Sociálne siete

SecIT.sk na Facebooku SecIT.sk na Google+ SecIT.sk na Twitteri

Podporte nás


V prípade, že Vám obsah nášho portálu niekedy nejakým spôsobom pomohol, či bol pre Vás prínosom prosím podporte jeho chod ľubovoľnou čiastkou. Ďakujeme!

Prihlásenie

Štítky

Vyhľadávanie

You are here

Domov
Upozornenie: Obsah je licenčne chránený a bez písomných súhlasov autora článku a vlastníka webovej stránky nesmie byť v žiadnej forme ďalej kopírovaný a šírený v pôvodnom, či v akokoľvek upravenom stave.

Vírusy na webových stránkach

V poslednom období sme svedkami obrovského množstva webových stránok šíriacich malware. V minulosti sa tento spôsob šírenia pripisoval len stránkam v tkzv. "šedej zóne" internetu (kam patril hlavne porno a warez obsah...), no dnes nájdeme obrovské množstvo legitímnych webových stránok, ktoré sú infikované. Obrovské množstvo je ich už aj zo Slovenska a Česka, v súčasnosti sú ich stovky a neustále pribúdajú. Pritom ide o stránky na prvý pohľad neškodné (stránky rôznych spoločností, e-shopy, stránky miest, či združení a už ani nehovoriac o osobných stránkach a stránkach rôznych projektoch).

Ako prebieha infekcia webovej stránky?

V drvivej väčšine prípadov ide o "ukradnutie" hesiel z PC autora webovej stránky. Tento autor je zvyčajne laik (i keď nie vždy a sú aj prípady profesionálov) so základnými vedomosťami v oblasti tvorby web stránok a často môže tvoriť len jednoduché statické html stránky, prípadne využiť základy PHP, či siahnuť po nejakom redakčnom systéme. Samozrejme to, že ľudia tvoria webové stránky je dobré, len treba dodržovať isté pravidlá a doporučenia. Kameňom úrazu je zväčša nahrávanie webovej prezentácie na server webhostingu. Používateľ využije jeden z mnohých väčšinou zdarma dostupných FTP klientov (ako Total Comader, FileZilla... ) a v ňom si uloží heslo k svojmu FTP účtu. Neskôr dôjde k infikovaniu jeho PC tými najrôznejšími spôsobmi a úlohou infiltrácie je práve "ukradnúť" a zneužiť heslo uložené vo FTP klientovi. Zásadným problémom je, že tieto heslá nie sú chránené prípadne len veľmi slabo - nie sú dostatočne silno zakódované a tak dôjde k ich zneužitiu. A práve týmto spôsobom je infikovaných najviac legitímnych stránok. Samozrejme sú tu aj ďalšie možnosti infekcie, útočník sa môže pokúsiť o "uhádnutie" hesla k FTP serveru, napríklad použitím brute-force (hrubej sily) - skúšaním rôznych kombinácií znakov alebo sa pokúsi využiť slovníkový útok založený na skúšaní tých najpoužívanejších výrazov. Toto "hádanie" hesla je však menej pravdepodobné, nakoľko administrátor má zväčša nastavenú maximálnu povolenú hodnotu pokusov o prihlásenie z jednej IP adresy. Častejším spôsobom môže byť zneužitie chýb v kóde samotnej webovej aplikácie či systému, jedná sa napríklad o XSS či SQL injection zraniteľnosti, táto téma je však vhodná skôr na samostatný článok. Trocha zriedkavejším spôsobom infekcie môže byť aj zneužitie chyby na strane servera poskytovateľa webhostingu, ale nie nemožným, vtedy by mohlo byť infikovaných mnoho stránok hostovaných týmto poskytovateľom. Tu záleží nakoľko je administrátor šikovný a ako dokáže server zabezpečiť. Medzi súčasné útoky môžeme zaradiť aj kombináciu "ukradnutia" hesla k FTP účte a následné nasadenie PHP červa, kde môže opäť dôjsť k infekcii ďalších stránok na serveri.

Ako vyzerá infikovaná webová stránka?

