiemy dzisiaj, to byli już hackerzy. Istotne jest to, że oni hackowali te karty z pobudek ekonomicznych. Bali się o swoje miejsca pracy. Obawiali się, że maszyna ich wygryzie. Do dzisiaj mówi się, że za mniej więcej 86% ataków w sieci czy w związku z systemami informatycznymi, stoją pobudki ekonomiczne. Związane z tym, aby odnieść jakąś bezpośrednią korzyść finansową. Natomiast około 10% (w skali światowej) stanowią ataki o charakterze szpiegowskim, czyli takie, które mają na celu przechwycenie jakiś poufnych danych, żeby poznać ich treść i jakoś głębiej wykorzystać w procesach gospodarczych, a nie po to, aby od razu je cashować. Na przykład Ransomware szyfruje Ci komputer i wymusza okup – to jest właśnie natychmiastowe cashowanie. Atak czysto ekonomiczny. Natomiast te 10% obejmuje ataki szpiegowskie. Zostaje nam więc kilka procent na inne przyczyny ataków, do których można zaliczyć te ideologiczne, religijne, ale również zwykłe „popisówki” młodych ludzi chcących pokazać, że umieją. 

Myślę jednak, że nas najbardziej interesuje 86%, czyli ataki ekonomiczne. To one najczęściej będą dotykały użytkowników i właścicieli stron internetowych. 

 

Potrafię sobie wyobrazić, że jest to znacząca przyczyna w stosunku do e-commerce, do stron, które w jakiś sposób zarabiają. Od razu widać, już z zewnątrz, że jest tam jakiś biznes, stoją za tym pieniądze. Ale wyobraźmy sobie, że jestem właścicielem jakiegoś małego bloga, być może jakiejś małej stronki, która coś sprzedaje. Czy nadal jestem narażony i powinienem zajmować się tematem bezpieczeństwa? Czy potencjalnie mogę być celem ataku? Jak wynika z Twoim obserwacji, z badań? Czy faktycznie każdy powinien zastanawiać się nad tematem bezpieczeństwa swojej strony internetowej? Istnieje może próg lub granica, od której to już ma sens, a wcześniej nie do końca przekłada się to na realne zyski? 

 

Zdecydowanie bezpieczeństwo jest tematem, który dotyczy każdego. Wielkość twojej strony czy jej komercyjny lub niekomercyjny charakter mają pewne znaczenie dla skutków ataku, owszem. Powiedzmy, że atak związany z wykradzeniem bazy zamówień i klientów z dużego sklepu internetowego, jest sprawą poważną. Natomiast atak polegający na tym, że ktoś zmodyfikuje ci wpis na blogu prywatnym, dotyczącym życia rybki w twoim akwarium, jest mniej poważny. To nie znaczy, że te osoby, które nie wykorzystują swoich stron internetowych do biznesu, nie są narażone.

Chodzi o to, że radykalna większość ataków w dzisiejszych czasach, to ataki zautomatyzowane. Nie jest tak, że jakaś grupa czy mafia siedzi wieczorem w piwnicy i planuje pieczołowicie atak na twojego bloga o życiu rybki w akwarium. To byłoby dla nich po prostu nieefektywne. Owszem, takie ataki się zdarzają, to jest te kilka procent bardzo mocno wycelowanych ataków, zaplanowanych. Natomiast ataki dotyczą głównie większego biznesu, gdy jest jakaś wartość do zdobycia dla atakującego. Natomiast radykalną większość tego rodzaju incydentów stanowią ataki w pełni zautomatyzowane. 

Działa to mniej więcej tak, w uproszczeniu, że są roboty skanujące całą sieć, wyszukujące strony internetowe, które mogą mieć różnego rodzaju podatności. Następnie atakują je w sposób całkowicie zautomatyzowany. To wyszukiwanie i atakowanie zazwyczaj odbywa się poprzez tzw. botnety, czyli sieci robotów/botów, sieci komputerów, które w tym uczestniczą. Bardzo często właściciele tych komputerów nawet nie mają świadomości, że ich komputery są do tego wykorzystywane. Jest to jakiś serwer, który już został zaatakowany, atakujący umieścili na nim tego rodzaju oprogramowanie, którego celem jest wyszukiwanie podatnych stron. 

W warstwie niższej, sieciowej mówi się o takim procesie jak skanowanie portów, a w warstwie już samej aplikacji, strony internetowej bardzo często mówimy o wyszukiwaniu, na przykład, strony logowania do WordPressa. 

Już wspomniałem o tym, że WordPress jest najczęściej używanym CMS-em zarówno na świecie, jak i w Polsce. Dlatego też naturalnym jest, że najwięcej ataków również jest na WordPressie, ale to nie dlatego, że on sam w sobie jest niebezpieczny. Jest go po prostu najwięcej. WordPress, w moim przekonaniu, jest bezpieczny. Niebezpieczne mogą bywać pluginy czy motywy, które ludzie sobie instalują z niepewnych źródeł lub nie dbają o ich aktualizacje, ale jeszcze o tym powiemy. Sam rdzeń jest dosyć bezpieczny, ponieważ jest wokół niego duża społeczność, która nieustannie wydaje nowe wersje i go łata. Aczkolwiek uwzględniając jego popularność, gdybyś miał jakieś złe zamiary, to najłatwiej byłoby wyszukiwać właśnie w WordPressie, bo jest go dużo na świecie, więc masz potencjalnie spory zbiór stron do zaatakowania. Jednocześnie jest dobrze udokumentowany, także łatwo ci zrozumieć, jak on działa, łatwo jest wyszukiwać jakieś podatności. 

Automaty nie oceniają jednak, czy jest to strona dużej firmy, czy strona młodego akwarysty. Nie interpretują treści tej strony, bardziej skupiają się na tym, czy logowanie do kokpitu jest dostępne, czy masz tam login: admin, hasło: admin, czy łatwo jest wejść, czy można wykonać tam jeszcze parę innych operacji, które rodzą bardzo duże prawdopodobieństwo, że uda ci się na tej stronie coś zmajstrować. 

Dlatego też żadna strona nie jest bezpieczna – ani duża, ani mała. Staje się bardziej bezpieczna wtedy, gdy o nią dbamy jako właściciele lub opiekunowie. Pewnie powiemy sobie jeszcze o tym, co można zrobić, żeby strony były bardziej bezpieczne. Natomiast każda strona jest na celowniku i trzeba sobie z tego zdawać sprawę. Różne będą skutki, jednak narażenie jest obecne jak najbardziej. Powiedziałbym, że nawet te małe strony są częściej bardziej narażone, a to dlatego, że po prostu ich właściciele mają dużo mniejsze zasoby, żeby dbać o bezpieczeństwo. Umówmy się, bezpieczeństwo nie robi się samo. Niestety trzeba się o to zatroszczyć. Mieć choćby podstawową wiedzę na ten temat, rozwijać się w tym obszarze, bo przecież to nie stoi w miejscu. To jest proces. Bezpieczeństwo nie jest czymś jednorazowym – to proces, który wymaga ciągłej uwagi. 

 

Umówmy się, bezpieczeństwo nie robi się samo. Niestety trzeba się o to zatroszczyć. Mieć choćby podstawową wiedzę na ten temat, rozwijać się w tym obszarze, bo przecież to nie stoi w miejscu. To jest proces. Bezpieczeństwo nie jest czymś jednorazowym – to proces, który wymaga ciągłej uwagi. 

 

Jeżeli masz tylko stronę o życiu swojej rybki w akwarium, to najczęściej wyobrażamy sobie, że nie jest to strona prowadzona przez zawodowego informatyka, tylko na przykład przez jakąś młodą osobę, może nawet dziecko, które zwyczajnie nie ma świadomości, że takie zagrożenia istnieją. W związku z tym nie aktualizuje komponentów, ma ustawione trywialne hasła, nie dba o certyfikat SSL. Występuje tam bardzo wiele zaniedbań związanych z bezpieczeństwem. Zwyczajnie nie ma zasobów, żeby było inaczej. Z kolei duże organizacje, sklepy internetowe czy jakieś duże strony firmowe mają zwykle dział IT, więc są tam na pokładzie osoby, które mają pojęcie na ten temat i można powiedzieć, że czasami jest im po prostu łatwiej. Mają też większy budżet na to, żeby powierzyć to specjalistom, outsourcować  ten temat – w jakikolwiek sposób się nim zaopiekować. 

