Ενημέρωση για περιστατικό ασφάλειας στις 22-23/6/2019

Τι ενημέρωση;

Σαν πάροχος διαδικτυακών υπηρεσιών και για λόγους διαφάνειας, θέλουμε να αναφέρουμε οποιαδήποτε περιστατικά σχετίζονται με την ασφάλεια των δεδομένων που φιλοξενούμε/διαχειριζόμαστε. Στο πλαίσιο αυτό, αναφέρουμε και αναλύουμε ένα πρόβλημα που απ’ ότι φαίνεται, ξεκίνησε στις ~23.30 του Σαββάτου 22/6/2019 και διορθώθηκε οριστικά από εμάς το μεσημέρι της Δευτέρας 24/6/2019. Συγκεκριμένα μια σελίδα που φιλοξενούμε, μολύνθηκε από κακόβουλους, και χρησιμοποιήθηκε τη Κυριακή 23/6 κυρίως σαν phish website, αποστέλλοντας ταυτόχρονα μερικές χιλιάδες spam email, και υποκλέπτοντας κωδικούς βάσης (mysql). Συμπληρωματικές τεχνικές εργασίες, σχετικές με την επίθεση αυτή και με σκοπό κυρίως τη πρόληψη, συνεχίστηκαν όλη τη Δευτέρα και τη Τρίτη που μας πέρασε (24-25/6/2019). Προσωπικά δεδομένα δεν επηρεάστηκαν.

Πιο αναλυτικά.

Το Σάββατο 22/6 στις 23.36, σε μια ιστοσελίδα με παλιό κώδικα CMS που φιλοξενούμε (joomla 1.5.xx, shared hosting πακέτο), κακόβουλοι κατόρθωσαν και ανέβασαν malware (σαν εκτελέσιμα αρχεία php), που με τη σειρά τους, και εκμεταλλευόμενα σωρεία προβλημάτων του παλιού κώδικα, κατόρθωσαν να χρησιμοποιήσουν την ιστοσελίδα αυτή κυρίως για phishing (υποκλοπή κωδικών). Συγκεκριμένα, ανέβασαν αρχεία που προσομοιώνουν τη σελίδα του Netflix, προκειμένου να αλιεύσουν κωδικούς από χρήστες του Netflix και απέστειλαν μερικές χιλιάδες spam/phish email προκειμένου να προσελκύσουν επισκέπτες στη “παγίδα”. Αντίστοιχα και για το google docs.

Τη Δευτέρα το πρωί, λάβαμε ειδοποίηση για μολυσμένα αρχεία στη συγκεκριμένη ιστοσελίδα από το αυτόματο anti malware scan στο server. Αντιληφθήκαμε επίσης μεγάλο όγκο email που έφυγε κυρίως τη Κυριακή ξημερώματα από το χρήστη της ίδιας σελίδας. Αμέσως απενεργοποιήσαμε τη συγκεκριμένη ιστοσελίδα, και προβήκαμε σε καθαρισμό της. Tα μολυσμένα αρχεία κρατήθηκαν σε καραντίνα, για επόμενο έλεγχο (forensics). Προλάβαμε να διαγράψουμε περίπου 3000 phish emails πριν αποσταλλούν στους παραλήπτες, αλλά 6000 περίπου είχαν ήδη φύγει. Τα phish emails που έφυγαν με τη σειρά τους προκάλεσαν άλλα προβλήματα. Κάποιοι φιλοξενούμενοι/ες θα πρόσεξαν ίσως καθυστερήσεις στις αποστολές email τη Δευτέρα και τη Τρίτη, λόγω του bad reputation system που χρησιμοποιούν οι περισσότεροι email servers. Από τις 26/6, δεν  υπάρχει τέτοιο θέμα. Για την ιστορία, η συγκεκριμένη ιστοσελίδα, μετά από συνεννόηση με τον ιδιοκτήτη, διαγράφηκε οριστικά από τα συστήματα μας, τη Δευτέρα το απόγευμα.

Συμπεράσματα.

Αυτό που καταλαβαίνουμε ότι έγινε είναι: Το κακόβουλο 3ο μέρος, καταρχάς μπόρεσε και ανέβασε 2 εκτελέσιμα php αρχεία στο φάκελο cache του πανάρχαιου joomla 1.5 σαιτ. Χρησιμοποιώντας πιθανότατα μια από τις κοινές ευπάθειες που έχει το συγκεκριμένο CMS ή κάποιο από τα modules του. Κατόπιν με τα εκτελέσιμα αρχεία που ανέβασε, κατόρθωσε να υποκλέψει κωδικούς της βάσης και να τους στείλει σε δικό του freemail. Ανέβασε επίσης αρχεία για το phishing, νέο φάκελο NFX για netflix, και φάκελο GDOCS για google docs. Στη συνέχεια έβαλε να φεύγουν από το χρήστη της ιστοσελίδας, μερικές χιλιάδες phish/spam emails για να προσελκύσει θύματα στο “νέο phishing site”. Όλο αυτό δε του πήρε πάρα πολύ. Από τη στιγμή που έφυγαν τα email, δεν φαίνεται να ξαναχρησιμοποίησε τη σελίδα για άλλο σκοπό.

