A legkisebb weboldal is lehet célpont!


  • Share on Google+

Minden honlaptulajdonos rémálma, ha egy nap váratlanul valami szokatlannal szembesül a weboldalán.

Sötét kezdőlap. Furcsa, idegen nyelvű szöveg. Halálfej esetleg más rémisztő kép.

De vajon ez a legrosszabb, ami egy feltörésből adódhat?
Milyen veszélyek lesnek még a honlapjainkra?
És kik azok, akik feltörik, mi alapján választanak célpontot?
És ki tud segíteni?

Ennek próbáltunk utána járni: Csermák Szabolccsal a Sensus Informatika Kft. etikus hackerével beszélgettünk a Hackerek éjszakája apropóján.

[divider style=”dashed” border=”small” color=”#32892a”]

Csermák Szabolcs, a Sensus Informatika Kft. etikus hackere

Csermák Szabolcs, a Sensus Informatika Kft. etikus hackere

Szabolcs hackerkedése személyes tapasztalaton alapszik. Még 2001-ben egy webshopos vállalkozás kapcsán kezdett egy barátjával webtárhelyszolgáltatásba. Ugyan volt webprogramozói tapasztalata, de az akkor kevés volt a tárhelyek biztonsági réseinek betöméséhez. Egy napon arra ébredtek, hogy mind a kb. száz ügyfelük weboldalán portugál felirat és egy-egy brazil halálfejes zászló köszönti a látogatót az eredeti honlap helyett. Ezeket az oldalakat akkor helyre hozták, és Szabolcs pedig extra motivációt kapott, hogy elmélyedjen a hackervilágban.

Persze a fehér oldalon, mert mint mondja, benne van egy nagyon erős erkölcsi gát. Míg nem volt etikus hacker, addig persze megfordult a fejében néha, hogy mi mindent lehetne megcsinálni egy-egy rendszeren. Mióta viszont megvan a minősítése, és kifejezetten megbízzák a feltörésekre a tulajdonosok, ki tudja magát élni akár nagyon komoly portálrendszerek vizsgálatában is.

De valóban vannak olyanok a világban, akik számára ez nem elég, vagy akik másképp konvertálják haszonná a tudásukat. Ők cseppet sem etikus módon törnek fel oldalakat, rendszereket.

Mégis miért? Szabolcs szerint a nagy többség csak brahiból csinálja. De vannak olyan szervezetek is (pl. az Anonymus), akik fel akarják hívni valamire a figyelmet a támadásaikkal. Ők kevesebb, de célzottabb és hatékonyabb támadást indítanak. Vannak olyan hackertevékenységek is, amik célja egyértelműen a haszonszerzés. Bankkártya-adatokat lopnak, vagy azért törnek fel weboldalakat, hogy az oda regisztráltak e-mail címeit ellopják és eladhassák a feketepiacon. Vagy, hogy az oldalon keresztül spam üzenetekkel bombázzanak.

[box border_width=”3″ border_color=”#32892a” border_style=”dotted” bg_color=”#f7f7e6″ align=”left”]A Hackerek éjszakája egy ingyenes webes biztonsági gyorsteszt volt, aminek keretében összesen 104 önként jelentkező honlapját vizsgálták meg a Sensus Informatika kft-nél biztonsági szempontból. A vizsgált honlapokon feltárt hibákról a tulajdonosok jelentést kaptak. A teszt azt mutatta meg, hogy van-e az adott honlapon közepes vagy magas besorolású, tehát nagyobb kockázatot rejtő biztonsági rés.

“Én szomorú voltam az eredmények láttán. Korábban a hasonló tesztek során kb. 25%-os volt a komolyabb hibákat tartalmazó oldalak aránya. Azt reméltem, hogy kevesebb lesz a találat vagy legfeljebb ekörül lesz most is. Ehhez képest a Hacekerek éjszakáján 30% fölötti volt a közepes és magas minősítésű hibák aránya. És sok olyan alapvető hiba is jelen voltak, mint az SQL injection és az XSS hibák, amikre évek óta folyamatosan felhívják a figyelmet a biztonsági szakemberek és viszonylag könnyű őket javítani. Én arra számítottam, hogy ennél jobb eredmények fognak születni. De úgy látszik, van még feladatunk.” – mesélt Szabolcs a teszt tapasztalatairól.[/box]

Mi alapján választanak ezek a rossz szándékú hackerek célpontot?

