Securitatea si integritatea datelor web

Daca dupa povestea Namebox ti-ai intrebat firma de gazduire despre backupuri si chiar daca ai primit asigurari ti-ai facut si tu un backup offsite si acum iti consideri datele in siguranta  te inseli amarnic pentru ca firma de hosting sau backupurile nu-ti pot proteja datele atat timp cat tu nu ai bunavointa s-o faci.

Astfel, inainte de a te considera in siguranta propun sa-ti pui urmatoarele intrebari (in ordinea importantei) al caror raspuns detaliat am sa ti-l dau ulterior:

  • Folosesc Windows cu licenta?
  • Am un antivirus bun si il tin actualizat? Am varianta gratis sau ceva cu licenta?
  • Am grija pe ce siteuri intru si mai ales ce fisiere descarc si execut?
  • Trag in mod constant fisiere de pe platformele p2p fara sa le verific in vreun fel provenienta?
  • Cand mi-am schimbat ultima data parola la adresa de email? Dar parola contului de hosting si a siteului de WordPress (sau alt CMS dupa caz)?
  • Cat de sigura e parola pe care o folosesc?
  • WordPress-ul mi-e la zi? Dar tema si pluginurile?
  • Folosesc produse comerciale care sunt nulled?
  • Cat de fiabile sunt backupurile pe care le face firma de hosting? Dar cel pe care tocmai l-am facut eu?
  • Cat de importante sunt datele mele pentru publicul care-mi viziteaza siteul? Dar pentru mine?

Acum c-ati citit intrebarile si probabil ca ati cautat raspuns la ele haideti sa va explic de ce sunt foarte importante si de ce e extrem de importanta ordinea in care le-am pus.

Sistemul de operare

Majoritatea utilizatorilor de internet din Romania folosesc Windows pirat ceea ce poate sa insemne doua lucruri:

  1. Cine l-a instalat a folosit o imagine stock a Microsoft si a pus o cheie universala dupa care a dezactivat actualizarile;
  2. Imaginea folosita la instalare e trasa de pe torrenti si vine cu patch integrat, patch care a dezactivat deja actualizarile si care probabil are integrat si un backdoor/sniffer;

Ambele cazuri expun utilizatorul unor vulnerabilitati existente si viitoare pentru simplul fapt ca nu ii mai confera nivelul de siguranta si protectie pe care-l primeste de la un sistem de operare licentiat care se actualizeaza.  Ba mai mult cel de-al doilea caz expune direct utilizatorul unei scurgeri de date pentru ca orice backdoor poate ajuta la instalarea unui troian si orice sniffer poate sa-l spioneze pe utilizator, iar astea au ca rezultat direct expunerea parolelor si datelor bancare.

In urma cu vreo 10 ani eram lurker pe un forum unde se discuta problema botneturilor, a retelelor zombie si erau acolo niste baietasi care aveau retele de sute, mii si chiar zeci de mii de calculatoare pe care le controlau. Reusisera sa patrunda in ele folosind niste vulnerabilitati pentru care existau deja patchuri si pe langa faptul ca le foloseau in diverse atacuri le mai si utilizau pentru a-i spiona pe utilizatori.

Antivirusul

Foarte multi experti in securitate informatica sunt de parere ca antivirusul e inutil fiindca exista atatea scheme elaborate de hacking incat sunt o sumedenie de alte aspecte care pot sa vulnerabilizeze utilizatorul si intr-adevar asa e, iar sectiunea despre antivirusi din Vault7 confirma lucrul asta.

Totusi spargerea unui sistem informatic bine securizat nu e ca in filmele absurde unde bate unul cu degetul in tastatura timp de doua minute si voila. Nu, e mult mai complicat si presupune brainstorming, planificare, analiza si de multe ori munca in echipa. Asa ca desi antivirusul este inutil in cazul profesionistilor in domeniu, in cazul utilizatorului de rand care nu are pe calculator date ce presupun utilizarea unor scheme elaborate de hacking si justifica de altfel costurile aferente un antivirus bun, actualizat la zi e foarte util pentru ca-l protejeaza fix impotriva amenintarilor care i se adreseaza.

N-am sa mai intru in detaliu privind utilizarea unui antivirus pirat, gratis sau cu licenta. Cele pirat si gratis au o serie de riscuri aferente in timp ce antivirusul licentiat elimina mare parte din aceste riscuri.

Preventia riscurilor

Atacurile informatice orientate spre serverele web sunt orientate pe trei vectori principali:

  1. Infectarea paginilor web cu scopul de a-i infecta pe vizitatori cu diversi troieni si a le fura datele exploatand vulnerabilitati in sistemul de operare, lipsa unui antivirus samd.
  2. Propagarea de emailuri de spam/SEO spam etc.
  3. Furtul de date prin metode de phishing.

