Ataki na strony i ich zapobieganie

Krzysztof Kempiński
Mar 29 · 20 min read

W ramach podcastu “Porozmawiajmy o IT” miałem okazję porozmawiać z Arturem Pajkertem o atakach na strony internetowe i ich zapobieganiu.

Posłuchaj naszej rozmowy w wersji audio 🎧 👇

Cześć! Gość dzisiejszego podcastu od osiemnastu lat dzieli się swoją wiedzą i poradami w sprawach e-marketingu i hostingu — jako manager, autor publikacji, prelegent, bloger, wykładowca akademicki. Obecnie sprawuje funkcję Head of Marketing w cyber_Folks. Moim i waszym gościem jest dzisiaj Artur Pajkert. Cześć Artur! Bardzo mi miło gościć cię w podcaście.

Cześć! Bardzo mi miło, dziękuję za zaproszenie. Mega się cieszę, że mogę dzisiaj z tobą tutaj porozmawiać. Przed milionami słuchaczy, którzy nas słuchają.

Z pewnością! Tym bardziej jest to, według mnie, wartościowy odcinek, ponieważ o jego temat zapytaliśmy na social mediach. Większość osób odpowiedziała, że ataki na strony i ich zapobieganie to właśnie kwestia, która ich zainteresuje, więc stąd twoja, Artur, obecność. Ruszajmy z tematem!

Na początku pytam zawsze moich gości, czy słuchają podcastów. Jeśli tak, to może będą w stanie podzielić się swoimi ulubionymi audycjami. Jak to jest w twoim przypadku? Słuchasz podcastów?

Tak, można powiedzieć, że moja przygoda ze słuchaniem zaczęła się dosyć dawno temu, ponieważ moja praca wymagała częstych podróży samochodem. Długich podróży… Słuchanie to idealny sposób na spożytkowanie tego czasu, który mamy w trakcie dwu-trzygodzinnej jazdy autem. Wciągnąłem się wtedy zarówno w podcasty, jak i w audiobooki. Okazało się to dla mnie bardzo efektywną metodą pozyskiwania wiedzy. Jeśli chodzi o podcasty, to słucham ich, mimo tego, że teraz nie jeżdżę już tak często, cały czas. Można podzielić je na dwa nurty.

Pierwszy jest bardziej związany z IT właśnie, więc poza Porozmawiajmy o IT oczywiście, mogę wymienić na przykład Rób WordPressa Maćka Kuchnika. Tego podcastu słucham bardzo dużo. Sam uwielbiam pracować w WordPressie. Nasze strony, jako firmy hostingowej zresztą, są na WordPressie, więc musimy być na bieżąco. To jest aktualnie CMS numer 1 na świecie, a w Polsce jego statystyki są jeszcze lepsze niż te światowe. Jeśli chodzi o WordPressa w ogóle, to dzisiaj mamy badania, które też prowadzimy nieustannie, badania rynkowe. Wynika z nich, że WordPress stanowi aż 66% wszystkich CMS-ów w Polsce. Bardzo konkretny udział. Stąd właśnie ten podcast.

Oprócz tego jest jeszcze drugi nurt, bardziej marketingowy. W naszej firmie hostingowej zajmuję się marketingiem, więc ten drugi nurt zawiera w sobie właśnie treści marketingowe i ogólnobiznesowe. Niekoniecznie związane z twardym IT, ale na przykład z SEO. Neil Patel i Eric Siu tworzą bardzo ciekawy podcast — Marketing School. Mówią w nim m.in. o SEO. Mogę tutaj wymienić również Copyblogger, w którym znajdują się interesujące informacje marketingowe.

To tyle jeżeli chodzi o audycje anglojęzyczne, natomiast z polskich podcastów bardzo lubię słuchać FIRMY ON-LINE Agaty Chmielewskiej. Również Nowoczesnej Sprzedaży i Marketingu Szymona Negacza — kapitalny podcast ogólnobiznesowy. Bez technologicznego zacięcia, mimo tego, że Szymon dużo mówi na przykład o CRM-ach oraz o wsparciu procesów sprzedażowych i marketingowych przy użyciu IT. Jednak, jak dla mnie, jest to warstwa uzupełniająca — Szymon skupia się na miękkich obszarach. Przynajmniej ja tak odczytuję jego treści. Uważam, że są bardzo wartościowe dla osób zajmujących się sprzedażą, marketingiem lub też po prostu dla managerów.

Także jeżeli chodzi o podcasty, to wyróżniam dwa nurty — jeden twardszy, drugi bardziej marketingowo-managerski.

Super! Dzięki za te polecenia. Na początku chcę zapytać cię o to, jak w ogóle spojrzeć na bezpieczeństwo takich tworów jak strony internetowe. To też jest przecież jakiś rodzaj programu działającego na maszynie. Może nam się kojarzyć jako wynalazek dwudziestu/trzydziestu ostatnich lat. Tymczasem wiem, że masz bardzo ciekawą historię dotyczącą początków dbania o bezpieczeństwo czy w ogóle hackowania programów wykonywanych przez maszyny. Podziel się swoim spojrzeniem.