Nikt nie jest bezpieczny, natomiast tym dużym, być może, jest po prostu łatwiej, jeśli chcą, bo mają zasoby na bezpieczeństwo. Jednocześnie są też bardziej narażeni, ponieważ więcej mają do stracenia. Także jest w tym pewna równowaga. 

Skoro więc ja mam bloga o życiu rybki w szklanej kuli, to co mi mogą zrobić? Faktycznie rodzi się takie pytanie. Co to jest za problem? Przecież ja tam nie mam zamówień, danych karty kredytowej, nic takiego tam nie ma. W takim razie dlaczego ataki w ogóle są problemami i jaka jest skala, rozpiętość? Wiemy już, że są to przyczyny ekonomiczne, ale teraz porozmawiajmy o warstwie IT. Jak te ataki mogą przebiegać i do czego mogą prowadzić? 

Bardzo częstym atakiem jest po prostu spamowanie przez formularze na stronie. To jest jeden z prostszych rodzajów ataków, ponieważ większość stron ma jakiś formularz – formularz kontaktowy, formularz zapisu na newsletter, itp. Z formularzami jest tak, że najczęściej prowadzą do jakiegoś rodzaju interakcji. Kiedy je wypełniasz, to coś się dzieje. Dane mają interakcję albo z bazą danych, czyli następuje zapisanie danych podanych w formularzu do bazy, albo są wysyłane mailem po API do zewnętrznego systemu (to już bardziej zaawansowane rozwiązania). Jednak coś się zawsze z danymi dzieje.

W przypadku rozesłania mailem albo nawet zapisu do bazy, najprostszą przyczyną zmartwienia jest spamowanie przez formularz. Chodzi tutaj o to, że atakujący w sposób zautomatyzowany wpisują w formularze swoje własne treści, które następnie lecą mailem lub, jeżeli jest to formularz do opublikowania opinii o produkcie w sklepie internetowym albo komentarza do posta na blogu, mogą zostać jeszcze opublikowane. Czasami automatycznie, a czasami jest po drodze jakaś moderacja. 

Zacznijmy może od tego wariantu z mailem. Jeśli ktoś zaatakuje twój formularz w skuteczny sposób i zacznie rozsyłać maile, korzystając z twojego serwisu, w twojej domenie, z twojego adresu IP, to jeżeli trafią one do ciebie, jeszcze pół biedy, ponieważ to tobie zaspamują skrzynkę. Jeżeli jednak atakujący zrobi to w taki sposób, że one wychodzą w świat, będzie to skutkowało tym, że twoja domena i adres IP mogą trafić na różnego rodzaju czarne listy. Dzieje się tak, ponieważ maile mają dowolną treść i są wysyłane do dowolnych adresatów, to się zdarzało. To po pierwsze. 

Po drugie – bardzo często firmy hostingowe mają tzw. limity bezpieczeństwa. Wiążą się one z tym, że większość usług to usługi hostingu współdzielonego, gdzie na jednym fizycznym serwerze jest kilkuset klientów, więc trzeba sprawiedliwie podzielić wszystkie zasoby tego serwera. Jakąś część tych zasobów, na przykład mocy obliczeniowej, przestrzeni dyskowej, itp. Są to również zasoby związane z wysyłką poczty, które mają pewne limity jej wysyłania. Właśnie po to, żeby cały serwer nie trafiał na czarne listy. Limity są różne – dobowe, godzinowe – to zależy już od operatora. Załóżmy, że masz limit 1000 maili na dobę. Teraz strzelam, ponieważ każdy operator ma inne, ale co do rzędu, to powiedzmy, że mogą być one liczone w tysiącach na dobę. Jeżeli atakujący wykorzysta te 1000 maili, co nie jest żadną wielką wartością, to ty nie możesz już wysłać swojej wiadomości, użytkownik też nie może tego zrobić. Limit jest już wysycony. 

To, co może być w tych mailach, jest kolejną warstwą zagrożenia. Dla ciebie, jako właściciela strony, jest to narażanie na ryzyko utraty reputacji, tej bardzo informatycznej. Związanej z tym, że twoja domena czy adres IP są na jakiś czarnych listach. Jeśli tam się dostajesz, to później masz problem z dostarczaniem normalnych, swoich wiadomości. Serwery ci po prostu nie ufają, ponieważ to pochodzi z adresu IP uznanego za spamujący. To jest dla ciebie, jako właściciela strony, skutek bolesny. Możliwość przekroczenia limitów hostingowych – w skrajnych wypadkach firma hostingowa może ci po prostu zablokować usługę do czasu usunięcia takiej infekcji lub sytuacji, bo grozi to wpisaniem adresu IP, z którego korzystają też inni klienci, na czarne listy. Możesz zaszkodzić również innym, więc firma hostingowa, broniąc się przed tym, zwyczajnie może tą stronę zablokować. 

Już nie mówiąc o tym, że w takich mailach, pół biedy, jak to są linki do zakupów środków na potencję, ale mogą być tam umieszczone gorsze rzeczy, na przykład linki podszywające się pod PayPala. Phishing, czyli wyłudzenie danych logowania do jakiegoś serwisu, to jest już sprawa poważna, jeżeli coś takiego idzie z twojej domeny. Może to rujnować twoją reputację w oczach ludzi, może cię narażać na późniejsze uczestnictwo w karnych sprawach i to żadna przyjemność chodzić później po prokuratorach i spowiadać się, że nie widziałeś o zhakowaniu twojej strony, itd. Takie rzeczy się po prostu dzieją. 

Skoro formularz ma już połączenie z bazą danych i te dane są w jakikolwiek sposób zapisywane albo wyszukiwane przez bazę, to ataki typu SQL injection, czyli polegające na spreparowaniu żądania w celu wykonania operacji bazodanowej, która nie była intencją autora serwisu, ale skutkiem pozostawienia pewnej luki, mogą się wydarzyć. To zazwyczaj sprowadza się do albo zniszczenia danych w bazie, ponieważ można wykonać taką SQL-kę , która usunie wszystkie dane z tej bazy czy z jakiejś tabeli, albo do wylistowania rekordów, które nie powinny być publicznie dostępne. Głównie dotyczy to sytuacji, gdy masz dane w serwisie, które powinieneś chronić, a tego nie robisz. W wyniku takiego ataku dane zostają ujawnione. Na przykład baza subskrybentów newslettera. 

Jest jeszcze jeden bardzo ważny atak na formularz. Na formularzach bardzo często można dawać załączniki, np. zdjęcie do CV lub jakiś dokument. Jeśli ten formularz nie sprawdza dokładnie, co zostało załączone, to może zdarzyć się, że ktoś załączy na przykład plik PHP, który będzie można później wykonać. W tym pliku może być w zasadzie dowolna treść. Niedawno była taka luka w bardzo popularnym pluginie Contact Form 7, która umożliwiała w pewnych okolicznościach wrzucenie, jako załącznika, skryptu, a następnie wykonanie go. Wykonanie takiego skryptu w środowisku strony internetowej pozwala zrobić cokolwiek ze stroną. To już zależy od fantazji osoby, która pisała skrypt. Częstym sposobem/podejściem może być próba wyświetlenia pliku konfiguracyjnego, w którym znajdują się dane dostępowe do bazy. Jak już ktoś odczyta dane dostępowe, to wchodzi sobie w bazę jak nóż w masło i wszystko może z tym zrobić. Tak wygląda cała skala zagrożeń dla formularzy. 