Aki szórakozásból tör fel valamit, az általában olyan oldalakat választ, amire sikeresen bejuthat. Vagy ha valamilyen oldal vagy annak tulajdonosa szúrja a szemét, azt biztosan megtámadja.
Aki közvetlen haszonszerzésre utazik, az azt választja, ahonnan a legtöbb adatot tudja ellopni. Vagy ahol a legnagyobb kárt tudja okozni.
Az általános, például spambotos támadásoknál (amikor a feltört oldalon keresztüli spamküldés a cél) az elterjedtebb rendszereket nagyobb erőbedobással, gyakrabban próbálják támadni. Ezek az oldalak valóban jobban ki vannak téve egy-egy támadássorozatnak.

De könnyebben lehet védekezni is ezeknél, mert vannak speciális védelmet segítő kiegészítők hozzájuk. Szabolcs azt mondja, tévhit, hogy a WordPresst könnyebben fel lehet törni, mint más oldalakat. Az igaz ugyan, hogy a webnek nagyon nagy százaléka WordPress alapú oldalakból áll és nagyon sok támadás is éri ezeket.

Alapvetően, ha frissen tartjuk és felteszünk hozzá néhány biztonsági kiegészítőt, kifejezetten biztonságos rendszer. Akkor szokott probléma jelentkezni, amikor valaki egy egyedi megoldást szeretne hozzá, saját fejlesztésű kiegészítőt vagy mondjuk egy új témát. Ilyen saját fejlesztéssel hatalmas lékeket lehet ütni a hajótesten. Mert bármilyen jól képzett programozó hibázhat. A nyílt forráskódú rendszereket azonban egy több ezer fős közösség fejleszti és teszteli nap, mint nap. Így a hibák és a javítások is hamarabb előkerülnek. (Persze, hogy ez biztonságot adjon, ahhoz frissíteni kell a rendszert időről időre.)

Az egyedi rendszerre épülő weboldalak kimaradnak a nagy szórású támadássorozatokból. De ha valaki célirányosan akar bejutni, akkor egy egyedi rendszerrel akár könnyebb dolga is lehet. Mert abban minden egyedi, a programozó ember, így könnyebben lehetnek észre nem vett hibák.

A Hackerek éjszakája alatti gyorstesztek eredménye

A Hackerek éjszakája alatti gyorstesztek eredménye

Mi a legrosszabb, ami történhet velünk, ha egy ilyen hibát megtalálnak a támadók?

Ritka, hogy ez jutna először eszünkbe, de az egyik legkellemetlenebb: a feltört honlap tulajdonosát előveheti a hatóság. Mert előfordulhat, hogy egy oldalt ugródeszkának törnek fel. Azért, hogy utána azon keresztül indítsanak komolyabb támadásokat pl. banki rendszerek ellen vagy online fizetési szolgáltatók ellen. Ha pedig ennek kapcsán eljárás indul, először a kiinduló honlap tulajdonosát fogja megkeresni a hatóság.

“Ha te nem tudod megmondani, hogy hozzád hogyan került oda egy kártékony kód, akkor neked lehet ebből jogi problémád. Rossz esetben tényleg úgy tudnak bejutni a honlapodra a támadók, hogy annak nem lesz feltűnő nyoma.” – meséli Szabolcs.

A másik veszély, hogy a feltört oldalról spameket küldenek ki. Ilyenkor feketelistára kerülhet a küldő szerver. Vagyis nem fogják fogadni az innen érkező leveleket a mail szolgáltatók, mert automatikusan spamnek fognak minden levelet tekinteni – azokat is, amiket te nem spamként indítottál például az üzleti partnereid, vagy az ügyfeleid felé.