Chciałabym zaprosić ciebie, drogi słuchaczu, na małą podróż historyczną. Do mniej więcej początków wieku XIX, gdy na mapie Europy, bardziej na zachód, znajdowały się dwa duże mocarstwa — Francja i Anglia, które ze sobą konkurowały. Militarnie, ale również gospodarczo. To jest okres wojny o wpływy. Wtedy też Francją rządzi Napoleon. Bardzo zależy mu na tym, aby pobudzić gospodarkę francuską po to, by była bardziej konkurencyjna wobec gospodarki angielskiej.

W ramach swoich planów składa ogromne zamówienia na tkaniny. Przemysł tkacki był jedną z istotniejszych gałęzi przemysłu ówczesnej Francji. Każdy z nas z pewnością mniej więcej wie, jak wyglądała wtedy ta praca — tkacze, krosna, bardzo dużo nitek, które przekładało się ręcznie pomiędzy nićmi wiodącymi. W ten sposób stopniowo wytwarzało się tkaniny. Była to praca żmudna, dosyć nisko opłacana, ale zawodowe lobby tkaczy było stosunkowo mocne. W ówczesnym świecie byli oni istotną grupą społeczną. Żeby sprostać tym dużym zamówieniom, wynaleziono pewną maszynę. Odpowiada za to Joseph Marie Jacquard. Wynalazł on krosno, które tkało w sposób zautomatyzowany, a wzór był zakodowany na karcie zero-jedynkowej, perforowanej.

Znamy to z początków informatyki. Kojarzymy, że pierwsze komputery miały takie karty perforowane. Jednak okazuje się, że sterowały one pracą urządzeń przemysłowych właśnie na początku wieku XIX. Tkacze byli wtedy bardzo zaniepokojeni tą sytuacją. Nagle okazuje się, że powstaje maszyna, która nie choruje, nie ma żądań płacowych, zawsze ma dobry humor oraz, co najgorsze chyba, jest wydajna i bezbłędna. Zera i jedynki w deterministyczny sposób kodowały wzór tkaniny i nie było tam pola do pomyłki. To po prostu działało. Żeby chronić swoje miejsca pracy, ponieważ zwyczajnie się o nie bali, tkacze zaczęli dorabiać dziurki w kartach. Maszyna nie robiła już tego, czego chciała osoba kodująca kartę. Nowe dziurki psuły wzór tkaniny.

Nagle okazuje się, że powstaje maszyna, która nie choruje, nie ma żądań płacowych, zawsze ma dobry humor oraz, co najgorsze chyba, jest wydajna i bezbłędna. Zera i jedynki w deterministyczny sposób kodowały wzór tkaniny i nie było tam pola do pomyłki. To po prostu działało. Żeby chronić swoje miejsca pracy, ponieważ zwyczajnie się o nie bali, tkacze zaczęli dorabiać dziurki w kartach. Maszyna nie robiła już tego, czego chciała osoba kodująca kartę. Nowe dziurki psuły wzór tkaniny.

Także pomimo tego, że nie było komputerów takich, jakie dzisiaj pojmujemy oraz nie było to oprogramowanie, jakie rozumiemy dzisiaj, to byli już hackerzy. Istotne jest to, że oni hackowali te karty z pobudek ekonomicznych. Bali się o swoje miejsca pracy. Obawiali się, że maszyna ich wygryzie. Do dzisiaj mówi się, że za mniej więcej 86% ataków w sieci czy w związku z systemami informatycznymi, stoją pobudki ekonomiczne. Związane z tym, aby odnieść jakąś bezpośrednią korzyść finansową. Natomiast około 10% (w skali światowej) stanowią ataki o charakterze szpiegowskim, czyli takie, które mają na celu przechwycenie jakiś poufnych danych, żeby poznać ich treść i jakoś głębiej wykorzystać w procesach gospodarczych, a nie po to, aby od razu je cashować. Na przykład Ransomware szyfruje Ci komputer i wymusza okup — to jest właśnie natychmiastowe cashowanie. Atak czysto ekonomiczny. Natomiast te 10% obejmuje ataki szpiegowskie. Zostaje nam więc kilka procent na inne przyczyny ataków, do których można zaliczyć te ideologiczne, religijne, ale również zwykłe „popisówki” młodych ludzi chcących pokazać, że umieją.

Myślę jednak, że nas najbardziej interesuje 86%, czyli ataki ekonomiczne. To one najczęściej będą dotykały użytkowników i właścicieli stron internetowych.