 

Jest jeszcze jeden bardzo ważny atak na formularz. Na formularzach bardzo często można dawać załączniki, np. zdjęcie do CV lub jakiś dokument. Jeśli ten formularz nie sprawdza dokładnie, co zostało załączone, to może zdarzyć się, że ktoś załączy na przykład plik PHP, który będzie można później wykonać. W tym pliku może być w zasadzie dowolna treść. 

 

Kolejnymi są innego rodzaju sztuczki zmierzające do przechwycenia bazy danych – umieszczenie złośliwych przekierowań. Często na grupach dyskusyjnych na Facebooku spotykam się z taką sytuacją: „Słuchajcie, co któreś wejście na moją stronę następuje przekierowanie do jakiegoś dziwnego serwisu. Nie jest tak za każdym razem. Co z tym zrobić? Dlaczego tak się dzieje?”. To dzieje się dlatego, że ktoś ma złośliwy skrypt, który został zainstalowany w jego stronie. Działa on najczęściej randomowo, za którymś wejściem na stronę uruchamia się i powoduje to, że użytkownicy są przekierowani do serwisu zewnętrznego. 

Po co się to może dziać? Tutaj jest znowu wiele przyczyn, wiele powodów. Może być to Phishing, czyli serwis podszywający się pod Facebooka, pod PayPala, pod jakieś duże banki. Chodzi głównie o miejsca, gdzie zostawiamy dane w nadziei, że użytkownik nie zorientuje się, że strona jest fałszywa i zostawi tam swoje dane logowania. To jest pierwszy obszar. 

W drugim obszarze są, powiedziałbym, proste oferty handlowe. Głównie związane ze środkami medycznymi oraz z finansami, czyli giełdy Bitcoinów i inne podobne rzeczy. Obietnica szybkiego wzbogacenia się, tak bym to nazwał. To szeroka kategoria.

Może to być również afiliacja. Dobrym przykładem jest Onet – polski duży portal informacyjny. Nie chodzi o to, że on został zhackowany. Chodzi o inny rodzaj ataku. Za chwilkę może o tym powiemy, jeżeli chodzi o to, jak dbać o bezpieczeństwo. Natomiast sprawa dotyczy domeny Onat i Onet. Onet jako portal, ale Onat to bardzo podobna domena – „a” i „e” brzmią prawie identycznie. Nawet na klawiaturze nie są tak daleko od siebie. Ktoś zarejestrował sobie tą domenę, prawdopodobnie wiedząc, że mnóstwo ludzi czyta Onet, więc jakiś niewielki procent się pomyli i wpisze „onat” zamiast „onet” (pomyli jedną literkę na klawiaturze). W moim przypadku przeszedłem na AliExpress, ale z linkiem afiliacyjnym. Chodzi o to, że gdybym cokolwiek kupił na AliExpress, to ktoś dostanie prowizję z tego tytułu. Mówiąc kolokwialnie – wozi się na popularności jakiejś znanej domeny, z taką afiliacją. 

To samo wydarzyło się w przypadku mBanku – mBank na mBenk. Możecie sobie wpisać, tylko nie klikajcie już nic dalej. Rzeczywiście pojawia się strona sprzedająca rzeczy kompletnie niezwiązane z finansami. Ja trafiłem na stronę suplementów diety. Też z jakimś linkiem afiliacyjnym. Także ten model biznesowy opiera się na afiliacji – przekierować użytkownika i zgarniać kasę na afiliacji właśnie.

Najciekawsze ataki związane są ze stworzeniem kopii twojej strony. To może być nawet w twojej domenie, na przykład w osobnym folderze. Ktoś może sobie zrobić sklep internetowy działający na twojej domenie mimo tego, że tylko hodujesz tą rybkę w szklanej kuli. Poza twoją wiedzą może się okazać, że na serwerze, w twojej domenie ktoś odpalił sobie sklep internetowy i oferuje tam towary w atrakcyjnych cenach. Ludzie je kupują, płacą za nie, tylko że on oczywiście nigdy ich nie wysyła. Do kogo teraz przyjdzie policja? Do właściciela domeny. 

Można jeszcze dodać to, co jest bardzo popularne, czyli umieszczanie na stronie skryptów do szyfrowania, o których już dzisiaj wspomnieliśmy – Ransomware. Są to różnego rodzaju linki, po kliknięciu w które następuje pobranie programu szyfrującego komputer lub jakiekolwiek inne urządzenie. To są bardzo poważne sprawy, poważne problemy. Nawet duże firmy padają ofiarami oprogramowania szyfrującego dane i wymuszającego okup. Dobrym przykładem jest Garmin – ja akurat jestem użytkownikiem zegarków sportowych Garmina. W zeszłym roku

przedsiębiorstwo padło ofiarą takiego ataku. Stanęły mu linie produkcyjne, ponieważ wszystkie dane zostały zaszyfrowane i zwyczajnie nie byli w stanie produkować tych zegarków. 

 

Wymieniłeś całkiem sporo tych ataków, dziękuję za zapisanie ich. Żeby jeszcze bardziej pokazać, jaka jest skala tego zagrożenia, wiem, że jako cyber_Folks robiliście badania na temat ataków również w Polsce. Mógłbyś powiedzieć o tym coś więcej? 

 

Tak, to jest dość interesująca i ponura statystyka. Jeśli chodzi o te badania, to mamy nasz autorski system WAF (Web Application Firewall), czyli takie oprogramowanie w warstwie aplikacyjnej. Ono otwiera się i działa zanim twoja aplikacja zostanie uruchomiona – twój WordPress, Joomla lub Drupal, czyli jakakolwiek aplikacja webowa działająca w środowisku PHP. Zanim się uruchomi, to ruch jest analizowany przez naszego WAF-a. Jest on bardzo specyficzny. 

Oprócz tego, że korzystamy z rozwiązań globalnych, na przykład w firmach hostingowych czasami używa się ModSecurity, jest to specjalny moduł do serwera WWW. Podobnie jak programy antywirusowe ma pewne sygnatury niebezpiecznych żądań. Wychwytuje te żądania zanim dotrą do aplikacji. Jednak są to rozwiązania globalne. 

Natomiast czuliśmy potrzebę, żeby naszym użytkownikom dać coś więcej i stworzyliśmy własny system WAF. Własny z kilku powodów. Przede wszystkim dopasowany do polskiej specyfiki. Chodzi o to, że wszystkie zagraniczne systemy muszą działać na skalę globalną i w związku z tym nie zawsze mogą tak bardzo dopasować się do specyfiki danego kraju czy nawet konkretnego języka. My natomiast, ponieważ obsługujemy klientów polskich, możemy sobie pozwolić na pewne reguły, które w skali globalnej by nie przeszły. Dla nas, dla ochrony polskich właścicieli stron WWW i stron kierowanych do Polaków – mogą się świetnie sprawdzać. Mamy system, który również posiada bazę reguł. Nie jest domyślnie włączony, użytkownik sam decyduje, czy go włączyć, czy nie, ponieważ jest to jedynie nasze domniemanie, że akurat masz stronę po polsku. Możesz przecież mieć stronę o chińskich pieskach i chcieć napisać rasę psów oryginalną pisownią.

I tak się właśnie stało – dlatego mówię o chińskich pieskach. Mieliśmy taki przykład, że wycinaliśmy cały język chiński, ponieważ dużo spamu przez formularze było po chińsku. I trafiliśmy na hodowlę chińskich piesków! I pani powiedziała: „Zaraz, włączyłam sobie wasz system, a teraz na moim blogu nie mogę dodać pieska!”. 

To się więc zdarza. Stwierdziliśmy, że lepiej będzie, jak użytkownik sam sobie to włączy, w bardziej świadomy sposób. Użytkownik u nas ma możliwość sterowania tymi regułami, natomiast ten system poza tym, że chroni, to oczywiście zbiera też dane o atakach i stąd wiemy, co atakuje polskie strony www. 

