Hlavní navigace

Bezpečnost - jak vyděsit uživatele

15. 8. 2008 9:08 (aktualizováno) Svatopluk Vít

Tento zápisek věnuji tomu, abych se rozepsal o tom, jak redakční systém Joomla u některých uživatelů pozbyl důvěry. Na druhou stranu uvidíte, jak nevinně k tomu může dojít a jak málo stačí.

Máme redakční systém Joomla. Docela dost lidí jej používá. Tu a tam se ve fóru vyskytne jedinec, který začne líčit své problémy s hacknutými stránkami. Jako třeba tenhle :

Už se vám stalo že vám hacknul někdo joomlu? Mě se to dnes stalo podruhé a proto raději přejdu na jiný RS, protože joomla! obsahuje velké množství chyb, jak to tak vidím. A nepomůže ani používat nejstabilnější verzi!

A proto se schválně ptám: Už vám někdo někdy hacknul joomlu?

Takže začnete zjišťovat, co se vlastně stalo a zjistíte, že dotyčný prostě jen nainstaloval Joomlu, ale pak už neprovedl nějaké další zabezpečovací kroky (třeba aktivace .htaccess, nastavení přístupových práv atd.) Navíc jsme dále zjistili, že napadení nebylo vedeno přes vlastní jádro Joomly, ale přes doplněk, který je navíc znám tím, že jej autor moc „v cajku“ neudržuje. Ale vysvětlujte to. Může za to Joomla a konec.

Vůbec je to v posledních dnech takové, na dvě věci. Všechno začalo tím, že se celkem rychle po vydání verze 1.5.5 objevila naprosto neplánovaně nová verze 1.5.6. Dle vyjádření vývojářů byla daná chyba opravena asi 3 hodiny od nahlášení. Samozřejmě s příslušným popisem toho, co je špatně a co je třeba kde změnit. Dle mého názoru se na základě této informace a toho, že chyba je přítomna ve všech nižších verzích a navíc ještě i z důvodu celkem masového rozšíření tohoto redakčního systému spustila lavina hacků různých webů. Lidé se začali ozývat, a hacků přibývalo.

Nedělo se celkem nic až do jednoho kritického momentu. Ve čtvrtek ráno byly spuštěny nové stránky Joomly. K překvapení uživatelů se však odpoledne našeho času podařilo tyto nové stránky hacknout též. A v tu chvíli zavládla docela panika, i když byl hack odstraněn za pár minut. Vysvětlujte lidem či zákazníkům, že jejich redakční systém je bezpečný! Navíc se i v průběhu minulého týdne vyrojil celkem odfláknutý a nic neříkající článek, který říká něco o tom, že v počtu objevených chyb vede Apple nad Microsoftem a že je Joomla druhá. A ta panika byla docela velká, protože se objevilo několik vysvětlujících článků, které výsledky oné analýzy překládaly do srozumitelného jazyka. Už jen ten nadpis říká vše – Security reports : don't panic! Vyjádření se objevilo na blogu firmy, která do ní vyvíjí speciální doplňky na testování zabezpečení. Má docela prestiž a tak si myslím že má její vyjádření u uživatelů docela velkou váhu.

Netrpělivě jsme čekali, k čemu vlastně na oficiálních stránkách došlo. Oficiální vyjádření se objevilo záhy. V mé interpretaci z něj vyplývá, že tým na bezpečnost tak trochu kašlal a dostal lekci. Při upgrade zapomněli na jeden web, přes který se útočníci dostali tam, kam potřebovali. Vyjádření končí tím, že tým říká něco ve smyslu, teď už víme, že je hrozba reálná (jak se Joomla stává masovou záležitostí) a proto si dáme pozor při tom, jak budeme aplikovat bezpečnostní aktualizace. A to stejné doporučujeme i vám, podívejte, jak jsme dopadli my.

Když se vrátím k oné studii, kde se Joomla objevila na druhém místě – ta mluví o tom, kolik chyb, které byly objeveny, bylo spojeno s konkrétním produktem. Nic už však neříká o tom, jak byly chyby opraveny a jak dlouhou dobu k tomu výrobci potřebovali. To je její největší chyba, ale spíše za to mohou špatné interpretace novinářů. Je v ní však jedna velmi zajímavá věc. Autor se v ní zamýšlí nad tím, jestli je vůbec vhodné zveřejňovat mechanismus chyby. Jak je vidět v tomto případě, obvykle se to obrací proti produktu jako takovému. Když totiž někdo zveřejní zprávu o tom, že ten a ten produkt obsahuje bezpečnostní díru, která funguje tak a tak, obvykle se najde někdo, kdo se pokusí ji nějak využít. Pokud je děravý produkt dostatečně rozšířen a uživatelé prostě ihned neaktualizují, má útočník pole působnosti široké. To se děje právě teď. A dle mne je to právě z toho důvodu, že ví, na co se zaměřit a jak to provést.

Pro uživatele z toho plyne jediné poučení – záplatovat. Pokud to neuděláte, máte problém. Vždy se totiž najde někdo, kdo to bude zkoušet. Ale na druhé straně by mohli jednotliví výrobci zveřejňovat popis chyby třeba s nějakým zpožděním. Je sice fajn, že záplata se objevila za 3 hodiny od nahlášení, ale zároveň se tři hodiny od nahlášení objevil popis chyby na internetu. Pokud o ní nevíte, dozvíte se o ní, až vám hacker natropí nepříjemnosti. A v mnoha případech to bylo opravdu velmi rychlé. V tomto případě si myslím, že to ani nebylo nespchopností uživatelů, ti prostě neměli čas záplatovat. Útočníci věděli o chybě dříve, než drtivá většina uživatelů vůbec mohla stačit cokoliv udělat…

Sdílet