Egy kereskedelmi oldalnál pedig a bizalomvesztés is erős kockázat lehet, ha kiderül egy oldalról, hogy feltörték, és/vagy ellopták az adatokat. Hiszen józan vásárló nehezen tud megbízni egy olyan oldalban, amin ott voltak az adatai, a címe, akár bankkártya-adatai, és tudja, hogy feltörték a honlapot és ezeket elvihették. Valószínű, hogy utána nem szívesen vásárol egy ilyen oldaltól.

Az eddigiekből látható, hogy a kicsi, egyszerű oldalak tulajdonosai sem dőlhetnek hátra. Mert dobbantóként ők is célponttá válhatnak. Szabolcs elmondta, hogy a kisebb, csekélyebb forgalmú oldalak azért is jó célpontok, mert a tulajdonosuk nem is igen veszi észre, hogy probléma van nála. Ők nem néznek rá az oldalra sem a statisztikára naponta, így a szokatlan jeleket sem veszik feltétlenül észre.

[box border_width=”3″ border_color=”#32892a” border_style=”dotted” bg_color=”#f7f7e6″ align=”left”]A teszt összes résztvevőjének honlapjából kb. 30% volt az, ahol magas vagy közepes kockázatú biztonsági hibát találtak. Az egyedi fejlesztésű oldalak több mint 50%-a sérülékeny ilyen hibák miatt, míg a nyílt forrású tartalomkezelőknél ez az arány 20% (ha van saját fejlesztés is) és 40% (ha csak szabadon használható eszközökkel használják) körüli. Utóbbiaknál a közepes besorolású hibák legtöbbször beállításokból adódnak, míg ezeken az arányokon belül a saját fejlesztéseknél a magas besorolású hibák jellemzőbbek.

A leggyakoribb hibák:

  • könyvtár-listázhatóság: elsősorban akkor jelenthet problémát, ha fájlfeltöltésre van mód az oldalon és a rendszer nem ellenőrzi a fájlok típusát. Ha feltölthető például egy .php fájl is profilképként és azt listázni lehet, akkor akár át is veheti az irányítást a honlap felett a támadó. Illetve a tárhelyen tárolt korábbi fájlok, biztonsági mentések is jelenthetnek ilyenkor veszélyt, mert lehetnek bennük olyan adatok, amelyeket nem lenne szerencsés publikussá tenni.
  • SQL injection: az adatbázisok veszélyeztetettek ebben az esetben (ellopható, törölhető, felülírható)
  • XSS hibák: a html forrásba illetéktelenül könnyedén beilleszthetőek káros kódok, pl. átirányíthatóak az oldal látogatói adathalász oldalakra[/box]

Hogyan lehet védekezni?

Azoknál az oldalaknál, amik nyílt forráskódú tartalomkezelő rendszerekre épülnek (pl. WordPress, Joomla) rengeteg kiegészítő létezik, ami segíthet. Van olyan, ami kitiltja az adott felhasználót egy időre, ha többször egymás után elrontotta a jelszót. (Mert előfordul sok esetben, hogy egyszerűen a rosszul megválasztott vagy az alapbeállításból megmaradt felhasználónév és jelszó kombináció miatt egyszerűen a jelszavak eltalálásával jutnak be egy oldalra.

Van olyan kiegészítő is, ami teljes egészében tudja szűrni a felhasználói kéréseket. Például ha van egy sérülékeny bővítményem, akkor egy biztonsági bővítmény abba se enged be olyan kéréseket, amiket nem szabad, hogy az megkapjon. Vannak komplex védelmi pluginek is, mint az Acunetix vagy az iThemes Security.