Jeśli chodzi o statystyki, to najwięcej ataków jest z USA. System zatrzymał ponad pół miliona żądań do stron użytkowników, którzy chcieli się chronić. W tych statystykach króluje XMLR-RPC. To jest technologia w WordPressie, która umożliwia manewrowanie nim w sposób zdalnym, ale jest dosyć stara. Teraz częściej korzysta się z API normalnego, wordpressowego. Jest też bardzo szybka i coraz rzadziej używana, bo była stosowana przy jetpacku, koniecznym do tego, by w tych aplikacjach zainstalowanych na komórce lub tablecie, móc sobie łatwo zarządzać swoją stroną. 

 

Jeśli chodzi o statystyki, to najwięcej ataków jest z USA. System zatrzymał ponad pół miliona żądań do stron użytkowników, którzy chcieli się chronić. 

 

Jeśli ktoś wykonywał skuteczny atak na ten XMLR-RPC, to mógł zdobyć kontrolę nad twoim WordPressem. I teraz, oczywiście dużo zależy od tego, co my definiujemy jako atak, ale ponieważ dzisiaj XMLR-RPC bardzo rzadko jest potrzebne, mało użytkowników go do czegoś dziś używa, to i ja traktuję każdą próbę dotknięcia tego pliku XMLR-PHP, który jest w WordPressie jako skanowanie podatności, jako próbę sprawdzenia, czy ty masz dostęp, czy ten plik jest w ogóle dostępny, czy ja mogę próbować coś na nim zrobić. Bo skoro właściciel strony nie potrzebuje tego do niczego i najlepiej jakby sobie gdzieś w .htaccessie wyłączył dostęp do tego XMLR-RPC, a mimo to ktoś próbuje to macać, to dla mnie oznacza, że ta osoba nie ma dobrych zamiarów. Ty nie masz w tym żadnego interesu, żeby wiedzieć, czy ja to mam dla ciebie otwarte czy nie!

Dla mnie próby dotykania pliku – traktuję to jako atak. I tego jest najwięcej. 62% całego ruchu, który zatrzymaliśmy wiąże się właśnie z tym macaniem pliku XMLR-RPC. 

W drugiej kategorii mamy SPAM po angielsku. To jest fenomen, co my możemy robić, a globalny dostawca nie. Możemy bardzo agresywnie ciąć angielski. Jak robić jako Polak bloga o życiu tej rybki w szklanej kuli, to raczej nie spodziewasz się anglojęzycznych komentarzy. Jeśli tak, to nie masz obowiązku korzystać z tej ochrony i możesz sobie odcheckować, ale większość, którzy w Polsce prowadzą strony nie spodziewa się ich. Umówmy się – większość anglojęzycznych „Jaki piękny, wartościowy wpis”, „Tutaj link do mojej strony” i tym podobne. My możemy sobie pozwolić na bardzo agresywne cięcie języka angielskiego. I to jest dosyć duża przewaga, bo dla nas 10% ruchu, który zatrzymujemy dzisiaj to jest właśnie angielski. 

Potem mamy próbę SQL injection, tutaj kolejne 10% i szeroko rozumiany SPAM przez formularze, ale SPAM chętnie rozwinę. SPAM angielski – wiemy, to są bliżej nieokreślone tematycznie wpisy, ale wiemy, że są po angielsku i mają pewne wzorce językowe, charakterystyczne dla spamerów, typu: „Please, visit my website”. 

Ale – dalej mamy bogatą kategorię: spam chiński. Wszystko, co zawiera znaki z pewnego zakresu kodowego, można sobie to preg_matchem znaleźć, spam medyczny. Cialis, viagra, środki na odchudzanie, środki na wypadanie włosów, cała apteka. I tutaj też możemy sobie na to pozwolić, wtedy kiedy wiemy, że ty nie prowadzisz serwisu o tematyce medycznej. Ale gdybyś prowadziła aptekę online, to musisz sobie wyłączyć filtrowanie takich regułek, takiego ruchu. 

Tam są nazwy różnych leków, które często występują w spamie, na przykład VIcodin, przeciwbólowy lek. Jeżeli ktoś prowadzi ten biznes, to nie może korzystać z tej regułki, więc to musi być customizowane. Niemniej jednak bardzo dużo tego medycznego spamu łapiemy. 

Później mamy spam finansowy, głównie bitcoiny, dostałem spadek po nigeryjskim księciu i tak dalej. To już historia internetu! Spam porno, tego też jest sporo, chociaż on wcale nie dominuje, ale też łapiemy go dużo. Pół procenta zatrzymanego ruchu dotyczy właśnie stron dla dorosłych. Spam z dziwnymi linkami, bo zakładamy, że rzadko kiedy ktoś powinien w ogóle takie linki zostawiać w tych formularzach. I wciąż, taka ciekawostka, Revslider, bo ja cały czas tak do tego WordPressa, bo jest bliski mojemu sercu, ale to dlatego że to jest 2/3 polskich CMS-ów. Dużo ruchu na WP – Revslider. Mamy na to nawet osobną regułkę. Chodzi tutaj o plug-in, slider obrazków. To jest bardzo ciekawe. 

W pewnych wersjach te slidery, konkretnie Revslider miał podatność, która z grubsza działała w ten sposób, że można było przekonać tę wtyczkę, że ty chcesz wyświetlić obrazek. Zamiast ścieżki do obrazka, podawałeś ścieżkę do pliku konfiguracyjnego, WordPressa i on wyświetlał jako plik konfiguracyjny z danymi do bazy, sądząc, że wyświetla obrazek, mówiąc w uproszczeniu. 

Popularność wiąże się z tym, że plug-in stał się bardzo popularny, dlatego że on jest często w różnych motywach premium, a nawet tych bezpłatnych – na różnych giełdach czy stopach z motywami. To po prostu jest efektowne, bo producenci tych motywów wrzucają ładne zdjęcie, ono się ładnie, efektownie też przemienia i na ludziach robi to wrażenie. Chcą mieć to na stronie. Wszystko fajnie, ale jak nie dbają o aktualizowanie, to narażają się. Każdy plug-in, którego nie aktualizujesz, naraża cię na spore ryzyko, a statystyki są ponure, bo my to też badamy – ok. 80% WordPressów ma przestarzałe, nieaktualne plug-iny. Bardzo dużo! 

Nie ma żadnych badań, które by mówiły, że slider jako forma wyrazu – teraz mówię bardziej jako osoba z marketingu niż IT – robi cokolwiek dobrego dla konwersji, dlatego że użytkownik długo pozostaje na stronie. Nie ma takich badań! 

Są badania, np. badania Nielsena – czyli dosyć wiarygodne źródło, które mówią, że jest to wręcz bez sensu, bo jak masz 3-4 odsłony bannera, to i tak 95% kliknięć jest tylko na pierwszej odsłonie, nikt nie klika w dalsze! UX-owo: wyobraź sobie sytuację, że czytasz jakąś treść, już prawie chcesz dokonać jakiejś mikro konwersji, przejść dalej, a tu nagle w innej części ekranu albo ci to ucieka, albo coś się zmienia i już się rozkojarzysz. Wzrok idzie już w inne miejsce. 

Rzadko kiedy jest uzasadnienie, a jednak ludzie chcą z tego korzystać. 

 

Powiedziałeś bardzo dużo na temat zagrożeń, tego, jakie są wektory ataku, to teraz przejdźmy do tego, jak się przed tym wszystkim bronić. Zanim poproszę cię o przedstawienie możliwości obrony naszej strony, to może powiedzmy o tym, co jest trochę wcześniej – czyli domenie. Jakie mamy tutaj możliwości? 

 

Super, że o to pytasz, bo rzeczywiście, zanim uruchomimy stronę, to rejestrujemy jakąś domenę i tu jest już spore pole do popisu, jeśli chodzi o bezpieczeństwo, bo mało kto, rejestrując domenę myśli o tym, że sama domenowa nazwa może nieść w sobie jakieś rodzaje podatności. Tutaj te podatności to przede wszystkim mam na myśli typosquatting, czyli wykorzystanie nazwy łudząco podobnej do twojej, a różniącej się jednym klawiszem, stąd od „typing”, czyli „pisać na klawiaturze” i „squatting”, czyli „zamieszkiwanie pustostanów”. 