Παλιοί Κώδικες

Σε πρόσφατη ανακοίνωση μας, έχουμε επισημάνει τα προβλήματα που αφήνει ο παλιός κώδικας (ιστοσελίδες) χωρίς συντήρηση/αναβαθμίσεις. Ειδικά σε shared hosting περιβάλλοντα όπως το “κυρίως” δικό μας με πολλούς χρήστες και διαφορετικούς κώδικες. Τα κενά ασφαλείας που υπάρχουν εκεί είναι πολλά και σοβαρά. Όσο περισσότερο μένουν ασυντήρητες οι σελίδες, τόσο περισσότερες “τρύπες” τους ανακαλύπτονται. Και κακόβουλα μέρη τις χρησιμοποιούν ευρέως ψάχνοντας όλο το διαδίκτυο για τέτοιους κώδικες, δεν είναι κάτι σπάνιο. Ο αριθμός των bots καθημερινά που αναζητούν/επιτίθενται/σπαμάρουν, είναι μεγαλύτερος από αυτό των πραγματικών επισκεπτών. (ένας λόγος που συνήθως αγνοούμε τα στατιστικά/analytics των σελίδων, ως πραγματικά στοιχεία).

Γι’ αυτό και προτείνουμε πάντα σωστή συντήρηση με τακτικές αναβαθμίσεις για όλα τα δημοφιλή CMS και τα plugins/modules/themes τους. Με προαιρετική επιπλέον τεχνική υποστήριξη για παρακολούθηση και σφίξιμο της ασφάλειας τους. Έτσι μειώνονται πάρα πολύ οι πιθανότητες τέτοιων περιστατικών ασφαλείας. Χωρίς γνωστά κενά ασφαλείας οι ενημερωμένοι κώδικες θεωρούνται και πιο “ασφαλείς”.

Η Πρίζα

Εμείς από τη πλευρά μας, παρακολουθούμε συνεχώς και με διάφορους τρόπους την “υγεία” των συστημάτων μας. Καθημερινά με anti-malware εφαρμογές, monitoring εργαλεία με ειδοποιήσεις για υψηλό φόρτο ή περίεργη δραστηριότητα, κ.α. Καθετί “περίεργο” αναλύεται, και διορθώνεται το γρηγορότερο δυνατό. Επιπλέον, αναλύοντας το τι έγινε φροντίζουμε να μην ξανασυμβεί με ότι νέα προληπτικά μέτρα μπορεί να χρειαστούν. Η διαδικασία προστασίας των συστημάτων και των δεδομένων δεν είναι κάτι πάγιο, αλλάζει καθημερινά και φροντίζουμε να μένουμε ενημερωμένοι όσο αυτό είναι δυνατό σε ένα περιβάλλον με διαρκείς προκλήσεις.

Τεχνικές αλλαγές στα hosting της Πρίζας

hosting

Στην Πρίζα hosting, Reloaded!

Το τελευταίο καιρό έχουμε προχωρήσει σε αρκετές αλλαγές ως προς την ασφάλεια και την απόδοση των (shared) hosting που κάνουμε, και κυρίως των ιστοσελίδων που φιλοξενούνται σε αυτά. Νέες ανοιχτές τεχνολογίες έχουν προστεθεί που βελτιώνουν την προστασία και την ταχύτητα των φιλοξενούμενων σελίδων. Επίσης δοκιμάζουμε συνεχώς antispam τεχνολογίες για να βελτιώνουμε τις υπηρεσίες email. Σε μια εποχή που τα δεδομένα και η επικοινωνία, δεν προστατεύονται όπως πρέπει από τις αρμόδιες αρχές και τους παρόχους, προσπαθούμε με τους πόρους που διαθέτουμε να ανταπεξέλθουμε σε κάθε καινούργια πρόκληση πάνω στην ασφάλεια και επικοινωνία στο internet.

