Rodzime strony WWW wciąż dziurawe jak szwajcarski ser

Zasada ataków internetowych od lat pozostaje ta sama. Zmienia się tylko kontekst oraz narzędzia do ich przeprowadzania. Popularny atak XSS polega na osadzeniu w treści zainfekowanej strony szkodliwego kodu, który jest wykonywany na komputerze ofiary. SQL Injection wykorzystuje możliwość wprowadzenia (wstrzyknięcia) do zapytania SQL zmienionego kodu, który umożliwi nieuprawnione pobranie, zmodyfikowanie lub usunięcie danych z bazy SQL.

Jest się o co martwić

Ostatnie miesiące na długo zapadną w pamięci całej branży e-commerce. Ponad 100 tysięcy e-sklepów na platformie osCommerce padło ofiarą ataku związanego z przekierowywaniem klientów na strony zawierające złośliwy kod w JavaScripcie.

Winnym okazał się robak Willysy, który do rozpowszechniania się używał kilku znanych luk w oprogramowaniu osCommerce. W ciągu kilku tygodni jego obecności w Sieci robakowi udało się zarazić 8,3 miliona komercyjnych stron internetowych. Zasada działania robaka polegała na wstrzyknięciu w kod strony sklepu ramki (iframe), która przekierowywała klientów na witryny zawierające złośliwy kod w JavaScripcie.

Zadaniem skryptu było przejęcie kontroli nad komputerem użytkownika, wykorzystując w tym celu luki w oprogramowaniu Java, Internet Explorer (ActiveX), Adobe Reader oraz usłudze Microsoft Windows Help and Support Center.

Szwajcarski ser

Ostatnie zdarzenia związane z wprowadzeniem ACTA pokazały, że WWW (a w zasadzie całe systemy internetowe) są dziurawe jak szwajcarski ser. Każdego dnia ofiarami cyberprzestępców padają wielkie korporacje (np. głośna sprawa wykradzenia numerów kart kredytowych użytkowników PlayStation), banki, firmy telekomunikacyjne, administracja publiczna, a nawet całe państwa (atak wirusa Stuxnet na instalacje przemysłowe Iranu).

Z opublikowane przez CERT raportu o stanie bezpieczeństwa cyberprzestrzeni RP w 2010 roku wynika, że 75% przebadanych witryn administracji publicznej zawierało przynajmniej jedną podatność, uznaną za krytyczną dla bezpieczeństwa serwera i publikowanych na stronie treści. Najczęściej występujące zagrożenia to podatność na ataki Cross Site Scripting (XSS), Blind SQL Injection oraz SQL/XPath Injection.

Problem bezpieczeństwa WWW dotyka wielu przenikających się płaszczyzn. W wielu przypadkach podatność na ataki wynika ze złej konfiguracji lub nieaktualnej wersji serwera WWW, interpretera PHP czy serwera baz danych. Kluczową sprawą jest podnoszenie wiedzy programistów na temat budowania bezpiecznych stron internetowych – mówi Michał Trziszka, CEO Cal.pl firmy zajmującej się dostarczaniem profesjonalnych usług hostingowych. Na bezpieczeństwo WWW należy patrzeć przez pryzmat trzech warstw: aplikacji, bazy danych i serwera . Projektując oprogramowanie sklepu korzystaliśmy z najlepszych wzorców programistycznych. Dostęp do danych klientów gwarantuje wielostopniowa struktura sklepu oraz wiele mechanizmów ochronnych m.in. zakodowana zawartość plików źródłowych. Właściciele sklepów na platformie Cal.pl mogą być pewni, że ich sklepy są bezpieczne i niezawodne w działaniu – dodaje Michał Trziszka.

Słowa te mają odbicie w rzeczywistości. Ostatnie miesiące przyniosły zintensyfikowane próby ataków na serwery WWW z wykorzystaniem plików .htaccess. Przypomnijmy, że pliki te umożliwiają zmianę ustawień serwera Apache dla wybranego katalogu (strony). Inaczej mówiąc, użytkownik może samodzielnie dostosować konfigurację serwera do własnych potrzeb.

Błędy w przestarzałych wersjach oprogramowania WordPress, czy Joomla umożliwiają wykorzystanie plików .htaccess do przekierowania ruchu sieciowego i wyszukiwarek na zewnętrzne domeny, ukrywania malware lub modyfikacji konfiguracji serwera.

Jaki z tego morał?

Otwarte oprogramowanie internetowe, ze względu na swoją powszechność, jest popularnym celem ataków. Nie oznacza to oczywiście, że powinniśmy z niego zrezygnować. Jeśli jednak zdecydujemy się na samodzielną instalację aplikacji webowych powinniśmy dbać o ich regularne aktualizowanie.

Alternatywą pozostaje zakup sklepu internetowego w modelu usługi. W tym przypadku, za zapewnienie zaplecza technologicznego oraz bezpieczeństwa odpowiada dostawca usługi. Nam pozostaje skupić się na tym, co umiemy robić najlepiej – handlować.