Do włamania jeden krok…
Niewiele właścicieli witryn jest świadomych ryzyka i zagrożeń na jakie narażona jest ich firmowa witryna. Obecność w sieci umożliwia bezpośredni dostęp do jej zasobów, co stanowi łakomy kąsek do wykorzystania w nieodpowiednich rękach. Jednakże tematyka bezpieczeństwa w internecie to materiał na zupełnie oddzielny artykuł.
Tym razem postaramy się przybliżyć Państwu nieco inne zagadnienie i odpowiedzieć na pytanie – po co właściwie ktoś miałby włamywać się na stronę internetową oraz jakie korzyści może z tego czerpać.
Jak oni to robią?
Nasze witryny jakie prowadzimy docierają do określonej grupy odbiorców i współcześnie są systemami o dużej złożoności i rozbudowanych funkcjach. Jak każdy system informatyczny są narażone ze względu na luki w oprogramowaniu jak i poprzez próby siłowego dostania się do ich paneli administracyjnych.
Wbrew powszechnej opinii zazwyczaj za takim włamaniem nie stoi przysłowiowy “haker”, który spędza nieprzespane noce na mozolnym obchodzeniu zabezpieczeń. Bardzo wiele tego typu zdarzeń to procesy automatyczne wykonywane przez internetowe boty – specjalne programy samodzielnie przeszukujące sieć.
Zaprogramowane są w taki sposób aby testować witrynę na obecność znanych luk w oprogramowaniu (w przypadku popularnych CMS’ów, wtyczek itp.) lub odnajdywaniu naszych formularzy kontaktowych, formularzy logowania do zaplecza itp. Jeśli bot nie znajdzie to czego szukał – ruszy dalej w poszukiwania innej witryny do testowania i tak w kółko.
Jeśli natomiast potwierdzi wzorzec umożliwiający mu uzyskanie dostępu do witryny – wykorzysta go, czego doświadczamy zazwyczaj gdy nasza strona www przestaje funkcjonować lub jest blokowana przez dostawcę hostingu.
Po co to robią?
W telegraficznym skrócie chodzi o skalę. Duży stopień automatyzacji tych procesów pozwala potencjalnie na przejęcie kontroli na setkami tysięcy witryn bez udziału człowieka. Dysponując tak pokaźną bazą stron można je wykorzystać w rozmaitych celach – zasięg działań będzie ogromny.
Typy włamań możemy zwykle podzielić na kilka charakterystycznych grup ze względu na cel jaki mają osiągnąć:
Masowa reklama
Czyli na naszej stronie pojawiają się dziwne linki i banery reklamujące wątpliwe produkty lub inne witryny internetowe – podobnie jak w przypadku zainfekowanego komputera. Stwarza to bezpośrednie zagrożenie dla użytkowników odwiedzających naszą stronę i możemy być posądzeni o celowe działanie w taki sposób na ich szkodę.
Wszakże to na naszej witrynie znajdują się te reklamy.
Pozycjonowanie
Używanie naszej strony do podbijania w wyszukiwarce innej, zupełnie nam obcej witryny. Tego typu włamania zwykle wiążą się z dodaniem do kodu/zawartości strony całych artykułów mających symulować, że to my sami je opublikowaliśmy. Google potraktuje taką dużą ilość linków z wielu witryn jako sygnał do przeniesienia danej strony docelowej wyżej w wynikach wyszukiwania. Oczywiście wszystko odbywa się bez naszej zgody i wiedzy.
Wandalizm
Często chodzi też o prostą prezentację swoich umiejętności i zniszczenie danej strony. Nie jest to obecnie duży odsetek zdarzeń, gdyż o wiele większe korzyści można osiągnąć pozostawiając witrynę aktywną, pozornie nie modyfikowaną w żaden sposób aby nie wzbudzała wątpliwości właściciela.
Działając skrycie i nie uszkadzając zawartości można z takiej strony korzystać dłużej realizując swoje cele.
Szerzenie idei politycznych i religijnych
Grupy terrorystyczne i polityczne często wykorzystują włamywanie się na strony do promowania swoich poglądów i przekazów programowych. Pozwala to na rozpowszechnienie się komunikatu niezależnie od granic Państw i bez dużego ryzyka. Ot taki internetowy manifest.
SPAM
Czasami chodzi tylko o wykorzystanie naszej witryny i serwera na jakim się znajduje do wysyłki spamu. Serwery pocztowe mają pewne ograniczenia co do ilości wiadomości wysyłanych w ciągu doby. Zakup serwerów wiąże się oczywiście z kosztami jak i dostawcy delikatnie mówiąc niechętnie patrzą na rozsyłanie tego typu wiadomości.
Kontrolując kilkaset witryn można za ich pośrednictwem rozesłać olbrzymią ilość wiadomości – bez kosztów, bez ryzyka i w przypadku blokady zawsze można znaleźć substytut.
Kradzież danych
Jeśli prowadzimy np. e-sklep przechowujemy w bazie adresy naszych klientów, ich adresy email oraz hasła dostępu. Dane te można wykorzystać w nieodpowiedni sposób bardzo łatwo, czyniąc naszych klientów bezpośrednim celem oszustwa. Szczególnie jeśli hasło logowania do serwisu jest tym samym jakie wykorzystujemy w naszej poczcie email.
Czy jestem bezpieczny?
Prawdopodobnie nie. Jak wspominaliśmy te procesy mają charakter automatyczny – to, że obecnie na witrynie nic pozornie się nie dzieje nie oznacza, że nie jest ona codziennie testowana lub podejmowane są próby włamania.
Dla przykładu atak słownikowy na panel logowania polega na automatycznym uzupełnianiu przez robota pola “hasło” pozycjami ze słownika – aż do momentu gdy “trafi” i uzyska dostęp. Poza słownikiem wykorzystuje się również całe bazy danych haseł wykradzione z różnego rodzaju serwisów internetowych.
W wielu przypadkach jest to więc tylko kwestia czasu. Taki roboto może wykonać nawet 100.000 prób logowania na dobę – obciążając witrynę/serwer i spowalniając ich działanie. Jeśli nasza strona nie jest wyposażona w odpowiednie systemy np. blokujące adres IP po X próbach niepoprawnego logowania – stanowi to dla nas duży problem i zagrożenie.
Podsumujmy
To, że na naszej stronie nic złego się nie dzieje nie oznacza, że jest tak w rzeczywistości. Wiele metod włamań i infekcji jest opracowywana w taki sposób aby były jak najdłużej niewidoczne dla administratorów – zwiększając czas ich reakcji na problem.
Oczywiście nie ma systemu idealnego, odpornego w 100% na wszystko – co pokazują nawet niedawne kradzieże danych klientów banków. Należy zachować higienę strony www – robić częste kopie zapasowe plików i treści, monitorować ruch i być wyczulonym na subtelne zmiany nie będące naszym udziałem.