Mai exista si varianta mineritului de bitcoin sau utilizarea resurselor pentru seeding de torrenti, insa vorbim de cazuri extrem de izolate si eu personal nu am mai vazut astfel de situatii de cel putin un an.

Ori primul vector mentionat mai sus are legatura directa cu primele doua intrebari legate de sistemul de operare si antivirus. Iar daca utilizatorul intra pe un site care ii recomanda sa descarce oaresce plugin pentru browser, aplicatie samd. si utilizatorul face lucrul asta fara sa verifice legitimitatea solicitarii atunci chiar daca are Windows cu licenta si antivirus bun se expune riscului de a-si infecta calculatorul.

Pirateria

Probabil ca fiecare dintre noi a ascultat un mp3 piratat, a vizionat un film piratat sau mai stiu eu ce. Retelele de piraterie se impart in doua: publice si private.

Cele publice sunt adeseori pline de fisiere infectate in timp ce alea private sunt mai sigure, dar tot pastreaza un anumit grad de risc. N-am sa va spun ca daca trageti de pe torrenti sunteti niste imorali sau mai stiu eu ce. O faceti pe riscul vostru pana la urma si riscul asta e real atat din punct de vedere legal cat si in ceea ce priveste integritatea celorlalte date.

Parolele

Orice specialist in domeniu o sa va spuna faptul ca cea mai mare vulnerabilitate a unui sistem informatic e reprezentata de interactiunea si interventia umana. Ori pentru un utilizator de rand parolele sunt prima linie de aparare atunci cand intervine relatia cu o terta parte.

Primele recomandari au ca scop protectia integritatii parolelor din punctul de vedere al expunerii acestora datorita unei utilizari delasatoare si iresponsabile a softwareului. Totusi degeaba utilizezi un sistem informatic ultra-securizat daca folosesti aceeasi parola pentru toate panourile de control si daca parola respectiva e 123456.

De cele mai multe ori expunerea unor date critice se face datorita password reuse (reutilizarea parolei) pentru ca orice hacker care reuseste sa identifice o parola si s-o asocieze cu un login o sa aiba ca tinta identificarea tuturor loginurilor utilizate de aceeasi persoana si incercarea parolei pe ele, iar in 9 din 10 cazuri o sa zica BINGO!

Astfel, parola utilizata la Facebook ar trebui sa fie diferita de cea de la email si ambele diferite de parola utilizata la WordPress (sau alt CMS dupa caz). Dincolo de asta oricat de inutila si irelevanta ar parea, parola de email e cea mai critica dintre toate fiindca oricine are acces la email poate sa obtina acces la celelalte parole chiar daca sunt diferite utilizand functia de “Lost Password” care exista integrata in cel putin 99% din formularele de login si care fiind automatizata n-o sa ezite in a expune conturile utilizatorului in baza unui algoritm banal.

Parolele trebuiesc schimbate frecvent, cel putin odata la 180 de zile desi multi recomanda schimbarea lor la 90 sau chiar 30 de zile. Depinde evident de importanta datelor si mai ales de complexitatea parolei.

De altfel parolele trebuiesc schimbate (toate) la prima suspiciune privind expunerea vreuneia dintre ele.

Cand vine vorba de complexitatea parolelor majoritatea expertilor in domeniu recomanda o serie de criterii care desigur tin de multe ori si de nivelul de paranoia al celui care face recomandarea.

Totusi e demn de mentionat faptul ca in urma cu vreo 6 ani niste hackeri au reusit sa sparga la Comodo o parola ce utiliza caractere din afara setului standard ASCII ceea ce inseamna ca doar complexitatea si lungimea parolei nu-i un factor suficient. Totusi reiau mai jos o serie de criterii demne de urmat atunci cand alegeti o parola:

  • sa aiba cel putin 14 caractere;
  • sa aiba combinatie de majuscule cu minuscule;
  • sa aiba numere, dar sa nu contina secvente consecutive de numere gen 123 sau ani, date de nastere etc.;
  • sa aiba cel putin un simbol gen $, # sau %
  • sa nu se asemene cu parolele folosite anterior, cu domeniul, numele siteului sau numele de utilizator;
  • sa nu includa numele mascotelor, parintilor, copiiilor sau prietenilor si altor membri ai familiei;
  • sa nu includa cuvinte din dictionar sau nume comune;
  • sa nu contina pattern-uri de tastatura 1234567890, qwerty sau asdfghjkl

Scripturile folosite

Majoritatea utilizatorilor folosesc WordPress asa ca am sa vorbesc despre WordPress, insa recomandarile se fac la modul generic si sunt aplicabile si in cazul altor CMS-uri gen Joomla, Drupal, Magento etc.

