Złośliwe oprogramowanie ze stron WWW
-
- Józef Muszyński,
- 26.09.2012, godz. 08:45
Narzędzia do kierowania ruchu w miejsca niebezpieczne
Napastnicy włamują się do legalnych witryn i modyfikują jedną lub więcej stron - zazwyczaj nie jest to strona główna, co pozwala uniknąć wykrycia przez dłuższy czas. W tym czasie podejmują próby pozycjonowania tych narażonych stron w wynikach wyszukiwań, wprowadzając do nich popularne słowa kluczowe.
Taki proces może zostać zautomatyzowany. Zestawy SEO (Search Engine Optimization) tworzone dla hakerów często są powiązane z witrynami, które udostępniają informacje na temat liczby zapytań, ich pochodzenia i zależności od czasu (np. Google Trends). Na podstawie tych informacji tworzone są setki lub nawet tysiące złośliwych witryn na legalnych serwerach, które gwarantują przyciągnięcie wielu odwiedzających.
W miarę jak coraz więcej internautów odwiedza zaatakowaną witrynę, algorytm rankingu stron legalnych silników wyszukiwań przesuwa tę witrynę na coraz wyższą pozycję. Jeżeli "zatrucie" silnika wyszukiwań nie zadziała, napastnik często po prostu kupuje reklamę na pożądanej witrynie. Znalezienie odsyłaczy do złośliwych stron w wynikach dostarczonych przez popularne wyszukiwarki, nie jest niczym nadzwyczajnym. Wiele silników wyszukiwań, w tym Google i Bing, podejmuje próby wykrywania złośliwych witryn i ostrzegania przed nimi użytkowników, ale dokładność i skuteczność tych działań nie jest na tyle duża, aby można było na nich polegać.
Pakiety reklam
Kolejnym powszechnym trikiem hakerskim jest kupowanie lub zatruwanie reklam prezentowanych na serwerze webowym. Niewiele witryn samodzielnie dostarcza reklamy. Przeważnie subskrybuje się usługę dodawania reklam do stron, która automatycznie uaktualnia treść komercyjną. Hakerzy wiedzą, że jeżeli włamią się do serwera reklam (adserwera), to zyskują możliwość zainfekowania setek tysięcy serwerów webowych jednocześnie. Żeby rozprzestrzeniać złośliwe oprogramowanie, napastnicy wykupują miejsca na reklamy i przedstawiają się jako legalne firmy.
Swoboda wypowiedzi
Ważne miejsce w przestrzeni internetowej zajmują obecnie media społecznościowe i na nich też skupiają się obecnie cyberprzestępcy. Każda witryna, która pozwala użytkownikom na wpisy bez ograniczeń, jest zagrożona atakiem. Witryny i blogi często pozwalają czytelnikom na publikowanie własnych komentarzy lub branie udziału w forach dyskusyjnych. W takich wpisach zamiast czystego tekstu haker podsyła złośliwe readresatory JavaScript czy eksploity SQL Injection.
Takie metody atakowania są coraz popularniejsze. Użytkownicy portali Twitter, Facebook czy MySpace są stale bombardowani złośliwymi odsyłaczami, rzekomo pochodzącymi od przyjaciół. Ponadto, wiele portali społecznościowych pozwala na podsyłanie programów do użytku wszystkich, co umożliwia hakerom dystrybuowanie wrogich aplikacji na masową skalę. Jeżeli gwarantuje się nieograniczony dostęp i wolność, największym tego beneficjentem zawsze będą hakerzy.
Administrator www powinien zwracać większą uwagę na zabezpieczanie i monitorowanie administrowanych witryn. Efektywna obrona przed zagrożeniami w dużym stopniu zależy od stosowania dobrych praktyk administratora www:
• zabezpieczanie serwerów www poprzez właściwe ich skonfigurowanie i zapewnienie pełnych łatek dla systemu operacyjnego i oprogramowania aplikacyjnego;
• korzystanie z zapór ogniowych do ograniczania nieautoryzowanego ruchu i zdalnego dostępu administracyjnego do z góry ustalonych adresów IP;
• należy rozważyć użycie filtrów sieciowych, ograniczających ruch do baz danych do specyficznego zestawu adresów IP;
• stosować aplikacyjne firewalle, w celu zatrzymywania wchodzącego i wychodzącego ruchu złośliwego;
• wszystkie hasła administratora powinny być losowe i mieć długość co najmniej 15 znaków; nie powinny być też używane w innych miejscach lub do użytku prywatnego;
• wszyscy programiści webowi powinni być szkoleni w zakresie technik bezpiecznego cyklu projektowania i zachęcani do bezpiecznego kodowania;
• każdy pisany kod powinien być sprawdzony "ręcznie" lub automatycznie;
• dane wprowadzane do formularzy powinny zostać przed przesłaniem sprawdzone i oczyszczone z potencjalnie niebezpiecznej zawartości.
• okresowo trzeba wykonywać skanowanie luk bezpieczeństwa w serwerach webowych;
• rozważyć używanie zastrzeżonych komputerów do przygotowywania programowania webowego i wszystkich transferów kodów do serwerów www; wyznaczyć inny komputer do przeglądania stron internetowych i ściągania poczty;
• wprowadzić ścisłą politykę zarządzania zmianami, aby nikt nie mógł modyfikować treści witryny bez odpowiedniego przeglądu i autoryzacji;
• ważne jest wprowadzenie pełnego monitorowania zdarzeń, w tym alarmów dla zdarzeń wysokiego ryzyka i nieoczekiwanych zmian kodu;
• jeżeli nie używa się własnego DNS, należy wybrać dostawcę DNS zapewniającego ochronę przed zatruwaniem DNS;
• jeżeli korzysta się z usług reklamowych, upewnić się, czy są one bezpieczne, i aktywnie przeciwdziałać złośliwym reklamom.
