Πολλοί είναι αυτοί που λένε ότι οι ιστοσελίδες τους είναι ασφαλείς. Γιατί; “Ποιος θα κάνει τον κόπο να επιτεθεί στο site μου;” ή “Η επιχείρησή μας είναι πολύ μικρή για να επιτεθεί κανείς”.
Υπάρχει ίσως αυτός ο μύθος ότι οι επιτιθέμενοι στο διαδίκτυο στοχεύουν πάντα συγκεκριμένες σελίδες. Δεν το κάνουν. Ναι, υπάρχουν μερικοί που το κάνουν, αλλά οι περισσότερες επιθέσεις γίνονται από bots, τα οποία δεν γνωρίζουν τίποτα για εσάς, την επιχείρησή σας ή τη σελίδα σας.
Σύμφωνα με την εταιρεία ασφαλείας Imperva, οι μισοί επισκέπτες μιας ιστοσελίδας είναι bots. Από αυτά περίπου το 29% όλων των “επισκεπτών” σας έρχονται για να επιτεθούν στον ιστότοπό σας, όπως αναφέρει ο Steven J. Vaughan-Nichols του ZDNet.
Αντίθετα με όσους πιστεύουν ότι το site τους είναι πολύ μικρό, η εταιρεία ασφαλείας Imperva προσπάθησε να εξετάσει sites με την μικρότερη κίνηση. Σύμφωνα με την εταιρεία, όσο πιο μικρή κίνηση έχει μια σελίδα, τόσο πιο πιθανό είναι να δεχτεί επιθέσεις.
“Στα λιγότερα διαδεδομένα domains – εκείνα που συχνάζουν από δέκα επισκέπτες (άνθρωποι) την ημέρα ή λιγότερο – τα “κακά” bots αντιστοιχούσαν στο 47,7% των επισκέψεων, ενώ η συνολική κίνηση των bot ήταν στα 93,3%.”
Πράγματι, «τα κακά bots θα προσπαθήσουν να χακάρουν [το site σας] ανεξάρτητα από το πόσο δημοφιλής είναι, και τα bots θα συνεχίσουν να επισκέπτονται ένα domain ακόμα κι αν δεν υπάρχει καθόλου κυκλοφορία από ανθρώπους».
Σας ακούγεται τρελό; Για τους ανθρώπους ίσως είναι, αλλά τα bots δεν είναι άνθρωποι. Σαρώνουν συνεχώς τον ιστό για επιθέσεις ξανά και ξανά.
Ας δούμε τα στοιχεία από τη Honeynet, μια διεθνή ερευνητική οργάνωση μη κερδοσκοπικού χαρακτήρα, που με τη βοήθεια φοιτητών από το Holberton School, δημιούργησαν πρόσφατα ένα honeypot για να παρακολουθούν επιθέσεις ασφαλείας σε ένα web server στο σύννεφο (PDF).
Ο server έτρεχε στο Amazon Web Services (AWS), και δεν λειτουργούσε καμία υπηρεσία που θα ήταν χρήσιμη σε κάποιον άλλο. Δεν είχε καν domain name.
Λίγο μετά την εκκίνηση του διακομιστή, άρχισαν να καταγράφουν πακέτα δικτύου για 24ωρη περίοδο με το καλύτερο εργαλείο ανάλυσης κυκλοφορίας δικτύου που είναι διαθέσιμο σήμερα, το Wireshark.
Στη συνέχεια ανέλυσαν το αρχείο δέσμευσης πακέτων με το Wireshark. το Computer Incident Response Center (CIRCL), το Border Gateway Protocol (BGP) ranking API και το p0f, μια passive TCP/IP traffic fingerprinting εφαρμογή.
Σε μια μέρα, μόλις σε 24 ώρες, αυτός ο ανώνυμος και σχεδόν αόρατος διακομιστής δέχτηκε περισσότερες από 250.000 επιθέσεις. Σκεφτείτε το και αρχίστε να κλειδώνετε την σελίδα σας.
