Włamania na serwery webowe

Ostatnio zgłaszam fakt włamania na serwer różnym adminom - i niestety niektórzy z nich odpowiadają mi "to nie jest włamanie na serwer". Postaram się zatem sklasyfikować różnego rodzaju typy włamań.

Spam na forach/guestbookach

Niektóre strony internetowe umożliwiają rejestrację użytkownikom i publikowanie różnych treści. Korzystają z tego spamerzy robiący SEO. Nie jest to groźne dla odwiedzających stronę o ile strona umożliwia publikację tylko dozwolonych tagów HTML. Dla właściciela strony jest to raczej upierdliwe, chociaż może doprowadzić do zbanowania domeny przez google lub utraty wiarygodności firmy w oczach potencjalnych klientów.
Rozwiązanie: moderator (człowiek)

Włamanie do CMSa

Każdy CMS typu Wordpress, Drupal ma panel logowania. Jeżeli hasło jest zbyt proste lub wyciekło do włamywaczy z powodu wirusa to włamywacze mogą publikować własne treści. Jest to trochę bardziej groźne gdyż włamywacz ma większą kontrolę nad tagami HTML i może umieścić na stronie wirusa próbującego infekować komputery odwiedzających. W chwili obecnej najpopularniejsze jest robienie SEO.
Rozwiązanie: moderator+silne hasła, kontrola dostępu, odpowiednie poziomy dostępu

Włamanie do FTP.

O ile CMS może nie pozwalać na upload plików wykonywanych (Perl, PHP) to włamanie się na FTP do serwera webowego pozwala umieścić na nim dowolne pliki. Takie pliki to mogą być narzędzia do włamań na inne serwery, narzędzia do rozsyłania spamu, ataków DOS, strony phishingowe banków, wirusy, anonimowe proxy, serwery kontrolujące botnet.
Rozwiązanie: silne hasła, ftp+geoip, kontrolowanie plików na serwerze, kontrolowanie połączeń

Włamanie typu SQL injection, PHP injection, Remote File Include

Podobnie jak włamanie przez FTP pozwala na umieszczenie na serwerze plików wykonywalnych. Najczęściej używanych do rozsyłania spamu.
Rozwiązanie: uaktualnianie na bieżąco silników stron www lub nawet pozbycie się silników (wraz z dodatkowymi modułami) podatnych na włamania (mówię tu zwłaszcza o Joomli).
hardening PHP, kontrolowanie połączeń wychodzących (iptables -A OUTPUT -m owner), kontrola kolejki emaili

Włamanie z eskalacją uprawnień do roota

Najrzadziej spotykane i raczej używane przeciwko konkretnym celom np. korporacjom, elektrowniom atomowym. Umożliwia pozostawanie niewykrytym przez bardzo długi czas. Tutaj w grę wchodzi szpiegostwo przemysłowe lub ataki przeciwko rządom.
Rozwiązanie: hmm

Dawno, dawno temu włamywacze robili tzw. "deface" czyli podmianę strony głównej serwisu na treść obrażającą inteligencję admina lub na jakiś przekaz polityczny. Później, chociaż bardzo krótko umieszczano na stronach wirusy. Obecnie włamanie służy do zarabiania pieniędzy. Im dłużej włamywacz pozostanie niewykryty tym więcej pieniędzy może zarobić korzystając z "darmowego" hostingu.
Najpopularniejsze działania włamywaczy to: rozsyłanie spamu, włamania na inne serwery, ataki na inne serwery, SEO.
W chwili obecnej "włamanie na serwer" nie jest tożsame z "uzyskaniem uprawnień roota". Każde włamanie, które pozwala na umieszczenie na serwerze kodu wykonywalnego jest włamaniem "na serwer". Możliwość umieszczenia kodu wykonywalnego oznacza możliwość zrobienia na serwerze mnóstwa brzydkich rzeczy, zaś uzyskanie roota oznacza dla włamywacza możliwość robienia tego niewykrytym.

"Nasz serwer jest dobrze zabezpieczony"

Jeżeli to ja zgłaszam komuś włamanie na serwer i ten ktoś odpowie mi takim tekstem to zaczyna mi pulsować żyłka na skroni. Nie, serwer tego kogoś nie jest dobrze zabezpieczony. On jedynie spełnia swoją rolę jako np. hosting stron www. (I to jest normalne, że najzwyklejszy hosting nie jest zabezpieczony przed popularnymi atakami). A skoro jest podatny na takie popularne typy włamań to on w ogóle nie jest zabezpieczony. Skoro to ja - będąc (prawie) zupełnie przypadkowym internautą - wykrywam włamanie u kogoś, to oznacza, że admin serwera w ogóle nie zajmuje się bezpieczeństwem tego serwera. Bo każdy admin powinien być na bieżąco zaznajomiony z popularnymi atakami i z tym, co włamywacz może zrobić z serwerem - a następnie temu przeciwdziałać.

Ja rozumiem, że w wielkich hostingowniach nie ma możliwości indywidualnego podejścia do szukania dziur u klientów. Ale jak zgłaszam po raz setny identyczny przypadek włamania na serwer to można z tego wyciągnąć jakąś cechę charakterystyczną i zapuścić robota szukającego jej podczas porannej kawy.

Wyrwane z kontekstu kawałki ustaw:

Ustawa o Świadczeniu Usług Drogą Elektroniczną z dnia 18 lipca 2002 r., nowelizacja Dz. U. z 2013r. poz 1422

Rozdział 2 Obowiązki usługodawcy świadczącego usługi drogą elektroniczną
Art. 7. Usługodawca zapewnia działanie systemu informatycznego, którym się posługuje, umożliwiając nieodpłatnie odbiorcy:
1) w razie, gdy wymaga tego właściwość usługi:
a) korzystanie przez usługobiorcę z usługi świadczonej drogą elektroniczną, w sposób uniemożliwiający dostęp osób nieuprawnionych do treści przekazu składającego się na tę usługę, w szczególności przy wykorzystaniu technik kryptograficznych odpowiednich dla właściwości świadczonej usługi,

Rozdział 3 Wyłączenie odpowiedzialności usługodawcy z tytułu świadczenia usług drogą elektroniczną
Art.14.1. Nie ponosi odpowiedzialności za przechowywane dane ten, kto udostępniając zasoby systemu teleinformatycznego w celu przechowywania danych przez usługobiorcę nie wie o bezprawnym charakterze danych lub związanej z nimi działalności, a w razie otrzymania urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości o bezprawnym charakterze danych lub związanej z nimi działalności niezwłocznie uniemożliwi dostęp do tych danych.

Przypisy:
prawo.vagla.pl "Nie chodzi o cenzurę internetu, a o procedurę notice and takedown"