Potrafię sobie wyobrazić, że jest to znacząca przyczyna w stosunku do e-commerce, do stron, które w jakiś sposób zarabiają. Od razu widać, już z zewnątrz, że jest tam jakiś biznes, stoją za tym pieniądze. Ale wyobraźmy sobie, że jestem właścicielem jakiegoś małego bloga, być może jakiejś małej stronki, która coś sprzedaje. Czy nadal jestem narażony i powinienem zajmować się tematem bezpieczeństwa? Czy potencjalnie mogę być celem ataku? Jak wynika z Twoim obserwacji, z badań? Czy faktycznie każdy powinien zastanawiać się nad tematem bezpieczeństwa swojej strony internetowej? Istnieje może próg lub granica, od której to już ma sens, a wcześniej nie do końca przekłada się to na realne zyski?

Zdecydowanie bezpieczeństwo jest tematem, który dotyczy każdego. Wielkość twojej strony czy jej komercyjny lub niekomercyjny charakter mają pewne znaczenie dla skutków ataku, owszem. Powiedzmy, że atak związany z wykradzeniem bazy zamówień i klientów z dużego sklepu internetowego, jest sprawą poważną. Natomiast atak polegający na tym, że ktoś zmodyfikuje ci wpis na blogu prywatnym, dotyczącym życia rybki w twoim akwarium, jest mniej poważny. To nie znaczy, że te osoby, które nie wykorzystują swoich stron internetowych do biznesu, nie są narażone.

Chodzi o to, że radykalna większość ataków w dzisiejszych czasach, to ataki zautomatyzowane. Nie jest tak, że jakaś grupa czy mafia siedzi wieczorem w piwnicy i planuje pieczołowicie atak na twojego bloga o życiu rybki w akwarium. To byłoby dla nich po prostu nieefektywne. Owszem, takie ataki się zdarzają, to jest te kilka procent bardzo mocno wycelowanych ataków, zaplanowanych. Natomiast ataki dotyczą głównie większego biznesu, gdy jest jakaś wartość do zdobycia dla atakującego. Natomiast radykalną większość tego rodzaju incydentów stanowią ataki w pełni zautomatyzowane.

Działa to mniej więcej tak, w uproszczeniu, że są roboty skanujące całą sieć, wyszukujące strony internetowe, które mogą mieć różnego rodzaju podatności. Następnie atakują je w sposób całkowicie zautomatyzowany. To wyszukiwanie i atakowanie zazwyczaj odbywa się poprzez tzw. botnety, czyli sieci robotów/botów, sieci komputerów, które w tym uczestniczą. Bardzo często właściciele tych komputerów nawet nie mają świadomości, że ich komputery są do tego wykorzystywane. Jest to jakiś serwer, który już został zaatakowany, atakujący umieścili na nim tego rodzaju oprogramowanie, którego celem jest wyszukiwanie podatnych stron.

W warstwie niższej, sieciowej mówi się o takim procesie jak skanowanie portów, a w warstwie już samej aplikacji, strony internetowej bardzo często mówimy o wyszukiwaniu, na przykład, strony logowania do WordPressa.

Już wspomniałem o tym, że WordPress jest najczęściej używanym CMS-em zarówno na świecie, jak i w Polsce. Dlatego też naturalnym jest, że najwięcej ataków również jest na WordPressie, ale to nie dlatego, że on sam w sobie jest niebezpieczny. Jest go po prostu najwięcej. WordPress, w moim przekonaniu, jest bezpieczny. Niebezpieczne mogą bywać pluginy czy motywy, które ludzie sobie instalują z niepewnych źródeł lub nie dbają o ich aktualizacje, ale jeszcze o tym powiemy. Sam rdzeń jest dosyć bezpieczny, ponieważ jest wokół niego duża społeczność, która nieustannie wydaje nowe wersje i go łata. Aczkolwiek uwzględniając jego popularność, gdybyś miał jakieś złe zamiary, to najłatwiej byłoby wyszukiwać właśnie w WordPressie, bo jest go dużo na świecie, więc masz potencjalnie spory zbiór stron do zaatakowania. Jednocześnie jest dobrze udokumentowany, także łatwo ci zrozumieć, jak on działa, łatwo jest wyszukiwać jakieś podatności.

Automaty nie oceniają jednak, czy jest to strona dużej firmy, czy strona młodego akwarysty. Nie interpretują treści tej strony, bardziej skupiają się na tym, czy logowanie do kokpitu jest dostępne, czy masz tam login: admin, hasło: admin, czy łatwo jest wejść, czy można wykonać tam jeszcze parę innych operacji, które rodzą bardzo duże prawdopodobieństwo, że uda ci się na tej stronie coś zmajstrować.

Dlatego też żadna strona nie jest bezpieczna — ani duża, ani mała. Staje się bardziej bezpieczna wtedy, gdy o nią dbamy jako właściciele lub opiekunowie. Pewnie powiemy sobie jeszcze o tym, co można zrobić, żeby strony były bardziej bezpieczne. Natomiast każda strona jest na celowniku i trzeba sobie z tego zdawać sprawę. Różne będą skutki, jednak narażenie jest obecne jak najbardziej. Powiedziałbym, że nawet te małe strony są częściej bardziej narażone, a to dlatego, że po prostu ich właściciele mają dużo mniejsze zasoby, żeby dbać o bezpieczeństwo. Umówmy się, bezpieczeństwo nie robi się samo. Niestety trzeba się o to zatroszczyć. Mieć choćby podstawową wiedzę na ten temat, rozwijać się w tym obszarze, bo przecież to nie stoi w miejscu. To jest proces. Bezpieczeństwo nie jest czymś jednorazowym — to proces, który wymaga ciągłej uwagi.

