Kako su vam hakovali veb-sajt?

FacebookLinkedinEmail
19/08/2021
Hakovanje veb-sajta

Kao prvo, nadam se da nisu. Nadam se da ste ovde došli samo da biste saznali šta možete da uradite kako bi se smanjila verovatnoća da se to desi.

Ako se pitate zašto onda naslov teksta nije „Kako da mi ne hakuju veb-sajt?”, odgovor je: Na to pitanje niko ne zna odgovor, a ukoliko tvrdi da zna, ne govori istinu.

A čemu onda uopšte ta sigurnost o kojoj se sve više priča ako niko ne zna kako da se zaštitimo od hakovanja? Odgovor na to pitanje nije tako jednostavan, ali nije ni sve tako crno.

Upravo otvaramo neke „teme za razmišljanje“ kako bismo bolje razumeli ovaj kompleksan problem.

Nećemo ulaziti previše u sama tehnička rešenja. NJih ćemo razmatrati već u sledećem tekstu, gde ćemo davati preporuke kako da na siguran način koristite određene veb-tehnologije.

Dakle, naučili smo zašto nam je kao kompaniji važno da imamo svoj veb-sajt i svoj domen, ali tu posao nije završen. Važna nam je i sigurnost.

Šta zapravo znači „sigurno”?

Sigurnost često shvatamo kao nešto binarno. To znači da imamo samo dva stanja: Prvo, odsustvo sigurnosti koje vodi u hakovanje i kompromitaciju sistema, i drugo, prisustvo sigurnosti koje nas spasava od toga. Takvo shvatanje je pogrešno i često nas vodi u zablude i tera da činimo pogrešne korake i zaključke. Apsolutna sigurnost u IT sferi ne postoji i ne može se postići. Sve mere koje preduzimamo kako bismo se zaštitili samo smanjuju verovatnoću da do problema dođe. Koliko smo uspešni u primeni tih mera i identifikovanju problematičnih tačaka toliko smo i sigurni.

Tako je i u ostalim netehničkim sferama života.

Sigurnost je, stoga, najbolje posmatrati kao kontinuum.

A šta je sa veb-sajtovima i njihovom sigurnošću?

Ako govorimo o sajtovima malih i srednjih preduzeća, šta je to što je najvažnije za njihovu bezbednost i kako da ih učinimo otpornijim na hakovanje?

Pokušaću da vam problem približim tako što ću odgovoriti na četiri jednostavna pitanja: „Šta?“, „Gde?“, „Čime?“ i „Kako?“.

1. Šta? 

Za šta meni  „ovo” služi? Da li je vaš sajt samo prezentacija osnovnih informacija o kompaniji, da li je vaš sajt veb-šop/veb-prodavnica ili interaktivna aplikacija preko koje pružate usluge?

Za šta god da vam veb-sajt služi, siguran sam da ne želite da sutra izgubite kontrolu nad njim, da podaci vaših klijenata budu kompromitovani ili da ostanete bez kompletne baze korisnika.

Veb-sajt, pa čak i onaj najjednostavniji, nikada nemojte posmatrati kao nešto statično (iako se sajtovi bez baze podataka i nazivaju „statični sajtovi”). Koliko god da je sajt jednostavan on nije oglas u novinama i potrebno mu je održavanje.

2. Gde?

Kada smo odgovorili na pitanje „Šta?”, lakše ćemo znati da damo odgovor na pitanje „Gde?”.

 „Gde?” je zapravo pitanje hostinga. Jedna od najbitnijih stvari za bezbednost jeste posedovanje adekvatnog, proverenog i stabilnog hosting provajdera. Već je bilo reči o tome kakve sve hosting opcije postoje, a ja bih ovde ipak najviše voleo da govorim o adekvatnosti – kako da izaberemo adekvatan hosting spram naših potreba i finansijskih mogućnosti.

