Egy tucat wannabe-hacker

Veszélyesek a wannabe hackerek…

Mi tagadás, úgy tűnik a tízmillió hacker országa lettünk. Néhány éve már mindenki programozónak vallotta magát azok után, hogy így-úgy össze tudott rakni egy PHP-ban írt weboldalt (jelentősen hígult is a szakma), most már ott tartunk, hogy mindenki azt hiszi, ért a biztonsághoz. Pedig nem.

Eredetileg erre a csütörtökre egy esettanulmánnyal készültem volna, de az elmúlt két napban nagyon rácsodálkoztam egy-két Facebook hozzászólásra. Történt ugyanis, hogy az egyik csoportban segítséget kért egy hölgy, aki igencsak unta már, hogy havonta törik fel a WordPress oldalát. Elég sok hozzászólás érkezett, ezekből csemegézzünk egy kicsit… A hozzászólásokat szó szerint, copy-paste módon idézem…

1) “Normálisan rendbe kell rakni az oldalt és nem kell havi szolgáltatásért fizetni. Írj rám . Tudok segíteni . “

Az alapvető probléma az, hogy a WordPress esetében mit értünk az alatt, hogy “normálisan rendben kell tenni”? A kód szinte napi szinten változik, jönnek ki frissítések, lehet hogy azért használsz WordPress-t, mert havonta új kampányod van, és néha be kell vetned egy-egy új bővítményt. A nyílt forráskódú világban nem igazán létezik olyan, hogy “egyszer rendesen rendbetenni”. Mert ha nem frissítesz, akkor azért lesz lukas.

2) “A célzott hacker támadásokat nehéz kivédeni. Ha rendszeresen meghackelnek , akkor erről van szó. Van egy jóakaród. Lehet vele kellene rendezni.”

Kac-kac… Egyrészt: látatlanban milyen alapon gondolja azt, hogy célzott támadás? Látta talán a bejuttatott kártevőt? Elárulok egy titkot… Ha célzott támadással találkozol, akkor az a lényeg, hogy ne vedd észre. A WP / Joomla / stb viszonylatában a támadások 99 százaléka nem célzott, hanem botok által végzett, széles körben történő “próbálkozás”. De ha szakember ránéz a feltört oldalra, akkor hunyorogva az első ránézésre meg tudja mondani, hogy célzott volt-e a támadás, vagy sem.

3) “Ha valaki rést akár találni,akkor költhetsz rá akármennyit.”

Látszik, hogy az IT biztonságot még sűrű köd fedi idehaza. Van olyan ügyfelem, aki először nem mert megbízni, mert látta hogy hacker vagyok. Persze etikus hacker, de az emberek még nem tudják hogy ez pontosan mit jelent. Tipikus hozzáállás, hogy mindent fel lehet törni. Én pedig mindig elmondom, hogy ez nem így van. Ha így lenne, akkor a bankoknak nem lenne online felülete, stb. Tény, hogy egyedi rendszerek esetében lényegesen többet kell a védelemre fordítani, de megelőzhető a baj.

4) “Egyértelmű hogy valami nem frissített nyílt forráskódú rendszerre gondol először az ember. Gyakran már frissítéssel megoldható. Ez nem vitás.”

Ez nem vitás??? Dehogynem! Ugyanis ha csak egyetlen egyszer nem frissítettél időben, és bekerült egy kártevő, akkor az első lépése az lesz, hogy nyit egy hátsó ajtót. És ha az a hátsó ajtó ott van, akkor frissíthetsz Te, ahogy akarsz, az nem fog eltűnni. A backdoor tipikusan több, különálló fájlban van, amelyek nem részei a WordPress-nek, így egy frissítés sem fogja őket felülírni.

5) “Azt azért csak elmondhatjuk, hogy nincs feltörhetetlen honlap. Főleg nem egy kis magyar oldal. 🙂 Tor hálózat mögül elég ügyesen lehet dolgozni.”

Három mondat, három tévhit. Egyrészt létezik feltörhetetlen honlap (gondolj egy egyszerű “Hello world” html oldalra.). Másrészt annak, hogy valami törhető-e vagy sem nincs köze a földrajzi elhelyezkedéshez. Harmadrészt meg nagyon okosnak akart tűnni a hozzászóló, ismerte még a “tor hálózat” kifejezést is 🙂 . Csak a jelentésével nincs tisztában. A TOR-t arra szokták használni a támadók, hogy elbújjanak, ne legyenek beazonosíthatóak. De egy oldal feltöréséhez nem kell TOR hálózat. Én sem bújkálok a TOR mögött, mikor oldalakat auditálok.

6) “Az a helyzet , hogy abszolult nem ajánlok wp cms-t . Folyamatosan jönnek hozzánk wp oldalakkal, hogy feltörték … Csak a héten 14 wp oldal jött amit dobjunk ki mert megunták a rendszeres feltörést és írjunk helyette egyedit .”