Umówmy się, bezpieczeństwo nie robi się samo. Niestety trzeba się o to zatroszczyć. Mieć choćby podstawową wiedzę na ten temat, rozwijać się w tym obszarze, bo przecież to nie stoi w miejscu. To jest proces. Bezpieczeństwo nie jest czymś jednorazowym — to proces, który wymaga ciągłej uwagi.

Jeżeli masz tylko stronę o życiu swojej rybki w akwarium, to najczęściej wyobrażamy sobie, że nie jest to strona prowadzona przez zawodowego informatyka, tylko na przykład przez jakąś młodą osobę, może nawet dziecko, które zwyczajnie nie ma świadomości, że takie zagrożenia istnieją. W związku z tym nie aktualizuje komponentów, ma ustawione trywialne hasła, nie dba o certyfikat SSL. Występuje tam bardzo wiele zaniedbań związanych z bezpieczeństwem. Zwyczajnie nie ma zasobów, żeby było inaczej. Z kolei duże organizacje, sklepy internetowe czy jakieś duże strony firmowe mają zwykle dział IT, więc są tam na pokładzie osoby, które mają pojęcie na ten temat i można powiedzieć, że czasami jest im po prostu łatwiej. Mają też większy budżet na to, żeby powierzyć to specjalistom, outsourcować ten temat — w jakikolwiek sposób się nim zaopiekować.

Nikt nie jest bezpieczny, natomiast tym dużym, być może, jest po prostu łatwiej, jeśli chcą, bo mają zasoby na bezpieczeństwo. Jednocześnie są też bardziej narażeni, ponieważ więcej mają do stracenia. Także jest w tym pewna równowaga.

Skoro więc ja mam bloga o życiu rybki w szklanej kuli, to co mi mogą zrobić? Faktycznie rodzi się takie pytanie. Co to jest za problem? Przecież ja tam nie mam zamówień, danych karty kredytowej, nic takiego tam nie ma. W takim razie dlaczego ataki w ogóle są problemami i jaka jest skala, rozpiętość? Wiemy już, że są to przyczyny ekonomiczne, ale teraz porozmawiajmy o warstwie IT. Jak te ataki mogą przebiegać i do czego mogą prowadzić?

Bardzo częstym atakiem jest po prostu spamowanie przez formularze na stronie. To jest jeden z prostszych rodzajów ataków, ponieważ większość stron ma jakiś formularz — formularz kontaktowy, formularz zapisu na newsletter, itp. Z formularzami jest tak, że najczęściej prowadzą do jakiegoś rodzaju interakcji. Kiedy je wypełniasz, to coś się dzieje. Dane mają interakcję albo z bazą danych, czyli następuje zapisanie danych podanych w formularzu do bazy, albo są wysyłane mailem po API do zewnętrznego systemu (to już bardziej zaawansowane rozwiązania). Jednak coś się zawsze z danymi dzieje.

W przypadku rozesłania mailem albo nawet zapisu do bazy, najprostszą przyczyną zmartwienia jest spamowanie przez formularz. Chodzi tutaj o to, że atakujący w sposób zautomatyzowany wpisują w formularze swoje własne treści, które następnie lecą mailem lub, jeżeli jest to formularz do opublikowania opinii o produkcie w sklepie internetowym albo komentarza do posta na blogu, mogą zostać jeszcze opublikowane. Czasami automatycznie, a czasami jest po drodze jakaś moderacja.

Zacznijmy może od tego wariantu z mailem. Jeśli ktoś zaatakuje twój formularz w skuteczny sposób i zacznie rozsyłać maile, korzystając z twojego serwisu, w twojej domenie, z twojego adresu IP, to jeżeli trafią one do ciebie, jeszcze pół biedy, ponieważ to tobie zaspamują skrzynkę. Jeżeli jednak atakujący zrobi to w taki sposób, że one wychodzą w świat, będzie to skutkowało tym, że twoja domena i adres IP mogą trafić na różnego rodzaju czarne listy. Dzieje się tak, ponieważ maile mają dowolną treść i są wysyłane do dowolnych adresatów, to się zdarzało. To po pierwsze.