Zašto ovo pišem? Zato što sam nebrojeno puta video sledeći scenario: Imamo veb-sajt na shared hostingu, sajt nam se sporo učitava. Prva stvar koja nam pada na pamet je da kupimo VPS i da sajt prebacimo tamo. Uradimo sve što treba, i stvarno, sajt odjednom leti. Ali, postoji jedna začkoljica.

Za VPS ili Dedicated mašinu, pored troškova servera, morate da uračunate i troškove održavanja. Server nije nešto što se jednom podesi i nastavlja da radi zauvek, na njemu morate da radite stalno.

Loše konfigurisan i/ili neažuriran VPS stvoriće vam mnogo više sigurnosnih problema nego shared hosting koji ste uzeli kod proverenog i stabilnog hosting partnera.

Naravno, sa druge strane, pravilno podešen ima domete kojima shared hosting nikada neće moći da priđe. Zbog toga je adekvatnost veoma bitna stavka u našem odabiru.

3. Čime?

U redu, znamo čemu nam sajt služi, odabrali smo hosting koji je dobar, ostaje nam pitanje samog softvera koji će se koristiti na veb-sajtu. Jednostavnije rečeno, čime pravimo sajt tj. koju aplikaciju ćemo koristiti da ga napravimo.

Obično biramo neki CMS, kao što su Vordpres (Wordpress), Drupal ili Džumla (Joomla).

O svim ovim tehnologijama i njihovoj sigurnoj primeni pisaćemo više u narednom periodu, tema je dosta široka.

Ono što je sada važno da znate jeste da sve ove tehnologije takođe zahtevaju redovno održavanje. Redovno održavanje na nivou veb-aplikacije znači redovno ažuriranje CMS-a, njegovih tema i plaginova/dodataka. Uvek moramo koristiti poslednju podržanu verziju. Kada se pojavi ažuriranje, potrebno ga je primeniti što pre. Ažuriranja su najčešće ispravke sigurnosnih propusta u samom softveru.

Kao što smo već naglasili, sajt nije nešto što je statično, a vašim sajtom morate se baviti stalno, kao što npr. zalivate cveće. A šta će se desiti ako cveće dugo ne zalivamo?

4. Kako?

I kako nas onda hakuju?

Ako znamo čemu nam sajt služi, odabrali smo pravi i adekvatan hosting, veb-aplikaciju smo ažurirali, i to onda znači da smo sigurni i da ne možemo biti hakovani?

Nažalost, ne. Vratimo se na početak teksta, apsolutna bezbednost ne postoji. Ono što smo definitivno uspeli da uradimo jeste da smo znatno smanjili verovatnoću da do kompromitacije dođe.

I to je sve što možemo da uradimo.

Ali hajmo, za kraj, umesto zaključka,  da pogledamo  jedan konkretan i svež primer i da odgovorimo na to pitanje „Kako?”. Šta to rade napadači?

Ukoliko koristite Vordpresov plagin Woocommerce a niste ga ažurirali od 13. jula 2021. godine, u velikoj ste nevolji.

Otkrivena je kritična SQL injection ranjivost, a nedugo zatim je javno objavljen i sam način na koji se ranjivost može iskoristiti u zlonamerne svrhe.

Ukoliko Woocommerce na vašem sajtu nije ažuriran, napadač će doći na sajt i u polje u koje se unosi internet adresa sajta ukucati nešto ovako:

Manipulacijom vrednosti parametra taxonomy, iza koga se zapravo krije ranjiv upit u bazu podataka, umesto INJECTION, napadač će ubacivati adekvatne tekstualne vektore, payload-e, i na taj način će uspeti da izvuče kompletnu vašu bazu podataka a potencijalno, u loše konfigurisanim sistemima, mogao bi i da preuzme kontrolu nad čitavim serverom.

Rešenje za ovaj problem je ažuriranje plagina koje je objavljeno istog dana.

 

 

Možda će vas zanimati i:

Šta je neophodno znati o bezbednosti na internetu?

Pozovi CERT radi sajber bezbednosti

Evolucija phishing napada - kontinuitet rasta

Kad hakeri ukradu internet adresu

FacebookLinkedinEmail