Świadomość bezpieczeństwa
Jeśli szukasz poradników w stylu „Zabezpiecz swoją stronę szybciej, niż Twoja teściowa oszroni szampana wzrokiem” albo „Czynaście tricków, dzięki którym hackerzy nie będą już do Ciebie fikać”, to ten artykuł nie jest dla Ciebie. Wybacz szczerość drogi czytelniku, ale jeśli uważasz, że jakieś żałosne chwyty albo zainstalowanie magicznej wtyczki jak Wordfence załatwia sprawę bezpieczeństwa Twojej strony, to tak nie jest.
Niestety w praktyce „cyfrowe łotry” zawsze są o krok przed nami. Załatasz dziurę, a oni znajdą kolejną i tak zabawa trwa w nieskończoność. Dlatego, jeśli zabezpieczysz swoją stronę, to zrobisz to max. w 99% i tylko utrudnisz hakerom internetowy żywot oraz zminimalizujesz wektor ataku. W najczęstszym przypadku zniechęcisz ich do ataku.
Nie ma i nigdy nie będzie systemów w 100% bezpiecznych. Jeśli nawet jakaś firma twierdzi, że ma taki system, to jest to tylko marketingowy bełkot korzystający z Twojej niewiedzy. Do tego dochodzi powielana w filmach mroczna narracja o nastoletnich hackerach z kapturem na głowie siedzących w cuchnących piwnicach, którzy mają wzbudzić nasz strach i wyłączyć zdroworozsądkowe myślenie.
Dzisiaj grupy cyberprzestępcze są najlepszym przykładem przestępczości zorganizowanej, a brutalne gangi z L.A czy bezwzględne kolumbijskie kartele mogą tylko wykupywać u nich korepetycje. Po cichu, bez broni, z wygodnego fotela za pomocą klawiatury są w stanie rzucać największe korporacje na kolana np. Yahoo przez mafiaboy’a w 2000 roku.
Mafiaboy – czyli chłopiec, który zhakował Yahoo! – G DATA
Zastanawiacie się czasem, co dzieci robią na komputerach? Uczą się? Grają w gry? A może właśnie planują…atak hakerski? Pewnie nie sądzicie, że są do tego zdolni. Rodzice bohatera tej historii, też najprawdopodobniej tak myśleli, a jednak w wieku 15 lat sprawił, że Yahoo! przestało działać na godzinę.
Czy bardziej aktualny przykład Sony z 2014 roku.
” Sony totalnie zhackowane. Wykradziono olbrzymią ilość danych i zablokowano komputery pracownikom …ponoć także tym w Polsce. Siedziby zamknięte, pracownicy zwolnieni do domów. — Niebezpiecznik.pl —
Wczoraj na monitorach pracowników Sony Pictures pojawił się dość niecodzienny komunikat. Niejaki #GOP napisał, że ma pliki z tajemnicami firmy i chce …w zasadzie nie wiadomo czego, ale jeśli żądania te nie zostaną spełnione, to prywatne dane Sony pojawią się w internecie.
Zatem pomyśl! Globalne korporacje z miliardowymi budżetami padły jak mucha od packi, a Ty dasz radę z jedną bezpłatną wtyczką, bo tak ci ktoś zagwarantował w poradniku Youtube’owym?
Druga rzecz, która wymaga zwrócenia uwagi, to czas, jaki poświęcasz na bezpieczeństwo. Przypomnij sobie, kiedy ostatni raz myślałeś o bezpieczeństwie swojej strony i przeglądałeś logi hostingu lub WAF-a? Jeśli w ogóle to robisz…
Można powiedzieć, że pojedynczy hakerzy czy grupy przestępcze nie mają urlopów i działają 24/7/365, bo lwią pracę za nich wykonują zautomatyzowane boty. Nawet w firmach dbających o bezpieczeństwo admini mają ograniczone godziny pracy, a wróg nie śpi. To kolejny punkt przewagi cyberłobuzów nad Tobą i innymi nieświadomymi użytkownikami, którzy wierzą w banialuki z internetów.
