Skip to main content

Ασφάλεια Ιστοσελίδων: Ποιοι είναι οι κίνδυνοι;


Αρθρογραφία: Αντώνης Παυλίδης
Δημοσιεύθηκε: 16 Δεκεμβρίου 2019

Πληροφορίες για θέματα ασφάλειας της ιστοσελίδας μας που μαθαίνουμε κατόπιν εορτής...

Δεν φταίμε απόλυτα εμείς, ίσως η ανθρώπινη φύση, που για λόγους αυτοσυντήρησης μας κάνει να μην σκεφτόμαστε δυσάρεστες καταστάσεις πριν αυτές μας συμβούν. Πολλές φορές ακούμε γύρω μας για κυβερνοεπιθέσεις, hackings σε λογαριασμούς, κατεβασμένες ιστοσελίδες, αλλά αρκούμαστε στο «πάλι καλά, εμείς είμαστε τυχεροί».

Το τυχεροί δεν είναι σχήμα λόγου, είναι πραγματικότητα, όταν δεν έχουμε μεριμνήσει για βασικά θέματα ασφάλειας.

Πώς γίνεται όμως μια επίθεση;

Όπως στον πραγματικό κόσμο, έτσι και στον κυβερνοχώρο, τα θύματα επιλέγονται σύμφωνα με το πόσο χαλαρές άμυνες έχουν. Στην πραγματικότητα, ένας κακοποιός θα προτιμήσει έναν εύκολο στόχο, που δεν θα μπορεί να προβάλλει ιδιαίτερη αντίσταση. Έτσι και στο διαδίκτυο η επιλογή γίνεται κατά τον ίδιο τρόπο. Σκανάροντας και βρίσκοντας τον αδύναμο στόχο.

Ποιες είναι οι αδυναμίες;

Οι κύριες αδυναμίες είναι οι παρακάτω:

Οι ευπάθειες των προγραμμάτων που χρησιμοποιούνται για την κατασκευή μιας ιστοσελίδας

Σε αυτή την περίπτωση ο hacker αναζητά ιστοσελίδες με προγράμματα που τρέχουν σε παλιότερες εκδόσεις, και δεν είναι επικαιροποιημένα. Αυτά τα προγράμματα είναι καταρχήν τα πολύ γνωστά CMS όπως το Wordpress, το Joomla!, το Drupal και άλλα, καθώς επίσης και τα πρόσθετα εργαλεία (plugins, extensions) που χρησιμοποιούνται για κάποιες πιο εξειδικευμένες λειτουργίες. Όλα αυτά τα προγράμματα σαφώς παρουσιάζουν κατά καιρούς κενά ασφάλειας τα οποία μπορεί να εκθέσουν την ιστοσελίδα σε διάφορους κινδύνους, και γι’ αυτό το λόγο ανά τακτά χρονικά διαστήματα βγαίνουν νέες ενημερωμένες εκδόσεις που θωρακίζουν αυτά τα κενά. Στην περίπτωση που η ιστοσελίδα δεν ενημερώνεται με τις νέες εκδόσεις αυτών των λογισμικών, είναι τρωτή σε επιθέσεις.

Μια τέτοια επίθεση εκτός του ότι θα επηρεάσει αρνητικά την επισκεψιμότητα της ιστοσελίδας και την εμπιστοσύνη του επισκέπτη, θα επηρεάσει και το reputation καθώς θα μπει αυτόματα σε μια blacklists πολλών Online υπηρεσίών που θα αποτρέπουν την πρόσβαση προς την ιστοσελίδα.

Πώς αντιμετωπίζεται;

Ο τρόπος αντιμετώπισης είναι απλός. Πρόληψη. Update. Αλλιώς επικαιροποίηση των προαναφερθέντων προγραμμάτων. Πρέπει να μην αμελούμε να κάνουμε έλεγχο και να τρέχουμε τα νέα updates. Επίσης είναι πολύ σημαντικό να είμαστε πολύ προσεκτικοί με το τι λογισμικά χρησιμοποιούμε. Το Wordpress λόγω της δημοφιλίας του, έχει δημιουργήσει μια τεράστια αγορά για plugins που μπορούν να βοηθήσουν σε εκατοντάδες άλλες λειτουργίες. Πρέπει όμως να γίνεται ένα background check όσο αυτό είναι δυνατόν στον developer που το έφτιαξε, τον αριθμό των downloads που έχει, το πόσο πρόσφατο είναι το τελευταίο update, και τις κριτικές που έχει λάβει από τους χρήστες που το έχουν χρησιμοποιήσει.

Σημαντικό είναι να χρησιμοποιούμε σύνθετους τρόπους πρόσβασης στο διαχειριστικό κομμάτι της ιστοσελίδας, όπως password protected folders και authenticators, να έχουμε login alerts για να ενημερωνόμαστε άν κάποιος συνδέθηκε με δικαιώματα διαχειριστή, και να κάνουμε monitor την ιστοσελίδα μας με κατάλληλα λογισμικά που θα εντοπίζουν malware - flagged αρχεία.