Τι έχει αλλάξει;

Ενδεικτικά στο Web :

  • Προωθούμε το https με κάθε ευκαιρία. Όλα τα hosting πακέτα της Πρίζας έχουν δυνατότητα έκδοσης δωρεάν πιστοποιητικού ασφαλείας μέσω του Let’s Encrypt CA. Συντομα θα μείνει σα default επιλογή. οι μέρες του http τελειώνουν… ;-)
  • Με αφορμή το GDPR μειώσαμε τον όγκο των δεδομένων στα αρχεία καταγραφής (logs), φιλτράροντας άχρηστες εγγραφές και εσωτερικούς τυπικούς ελέγχους. Μειώσαμε ακόμα στο ελάχιστο δυνατό το διάστημα διατήρησης των δεδομένων αυτών. Διαβάστε για τα δεδομένα που διατηρούμε, στη Πολιτική Ιδιωτικότητας.
  • HTTP/2: με το πέρασμα σε ασφαλείς επικοινίες (https), ανοίγει ο δρόμος και για τεχνολογίες που βελτιώνουν την ταχύτητα απόκρισης των ιστοσελίδων. Το HTTP/2 που δοκιμάζουμε περίπου ένα χρόνο τώρα, έγινε επιτέλους διαθέσιμο σε όλους. Οι WordPress ιστοσελίδες που τρέχουν σε https θα δουν διαφορά με την εγκατάσταση και ενεργοποίηση του “HTTP/2 Server Push” plugin. Με αντίστοιχα plugins ή custom κώδικα σε άλλα CMS, διαφορά θα δουν όλοι οι φιλοξενούμενοι.
  • Security headers. “Εκπέμπουμε” πλέον κάποια security headers, ενεργοποιημένα σε όλ@ς τους φιλοξενούμεν@ς. Συγκεκριμένα τα X-Frame-Options, X-XSS-Protection, X-Content-Type-Options και Referrer-Policy. Αυτά μπορούν να τροποποιηθούν αν χρειάζεται, γενικά είναι ρυθμισμένα σε ασφαλείς προεπιλογές. Δοκιμάστε τα headers της σελίδας σας εδώ, και επικοινωνήστε μαζί μας για βελτιστοποίηση τους.
  • και μερικές ακόμα πιο τεχνικές αλλαγές σε σχέση με το web caching σελίδων…

Αλλού στο web hosting :

  • Virtualmin Control Panel: Χρησιμοποιούμε τη τελευταία έκδοση του Virtualmin CP για τα shared hosting. Πρόκειται για ένα απλό και “ευθύ” control panel ανοιχτού κώδικα, που δε μπλέκει στα πόδια σας. Εύκολη πλοήγηση και διαθέσιμη αναζήτηση για τη λειτουργία που ψάχνετε.
  • Στην email υπηρεσία, προτιμάμε κρυπτογραφημένες TLS συνδέσεις με όλους τους email servers που επικοινωνούμε. Επίσης προτείνουμε ασφαλείς συνδέσεις και για τους email clients. Οδηγίες για ασφαλείς συνδέσεις με το email σας στην Πριζα μπορείτε να δείτε εδώ.
  • Webmail: Τρία διαφορετικά webmail διαθέσιμα κεντρικά στο stinpriza.org domain, που συντηρούνται από εμάς και λειτουργούν με όλα τα hosting μας. Usermin, Roundcube και -πειραματικά- το Rainloop. Διαβάστε περισσότερα εδώ.
  • και ακόμα ενημέρωση σε υφιστάμενα email antispam φίλτρα και προσθήκη νέων antispam τεχνολογιών.

WordPress / Drupal

Στην Πρίζα δουλεύουμε περισσότερο με WordPress & Drupal ιστοσελίδες και εκεί κυρίως επικεντρώνουμε και τις προσπάθειες βελτίωσης του web hosting μας. Ιστοσελίδες με αυτά τα δημοφιλή CMS θα βρουν εγκατεστημένες πολλές χρήσιμες τεχνολογίες σε σχέση με την ασφάλεια και απόδοση τους. Κάποιες από αυτές αναφέρονται και παραπάνω. Ενδεικτικά στο Drupal : memcached, redis, drush εγκατεστημένο και συμβατό με D6-D7-D8 , composer, fail2ban integration. Στο WordPress : memcached, redis, wp-cli, fail2ban integration, http/2 integration, εύκολη εγκατάσταση vanilla WP ή Στην Πρίζα customised WP μέσω του control panel. Επίσης: προστασία σημαντικών php αρχείων  (wp-config.php & xmlrpc.php) καθώς και των version control φακέλων (.git, .svn) σε επίπεδο web server.