 

Tutaj te podatności to przede wszystkim mam na myśli typosquatting, czyli wykorzystanie nazwy łudząco podobnej do twojej, a różniącej się jednym klawiszem, stąd od „typing”, czyli „pisać na klawiaturze” i „squatting”, czyli „zamieszkiwanie pustostanów”. 

 

To jest wyszukiwanie nazwy domeny, która brzmi bardzo podobnie. Dzisiaj już były takie przykłady, np. mBank, mBenk. Onet, Onat. Jedna literka, zazwyczaj at, która sąsiaduje z twoim klawiszem na klawiaturze. I ktoś może mieć domenę, która wygląda bardzo podobnie, różni się niewinnie tylko tą literką i żerować na tych użytkownikach twojej strony, którzy się zwyczajnie pomylą. Nacisną nie ten klawisz, bo był blisko na klawiaturze. 

Na stronie siderfolks.pl, w menu domeny „ochrona marki” jest takie narzędzie i tam bezpłatnie można sobie sprawdzić podatność swojej strony na tego typu ataki, manewry. To jest soft, który ja osobiście pisałem, stworzyłem go w oparciu o badania prowadzone na Harvardzie właśnie na tematy typosquattingu, gdzie autorzy po prostu opublikowali wyniki badań na temat podatności domen, tylko pewnie głównie skupiali się na domenie „com”. Natomiast pewne mechanizmy, chociażby z tworzeniem map podobieństwa klawiszy, wykorzystałem w swoich pracach i to narzędzie dostępne bezpłatnie. 

Jeśli dostrzegamy takie zagrożenie, warto pomyśleć na początku – zarejestrować taką domenę, żeby ktoś inny tego nie zrobił, jeśli uważamy, że jest to ekonomicznie uzasadnione. 

Inny przykład to atak homograficzny, czyli ten związany z podobieństwem co do wyglądu. Np. cyrylica ma litery bardzo podobne do niektórych liter alfabetu łacińskiego, np. rosyjskie „t” wygląda jak nasze „n”. One brzmią inaczej, mają pod spodem inny kod, ale ich graficzna postać jest łudząco podobna. W zasadzie nie do odróżnienia więc korzystając z innych alfabetów można spreparować taką nazwę, która będzie wyglądać na łudząco podobną do naszej, chociaż tak naprawdę nie jest nasza. Domenowi rejestratorzy się przed tym bronią, na przykład nie możesz zarejestrować mieszanych nazw, czyli że część nazwy jest alfabetem łacińskim, a reszta, jedna literka w cyrylicy. Musisz się zdecydować. Albo wszystko cyrylicą, albo wszystko łacińskim. To troszkę ogranicza takie ryzyko, ale to jest ciekawy, spektakularny atak. Rosyjscy naukowcy opublikowali badania na ten temat na przykładzie domeny microsoft.com. Napisali cyrylicą! Okazuje się, że można robić takie rzeczy. 

Inny przykład to 0 zamiast o. Wygląda bardzo podobnie i łatwo kogoś wprowadzić w błąd rejestrując tego typu domenę, plus oczywiście cybersquatting, czyli czyhanie n nazwy, które wyglądają na podobne, na przykład różnią się tylko końcówką, bo ludzie nie przywiązują zazwyczaj takiej wagi do końcówki domenowej, czy to jest.pl, czy com.pl czy .com – łatwo się pomylić. Łatwo komuś wmówić, że jest na innej stronie. 

Problemy dotyczą też czasem myślnika, czyli jeśli ktoś ma dwuczłonową nazwę, to może być tak, że ktoś ma nazwę z myślnikiem, ktoś bez i to są dwa, zupełnie różne podmioty. Tak może się zdarzyć. 

Jeżeli więc to twoja nazwa, to zadbaj o to, żeby mieć te warianty w swoich rękach, aby nie powodować, nie dawać nikomu możliwości wykorzystania tego. 

Także – warto po prostu przemyśleć już na etapie rejestrowania swojej nazwy, swojej domeny, jakie korki chcemy odjąć pod kątem IT, czyli zarejestrowania również innych nazw domenowych. 

Wiadomo, trzeba zachować jakiś umiar, bo można sobie znaleźć kilkadziesiąt takich możliwości ataku na twoją nazwę, ale przynajmniej te dwie, trzy takie, które wydają się najbardziej prawdopodobne, jeśli twoja strona ma charakter biznesowy – ja bym sobie pewnie zarejestrował. 

Druga sprawa, bardzo polecam zastrzeżenie znaku towarowego. Jeśli twoja nazwa może być znakiem towarowym, to tutaj warto się skonsultować z rzecznikiem patentowym albo prawnikiem i dokonać takiej rejestracji, razem z rejestracją domeny, bo wtedy jest dużo łatwiej dochodzić jakichkolwiek swoich praw, jeżeli w przyszłości doszłoby do jakichś konfliktów, ktoś by się próbował pod ciebie podszywać. Także są to kroki zarówno informatyczne, jak i prawne, które warto podjąć na tym etapie. 

Natomiast wracając już do samej ochrony strony internetowej, jako takiej, to jest kilka elementów „dla każdego”. Bo wiadomo, że tutaj nie ma jednego rozwiązania. Jeśli chodzi o jedno, to ja cały czas to podkreślam, że bezpieczeństwo to proces. Czyli pamiętajmy, że to nie jest jednorazowa rzecz, czynność, którą możesz sobie wykonać w odniesieniu do swojej strony. To jest coś, o czym trzeba myśleć w trybie ciągłym. Kilka podstawowych wskazówek dla osób, które nie są specjalistami, jeśli chodzi o bezpieczeństwo, ale mogą już coś zrobić, żeby ich strony działały lepiej. Zacznijmy może od tego – po pierwsze, żeby sobie świadomie wybrać hosting, na którym tę stronę trzymają. Chodzi tutaj przede wszystkim o mechanizmy zabezpieczające, typu WAF, powiedziałem przed chwilą o tych badaniach, że tutaj staramy się zapewnić dodatkową warstwę ochronną i dobrze jest po prostu zapytać w tej firmie hostingowej, którą rozważamy, w jaki sposób oni chronią strony przed wrogim ruchem. 

Po drugie – kopie bezpieczeństwa, wiadomo – jako właściciel strony dobrze jest te kopie wykonywać we własnym zakresie, ale jeszcze lepiej. Kiedy myśli o tym operator hostingowy i czy właściciel będzie o tym pamiętał czy nie, to ta kopia będzie wykonana. Ważne więc, żeby była wykonana codziennie, w przypadku stron takich transakcyjnych jak sklepy internetowe to jest nawet wskazane kilka razy dziennie wykonywać np. kopię baz. Bo to się zmienia najszybciej, cały czas wchodzą nowe zamówienie, rejestrują się nowi klienci i tutaj dobrze jest mieć nawet kilka razy dziennie taką kopię. Poza częstotliwością wykonywania kopii ważne jest, żeby była odpowiednio długo przechowywana. O co chodzi? 

O to, że ta kopia jest czasami jedyną szansą na odzyskanie serwisu, nazwijmy to w wersji jeszcze nie zhakowanej. Wyobraź sobie teraz tę sytuację, że jeżeli wykonujesz ja codziennie, ale trzymasz ją tylko jedne, dwa dni, a wyjeżdżasz na tygodniowy urlop i w tym czasie ktoś zhakuje twoją stronę, wracasz i mówisz „Przywrócę sobie z kopii zapasowej czystą wersję”, ale niestety – mówimy tu o cyklach dwudniowych, no to w kopii zapasowej masz tę wersję zainfekowaną. 

W takim wypadku lepiej stawiać na tych operatorów, którzy długo te kopie przechowują. Jak długo? Zależy na jak długie urlopy się wybierasz, ale wydaje mi się, że takie 14-21 dni to jest rozsądne minimum, żeby to przechowywać. 

