Έχετε μια υποψία ότι κάτι δεν πάει καλά με το site σας, ωστόσο δεν μπορείτε να το επιβεβαιώσετε! Έχετε αυτό το συναίσθημα της ανησυχίας αλλά από την άλλη σκέφτεστε ότι εάν συνέβαινε κάτι “κακό” το σύστημα θα σας είχε ενημερώσει… Δυστυχώς, οι ιστορίες καταστροφής που έχουμε ακούσει από ιδιοκτήτες sites που σε μια νύχτα έχασαν τα πάντα είναι τρομακτικές, ακόμα και για εμάς τους hosts.
Όταν θα έχετε την παραμικρή αμφιβολία ότι στο site, την πλατφόρμα, το σύστημα σας δε λειτουργεί κάτι εύρρυθμα κι ομαλά, μην το καθυστερείτε καθόλου, απευθυνθείτε στο host ή developer σας για τη διερεύνηση του προβλήματος.
Όλες σχεδόν οι επιθέσεις ακολουθούν μια κοινή διαδρομή που αποτελείται από 5 στάδια (Reconnaissance, Identification, Exploitation, Action, Sustainment) και συνήθως με αυτή τη σειρά ακριβώς , ενώ στην περίπτωση σφοδρών επιθέσεων μπορεί να έχουμε ένα-δυο βήματα παραβίασης παραπάνω φτάνοντας τα 6-7 στάδια. Για το μόνο που δεν μπορείτε να είστε σίγουροι είναι ο χρόνος διάρκειας κάθε στάδιου.
Ανατομία επίθεσης:
Reconnaissance: Αναγνώριση – εντοπισμός του τρωτού σημείου
Identification: Ταυτοποίηση
Exploitation: Εκμετάλλευση του ευάλωτου
Action: Δράση
Sustainment: Διατήρηση της δράσης / παραβίασης
Το κάθε στάδιο μπορεί να ποικοίλλει αναλόγως του χρόνου και της δράσης και να διαχωριστεί σε επιπλέον φάσεις. Για παράδειγμα, η φάση της αναγνώρισης μπορεί να διαρκέσει αρκετές εβδομάδες πριν τη δράση. Επειδή οι περισσότερες επιθέσεις είναι αυτοματοποιημένες, τα bots ανιχνεύουν πρώτα τις τρωτές εφαρμογές από διάφορες πλατφόρμες (π.χ. δημοσιευμένες τρωτές εφαρμογές του WordPress, τα Joomla sites έκδοσης 1.x κ.α.), τα συλλέγουν και τα αποθηκεύουν στη βάση τους για μελλοντική “αξιοποίηση”.
Προφανώς και οι πιο τρομακτικές φάσεις είναι αυτές της Εκμετάλλευσης και Δράσης, οι οποίες δεν είναι απαραίτητο να συμβούν την ίδια στιγμή. Κι αυτό γιατί ο attacker, αφού έχει εντοπίσει και εκμεταλλευθεί το τρωτό της εφαρμογής, θα διεισδύσει στο σύστημα και θα δράσει την κατάλληλη στιγμή, αποσκοπώντας στο να γίνει όσο το δυνατόν λιγότερο αντιληπτός από τους admins.
Η αλήθεια είναι ότι οι “επιτυχημένες” επιθέσεις δρουν τόσο αθόρυβα που δεν ανιχνεύονται εύκολα από την ασφάλεια του συστήματος, μπορεί και καθόλου, και τελευταία ελπίδα μένει η πείρα και παρατηρητικότητα του διαχειριστή. Μερικοί “διακριτικοί” τρόποι παραβίασης είναι η δημιουργία ενός επιπλέον χρήστη ή το ανέβασμα μιας φωτογραφίας που “ανοίγει πόρτα” σε κάτι άλλο.
Προτεινόμενες ενέργειες εάν υποπτευθείτε ότι παραβιάστηκαν οι εφαρμογές σας:
1. Πράξτε σα να έχουν παραβιαστεί όλα τα μέρη της εφαρμογής σας. Εάν η παραβίαση δεν έχει εντοπισθεί από την αρχή, τότε δεν είναι καθόλου εύκολο να γνωρίζετε την πραγματική έκταση της. Οπότε μην πάρετε το ρίσκο και θεωρήσετε ότι αυτό που έγινε αντιληπτό είναι και το μόνο σημείο το οποίο παραβιάστηκε.
2. Διακοπή στις συνεδρίες χρηστών. Υπάρχουν εφαρμογές που διατηρούν για μεγάλο διάστημα ανοιχτά τα logged in sessions, οπότε με τη διακοπή πρόσβασης πιθανόν “πετάτε” έξω και τον attacker.
3. Αλλαγή password. Mικρής σημασίας (θα εξηγήσουμε παρακάτω) αλλά είναι μια επιπλέον δικλείδα ασφαλείας.
4. Ερευνήστε τους χρήστες. Πραγματοποιήστε έρευνα προκειμένου να επιβεβαιώσετε ότι οι ρυθμίσεις της database τους είναι ασφαλείς. Αναγνωρίζετε το όνομα και τα emails του user; Η αλλαγή του password, που αναφέρθηκε προηγουμένως, δεν είναι αρκετή διότι εάν ο attacker έχει θέσει δικό του email, με τη λειτουργία Επαναφοράς Κωδικού, έχει πάλι αποκτήσει πρόσβαση.
5. Αντικαταστήστε τα Core Files.
6. Εξετάστε τυχόν plugins που έχετε ενσωματώσει στο CMS σας.
7. Περιορίστε την πρόσβαση με βάση την περιοχή.
Το τρίπτυχο μιας καλά προστατευμένης παρουσίας στο διαδίκτυο είναι: ανθρώπινος παράγοντας – εξέλιξη – τεχνολογία. Αυτά σε αρμονία και συνεργασία είναι το τείχος προστασίας απέναντι στις διαδικτυακές επιθέσεις.