Πληροφορίες Host(s)

Ο κύριος hosting server (cacofonix), τρέχει μια πλήρως ενημερωμένη σταθερή έκδοση Linux λειτουργικού συστήματος 64bit. Όλες οι υπηρεσίες/λογισμικό που χρησιμοποιούμε είναι ανοιχτού κώδικα (open source). Εγγυημένο ετήσιο uptime 99,3%. Βρίσκεται σε data center στη Γερμανία, με πολύ καλό latency εντός ΕΕ.

Καλά όλα αυτά, αλλά το “τάδε” το παρέχετε; και πόσο κοστίζουν;

Για περισσότερες πληροφορίες, τιμές, αλλά και τεχνικές απορίες σχετικά με τα πακέτα hosting της Πρίζας, μπορείτε να επικοινωνήσετε μαζί μας.

Συμβουλές ασφαλείας για τις ιστοσελίδες

ssl

Ασφάλεια;

Δυστυχώς το διαδίκτυο δεν έρχεται μόνο με τα καλά του στοιχεία (επικοινωνία, γνώση, κ.α.), αλλά πολύ συχνά χρησιμοποιείται από κακόβουλους για χειραγώγηση δεδομένων, υποκλοπή προσωπικών στοιχείων, περίεργες διαφημίσεις, πορνό και ένα σωρό ακόμα. Έτσι, συνήθεις στόχοι είναι οι ιστοσελίδες σαν μόνιμοι πομποί μετάδοσης κακόβουλων προγραμμάτων. Πολύ συχνά διάφορα bots ελέγχουν τις σελίδες ψάχνοντας για εύκολη πρόσβαση και τρύπες ασφαλείας στο λογισμικό, που θα τους επιτρέψει να πάρουν τον έλεγχο της σελίδας και να δημοσιεύσουν κακόβουλο κώδικα. Συνήθως ο κακόβουλος κώδικας θα μεταδοθεί σαν ιός ή διαφημιστικά μηνύματα στους επισκέπτες της σελίδας.

Τι κάνουμε;

Καταρχάς ξεκινάμε από τα πολύ βασικά :

  • Επιλέγουμε δυνατούς κωδικούς στους χρήστες και ειδικά στους διαχειριστές της σελίδας. Τουλάχιστον 8 χαρακτήρες. Επίσης αποφεύγουμε να χρησιμοποιούμε τα προεπιλεγμένα usernames (admin, administrator ή παρόμοια). Έτσι καλυπτόμαστε κατά ένα πολύ καλό ποσοστό από τις λεγόμενες brute force επιθέσεις που προσπαθούν να βρουν κωδικούς και να αποκτήσουν πρόσβαση στις σελίδες.
  • Χρησιμοποιούμε SSL (https) για κρυπτογράφηση στην επικοινωνία μας με τη σελίδα. Πέρα από τους ποικίλους λόγους ιδιωτικότητας που προσφέρει, μπορεί να μειώσει αρκετά και τα ποσοστά επιθέσεων, αφού γίνεται πάρα πολύ δύσκολο για τρίτα μέρη (κακόβουλους, bots, υπηρεσίες) να υποκλέψουν ευαίσθητα στοιχεία, όπως κωδικούς. Η κρυπτογράφηση πάντα εξαρτάται και από τις ρυθμίσεις που κάνουμε, οπότε να είστε προσεκτικοί εφαρμόζοντας τη κρυπτογράφηση στη σελίδα σας. Υπάρχουν διάφορα ssl test για να την ελέγξετε όπως το Qualys, το ssl-tools.net κ.α.
  • Κάνουμε συχνά τις ενημερώσεις πυρήνα, προσθέτων και θεμάτων της ιστοσελίδας μας. Ειδικά τις ενημερώσεις ασφαλείας, αφού αυτές είναι που υποδεικνύουν αδύναμα σημεία της σελίδας και όσο δεν αναβαθμίζεται, μένει εκτεθειμένη σε στοχευμένες επιθέσεις. Οι Διαχειριστές/ριες των ιστότοπων πρέπει να ελέγχουν συχνά τις διαθέσιμες ενημερώσεις των σελίδων.
  • Χρησιμοποιούμε antispam και security plugins που μπορούν να παρακολουθούν την “υγεία” των αρχείων της σελίδας -μέσω checksums-, και να μας ειδοποιούν για οτιδήποτε “στραβό”. Υπάρχουν πολλές έτοιμες λύσεις, αναλόγως το κώδικα της σελίδας, ψάχνουμε στα διαθέσιμα plugins για τις αντίστοιχες που μας ταιριάζουν.
  • Προτιμάμε ελεύθερο λογισμικό ή λογισμικό ανοιχτού κώδικα για τις ιστοσελίδες μας (π.χ. WordPress, Drupal, Joomla). Τα περισσότερα ελεύθερα λογισμικά ελέγχονται τακτικά, από πολύ και διαφορετικό κοινό για την ασφάλεια τους επειδή ακριβώς είναι ανοιχτά. Ο κώδικας τους είναι διαθέσιμος σε οποιονδήποτε για review (security & μη), και αυτό από μόνο του είναι μια εγγύηση. Αντίθετα με τα κλειστού κώδικα λογισμικά που συνήθως το μοναδικό security audit που βγάζουν στη δημοσιότητα, είναι το δικό τους εσωτερικό. Κάποια δεν έχουν καν περάσει κάποιο security audit που να γνωρίζουμε. Χωρίς όμως διαφάνεια, πως να εμπιστευτούμε ότι μας λένε την αλήθεια;
  • Οι υπολογιστές μας ή ότι συσκευές χρησιμοποιούμε για είσοδο στην ιστοσελίδα, να διατηρούνται ενημερωμένοι και με κάποιου είδους antivirus (αν έχουμε εγκατεστημένο κάποιο κλειστό λειτουργικό σύστημα. Δεν έχει νόημα να έχουμε πάρει όλα τα παραπάνω απαραίτητα μέτρα για την ασφάλεια της ιστοσελίδας μας, και δεν έχουμε φροντίσει για την ασφάλεια των ίδιων των συσκευών που τις διαχειρίζονται.