Jeśli chodzi o bezpieczeństwo danych na wypadek ich zmanipulowania, bo to oczywiście również takie kopie cię chronią, jak ty sobie coś popsujesz na stronie, możesz sobie zawsze do takiej kopii zajrzeć. 

Przestrzegam przed bezrefleksyjnym przywracaniem kopii, bo często ludzie myślą, że przywrócą sobie tę stronę z kopii i mają spokój, bo ona działa. Przez chwilę tak – ale zaraz znowu zostanie zhakowana, bo masz tam stronę, która wprawdzie jest wolna od infekcji, ale jednocześnie na nią podatna, bo już to wiemy. Skoro została zhakowana – to oznacza, że ta podatność w niej tkwi i to jest tylko kwestia godzin albo dni, kiedy ponownie padnie ofiarą tego ataku, więc przywrócenie tej kopii to jest tylko taki wstęp, pewna pomoc, nie pozwolić porównać wersji plików, co tam zostało zmanipulowane. Ale praca polega na tym, żeby zaprzeczyć tę stronę. 

Co może robić zwykły użytkownik, a czego często nie robi, to jest dbanie o odpowiednie hasła. Cały czas to powtarzam – hasła do poczty, do bankowości, czegokolwiek. Ale przypomnijmy, bo warto o tym mówić – to są podstawowe sprawy związane z hasłami, więc warto o nich przypominać nie tylko w kontekście stron, ale w ogóle. Po pierwsze, żeby hasła były nie trywialne, czyli nie stosujmy hasła adminadmin. Nie stosujmy hasła typu admin1234. Najczęściej hasło kończy się na cyfrę 9, bo mechanizmy wymagają, żeby były litery i cyfry, to ludzie zazwyczaj dają 9 na końcu – albo z przodu 1. 

 

Co może robić zwykły użytkownik, a czego często nie robi, to jest dbanie o odpowiednie hasła. Cały czas to powtarzam – hasła do poczty, do bankowości, czegokolwiek. 

 

Istnieje mnóstwo – my mamy nawet takich mechanizm audytów WordPress, każdy może sobie u nas kliknąć zrób audyt WordPress na hostingu WordpPress i sprawdzamy mu siłę haseł, które ma w swojej bazie dla użytkowników. Na podstawie publikacji Symanteca, Niebezpiecznika, jeszcze tam paru innych, światowych oraz polskich źródeł, utworzyliśmy listę najczęściej występujących haseł! I tam są oczywiście: admin, administrator, 1234, ale taka ciekawostka nasza lokalna – okazuje się, że w Polsce bardzo często hasłami są nazwy klubów piłkarskich. Jest mnóstwo haseł typu Legia, Widzew, Arka i tak dalej. Zależy kto jest fanem jakiego klubu, ale poza wulgaryzmami – bo wiadomo, w tym celujemy, to właśnie te nazwy klubów sportowych powtarzają się bardzo często. 

Także – przestrzegam przed tymi słowami. Najlepsze hasła to te odpowiednio długie, żeby miały kilkanaście znaków, różnorodnych. Małe, wielkie litery, znaki specjalne, ale tego nikt nie zapamięta, dlatego myślę, że fajnym rozwiązaniem są wszelkiego rodzaju aplikacje. Sam używam KeePassa, uważam, że to naprawdę fajny sposób na trzymanie hasła. Są tak zaszyfrowane – moim zdaniem to naprawdę lepsze rozwiązanie niż stosowanie wszędzie łatwego do odgadnięcia hasła. 

Ważne jest to, żeby były różne do różnych serwisów. Nie, że w jednym serwisie logujemy się tym samym hasłem co do tysiąca innych, bo tak jest nam wygodnie, bo jeśli sobie zainstalujemy takiego KeePassa to będzie wygodnie nam w każdym miejscu, bo jednym kliknięciem i tak się wszędzie zalogujemy, ale jednocześnie te hasła będą różne. Nawet gdyby któryś serwis został skompromitowany, jego dane wykradzione, to tracimy tylko jeden serwis, a nie wszystko. 

Wariant naprawdę minimum to przynajmniej hasła do spraw prywatnych trzymajmy osobno od takich bardziej finansowych, żeby ktoś się nie zalogował do banku tym samym hasłem co do naszej skrzynki pocztowej. To jest bardzo ważne. 

Kolejna sprawa: certyfikat SSL. Warto o tym pamiętać. W Polsce, jeśli chodzi o WordPress, ostatnio robiliśmy takie badania – okazuje się, że ci, którzy dbają o swoje strony i mają aktualne wersje WordPressa, to są już świadomi w pewnym stopniu, bo ok. 60% użytkowników WordPressa w Polsce, pamiętało o certyfikacie SSL. Natomiast w przypadku starszych wersji to jest zaledwie 20-30%.

Jeżeli zaledwie co piąta, co trzecia strona jest chroniona SSL-em, to brzmi to źle. Pokutuje taki mit, że ja mam SSL na stronie, czyli moja strona jest już bezpieczna i odhaczam sobie, że bezpieczeństwem się nie muszę zajmować. Warto głośno to powiedzieć: certyfikat SSL pełni dwie funkcje. Uwiarygodnienia tego, kto jest właścicielem danej domeny, jest to słabsze lub mocniejsze, w zależności od poziomu walidacji tego certyfikatu oraz to, co na co dzień jest bardziej odczuwalne, szyfruje komunikację pomiędzy stroną i serwerem, a dokładniej rzecz biorąc, pomiędzy przeglądarką użytkownika i serwerem. Czyli jeżeli użytkownik wpisuje jakieś dane do formularza, to one zostają jeszcze w jego komputerze, telefonie zaszyfrowane i w takiej zaszyfrowanej postaci transmitowane na serwer i dopiero serwer je sobie odszyfrowuje. 

To chroni tylko przed podsłuchiwaniem transmisji. To nie chroni przed wirusami na stronie, przed wykradzeniem bazy danych, spamowaniem przez formularz, nie ochroni cię przed tym, że ktoś założy sobie na twojej domenie fikcyjny sklep internetowy. Przed Ransomware cię to nie ochroni. To tylko chroni w warstwie transmisyjnej, dane przed podsłuchiwaniem. 

Ludzie myślą, że ten certyfikat to jest rozwiązanie na wszystko. On jest konieczny, jest koniecznym elementem systemów bezpieczeństwa i myślenia o bezpieczeństwie stron dzisiaj. Bardzo sprzyja też pozycjonowaniu, zaufaniu użytkownika do strony. Bardzo wiele pozytywnego wpływu na stronę, ale nie jest tym, co chroni przed infekcjami, włamaniami na nią. 

Certyfikat mieć jak najbardziej polecam, zwłaszcza że w wielu wypadkach można go mieć bardzo tanio albo wręcz bezpłatnie, natomiast pamiętajmy, że on nas nie ochroni przed tymi wszystkimi zagrożeniami. Warto dbać o aktualność oprogramowania, to jest konieczne, bo świat się rozwija bardzo szybko, stąd bezpieczeństwo to jest proces, że mamy coś, co się dzisiaj wydaje bezpieczne, a za dwa miesiące ktoś znajduje w tym lukę umożliwiającą skuteczne przejęcie kontroli nad naszą stroną, więc to jest konieczność nieustannego aktualizowania komponentów, co jest z jednej strony coraz łatwiejsze, bo współczesne CMS-y nas w tym wspierają poprzez różne mechanizmy automatycznej aktualizacji, z drugiej strony przy rozbudowanych serwisach może to stanowić pewne wyzwanie, bo czasami nowsze wersje, poza poprawkami bezpieczeństwa wnoszą pewne różnice funkcjonalne. Na przykład style CSS się mogą rozjechać albo coś się może wydarzyć przy takiej aktualizacji, więc nie zawsze jest to takie proste, ale zawsze warto się zastanowić przynajmniej, czy ja chcę zaktualizować, czy na pewno chcę trwać przy starej wersji, bo stara wersja bywa ryzykowna. 

