Bezpieczenstwo statystyk, fakt czy mit ?

[Konrad.K 0]

Dostałem takiego meila z newslettera web.reporter'a - ile w tym prawdy a ile zbednej paniki ? :-)

 

--------------------------------------------------------------------------

Newsletter z poradami - 25 stycznia 2006

Zobacz jak tworzyc profesjonalne strony i wykorzystac Internet w biznesie!

http://web.reporter.pl/

--------------------------------------------------------------------------

 

Witam

 

Ostatnio przerazilo mnie bezpieczenstwo serwisow WWW hostowanych u duzych  

dostawcow uslug internetowych (o malych juz nawet nie wspominam). Wielu  

ISP ma z tym powazny problem. Z opinii uzytkownikow wnioskuje, ze klienci  

nie wiedza nawet, ze z powodu blednej polityki bezpieczenstwa swoich  

uslugodawcow, podatni sa na latwe do przeprowadzenia, niebezpieczne  

wlamania. Nie tylko na bezposrednie ataki na serwer (zniszczenie,  

modyfikacja danych, rozpracowanie struktury serwisu), ale rowniez na  

szpiegostwo przemyslowe i gospodarcze, ataki socjotechniczne, ujawnienie  

prywatnych, poufnych lub kompromitujacych informacji.

 

Zwrocilem uwage na ten problem jednemu z najwiekszych dostawcow  

internetowych i ucieszylem sie, ze moge uratowac kilkadziesiat tysiecy  

serwisow WWW przed mozliwym atakiem. Wspomniany ISP nie uznal, ze jest to  

narazenie klientow na powazne straty i wciaz nie zabezpieczyl swoich kont  

(choc zapewnil, ze zajmie sie problemem). Jak sie okazalo, nie tylko ten  

ISP jest podatny na atak, rowniez inni uslugodawcy zapraszaja wlamywaczy.

 

Skoro firma, ktora ma Cie chronic, nie robi tego nalezycie, zrob to  

samodzielnie. Jezeli masz znajomych, niech rowniez przeczytaja moje slowa.  

Sprawa jest bardzo powazna, wiec czas napisac o co chodzi...

 

 

Chodzi o statystyki. Wielu dostawcow uslug oferuje klientom system  

statystyk dla serwera WWW. Problem polega na tym, ze statystyki te nie sa  

zwykle zabezpieczone haslem. Sciezki dostepu do tych statystyk bardzo  

latwo odgadnac. Nie bede podawal metody, ale podgladniecie statystyk nie  

jest trudne i kazdy moze to zrobic bez specjalnej wiedzy. Wystarczy na  

poczatek proste zapytanie do Googla, gdzie widac, jak wiele serwisow  

(zapewne bez wiedzy wlasciciela) udostepnia poufne dane...

 

Mozliwych zagrozen jest wiele, wiec ogranicze sie do najistotniejszych:

 

* Pelne statystyki, czesto z ostatniego roku, sa swietna informacja dla  

konkurencji - ujawianiajac je, pozwalasz wykonac analize rozwoju serwisu,  

kosztow jego prowadzenia, rodzaju klientow, jego pozycje na rynku i wielu  

innych wskaznikow. Konkurencja potrafi za takie dane placic ogromne  

pieniadze, co tylko potwierdza, jak istotne informacje staja sie  

publicznie dostepne.

 

* Statystyki czesto zawieraja sciezki dostepu do wszystkich plikow na  

serwerze, rowniez do tych, ktore znajduja sie w ukrytych katalogach, w  

panelach administracyjnych czy do innych miejsc, do ktorych wydaje sie, ze  

nikt nie ma dostepu.

 

* Dane ze statystyk moga byc indeksowane przez wyszukiwarki (np. Google),  

co znaczy, ze dlugo beda dostepne publicznie, bez mozliwosci ich  

usuniecia z Sieci.

 

* Znajac strukture serwisu, latwo znalezc jego slabe punkty i dokonac ataku.

 

* Znajac uzywane nazewnictwo plikow i katalogow, latwo rozpracowac hasla.

 

* Znajac polozenie i nazwy plikow, latwo domyslic sie, jaka pelnia role,  

co znowu pozwala przeprowadzic atak.

 

* Uruchamiajac wybrane pliki (np. includowane), czasem mozna zobaczyc ich  

kod zrodlowy lub pominac zabezpieczenia, co pozwala wykonac bardzo  

niebezpieczne rodzaje atakow.

 

* Latwo poznac stare wersje plikow lub nowe projekty, zwykle ukryte przed  

dostepem publicznym.

 

* Odczytujac pliki, mozna uzyskac dane poufne (np. plany, raporty, dane  

strategiczne, numery telefonow, adresy, dane klientow).

 

* Czesto mozna wskazac materialy kompromitujace (np. pirackie programy,  

pliki MP3, materialy erotyczne, nielegalne kopie).

 

* Latwo rozpracowac wersje skryptow zainstalowanych na serwerze, co  

znacznie pomaga w atakach z uzyciem gotowych exploitow.

 

* Majac komplet danych o serwisie, rowniez polozenie "ukrytych" plikow,  

latwo podszyc sie pod firme i dokonac ataku socjotechnicznego, udajac  

pracownika lub klienta firmy. Znajomosc danych powoduje wzrost zaufania do  

atakujacego lub pozwala mu przejac pozycje dominujaca w rozmowie z  

pracownikami (podszywanie pod szefa firmy, pracownikow dzialu IT).

 

* Wiele osob wrzuca dane poufne do niezabezpieczonych katalogow, ktore  

wydaja sie nie do odgadniecia, aby potem klienci lub osoby z innych  

oddzialow firmy mialy do nich szybki dostep. Znajac strukture katalogow,  

wszystkie te dane staja sie publicznie dostepne.  

 

Powyzsze mozliwosci, to tylko czubek gory lodowej. Sa najbardziej  

oczywiste i najlatwiejsze do wprowadzenia w zycie. W praktyce tak duzy  

zasob danych pozwala na przeprowadzenie wielu technik naruszajacych w  

oczywisty sposob bezpieczenstwo serwisu/firmy. W najlepszym wypadku atak  

powoduje straty finansowe czy unieruchomienie serwisu.

 

dosc czesto poprawiam luki zwiazane z bezpieczenstwem w roznych serwisach.  

ostatnio wykrylem luke w serwisie zajmujacym sie platnosciami online. reakcja  

byla natychmiastowa i dziura, znacznie mniejszej wagi niz wspomniane  

statystyki, zostala zlikiwdowana. To przyklad pozytywnej reakcji.

 

Nie chce straszyc, ale sprawdz swoj serwis jeszcze dzisiaj i zwroc  

szczegolna uwage na dostep do statystyk WWW.