Από κει και πέρα;

Η ασφάλεια, δυστυχώς δεν είναι one-time ασχολία. Θέλει έρευνα και έλεγχο, σε κάθε αλλαγή και αναβάθμιση που κάνουμε. Χρειάζεται μια σφαιρική γνώση των απειλών, αλλά κυρίως της ίδιας της σελίδας μας. Να γνωρίζουμε τι περιέχει και για ποιο λόγο. Να μη διατηρούμε άχρηστο κώδικα (plugins/themes/libraries) που δε χρησιμοποιούμε. Ελέγχουμε τις δυνατότητες των χρηστών του ιστότοπου και πιθανά σενάρια για απώλεια/υποκλοπή των κωδικών ή των email τους. Επομένως και ένα εύκολο σύστημα για αλλαγή των κωδικών μας. Επίσης αν υπάρχει δυνατότητα, ελέγχουμε οι ίδι@ την ασφάλεια με διάφορα εργαλεία ανοιχτού κώδικα που υπάρχουν διαθέσιμα, όπως το nmap, κα. Προβλήματα ασφαλείας σχετίζονται και με το performance της σελίδας ορισμένες φορές. Πολύ αργά scripts που καθυστερούν τη σελίδα, μπορούν και να τη “ρίξουν” τελείως.  Κοιτάμε τα logs του web server για λάθη στη σελίδα και τα επιδιορθώνουμε.

Τακτικά backups τοπικά και απομακρυσμένα αν είναι δυνατόν, για να μπορέσουμε σε περίπτωση μόλυνσης από malware, να επιστρέψουμε σε προηγούμενη “υγιή” κατάσταση. ΠΟΛΥ ΒΑΣΙΚΟ!!!

*ΣΤΗΝ ΠΡΙΖΑ SPOILER*

Στην Πρίζα προσέχουμε όσο μπορούμε την ασφάλεια όλων των φιλοξενούμενων ιστοσελίδων. Τακτικά backups και καθημερινό έλεγχο για malware σε όλες τις ιστοσελίδες. Όταν αναλαμβάνουμε και την βασική υποστήριξη μιας σελίδας, αυτό περιλαμβάνει και κάποια εξτρά μέτρα προστασίας. Ένα από αυτά (fail2ban integration) μπορεί εύκολα να ενσωματωθεί σε wordpress/drupal/roundcube ιστοσελίδες ώστε να αποτρέπει τις συχνότατες brute force επιθέσεις. (χωρίς κανένα εξτρά κόστος στο hosting). Το SSL (https) αν δεν είναι ήδη ενεργοποιημένο, μπορείτε να το ενεργοποιήσετε μέσα από control panel πολύ εύκολα.

Σημείωση

Αυτό δεν είναι ολοκληρωμένος οδηγός ασφαλείας και καλύπτει κάποια λίγα βασικά πράγματα με μερικές χρήσιμες συμβουλές. Υπάρχουν εξειδικευμένες υπηρεσίες που κάνουν αναλυτικά security audits και μπορούν να δώσουν ολοκληρωμένες λύσεις. Επίσης μπορείτε να βρείτε πάρα πολλές πηγές στο διαδίκτυο για να κάνετε τη δική σας έρευνα σχετικά.