500 000 zarażonych serwerów. Jak się bronić przed zagrożeniem w

W ostatnich dniach liczne serwisy internetowe padły ofiarą zmasowanego ataku hakerów. Pośród nich znalazły się nawet witryny takich organizacji jak ONZ. Na podstawie wyników z Google szacuje się, że nawet 500 000 serwerów zostało zarażonych. Wspólnym mianownikiem wszystkich ataków jest oprogramowanie które obsługuje te serwisy, czyli serwer www Microsoftu IIS. Hackerzy zorientowali się, że pewna funkcja tego serwera ogromnie ułatwia seryjne przemycanie do zaatakowanych serwisów własnego konia trojańskiego. Należy dodać, że choć na skutek wykorzystania owej funkcji w serwerach IIS zainfekowanie jest o wiele prostsze do zautomatyzowania, to wykorzystana technika nie jest ani nowa, ani ograniczona do produktu Microsoftu. Błąd, który umożliwia zainfekowanie serwerów, nie leży tu po stronie producenta oprogramowania serwerowego, tylko niedbałych programistów poszczególnych serwisów. Jakie zagrożenia wynikają z tego dla przeciętnego Internauty? Strony, nawet takie z których korzystamy od lat, mogły w ostatnich dniach zostać zainfekowane. Oznacza to, że wbrew właścicielom mogły stać się "nosicielami" i stanowią zagrożenie dla swoich gości. Internauta odwiedzający zainfekowany serwis jest zagrożony przejęciem jego danych powiązanych z tym serwisem (np. nazwa użytkownika, email, adres IP, hasło, w zasadzie wszystko co w danym serwisie podaliśmy) przez hackerów którzy pozostawili tam konia trojańskiego. Jakie to może to mieć konsekwencje? Różne, niestety często bardzo przykre. Ktoś może podszyć się pod nasze konto na tym serwisie, jakoś wykorzystać nasze dane osobowe, przejąć korespondencję, spróbować użyć hasła z tego serwisu w innych... Jak się obronić? Jedynym skutecznym lekarstwem na zmasowany atak jest załatanie niedoróbek przez właścicieli poszczególnych serwisów. Niestety wielu z nich może być nawet nieświadomych, że ich serwisy zostały zarażone. Co więcej, o ile pozbycie się konia trojańskiego jest stosunkowo proste, to załatanie dziur, które umożliwiają przeniknięcie kolejnych, wymaga już pewnej pracy i doświadczenia programistów. To może zająć miesiące, albo i lata. Z uwagi na technikę używaną przez intruzów w większości przypadków (XSS), Internauta może do pewnego stopnia zabezpieczyć się samodzielnie. Scenariusz przejęcia kontroli nad danymi Internauty nie jest skomplikowany. Internauta odwiedzając zainfekowany serwis (powiedzmy www.mojserwis.pl/zaloguj) nieświadomie uruchamia zamieszonego w nim intruza w postaci programu javascript, który odwołuje się do strony www hackera (np. www.imperiumzla.pl/szpieg.js). Istnieje możliwość zablokowania uruchamiania programów javascript, które odwołują się do stron innych niż wyświetlona w pasku adresu przeglądarki. W ten sposób połączenie z imperiumzla.pl nie mogłoby dojść do skutku. Najczęściej używanym rozwiązaniem które (po stronie Internauty) zapobiega temu atakowi (i wielu podobnym), jest używanie przeglądarki Firefox i rozszerzenia do niej noscript. Przyznaję, noscript bywa bardzo upierdliwy w codziennym użyciu, ale taka jest cena bezpieczeństwa... Jeśli będzie takie zapotrzebowanie, postaram się opisać jak zainstalować i (w miarę) efektywnie korzystać z noscript. Hasła To [powinien być] truizm, ale bardzo ważne jest, żeby nie używać jednego hasła w wielu miejscach. Łatwo sobie wyobrazić jak fatalne konsekwencje może mieć ujawnienie hasła z serwisu randkowego, jeśli takiego samego używamy w swoim banku internetowym. Niestety w obecnych czasach to utopia -- jak wymyślić/używać 150 różnych haseł nie zapisując ich na karteczkach przyklejonych do monitora? Ale przynajmniej w kluczowych serwisach internetowych (banki, aukcje, urzędy) należy stworzyć unikalne i niebanalne hasła tak, żeby przełamanie zabezpieczeń na byle portalu czy serwerze pocztowym nie skutkowało narażeniem na bardzo poważne straty. Oczywiście ta zasada nie dotyczy tylko opisanego ataku hackerów. W końcu nigdy nie możemy być pewni, czy gdzieś w sieci nie trafimy na nieuczciwego administratora lub źle zabezpieczony przed intruzami serwis. Artykuły: Chip: Zmasowany atak hakerów na witryny www Computerworld: Huge Web hack attack infects 500,000 pages bardziej technicznie: Harry Waldron - Microsoft MVP Blog Mass Attack FAQ Mass SQL Injection SQL Injection Attacks on IIS Web Servers