Jaj-jaj, nagy a baj! Múlt heti posztomban kifejtettem ár-érték viszonylatban a kérdést. Persze, sok pénzt el lehet kérni egy egyedi oldalért, és a robotok ellen többé-kevésbé ellenálló lesz. De ha nem volt rajta biztonsági audit, akkor garantálom hogy célzott támadással simán szét lehet szedni az oldalt.

7) “A sucuri nem fog egy hiányos mysql injectiont rendbetenni”

Ismét egy kedves műértő. Olyan nincs, hogy “hiányos mysql injection”. SQL injection lehetőség vagy van, vagy nincs. De hogy hiányos? A nyílt forráskódú tartalomkezelő rendszerekre nem igazán jellemző az SQLi. Ez inkább az egyedi rendszerek betegsége. Nem mondom hogy WordPress-nél nem fordult elő a történelem során, de ezeket gyorsan javítják. További információ, hogy egy jól beállított WAF (webalkalmazás-tűzfal) azért képes megfogni ilyen jellegű támadásokat.

8) “Ugy latom a wordpress biztonsagossa tetelebol eleg jol meg lehet elni manapsag”

Szívem szerint válaszoltam volna valami ilyesmit: “úgy látom autószerelésből / kenyérsütésből / könyvelésből / stb elég jól meg lehet élni manapság…”.

9) “Nekem egy kérdésem van: melyik tárhelyszolgáltatónál vagy?”

Szuper, hogy szóba került, sokszor kérdezik ügyfelek, hogy váltsanak-e a tárhelyszolgáltatót. Nos, ha a Te oldaladat törik fel sokszor, azt másik tárhelyen is meg fogják tenni. A térhelyesnek nem felelőssége az, hogy az Te oldalad törhetetlen legyen. Ő a szerverért felel, és azért hogy az ügyfelei megfelelő módon el legyenek szeparálva egymástól. Tehát ha téged feltörnek, nem terjedhessen a támadás át más ügyfélre.

10) “Eleve a wp meg joomla meg hasonlók tele vannak lukakkal.”

Persze, direkt lukasra készítik őket :). Lássuk már kérem, hogy etikus hackerek tömkelege vizsgálja ezeket a rendszereket, és az ilyen hibafeltárások hatására jön ki később egy biztonsági frissítés. Akkor lesz tele a rendszered lukakkal, ha nem frissíted. Ellenben egy egyedi rendszer esetében, ha nem költesz el egy távolról is szabad szemmel jól látható összeget az auditra, akkor ugyanúgy lukas lesz (vagy lukasabb), csak épp nem tudsz róla. Struccpolitika rulez!

11) “All in one wp security plugin…” esetleg “Wordfence”

Nagyon szépek, nagyon jók. Csak ember legyen a talpán aki beállítja őket. Ezeknek a bővítményeknek több száz opció szabályozza a működését. Ha nem vagy képzett szakember, nem fogod tudni jól beállítani. Szinte kívétel nélkül minden új ügyfelem oldalára fel van telepítve valamilyen védelmi bővítmény, és mégis nálam kötnek ki. Nem azért mert a bővítmény rossz, hanem azért mert a beállítása pilótavizsgás.

12) “Eleve maga a php szita, akkor nem mindegy?”

Köszönöm, ülj le, egyes! Egy rendszer sebezhetősége nem azon múlik, hogy milyen nyelven írták! Úgyanúgy lehet sérülékegy kódot írni C-ben, meg JAVA-ban, meg mindenben! Ráadásul a w3c statisztikák alapján 82,5% a PHP “piaci részesedése”. Ha maga a nyelv lenne “szita” – ahogy a hozzászóló feltételezi, akkor miként lenne ez lehetséges?
Nem a nyelv a hibás, ha rossz rendszert írnak vele! Ha egy szakács odaégeti a húst, akkor a hús a rossz, vagy a szakács???

Nem szeretem, mikor műértő emberek próbálják megmondani a tutit… Az programozó szakmának is sok kárt okozott a hígulás, el sem merem képzelni mi fog történni, ha az IT security is hasonló cipőbe lép…

2 thoughts on “Egy tucat wannabe-hacker”

  1. 11) “All in one wp security plugin…” esetleg “Wordfence”

    A WordFence egyszarű, mint a vonatfütty. Lehet rá találni tuti útmutatót.
    Az All-in-One kiváló. Sokmindent be kell állítani, de odafigyeléssel kitapasztalható. Leginkább angolul érdemes tudni hozzá, nem repülőt vezetni.
    Persze mint minden, a bővítmények beállítása is értelmet igényel. De akinek az kevés van, jobb, ha nem akar WordPress-en nyomulni, jó lesz a Blogger is.

    1. Részben egyetértek veled.
      Való igaz, hogy sokan nem beszélnek olyan szinten angolul, hogy boldoguljanak egy ilyen beállításhalmazzal, még akkor sem, ha nem ennyire szakmai.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.