Po drugie — bardzo często firmy hostingowe mają tzw. limity bezpieczeństwa. Wiążą się one z tym, że większość usług to usługi hostingu współdzielonego, gdzie na jednym fizycznym serwerze jest kilkuset klientów, więc trzeba sprawiedliwie podzielić wszystkie zasoby tego serwera. Jakąś część tych zasobów, na przykład mocy obliczeniowej, przestrzeni dyskowej, itp. Są to również zasoby związane z wysyłką poczty, które mają pewne limity jej wysyłania. Właśnie po to, żeby cały serwer nie trafiał na czarne listy. Limity są różne — dobowe, godzinowe — to zależy już od operatora. Załóżmy, że masz limit 1000 maili na dobę. Teraz strzelam, ponieważ każdy operator ma inne, ale co do rzędu, to powiedzmy, że mogą być one liczone w tysiącach na dobę. Jeżeli atakujący wykorzysta te 1000 maili, co nie jest żadną wielką wartością, to ty nie możesz już wysłać swojej wiadomości, użytkownik też nie może tego zrobić. Limit jest już wysycony.

To, co może być w tych mailach, jest kolejną warstwą zagrożenia. Dla ciebie, jako właściciela strony, jest to narażanie na ryzyko utraty reputacji, tej bardzo informatycznej. Związanej z tym, że twoja domena czy adres IP są na jakiś czarnych listach. Jeśli tam się dostajesz, to później masz problem z dostarczaniem normalnych, swoich wiadomości. Serwery ci po prostu nie ufają, ponieważ to pochodzi z adresu IP uznanego za spamujący. To jest dla ciebie, jako właściciela strony, skutek bolesny. Możliwość przekroczenia limitów hostingowych — w skrajnych wypadkach firma hostingowa może ci po prostu zablokować usługę do czasu usunięcia takiej infekcji lub sytuacji, bo grozi to wpisaniem adresu IP, z którego korzystają też inni klienci, na czarne listy. Możesz zaszkodzić również innym, więc firma hostingowa, broniąc się przed tym, zwyczajnie może tą stronę zablokować.

Już nie mówiąc o tym, że w takich mailach, pół biedy, jak to są linki do zakupów środków na potencję, ale mogą być tam umieszczone gorsze rzeczy, na przykład linki podszywające się pod PayPala. Phishing, czyli wyłudzenie danych logowania do jakiegoś serwisu, to jest już sprawa poważna, jeżeli coś takiego idzie z twojej domeny. Może to rujnować twoją reputację w oczach ludzi, może cię narażać na późniejsze uczestnictwo w karnych sprawach i to żadna przyjemność chodzić później po prokuratorach i spowiadać się, że nie widziałeś o zhakowaniu twojej strony, itd. Takie rzeczy się po prostu dzieją.

Skoro formularz ma już połączenie z bazą danych i te dane są w jakikolwiek sposób zapisywane albo wyszukiwane przez bazę, to ataki typu SQL injection, czyli polegające na spreparowaniu żądania w celu wykonania operacji bazodanowej, która nie była intencją autora serwisu, ale skutkiem pozostawienia pewnej luki, mogą się wydarzyć. To zazwyczaj sprowadza się do albo zniszczenia danych w bazie, ponieważ można wykonać taką SQL-kę , która usunie wszystkie dane z tej bazy czy z jakiejś tabeli, albo do wylistowania rekordów, które nie powinny być publicznie dostępne. Głównie dotyczy to sytuacji, gdy masz dane w serwisie, które powinieneś chronić, a tego nie robisz. W wyniku takiego ataku dane zostają ujawnione. Na przykład baza subskrybentów newslettera.

Jest jeszcze jeden bardzo ważny atak na formularz. Na formularzach bardzo często można dawać załączniki, np. zdjęcie do CV lub jakiś dokument. Jeśli ten formularz nie sprawdza dokładnie, co zostało załączone, to może zdarzyć się, że ktoś załączy na przykład plik PHP, który będzie można później wykonać. W tym pliku może być w zasadzie dowolna treść. Niedawno była taka luka w bardzo popularnym pluginie Contact Form 7, która umożliwiała w pewnych okolicznościach wrzucenie, jako załącznika, skryptu, a następnie wykonanie go. Wykonanie takiego skryptu w środowisku strony internetowej pozwala zrobić cokolwiek ze stroną. To już zależy od fantazji osoby, która pisała skrypt. Częstym sposobem/podejściem może być próba wyświetlenia pliku konfiguracyjnego, w którym znajdują się dane dostępowe do bazy. Jak już ktoś odczyta dane dostępowe, to wchodzi sobie w bazę jak nóż w masło i wszystko może z tym zrobić. Tak wygląda cała skala zagrożeń dla formularzy.

Jest jeszcze jeden bardzo ważny atak na formularz. Na formularzach bardzo często można dawać załączniki, np. zdjęcie do CV lub jakiś dokument. Jeśli ten formularz nie sprawdza dokładnie, co zostało załączone, to może zdarzyć się, że ktoś załączy na przykład plik PHP, który będzie można później wykonać. W tym pliku może być w zasadzie dowolna treść.