Kolejny element: Korzystanie z nowych wersji PHP na serwerze. Głównie chodzi o programowanie PHP. Są strony, które są napisane dawno temu, kiedy królowały starsze wersje PHP i teraz z przyczyn kompatybilności operatorzy hostingowi pozwalają na przykład wykonywać kod w wersji PHP56, takiej archaicznej już. Ale ona jest dawno nie wspierana – nikt tam nie pisze nowych łatek bezpieczeństwa do tej wersji, natomiast jeśli masz stronę, która dawno temu została stworzona i to w oparciu o ten język jest niekompatybilna z nowszymi wersjami, więc tkwisz na tym starym, a archaicznym PHP-ie, dopóki jeszcze firma hostingowa go ma, bo w pewnym momencie też trzeba go wyłączyć. Nie da się w nieskończoność ściągać takich starych, niewspieranych technologii. Jest to istotny czynnik narażenia. Znowu – bezpieczeństwo to proces, bo wymaga to jednak dopasowania twojej strony do nowszych wersji PHP i ja zawsze rekomenduję, żeby strona działa z najnowszą wersją, z jaką jest w stanie, bo to jest bardziej bezpieczne i najbardziej wydajne, bo te nowe wersje bardzo często mają coraz wyższą wydajność, oprócz tego, że są bardziej bezpieczne i że mają nowe funkcje. 

Bardzo dyskusyjne jest natomiast korzystanie z plug-inów do bezpieczeństwa. Jak masz CMS typu Joomla czy WordPress, to jest to taka pokusa, że sobie zainstalujesz taki kombajn do bezpieczeństwa, np. Wordfence czy podobny i ten kombajn to jest po prostu wtyczka, która również stara się analizować ten przychodzący ruch do ciebie i zabezpieczać stronę. 

To jest praktyka dyskusyjna. Plusy są takie, że jak ktoś się nie zna, to wtyczkę pisali programiści, którzy mają już jakąś wiedzę informatyczną, więc na pewno ten poziom wiedzy tam się znalazł i są w stanie wychwycić pewne zagrożenia, których ty jako laik nie wychwycisz. Po drugie, taka wtyczka w sposób niemalże automatyczny, na takich domyślnych ustawieniach odfiltruje ci bardzo dużo groźnego ruchu, zagrożeń, ataków na twoją stronę, prób wielokrotnego logowania i tak dalej. 

Po trzecie – sam fakt, że ta wtyczka ci to zaraportuje, to już ma szansę wpłynąć na ciebie motywująco, żeby się zacząć tym bezpieczeństwem interesować. Mogę być zupełnie nieświadomy, że ktoś ma złe zamiary wobec mojej rybki w szklanej kuli, ale jak mi ta wtyczka w kokpicie wypisze „Hej, miałeś z terenu Federacji Rosyjskiej takie i takie próby logowania, było ich 57 000 w ciągu zeszłej doby”, to daje do myślenia. W tym momencie zaczynasz się zastanawiać nad tym bezpieczeństwem strony, chociaż wcześniej w ogóle cię to nie interesowało. Jest taka funkcja motywacyjna, tak bym powiedział. 

Są też minusy. Ta wtyczka to jest jakieś oprogramowanie zbudowane jako wtyczka, czyli ma pewną przewidywalną i dosyć dobrze udokumentowaną strukturę, jest umieszczone w tym folderze, gdzie wszystkie wtyczki w twoim CMS-ie, więc teoretycznie również może być łatwym łupem dla atakujących i tak się w przeszłości działo. Były plug-iny wyspecjalizowane w bezpieczeństwie, ale one tworzyły same z siebie dodatkową podatność, bo to był dodatkowy kod umieszczony w przewidywalny sposób w twojej instalacji i on powodował, że ktoś mógł wykorzystać podatność w tym kodzie, żeby przejąć kontrolę nad WordPressem. I to, co miało leczyć, to tak naprawdę stawało się wrotami infekcji – i do takich sytuacji w przeszłości dochodziło. 

To raz. Dwa – istnieje taki pogląd tutaj, znany specjalista od bezpieczeństwa WordPressa, Krzysiek Dróżdż, on ma fajne określenie, że to tak jakbyś stał w środku w bramce i ktoś by strzelał gola. I ty łapiesz tę piłkę, ale stojąc już wewnątrz bramki, więc de facto ten gol jest wpuszczony, bo ty jesteś za tą linią, już stoisz w środku. 

Skoro ta wtyczka jest wewnątrz strony i to zagrożenie niejako dojdzie do tego miejsca, to tak jakby ten bramkarz złapał piłkę, ale już stojąc w środku bramki, więc de facto gol niezaliczony. To jest za późno, żeby skutecznie chronić stronę. 

Są więc plusy i minusy takich wtyczek. Osobiście mam takie przekonanie, że jeżeli ktoś naprawdę nic nie wie o bezpieczeństwie, to najlepiej asygnować choćby drobny budżet na godzinę konsultacji u jakiegoś specjalisty IT, który pomoże mu to zabezpieczyć, zrobi mu parę wpisów w .htaccessie, uporządkuje skład loginów od baz danych, prefiksów, takich rzeczy, które mu znacznie obniżą ryzyko zaatakowania strony. 

Jeśli nie masz budżetu, strona jest bardzo prywatna, to może to być lepsze rozwiązanie niż nie robić nic. Jest to na pewno kontrowersyjne. 

Wróciłbym jeszcze do logowania – tutaj warto też pamiętać, że są dzisiaj coraz bardziej popularne mechanizmy autentykacji dwuskładnikowej, czyli poza tym, że podałeś login, hasło, to przepisujesz kod z SMS-a albo bezpłatnej aplikacji Google Authenticator. To też znacznie pomaga w bezpieczeństwie, dla troszkę bardziej zaawansowanych polecam ograniczenie logowania do twoich systemów tylko do tych adresów IP, z których się logujesz. To też jest dosyć silne zabezpieczenie. Także warto w ten sposób o tym myśleć i myśleć o tym ciągle. Nie, że jednorazowo – tylko przy stworzeniu strony, tylko pamiętać, że ta strona będzie wymagać nieustannej opieki i aktualizowania. 

 

Właśnie, to jest proces – trzeba nad tym myśleć, trzeba aktualizować plug-iny, wersje, o tym tutaj wspomniałeś. Myślę, że też mocno pomaga dobry hosting. To jest taka współdzielona odpowiedzialność, prawda?

 

To, co wspomniałem – hosting może ci zatrzymać część wrogiego ruchu, tak jak my zatrzymujemy ten spam w języku chińskim albo atak na Revslider czy wiele, wiele innych zagrożeń. Zorientowałem się, że tak opowiadałem o statystykach, a nie powiedziałem, jaka jest liczba końcowa, która z nich wynika. Otóż – przeciętnie, średnio, strona w Polsce jest atakowana 6 000 razy rocznie. 6 000 requestów. A wystarczy, że powiedzie się tylko jeden! A ich jest 6 000. To jest soor – i czy zdajesz sobie z tego sprawę czy nie, średnia ma to do siebie, że niektórzy są znacznie powyżej tej średniej, więc możesz sobie wyobrazić, że twoją rybkę w szklanej kuli atakuje kilkanaście czy nawet kilkadziesiąt tysięcy razy rocznie, więc to są ogromne liczby. 

Hosting, który pomoże wyłapać te wrogie żądania to raz, ale hosting, który pomoże też, jeśli chodzi o backupy, to dwa. To też jest ważne, bo to czasem jest ostatnia deska ratunku. Jak nie umiesz sobie uratować strony sam, to sobie przywrócisz jakąś nie zainfekowaną wersję i myślę, że trzy – hosting może pomóc po prostu uświadamiając cię w wielu obszarach. Niektóre firmy hostingowe po prostu chętniej dzielą się wiedzą niż inne i prowadzą różnego rodzaju czy webinary, czy mają wpisy blogowe, czy bardziej po prostu dbają o to, żeby klienci testowali odpowiednie instrukcje i to też jest duża pomoc dla osoby, która się na tym nie zna, a może sobie przeczytać fajny tutorial jak tam w paru kliknięciach naprawdę poprawić bezpieczeństwo tego swojego WordPressa. A odpowiedzialność jest po obu stronach, jeśli chodzi też o taką prawną, to też się rozkłada. Firma hostingowa zazwyczaj odpowiada w związku z powierzonymi danymi osobowymi, bo też trzeba pamiętać, że często mamy te dane osobowe, sklep internetowy a wystarczy, że newsletter już je zbiera! 