Jeśli ciągle mi nie wierzysz, to odsyłam do lektury portali, które zajmują się zawodowo pisanie o bezpieczeństwie IT:
niebezpiecznik.pl, z3s.pl czy sekurak.pl.
Po co hakerom moja strona?
Skoro już wiesz, że bezpieczeństwo to złożony i wielowektorowy temat, to możesz zadać pytanie: „Po co właściwie hackerom i innym cyberprzestępcom moja strona, skoro tylko opowiadam o pieczeniu placków?”.
Tak naprawdę powodów może być wiele i tylko haker wie, po co się włamuje na Twoją stronę. Powodem może być jedynka z „matmy” i chęć odreagowania braku litości od Pani nauczycielki. Poniżej podam – moim zdaniem – 7 najważniejszych motywów niezależnie czy masz ogromny sklep internetowy z „papciami”, czy niszowy blog o 1000-cu technikach picia soku pomarańczowego.
Bo umiem
Jeśli nawet ten powód wydaje Ci się patetyczny, to nie zmieni to faktu próby złamania zabezpieczeń Twojej strony internetowej. Teraz są takie czasy, że każdy może zostać „hakerem”. Linux Kali plus tutoriale z internetu i pyk, Twoja strona została zmieciona z planszy. Coś mówiłeś o wtyczce? ?
Zatem jednym z najczęstszych powodów jest sprawdzenie swoich umiejętności lub przetestowanie nabytej wiedzy.
Pod ten wątek można też podciągnąć swoistą sławę i prestiż, bo pochwalenie się na hakerskich forach, że zhakowałem tę czy tamtą stronę doda im trochę punktów do szacunku w środowisku.
Poufne dane
Kolejny powód, który być może też wyda ci się głupi, bo przecież nie masz sklepu online, tylko blog i co najwyżej mogą ci wykraść tajny przepis na naleśniki. Jednak mogą też ukraść Twój login i hasło, a to potem im pomoże wbić się do większego celu, który ma stronę www na tym samym serwerze. Innym powodem łamania zabezpieczeń małej strony może być też ukradzenie adresów email subskrybentów z newslettera i potem zasypywanie ich spamem.
Krótko mówiąc hakerzy mogą wykraść każde dane, które wydadzą im się ciekawe, jeśli nawet z Twojego punktu widzenia były bezużyteczne.
Zmiana zawartości
Jeśli ciągle twierdzisz, że przecież piszesz o plackach, to zmiana zawartości nic nie zmieni. Najwyżej ktoś przypali sobie obiad… Teraz sobie wyobraź, że zamierzasz sprzedawać książkę z przepisami i na Twojej stronie będą informacje jak i gdzie za nią zapłacić lub ewentualnie masz zwykły apel o wsparcie dla internetowych twórców na serwisach typu patronite.pl. Haker może podmienić te dane np. numer konta i pieniądze będą trafiać na konto słupa, a nie do Ciebie. Dlatego ten problem może dotknąć też małe blogi, a nie tylko firmy czy sklepy online.
Kopanie bitcoinów
Niezależnie, czy na Twój blog wchodzi 5, czy 1000 osób dziennie, to każde takie wejście będzie pogrubiać cyfrowy portfel przestępców, bo zainstalowano na Twojej stronie skrypt kopiący kryptowaluty w przeglądarkach użytkowników.