Kolejnymi są innego rodzaju sztuczki zmierzające do przechwycenia bazy danych — umieszczenie złośliwych przekierowań. Często na grupach dyskusyjnych na Facebooku spotykam się z taką sytuacją: „Słuchajcie, co któreś wejście na moją stronę następuje przekierowanie do jakiegoś dziwnego serwisu. Nie jest tak za każdym razem. Co z tym zrobić? Dlaczego tak się dzieje?”. To dzieje się dlatego, że ktoś ma złośliwy skrypt, który został zainstalowany w jego stronie. Działa on najczęściej randomowo, za którymś wejściem na stronę uruchamia się i powoduje to, że użytkownicy są przekierowani do serwisu zewnętrznego.

Po co się to może dziać? Tutaj jest znowu wiele przyczyn, wiele powodów. Może być to Phishing, czyli serwis podszywający się pod Facebooka, pod PayPala, pod jakieś duże banki. Chodzi głównie o miejsca, gdzie zostawiamy dane w nadziei, że użytkownik nie zorientuje się, że strona jest fałszywa i zostawi tam swoje dane logowania. To jest pierwszy obszar.

W drugim obszarze są, powiedziałbym, proste oferty handlowe. Głównie związane ze środkami medycznymi oraz z finansami, czyli giełdy Bitcoinów i inne podobne rzeczy. Obietnica szybkiego wzbogacenia się, tak bym to nazwał. To szeroka kategoria.

Może to być również afiliacja. Dobrym przykładem jest Onet — polski duży portal informacyjny. Nie chodzi o to, że on został zhackowany. Chodzi o inny rodzaj ataku. Za chwilkę może o tym powiemy, jeżeli chodzi o to, jak dbać o bezpieczeństwo. Natomiast sprawa dotyczy domeny Onat i Onet. Onet jako portal, ale Onat to bardzo podobna domena — „a” i „e” brzmią prawie identycznie. Nawet na klawiaturze nie są tak daleko od siebie. Ktoś zarejestrował sobie tą domenę, prawdopodobnie wiedząc, że mnóstwo ludzi czyta Onet, więc jakiś niewielki procent się pomyli i wpisze „onat” zamiast „onet” (pomyli jedną literkę na klawiaturze). W moim przypadku przeszedłem na AliExpress, ale z linkiem afiliacyjnym. Chodzi o to, że gdybym cokolwiek kupił na AliExpress, to ktoś dostanie prowizję z tego tytułu. Mówiąc kolokwialnie — wozi się na popularności jakiejś znanej domeny, z taką afiliacją.

To samo wydarzyło się w przypadku mBanku — mBank na mBenk. Możecie sobie wpisać, tylko nie klikajcie już nic dalej. Rzeczywiście pojawia się strona sprzedająca rzeczy kompletnie niezwiązane z finansami. Ja trafiłem na stronę suplementów diety. Też z jakimś linkiem afiliacyjnym. Także ten model biznesowy opiera się na afiliacji — przekierować użytkownika i zgarniać kasę na afiliacji właśnie.

Najciekawsze ataki związane są ze stworzeniem kopii twojej strony. To może być nawet w twojej domenie, na przykład w osobnym folderze. Ktoś może sobie zrobić sklep internetowy działający na twojej domenie mimo tego, że tylko hodujesz tą rybkę w szklanej kuli. Poza twoją wiedzą może się okazać, że na serwerze, w twojej domenie ktoś odpalił sobie sklep internetowy i oferuje tam towary w atrakcyjnych cenach. Ludzie je kupują, płacą za nie, tylko że on oczywiście nigdy ich nie wysyła. Do kogo teraz przyjdzie policja? Do właściciela domeny.

Można jeszcze dodać to, co jest bardzo popularne, czyli umieszczanie na stronie skryptów do szyfrowania, o których już dzisiaj wspomnieliśmy — Ransomware. Są to różnego rodzaju linki, po kliknięciu w które następuje pobranie programu szyfrującego komputer lub jakiekolwiek inne urządzenie. To są bardzo poważne sprawy, poważne problemy. Nawet duże firmy padają ofiarami oprogramowania szyfrującego dane i wymuszającego okup. Dobrym przykładem jest Garmin — ja akurat jestem użytkownikiem zegarków sportowych Garmina. W zeszłym roku

przedsiębiorstwo padło ofiarą takiego ataku. Stanęły mu linie produkcyjne, ponieważ wszystkie dane zostały zaszyfrowane i zwyczajnie nie byli w stanie produkować tych zegarków.

Wymieniłeś całkiem sporo tych ataków, dziękuję za zapisanie ich. Żeby jeszcze bardziej pokazać, jaka jest skala tego zagrożenia, wiem, że jako cyber_Folks robiliście badania na temat ataków również w Polsce. Mógłbyś powiedzieć o tym coś więcej?