Jest umowa powierzenia i tutaj firmy hostingowe odpowiadają, ale trzeba to rozumieć, że firma hostingowa ponosi odpowiedzialność za dane w tej warstwie, w której ona ma wpływ. Czyli: może odpowiadać za to, że ktoś nie przyjdzie do serwerowni i nie wyjmie sobie dysku z serwera, na którym te dane były. W ten sposób ich nie ukradnie. 

Albo, że nie będzie jakiegoś grubego błędu konfiguracyjnego na serwerze, który pozwoli dowolnej osobie zalogować się na serwer jako taki, wejść na twoje konto użytkownika i sobie jakieś dane zmanipulować albo wykraść. Za to owszem odpowiada hosting. Ale hosting nie będzie ponosił odpowiedzialności za to, że masz formularz na stronie źle zaprojektowany i on umożliwia wykonanie ataku SQL injection. To jest warstwa aplikacyjna i za to odpowiada dostawca twojej strony, czy ty, jeśli zrobisz ją sam czy ktoś, kto ci ją zaprojektował. Trzeba to rozumieć, że pewne obszary są w firmie hostingowej, a pewne obszary są w tym podmiocie, który odpowiada za stronę jako taką, bo jedni robią autostrady, a drudzy samochody, które jeżdżą po tych autostradach. 

Ktoś odpowiada za to, że autostrada jest bezpieczna, ma odpowiednią ilość pasów, nie ma dziur w drodze i tak dalej, a ktoś odpowiada za działanie samego samochodu, więc to są dwa różne obszary i one częściowo się zazębiają, mają gdzieś tam te punkty styku. I my też staramy się pomagać w tym obszarze aplikacyjnym właśnie przez chociażby tego firewalla i te backupy również to wspierają, ale na koniec dnia to jednak właściciel strony ponosi odpowiedzialność za to, jak działa strona. 

 

Ktoś odpowiada za to, że autostrada jest bezpieczna, ma odpowiednią ilość pasów, nie ma dziur w drodze i tak dalej, a ktoś odpowiada za działanie samego samochodu, więc to są dwa różne obszary i one częściowo się zazębiają, mają gdzieś tam te punkty styku. 

 

Świetnie! Bardzo ci dziękuję za tę rozmowę, myślę, że o bezpieczeństwie stron, o atakach trzeba mówić, żeby tę świadomość podnosić, dlatego cieszę się, że tak rzeczowo ten temat tutaj poruszyłeś. Wielkie dzięki z mojej strony i na koniec powiedz proszę, gdzie można znaleźć cię w internecie, jak się z tobą skontaktować?

 

Też bardzo dziękuję. Super się z tobą rozmawiało i mam nadzieję, że nasi słuchacze w tym momencie zaczynają bardziej świadomie myśleć o tym bezpieczeństwie strony i już kombinują, jak tutaj to bezpieczeństwo poprawić. 

Można mnie spotkać na LinkedInie, tam jestem najbardziej aktywny. linkedin.com/in/arturpajkert – tak najłatwiej mnie namierzyć. Zapraszam do dodania mnie do kontaktów, do rozmów. Bardzo chętnie dyskutuję na tematy związane ze stornami. I pod kątem bezpieczeństwa, i pod kątem wydajności, i pod kątem marketingowym – to są obszary moich zainteresować. I na cyberfolks.pl również zapraszam, między innymi po bezpłatne analizy, czy twoja nazwa domenowa może być podatna. Znajdziecie to w menu, w zakładce „Ochrona marki i domeny – ochrona marki” i tam jest bezpłatne narzędzie, które pomaga wytypować sobie różnego rodzaju zagrożenia. 

Zapraszam też serdecznie a naszego bloga, dlatego że tam dzielimy się wiedzą i są artykuły pisane i przeze mnie, i przez kolegów, którzy zajmują się takimi twardymi obszarami. Jest na przykład świetny artykuł Pawła Atlewskiego świetny artykuł o bezpieczeństwie WordPressa i tam jest dużo trików dla osób średnio zaawansowanych, jak sobie właśnie tego WordPressa poprawić w kilku kliknięciach, kilku wpisach w .htaccessie co można zrobić, żeby on był bezpieczniejszy. Znajdziecie na blogu również sporo raportów na temat bezpieczeństwa, poziomu polskiego internetu, wersji oprogramowania, takich rzeczy – bo my to nieustannie analizujemy. Co miesiąc około miliona stron internetowych pod kątem podstawowych parametrów związanych z bezpieczeństwem czy technologią jej wykonania, także dzielimy się właśnie tą wiedzą i można sobie to wszystko na naszym blogu przeczytać. 

I zapraszam serdecznie – a jeśli was interesuje bliżej ten WAF, web application firewall, to też możecie sobie przetestować to zupełnie bezpłatnie. Znaczy – to działa w oparciu o nasz hosting. To nie jest rozwiązanie, które można sobie zainstalować gdziekolwiek. Jest ono bezpłatnym dodatkiem do naszych pakietów hostingowych, ale wystarczy sobie jakikolwiek pakiet uruchomić, a możecie każdy na 14 dni, żeby się przekonać, zobaczyć jak wygląda interfejs, jak się rysują mapki świata, skąd przychodzą te zagrożenia, jakie to zagrożenia. Wystarczy sobie po prostu jakąś stronkę wyklikać czy z autoinstalatora WordPressa. W przypadku hostingu WordPress ona się praktycznie uruchomi, więc będziecie mieć gotowego WordPressa i tylko czekać, aż zaraz jakieś roboty go zaatakują, zobaczycie to wszystko na wykresach, liczbach. 

 

Ciekawa sprawa! 

 

I to można sobie bezpłatnie przetestować oczywiście. 

 

Super! Oczywiście wszystkie linki dodam do notatki do odcinka. Z mojej strony, Artur, jeszcze raz bardzo dziękuję. Do usłyszenia, cześć! 

 

Dzięki wielkie! Do usłyszenia! 

To na tyle z tego, co przygotowałem dla ciebie na dzisiaj. Cieszę się, że miałem okazję porozmawiać z osobą, która o atakach na strony internetowe i ich zapobieganiu wie tak wiele.

Artur powiedział bardzo ważną rzecz o tym, że bezpieczeństwo stron internetowych leży zarówno po stronie właścicieli, jak i firmy hostingowej. Dlatego też oprócz naszych działań musimy z głową wybrać firmę hostingową.

Jeśli ten odcinek był dla ciebie interesujący i przydatny, odwdzięcz się proszę recenzją, oceną lub komentarzem w social mediach. 

Jeśli masz jakieś pytania, zawsze możesz śmiało pisać na krzysztof@porozmawiajmyoit.pl. Zapraszam też do moich mediów społecznościowych.

Nazywam się Krzysztof Kempiński, a to był odcinek podcastu Porozmawiajmy o IT o atakach na strony internetowe i ich zapobieganiu.

Zapraszam do kolejnego odcinka już za tydzień! 

Cześć!

 

+ Pokaż całą transkrypcję
– Schowaj transkrypcję
mm
Krzysztof Kempiński
krzysztof@porozmawiajmyoit.pl

Jestem ekspertem w branży IT, w której działam od 2005 roku. Zawodowo zajmuję się web-developmentem i zarządzaniem działami IT. Dodatkowo prowadzę podcast, kanał na YouTube i blog programistyczny. Moją misją jest inspirowanie ludzi do poszerzania swoich horyzontów poprzez publikowanie wywiadów o trendach, technologiach i zjawiskach występujących w IT.