Bycie nieświadomą marionetką w rękach cyberłobuzów, to najbardziej optymistyczny scenariusz, bo może się okazać, że po pewnym czasie przeglądarki i wyszukiwarki zaczną oznaczać Twoją stronę jak zawirusowaną. I to na co pracowałeś od miesięcy lub lat – znika w chwilę…
Moc obliczeniowa serwera
Jeśli nawet jedna strona o naleśnikach nie przyniesie jakichś wielkich korzyści hardware’owych cyberdraniom, to 1000 takich stron daje już wymierny zysk. Będą mieć przepyszne naleśniki i kopać bitcoiny z tą różnicą, że bezpośrednio u Ciebie na serwerze, a nie w komputerach odbiorców Twojej strony. Dodatkowo mogą moc obliczeniową hostingu użyć do wysyłania spamu, ataków sieciowych typu DDOS lub do czego tam sobie wymyślą.
Przekierowanie linków
To chyba najbardziej pospolity powód włamań. Przekierowanie całego ruchu z Twojej strony www lub jego części na linki spamerskie. Każda zhakowana strona i przekierowania adresu na reklamy typu 'maść na porost penisa’, to dodatkowe wejście na linki przestępców i idące za tym konkretne pieniądze. Zresztą jak to wygląda – pisałeś o naleśnikach z dżemem, a teraz promujesz podrabianą viagrę – bo Twój czytelnik nie musi wiedzieć, że Cię zhakowano. Może uznać, że sprzedałeś się za tubkę afrodyzjaków. O ostrzeżeniach w wyszukiwarkach i przeglądarkach nie muszę wspominać?
Etyczny włam
Tak nazywam 'atak’ webowy, który ma na celu zwrócenie naszej uwagi na załatanie podatności na naszej stronie, zanim przyjdą prawdziwi przestępcy i wykorzystają buga do czegoś niezgodne z prawem. Z reguły wygląda to tak, że ktoś znajduje słabe ogniwo naszej strony i nie idzie dalej, tylko wysyła do nas wiadomość, co odkrył z radą jak to wyeliminować. Na ogół są to zawodowi pentesterzy, którzy w wolnych chwilach w społecznym czynie ćwiczą swoje umiejętności, ale może też to być zły haker, któremu jednak smakowały naleśniki z Twojej strony i darzy Cię kulinarnym szacunkiem. Nie mniej nie wolno panikować i biec na komendę z hasłami: „Panie antyperspirancie, hejker włamał mnie sie na stronę z naleśnikami i dżemem!”. Trzeba taki problem zweryfikować w miarę naszych umiejętności lub poprosić kogoś bardziej kumatego o pomoc. Jeśli wiadomość okaże się prawdą, to powinniśmy podziękować autorowi powiadomienia – możesz wysłać bombonierkę Merci albo zaprosić go na naleśniki.
Jeśli uważasz to za dziwne, to wiedz, że duże firmy mają programy 'bug bounty’, które wynagradzają konkretnymi pieniędzmi osoby, które zgłaszają dziury na stronie. Chyba stać cię na naleśnikowy program 'bug bounty’?
Więcej w temacie etycznego włamu:
White Hat – @uwteam_org
See Instagram 'White Hat’ highlights from Jakub 'unknow’ Mrugalski ? (@uwteam_org)
Słowem podsumowania
Dzisiaj dowiedziałeś się, że cyberprzestępcy zawsze szukają nowych rozwiązań i narzędzi do łamania zabezpieczeń, bezpieczeństwo strony nie ogranicza się do wtyczek i prostych trików, a hakerzy mają dobre powody, żeby nie omijać Twojej małej strony o naleśnikach.
Mam nadzieję, że na serio uzmysłowiłem Ci, że bezpieczeństwo to ciągły dyżur „na oriencie”, bo bez tej świadomości nie ma sensu czytać kolejnych części tego poradnika. A dowiesz się z nich:
– o dobrych praktykach, czyli jak zminimalizować human error
– o bezpieczeństwie strony z pozycji CMSa
– o bezpieczeństwie strony z pozycji hostingu
– o zabezpieczaniu WordPressa zewnętrznymi narzędziami
– o sposobach sprawdzania bezpieczeństwa swojej strony.
– etc.
A najlepsze jest to, że nie wydasz ani złotówki! ??