Tak, to jest dość interesująca i ponura statystyka. Jeśli chodzi o te badania, to mamy nasz autorski system WAF (Web Application Firewall), czyli takie oprogramowanie w warstwie aplikacyjnej. Ono otwiera się i działa zanim twoja aplikacja zostanie uruchomiona — twój WordPress, Joomla lub Drupal, czyli jakakolwiek aplikacja webowa działająca w środowisku PHP. Zanim się uruchomi, to ruch jest analizowany przez naszego WAF-a. Jest on bardzo specyficzny.

Oprócz tego, że korzystamy z rozwiązań globalnych, na przykład w firmach hostingowych czasami używa się ModSecurity, jest to specjalny moduł do serwera WWW. Podobnie jak programy antywirusowe ma pewne sygnatury niebezpiecznych żądań. Wychwytuje te żądania zanim dotrą do aplikacji. Jednak są to rozwiązania globalne.

Natomiast czuliśmy potrzebę, żeby naszym użytkownikom dać coś więcej i stworzyliśmy własny system WAF. Własny z kilku powodów. Przede wszystkim dopasowany do polskiej specyfiki. Chodzi o to, że wszystkie zagraniczne systemy muszą działać na skalę globalną i w związku z tym nie zawsze mogą tak bardzo dopasować się do specyfiki danego kraju czy nawet konkretnego języka. My natomiast, ponieważ obsługujemy klientów polskich, możemy sobie pozwolić na pewne reguły, które w skali globalnej by nie przeszły. Dla nas, dla ochrony polskich właścicieli stron WWW i stron kierowanych do Polaków — mogą się świetnie sprawdzać. Mamy system, który również posiada bazę reguł. Nie jest domyślnie włączony, użytkownik sam decyduje, czy go włączyć, czy nie, ponieważ jest to jedynie nasze domniemanie, że akurat masz stronę po polsku. Możesz przecież mieć stronę o chińskich pieskach i chcieć napisać rasę psów oryginalną pisownią.

I tak się właśnie stało — dlatego mówię o chińskich pieskach. Mieliśmy taki przykład, że wycinaliśmy cały język chiński, ponieważ dużo spamu przez formularze było po chińsku. I trafiliśmy na hodowlę chińskich piesków! I pani powiedziała: „Zaraz, włączyłam sobie wasz system, a teraz na moim blogu nie mogę dodać pieska!”.

To się więc zdarza. Stwierdziliśmy, że lepiej będzie, jak użytkownik sam sobie to włączy, w bardziej świadomy sposób. Użytkownik u nas ma możliwość sterowania tymi regułami, natomiast ten system poza tym, że chroni, to oczywiście zbiera też dane o atakach i stąd wiemy, co atakuje polskie strony www.

Jeśli chodzi o statystyki, to najwięcej ataków jest z USA. System zatrzymał ponad pół miliona żądań do stron użytkowników, którzy chcieli się chronić. W tych statystykach króluje XMLR-RPC. To jest technologia w WordPressie, która umożliwia manewrowanie nim w sposób zdalnym, ale jest dosyć stara. Teraz częściej korzysta się z API normalnego, wordpressowego. Jest też bardzo szybka i coraz rzadziej używana, bo była stosowana przy jetpacku, koniecznym do tego, by w tych aplikacjach zainstalowanych na komórce lub tablecie, móc sobie łatwo zarządzać swoją stroną.

Jeśli chodzi o statystyki, to najwięcej ataków jest z USA. System zatrzymał ponad pół miliona żądań do stron użytkowników, którzy chcieli się chronić.

Jeśli ktoś wykonywał skuteczny atak na ten XMLR-RPC, to mógł zdobyć kontrolę nad twoim WordPressem. I teraz, oczywiście dużo zależy od tego, co my definiujemy jako atak, ale ponieważ dzisiaj XMLR-RPC bardzo rzadko jest potrzebne, mało użytkowników go do czegoś dziś używa, to i ja traktuję każdą próbę dotknięcia tego pliku XMLR-PHP, który jest w WordPressie jako skanowanie podatności, jako próbę sprawdzenia, czy ty masz dostęp, czy ten plik jest w ogóle dostępny, czy ja mogę próbować coś na nim zrobić. Bo skoro właściciel strony nie potrzebuje tego do niczego i najlepiej jakby sobie gdzieś w .htaccessie wyłączył dostęp do tego XMLR-RPC, a mimo to ktoś próbuje to macać, to dla mnie oznacza, że ta osoba nie ma dobrych zamiarów. Ty nie masz w tym żadnego interesu, żeby wiedzieć, czy ja to mam dla ciebie otwarte czy nie!

Dla mnie próby dotykania pliku — traktuję to jako atak. I tego jest najwięcej. 62% całego ruchu, który zatrzymaliśmy wiąże się właśnie z tym macaniem pliku XMLR-RPC.

