Zabezpečení Bastlírny - pro všechny !
Napsal: 08 čer 2007, 11:19
Několik slov k bezpečnosti provozu fóra (budu se snažit být co nejstručnější) :
V poslední době se stala Bastlírna dvakrát cílem útoku neznámého vandala (nelze nazvat tyto lidi ani omylem hackerem).
Poprvé nahrál do News obrázek, podruhé přepsal kód fóra a pokusil se nakazit uživatele fóra virem. Navíc měl bohužel dost času na to, aby tady napáchal hodně škod.
Pokud nemáte naistalovaný antivir, je možné,že máte ve Vašem počítači naistalovaného trojského koně.
Nevím, jaký port virus používá, ovšem doporučuji provést alespoň tento test :
http://www.test.bezpecnosti.cz/full.php
Nejpravděpodobnější bezpečností díra byla "zalátána", jelikož na 99% se jednalo o útok "puberťáka", co si našel postup na internetu, zřejmě nic nového nevymyslí.
Bohužel v současné době může mít útočník na disku (nebo rovnou na internetu na nějakých stránkách) uložené citlivé informace (např. hesla,i když v zakódované podobě), které mohl získat použitím zmíněné "díry".
Je proto nezbytně nutné V TOMTO OKAMŽIKU (nikoliv včera, před týdnem apod.) změnit všechna administrátorská hesla, abychom zamezili primárnímu útoku směřujícímu do administrace. Pokud i vy si změníte heslo, určitě uděláte dobře, zvlášť, pokud máte stejné i do mailu atd.
Tento případ není nijak ojedinělý, bohužel se to většinou tají, což je to nejhorší, co můžou provozovatelé fóra svým návštěvníkům provést. Navíc, pokud je provedný profesionálně, nikdo nic nezjistí. Nahrávání obrázků typu "hacked by" je dílem amatérů.
NĚCO O HESLECH
**************
Snahou útočníků je většinou získat heslo adminů a získat přístup do administrace. Vaše přístupové heslo bývá zakódovaně uložené jako MD5-hash (otisk,něco na způsob kontrolního součtu zadaných znaků) v databázi a po přihlášení i v cookies ve Vašem počítači za účelem automatického přihlašování.
Možnost, jak získat MD5-hash je buď získat Vaše cookies (např. pomocí tzv. snifferů) nebo hash získat přímo dotazem do databáze pomocí nějaké chyby fóra (sql-injection) - což byl i případ tohoto fóra.
Heslo sice nelze zpětně dešifrovat z MD5(je to jednosměrná funkce), ovšem existují programy, které zkouší různá slova a porovnávají jejich hash. Pokud najdou slovo, které má stejný hash, mají vyhráno.
I pokud se heslo z hashe nepodaří zjistit(např. heslo je silné nebo hash v cookies není přímo hash hesla), lze často použít přímo tento hash k tomu, aby Vám někdo uloupil Vaši identitu na fóru a např. tady pod Vašim jménem někomu vynadal, přečetl si Vaše PM apod.
Naštěstí u většiny součastných verzí už nelze jen pomocí hashe adminů se dostat do administrace.
Heslo se obtížně zjišťuje, pokud obsahuje více než 8 písmen (nikoliv pouze číslic) a není to nějaké běžně používané slovo.
Změna hesla bez "zalátání" bezpečnostní díry je sice zbytečná, ale doufejme, že my jsme ji zalátali (než se objeví zas nějaká nová).
V poslední době se stala Bastlírna dvakrát cílem útoku neznámého vandala (nelze nazvat tyto lidi ani omylem hackerem).
Poprvé nahrál do News obrázek, podruhé přepsal kód fóra a pokusil se nakazit uživatele fóra virem. Navíc měl bohužel dost času na to, aby tady napáchal hodně škod.
Pokud nemáte naistalovaný antivir, je možné,že máte ve Vašem počítači naistalovaného trojského koně.
Nevím, jaký port virus používá, ovšem doporučuji provést alespoň tento test :
http://www.test.bezpecnosti.cz/full.php
Nejpravděpodobnější bezpečností díra byla "zalátána", jelikož na 99% se jednalo o útok "puberťáka", co si našel postup na internetu, zřejmě nic nového nevymyslí.
Bohužel v současné době může mít útočník na disku (nebo rovnou na internetu na nějakých stránkách) uložené citlivé informace (např. hesla,i když v zakódované podobě), které mohl získat použitím zmíněné "díry".
Je proto nezbytně nutné V TOMTO OKAMŽIKU (nikoliv včera, před týdnem apod.) změnit všechna administrátorská hesla, abychom zamezili primárnímu útoku směřujícímu do administrace. Pokud i vy si změníte heslo, určitě uděláte dobře, zvlášť, pokud máte stejné i do mailu atd.
Tento případ není nijak ojedinělý, bohužel se to většinou tají, což je to nejhorší, co můžou provozovatelé fóra svým návštěvníkům provést. Navíc, pokud je provedný profesionálně, nikdo nic nezjistí. Nahrávání obrázků typu "hacked by" je dílem amatérů.
NĚCO O HESLECH
**************
Snahou útočníků je většinou získat heslo adminů a získat přístup do administrace. Vaše přístupové heslo bývá zakódovaně uložené jako MD5-hash (otisk,něco na způsob kontrolního součtu zadaných znaků) v databázi a po přihlášení i v cookies ve Vašem počítači za účelem automatického přihlašování.
Možnost, jak získat MD5-hash je buď získat Vaše cookies (např. pomocí tzv. snifferů) nebo hash získat přímo dotazem do databáze pomocí nějaké chyby fóra (sql-injection) - což byl i případ tohoto fóra.
Heslo sice nelze zpětně dešifrovat z MD5(je to jednosměrná funkce), ovšem existují programy, které zkouší různá slova a porovnávají jejich hash. Pokud najdou slovo, které má stejný hash, mají vyhráno.
I pokud se heslo z hashe nepodaří zjistit(např. heslo je silné nebo hash v cookies není přímo hash hesla), lze často použít přímo tento hash k tomu, aby Vám někdo uloupil Vaši identitu na fóru a např. tady pod Vašim jménem někomu vynadal, přečetl si Vaše PM apod.
Naštěstí u většiny součastných verzí už nelze jen pomocí hashe adminů se dostat do administrace.
Heslo se obtížně zjišťuje, pokud obsahuje více než 8 písmen (nikoliv pouze číslic) a není to nějaké běžně používané slovo.
Změna hesla bez "zalátání" bezpečnostní díry je sice zbytečná, ale doufejme, že my jsme ji zalátali (než se objeví zas nějaká nová).