Ak spôsob infekcie prebehne krádežou hesla z FTP klienta v drvivej väčšine je do zdrojového kódu webovej stránky (najčastejšie index, teda úvodná stránka) pridaný škodlivý javascript, zvyčajne ku koncu zdrojového kódu. Nachádza sa medzi tagmi script, väčšinou v zakódovanej forme, aby nebolo ľahké dešifrovanie, týmto spôsobom útočník sťažuje odhalenie funkcie a úlohy tohto scriptu. Na stránke môže byť umiestnený aj "škodlivý" iframe medzi tagmi iframe. Samotný škodlivý kód sa tak nenachádza priamo na "infikovanej" stránke ale na inej webovej stránke - na inom serveri. Ide teda o vzdialené "odkazovanie" na škodlivý script.
Pokiaľ dôjde k zneužitiu zraniteľností ako XSS je situácia obyčajne zdrvujúcejšia, pri využití zraniteľností ako SQL injection môže byť dôsledok aj fatálny. Zneužitie týchto zraniteľností zväčša umožní útočníkovi webovú stránku modifikovať či dostať sa k dôležitým niekedy aj veľmi cenným dátam.

Čo znamená infikovaná webová stránka pre bežného návštevníka?

Pre bežného návštevníka predstavuje infikovaná webová stránka pomerne veľké riziko. Záleží hlavne aký prehliadač, v akej verzii a s akými doplnkami - pluginmi, používa. Pokiaľ obsahuje prehliadač, či niektorý z pluginov bezpečnostnú chybu po návšteve infikovanej stránky môže bez akéhokoľvek pričinenia návštevníka dôjsť k infekcii jeho počítača.
Toto je fakt, ktorému niekedy ťažko uveria bežní používatelia. Takže súčasná doba okrem spestrenia stránky rôznymi doplnkami, prináša aj riziko v podobe možnosti ich zneužitia (napríklad aj pri čítaní pdf súboru).

Ako zamedziť infikovaniu webovej stránky?

Ak čítate tento článok a ste autorom nejakej webovej stránky dbajte prosím na tieto zásady.

Zopár odporúčaní pre autorov webových stránok:

  • neukladajte si heslá vo svojom FTP klientovi (ako Total Comader* či FilleZilla)
  • nastavte si k FTP účtu silné, zložité viac-znakové heslo
  • dbajte o bezpečnosť vášho počítača a používajte kvalitný antivírus a firewall
  • zálohujte pravidelne obsah vášho FTP servera
  • v prípade, že už došlo k infekcii vašich webových stránok, odstráňte škodlivý script z vášho zdrojového kódu - najlepšie je nahrať na FTP server zálohu vašich stránok a infikované či potencionálne rizikové súbory zmazať, ihneď zmeňte heslo k vášmu FTP účtu na zložité a viac znakové a neukladajte ho do vášho FTP klienta
  • používajte pokiaľ je to možné šifrovaný prenos súborov na váš FTP server

*Nová verzia programu Total Comander prináša novinku k lepšiemu, tkzv. master password - halavné heslo umožňujúce chrániť prístupové heslo k vášmu FTP serveru. Pri použití master password sa využíva šifrovanie AES256.

Ďalšou z možností bezpečného uchovania hesiel je využitie open-source programu KeePass (http://keepass.info/), umožní bezpečne uložiť a "skladovať" všetky vaše heslá na jednom mieste.

Najhoršie na všetkom, je niekedy reakcia a nezáujem pri reportovaní škodlivého obsahu na stránke jej autorovi. Autor nielenže sa niekdy neunúva zareagovať alebo poďakovať, človeku, ktorý sa mu snaží pomôcť ale on dokonca so škodlivým obsahom nič nespraví - neodstráni ho. Toto je zo strany autorov niektorých stránok chrapúnstvo.

Odporúčania pre administrátorov hostingov

Aj keď je pozícia administrátorov hostingov ťažká, niekoľko spôsobov ako dopomôcť k zlepšeniu situácie existuje:

  • Niektoré lokálne hostingy už pristúpili k rozumnému obmedzeniu defaultného prístupu k FTP účtom z IP adries len zo Slovenska a Česka s možnosťou nechať zákazníkovi toto nastavenie zmeniť. K tomuto kroku by mali pristúpiť všetky hostingové spoločnosti v našej oblasti. I keď sa už objavujú samozrejme aj nechcené prístupy z českých a slovenských IP adries, toto obmedzenie z časti pomôže.
  • Informujte vašich zákazníkov-používateľov o možných hrozbách ako najlepšie sa dá a vyžadujte po ich, aby tieto pravidlá dodržiavali, zároveň pre nich pripravte postupy, čo robiť ak je ich stránka infikovaná
  • Ideálne by bolo využívať antivírusový systém pre kontrolu stránok na vašom serveri, prípadne nadviazať spoluprácu so službami, ktoré túto činnosť vykonávajú a pokúsiť sa o zautomatizovanie kontroly ich logov na hľadanie domén vašich klientov.
  • So zaujímavým trocha zložitejším spôsobom prišiel David Vorel správca projektu honeynet.cz. Riešením by mohlo byť nahratie obsahu a jeho následné uzamknutie, tým by došlo k úplnému zabráneniu modifikácie a k odomknutiu by došlo len po zadaní kľúča napríklad doručeného e-mailom klientovi.

Prevádzkovatelia hostingov by sa teda mali zamerať okrem monitorovania vkladania nelegálneho obsahu (ako warez a porno) na ich stránky aj na výskyt infiltrácií na týchto stránkach.

Väčšina dnes dostupných služieb na hľadanie infiltrácii na webových stránkach sa sústredí a monitoruje len domény druhého rádu. Problémom sú ale aj domény tretieho rádu a tu hlavne freehostingy, ktorých administrátori by sa skutočne k tejto alarmujúcej situácii mali patrične postaviť a snažiť sa o jej zlepšenie.

Zo skúseností ľudí, ktorí sa snažia reportovať infikované stránky aj rôznym free webhostingom viem, že reakcia ich helpdesku je často neadekvátna, niekdy žiadna. Takto cesta určite nevedie a administrátori týchto služieb by skutočne mali zmeniť svoj prístup.

Ako sa môže chrániť bežný návštevník stránky?

Na strane bežného návštevníka - používateľa existuje niekoľko spôsobov a zásad ako eliminovať riziko infekcie. V prvom rade, zo všetkých strán zdôrazňované pravidelné aktualizovanie prehliadača a tiež pluginov, ktoré obsahuje ale aj operačného systému. Používať antivírus a firewall, a tiež ich samozrejme pravidelne aktualizovať. Dobré je tiež pracovať pod účtom s obmedzenými oprávneniami i keď možnosť infekcie je samozrejme aj tu.

Ďalej môžete použiť aj nástroje a doplnky určené pre ochranu:

  • Pre používateľov Firefoxu odporúčame používať rozšírenie NoScript.

Za zmienku stoja určite aj tieto nástroje:

  • Sandboxie (http://sandboxie.com/) - ide o virtuálne prostredie, ktoré je vytvorené pre váš prehliadač, nie je možné modifikovať nič okrem alokovanej pamäte. Možnosť infekcie je tak veľmi malá.
  • Zaujímavý riešením je aj Anubis sandbox (http://anubis.iseclab.org/), dokáže analyzovať a vyhodnotiť prípadný škodlivý obsah.
  • Podobnou službou je aj Google Safe Browsing, ukazuje aj históriu a počty infekcií na daných stránkach, existuje aj plugin pre Firefox (http://www.google.com/tools/firefox/safebrowsing/).

Je tu možnosť využiť aj filtre pri bezpečnostných riešeniach - antivírusoch, anti-spyware programoch a firewalloch.
Nie vždy však tieto bezpečnostné doplnky vyhodnotia riziko správne a tak môžu označiť aj "čistú" stránku za rizikovú. Úplná ochrana v tomto smere je však nedosiahnuteľná.

Záver

V súčasnosti, ako sa dá vidieť je šírenie malware cez legitímne webové stránky jedným zo spôsobov, ktorým sa darí a útočníkom sa vypláca. Záleží len na autoroch stránok a administrátoroch webhostingov ako sa mu bude dariť naďalej. My dúfame, že si uvedomia súčasnú situáciu a postavia sa k nej s cieľom zmeniť ju k lepšiemu. Budeme veľmi radi ak v komentároch vyjadríte svoj názor k aktuálnej situácií, prípadne napíšete aké reakcie ste obdržali pri reportovaní infikovaných stránok.


Podporte nás


Páčil sa Vám tento článok? Ak áno, prosím podporte nás ľubovoľnou čiastkou. Ďakujeme!


ITC manažer Security-portal.cz Soom.cz
Hoax.cz Antivirove centrum Crypto-world.info