Az egy egyedi fejlesztésű oldalakkal nehezebb a helyzet. Ott csak azzal lehet védekezni, ha a tulajdonos megkér egy etikus hackert, hogy nézze át ezt az oldalt, van-e rajta kiskapu vagy nagykapu. Vannak ugyan borsos árú termékek, amiket fel lehet telepíteni a szerverre ezeknek az oldalaknak az esetében is (például egy jó eszköz az adatbázisok védelmére a Greensql). De még ezek sem tudnak olyan biztonságot produkálni, amit a humán ellenőrzés és az alapján a hibák javítása tud megadni.

Létezik feltörhetetlen oldal?

Arra a kérdésre, hogy van-e feltörhetetlen weboldal, Szabolcs a következőt válaszolta:Ha egy oldalt nem lehet feltörni, azt lehet csak kijelenteni, hogy oda abban az időpillanatban nem lehetett bejutni.
De főként, ha az oldalon idővel vannak változások (megjelenik egy űrlap, frissül valami funkcionálisan rajta), amik nem lettek még letesztelve, akkor később lehet még sebezhető. Illetve, ha azt gondoljuk, hogy atombiztosra meg van írva az az adott rendszer, akkor még mindig bármikor kiderülhet egy olyan probléma, amit eddig nem vettek észre. Ilyen volt például a heartbleedes hiba nemrég, ami két év után derült ki.

A Hackerek éjszakája alatti gyorstesztek eredménye

A Hackerek éjszakája alatti gyorstesztek eredménye

Mik az árulkodó jelek, hogy baj van az oldaladdal? Mire figyelj, ha szeretnéd azonnal tudni, hogy valaki rosszindulatúan próbálkozik?

Érdemes statisztikákat figyelni az oldalról. Míg a marketing szempontjából fontos eredmények jelzésére alkalmas a Google Analytics, addig itt megbízhatóbbak a szerver oldali statisztikák (nálunk pl. az Awstats ilyen – Gyümölcstárhely). Itt látszhatnak nagy kiugrások. Ha néhány napja még csak napi 50 letöltés volt egy-egy fájlra, aztán hirtelen 50 ezer lesz naponta, akkor az már több mint gyanús. A tárhelyszolgáltatók még észlelhetnek további tüneteket is. Ők nézik az erőforrás-használatot, a terheltséget, nézik a grafikonokat, amiknél szintén szembe tűnő lehet egy-egy kiugrás.

hibatipusok_hej_gyt

A Hackerek éjszakája alatti gyorstesztek eredménye

[box border_width=”3″ border_color=”#32892a” border_style=”dotted” bg_color=”#f7f7e6″ align=”left”]Mit jelentenek a különböző hibakategóriák?

A nemzetközi sztenderdek alacsony, közepes és magas minősítésű biztonsági hibákat csoportosítanak. Ebben a rendszerben a hibák kihasználásának lehetséges hatásai, az előfordulás és a kihasználhatósághoz szükséges erőfeszítések alapján súlyozzák és sorolják be az egyes jelenségeket. A legnagyobb kockázatot a magas kategóriájú hibák okozhatják.

Ha valaki ilyenről kapott jelentést a gyorsteszt után, Szabolcs azt javasolja, mindenképpen nézesse át a teljes rendszerét. Fontos lehet egy alaposabb biztonsági audit, mert lehetnek a gyorsteszt által megtaláltakon kívül további buktatók is az oldalon. Így nem feltétlenül elég a biztonsághoz a gyorsteszt által kimutatott hibákat javítani. A közepes kategóriájú hibák esetén nyílt forráskódú rendszereknél minimum a tartalomkezelők frissítését ajánlják, ami sok hiba kiküszöbölésében segíthet. De itt is érdemes lehet egy alaposabb vizsgálat. Ha az oldal eredeti programozói nem tudnak kapásból megnyugtató megoldással segíteni, Szabolcsék szívesen adnak további tanácsot a teszt résztvevőinek, ami segíthet a hibák javításában.[/box]

Szeretnél többet tudni a honlapokat célzó támadások hátteréről és a témába vágó érdekességekről? Olvass bele egy hacker naplójába Szabolcsnál itt.