Από τις επιθέσεις αυτές, η συντριπτική τους πλειοψηφία, 255.796 προσπάθειες σύνδεσης, έγιναν μέσω του Secure Shell (SSH).
Οι ερευνητές δημιούργησαν αμέσως μετά ένα honeypot, στον διακομιστή σχεδιασμένο να μοιάζει με ένα πραγματικό site, για τη συλλογή δεδομένων επίθεσης. Για να διατηρήσουν το project λειτουργικό, επέλεξαν να ανοίξουν το πρωτόκολλο HTTP (Hypertext Transfer Protocol), SSH και το Telecommunications Network (Telnet) για επιθέσεις.
Telnet; Ποιος χρησιμοποιεί το Telnet πια; Χάρη στις κακώς σχεδιασμένες συσκευές του Internet of Things (IoT), το telenet ζει και βασιλεύει. Μερικά gadgets του IoT χρησιμοποιούν το Telnet για διαχείριση και το Telnet δεν ήταν ποτέ ασφαλές.
Οι περισσότερες από τις επιθέσεις HTTP έγιναν στο PHPMyadmin, ένα δημοφιλές σύστημα διαχείρισης MySQL και MariaDB. Πολλά συστήματα διαχείρισης περιεχομένου ιστού, όπως το WordPress, χρησιμοποιούν αυτές τις βάσεις δεδομένων. Τα ευάλωτα plug-ins του WordPress προσφέρουν επίσης μια καλή θύρα εισόδου στα κακόβουλα bots.
Πολλές από τις απόπειρες επιθέσεων χρησιμοποιούν παλαιά κακόβουλα λογισμικά, γνωστά προβλήματα διαμόρφωσης, και συνήθης συνδυασμούς ονομάτων χρήστη και κωδικών πρόσβασης από προηγούμενες γνωστές επιθέσεις. Για παράδειγμα, οι επιτιθέμενοι προσπάθησαν να παραβιάσουν το server με το Shellshock, αν και έχει γίνει patched το 2014 και την ευπάθεια Apache Struts, η οποία επιδιορθώθηκε τον Μάρτιο του 2017. Δεν μπορείτε να κατηγορήσετε τους ανθρώπους που γράφουν τα bots για τη χρήση παρωχημένων φορέων επίθεσης.
“Το 99,99% των συμβάντων ασφάλειας είναι από ευπάθειες που επιλύθηκαν”.
Όσον αφορά το SSH, οι περισσότερες από τις επιθέσεις ήταν επιθέσεις brute-force, οι οποίες χρησιμοποιούσαν λίστες με κοινά χρησιμοποιούμενα ονόματα χρηστών και κωδικούς πρόσβασης στις θύρες TCP.
Είναι τυχαίο ότι η Imperva διαπίστωσε ότι ένας στους τρεις επισκέπτες μιας ιστοσελίδας είναι από κάποιο bot που πραγματοποιεί επιθέσεις;
Οι επιθέσεις αυτές δεν είναι εξελιγμένες. Πραγματοποιούνται από bots και botnets και χτυπούν όσες σελίδες βρίσκουν. Αυτοί οι αυτοματοποιημένοι hackers έχουν σαν στόχο αδύναμες, μη προστατευμένα sites.
Το δίδαγμα αυτής της ιστορίας είναι ότι αν έχετε κάποια παρουσία στο διαδίκτυο θα πρέπει τηρείται βασικούς κανόνες ασφαλείας. Η χρήση ενός τείχους προστασίας, η άμεσες ενημερώσεις, και η απενεργοποίηση υπηρεσιών που δεν χρησιμοποιείτε θα πρέπει να σας γίνει συνήθεια, γιατί η κάθε ιστοσελίδα δέχεται χιλιάδες επιθέσεις σε καθημερινή βάση.