W drugiej kategorii mamy SPAM po angielsku. To jest fenomen, co my możemy robić, a globalny dostawca nie. Możemy bardzo agresywnie ciąć angielski. Jak robić jako Polak bloga o życiu tej rybki w szklanej kuli, to raczej nie spodziewasz się anglojęzycznych komentarzy. Jeśli tak, to nie masz obowiązku korzystać z tej ochrony i możesz sobie odcheckować, ale większość, którzy w Polsce prowadzą strony nie spodziewa się ich. Umówmy się — większość anglojęzycznych „Jaki piękny, wartościowy wpis”, „Tutaj link do mojej strony” i tym podobne. My możemy sobie pozwolić na bardzo agresywne cięcie języka angielskiego. I to jest dosyć duża przewaga, bo dla nas 10% ruchu, który zatrzymujemy dzisiaj to jest właśnie angielski.

Potem mamy próbę SQL injection, tutaj kolejne 10% i szeroko rozumiany SPAM przez formularze, ale SPAM chętnie rozwinę. SPAM angielski — wiemy, to są bliżej nieokreślone tematycznie wpisy, ale wiemy, że są po angielsku i mają pewne wzorce językowe, charakterystyczne dla spamerów, typu: „Please, visit my website”.

Ale — dalej mamy bogatą kategorię: spam chiński. Wszystko, co zawiera znaki z pewnego zakresu kodowego, można sobie to preg_matchem znaleźć, spam medyczny. Cialis, viagra, środki na odchudzanie, środki na wypadanie włosów, cała apteka. I tutaj też możemy sobie na to pozwolić, wtedy kiedy wiemy, że ty nie prowadzisz serwisu o tematyce medycznej. Ale gdybyś prowadziła aptekę online, to musisz sobie wyłączyć filtrowanie takich regułek, takiego ruchu.

Tam są nazwy różnych leków, które często występują w spamie, na przykład VIcodin, przeciwbólowy lek. Jeżeli ktoś prowadzi ten biznes, to nie może korzystać z tej regułki, więc to musi być customizowane. Niemniej jednak bardzo dużo tego medycznego spamu łapiemy.

Później mamy spam finansowy, głównie bitcoiny, dostałem spadek po nigeryjskim księciu i tak dalej. To już historia internetu! Spam porno, tego też jest sporo, chociaż on wcale nie dominuje, ale też łapiemy go dużo. Pół procenta zatrzymanego ruchu dotyczy właśnie stron dla dorosłych. Spam z dziwnymi linkami, bo zakładamy, że rzadko kiedy ktoś powinien w ogóle takie linki zostawiać w tych formularzach. I wciąż, taka ciekawostka, Revslider, bo ja cały czas tak do tego WordPressa, bo jest bliski mojemu sercu, ale to dlatego że to jest 2/3 polskich CMS-ów. Dużo ruchu na WP — Revslider. Mamy na to nawet osobną regułkę. Chodzi tutaj o plug-in, slider obrazków. To jest bardzo ciekawe.

W pewnych wersjach te slidery, konkretnie Revslider miał podatność, która z grubsza działała w ten sposób, że można było przekonać tę wtyczkę, że ty chcesz wyświetlić obrazek. Zamiast ścieżki do obrazka, podawałeś ścieżkę do pliku konfiguracyjnego, WordPressa i on wyświetlał jako plik konfiguracyjny z danymi do bazy, sądząc, że wyświetla obrazek, mówiąc w uproszczeniu.

Popularność wiąże się z tym, że plug-in stał się bardzo popularny, dlatego że on jest często w różnych motywach premium, a nawet tych bezpłatnych — na różnych giełdach czy stopach z motywami. To po prostu jest efektowne, bo producenci tych motywów wrzucają ładne zdjęcie, ono się ładnie, efektownie też przemienia i na ludziach robi to wrażenie. Chcą mieć to na stronie. Wszystko fajnie, ale jak nie dbają o aktualizowanie, to narażają się. Każdy plug-in, którego nie aktualizujesz, naraża cię na spore ryzyko, a statystyki są ponure, bo my to też badamy — ok. 80% WordPressów ma przestarzałe, nieaktualne plug-iny. Bardzo dużo!

Nie ma żadnych badań, które by mówiły, że slider jako forma wyrazu — teraz mówię bardziej jako osoba z marketingu niż IT — robi cokolwiek dobrego dla konwersji, dlatego że użytkownik długo pozostaje na stronie. Nie ma takich badań!

Są badania, np. badania Nielsena — czyli dosyć wiarygodne źródło, które mówią, że jest to wręcz bez sensu, bo jak masz 3–4 odsłony bannera, to i tak 95% kliknięć jest tylko na pierwszej odsłonie, nikt nie klika w dalsze! UX-owo: wyobraź sobie sytuację, że czytasz jakąś treść, już prawie chcesz dokonać jakiejś mikro konwersji, przejść dalej, a tu nagle w innej części ekranu albo ci to ucieka, albo coś się zmienia i już się rozkojarzysz. Wzrok idzie już w inne miejsce.

Rzadko kiedy jest uzasadnienie, a jednak ludzie chcą z tego korzystać.

👉 Czytaj dalej na: https://porozmawiajmyoit.pl/poit-108-ataki-na-strony-i-ich-zapobieganie/

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store