Ultima versiune de WordPress a fost lansata de urgenta ca sa securizeze o vulnerabilitate din REST API ce conferea oricarui individ rau intentionat si cu putine cunostinte in domeniu capacitatea de a injecta continut malitios in postarile de pe WordPress-ul nesecurizat. Acum cine are putin habar despre REST API stie ca vulnerabilitatea identificata si raportata e un mizilic comparativ cu capacitatile pe care le are REST API si astfel dezvoltarea pe baza respectivei vulnerabilitati putea permite inclusiv injectarea de continut malitios in fisiere pentru a crea backdooruri.

Astfel de vulnerabilitati sunt greu de anticipat si de foarte multe ori sisteme proactive de protectie gen Wordfence nu pot proteja impotriva lor asa ca primul pas presupune mentinerea WordPressului si a pluginurilor si temei folosite actualizate in orice moment. Daca vreunul din pluginuri sunt comerciale si n-au fost instalate folosind WordPress repository atunci acestea trebuie sa beneficieze de atentie sporita fiindca ele nu sunt raportate ca fiind invechite si ca avand actualizari, iar actualizarea lor trebuie sa se faca manual ori de cate ori programatorul lor lanseaza o actualizare.

Apoi utilizarea de teme si pluginuri nulled nu e recomandata absolut deloc. Stiu, functionalitatea si calitatea costa bani, insa banii aia inseamna in definitiv siguranta. In 2014 s-au descoperit peste 23000 de servere web infectate cu CryptoPHP datorita utilizarii de teme si pluginuri nulled, majoritatea pe WordPress. Cum fiecare server web are in medie 100 de siteuri vorbim de 2,3 milioane de siteuri infectate. E mult, putin? Voi decideti cat si cum merita utilizarea unei teme nulled fara sa stiti s-o verificati de gargauni.

Backupurile

Backupurile sunt cu doua taisuri, pot sa fie mana cereasca sau o mare deceptie. Faptul ca ai un backup automatizat si ca ti se populeaza directorul de pe Google Drive sau Dropbox cu fisiere nu inseamna faptul ca arhivele alea sunt OK pentru ca de multe ori procesul de backup poate sa dea timeout. Pe shared hosting de exemplu orice proces de backup care depaseste resursele alocate fiecarui cont client la nivel de Cloud Linux e oprit automat de sistem. Fisierul de backup se face in cazul asta partial si contine suficiente erori incat sa fie imposibila recuperarea totala a datelor. Nu zic sa descarcati fiecare backup si sa-l extrageti local pentru a-i verifica integritatea, insa e ideal sa descarcati un backup macar saptamanal sau lunar (in functie de activitatea pe care o aveti) si sa-l verificati, sa va asigurati ca sunt OK.

De asemenea nu trebuie sa va bazati exclusiv pe backupurile oferite de firmele de hosting in sistem de redundanta, nici macar in cazul in care platiti extra pentru ele. Serverele alea de backup sunt gestionate in definitiv de oameni si oamenii pot sa greseasca, iar daca gresesc la momentul nepotrivit e nasol. Intamplarea recenta de la Gitlab e dovada de care aveti nevoie in acest sens.

Ba mai mult, componentele hardware crapa din cand in cand, mai ales cele de pe servere unde sunt utilizate la capacitate maxima ani buni si un controller de RAID defect poate cauza coruperea datelor atat pe serverul de productie cat si in backupuri daca integritatea datelor nu e monitorizata constant si erorile nu sunt identificate la timp.

Importanta datelor

Probabil ca cel mai elocvent lucru dintre toate cele enumerate mai sus tine de cat valoreaza de fapt datele stocate pentru tine si pentru vizitatorii tai. Daca siteul pe care il ai e o sursa sigura de venit atunci n-ai voie sa faci compromisuri. Nu se asteapta nimeni de la tine sa inveti sa-ti gestionezi datele intr-un mod aproape infailibil, insa tu ar trebui sa te astepti la situatii neprevazute si in cazul asta cel mai bine e sa platesti un specialist, un specialist adevarat si nu pe prietenul prietenului care-i si el cu calculatoarele ca sa-ti gestioneze datele pentru tine. Stiu, oamenii buni costa bani, insa expertiza lor in domeniu e foarte valoroasa pentru integritatea si securitatea datelor tale, iar daca vrei sa faci compromisuri de compromisuri vei avea parte.

Sper ca randurile astea sa fie de ajutor unora acum si pe viitor.

Leave a Reply

Your email address will not be published. Required fields are marked *