Υπολογιστές χωρίς προστασία

Ένας υπολογιστής χωρίς προγράμματα προστασίας antivirus, firewall ή με δωρεάν κατεβασμένα προγράμματα αμφιβόλου ποιότητας, είναι μια ωρολογιακή βόμβα. Ένας ιός ransomware, ένα Phishing link, ή μια περιήγηση σε άλλα sites που έχουν ήδη δεχθεί επίθεση μπορεί να δώσουν πρόσβαση στον επιτιθέμενο να αποκτήσει έλεγχο στον υπολογιστή. Αν δε μέσα στον υπολογιστή έχετε πληροφορίες όπως στοιχεία πρόσβασης στους λογαριασμούς ηλεκτρονικού ταχυδρομείου, αποθηκευμένοι κωδικοί, στοίχεία πρόσβασης στο διαχειριστικό περιβάλλον της ιστοσελίδας σας, τότε έχετε ανοίξει μια πόρτα και μόνο δεν καλωσορίζετε τον χάκερ.

Πώς αντιμετωπίζεται;

Με την σωστή επιλογή ενός προγράμματος Anti Virus ή μιας σουΐτας εργαλείων για την προστασία ενός υπολογιστή ή ενός δικτύου. Μη βασίζετε τη σωστή επιλογή σε ότι διαβάσετε στο διαδίκτυο, αλλά συμβουλευτείτε έναν ειδικό, που θα αξιολογήσει το σύστημά σας και θα σας προτείνει την καλύτερη λύση. Μην βασίζεστε σε δωρεάν προγράμματα. Τα αρχεία που βρίσκονατι στον υπολογιστή σας έχουν μεγάλη αξία για εσάς, μπορεί να αφορούν την επιχείρησή σας, ή να είναι προσωπικά. Πρέπει να τα προστατεύετε ανάλογα.


Αδύναμοι κωδικοί

Είναι πολύ σημαντικό να καταλάβουμε σε αυτό το σημείο ότι ένας εύκολος κωδικός σπάει εύκολα. To 2013 η Adobe δέχτηκε επίθεση και κλάπηκαν οι κωδικοί 38 εκατομυρίων ενεργών χρηστών. Το decryption που έγινε αργότερα στο αρχείο που διέρρευσε από τεχνικούς πληροφορικής αποκάλυψε κωδικούς για 6 εκατομύρια λογαριασμούς με το top 10 κωδικών σε όλους αυτούς του λογαριασμούς να είναι οι παρακάτω:

  • 123456
  • 123456789
  • password
  • adobe123
  • 12345678
  • qwerty
  • 1234567
  • 111111
  • photoshop
  • 123123

Προφανώς δεν φταίνε οι κωδικοί για την επίθεση στην Adobe, γίνεται κατανοητό όμως ότι ο παράγοντας ασφάλειας κατά την επιλογή ενός κωδικού έρχεται δεύτερος μετά τον παράγοντα ευκολίας και απομνημόνευσης, και αυτό αποτελεί αδυναμία σε ένα σύστημα.

Πώς αντιμετωπίζεται;

Κυρίως με σύνθετους κωδικούς. Προτιμήστε έναν κωδικό που να περιέχει κεφαλαία και πεζά γράμματα, αριθμούς, σύμβολα και πάνω από 10 χαρακτήρες. Φροντίστε, όσο δύσκολο και αν ακούγεται αυτό να τους αλλάζετε ανά τακτά χρονικά διαστήματα π.χ. ανά εξάμηνο. Μην χρησιμοποιείτε έναν κωδικό για όλα. Ο κίνδυνος είναι μεγάλος, γιατί αν γίνει υποκλοπή κωδικών σε μια υπηρεσία που χρησιμοποιείτε π.χ. Adobe, τότε οι χάκερς θα αποκτούν πρόσβαση και σε άλλες υπηρεσίες σας απλώς δοκιμάζοντας να συνδεθούν με τα ίδια στοιχεία που υπέκλεψαν.

Ύποπτα Μηνύματα ηλεκτρονικού ταχυδρομείου

Το ηλεκτρονικό ταχυδρομείο έχει μπει για τα καλά στη ζωή μας. Είναι όμως ασφαλές; ΟΧΙ. Η απάντηση είναι ΟΧΙ. Κατηγορηματικά ΟΧΙ. Στην περίπτωση που ο υπολογιστής μας έχει εκτεθεί σε κινδύνους, υπάρχει μεγάλη πιθανότητα, ένας χάκερ να διαβάζει τα μηνύματά μας. Είναι πολύ σημαντικό λοιπόν να καταλάβουμε πως οποιαδήποτε πληροφορία μοιραζόμαστε μέσω email είναι πιθανό να μην είναι απόλυτα ασφαλής. Είναι επίσης πολύ σημαντικό να ελέγχουμε την προέλευση των μηνυμάτων που λαμβάνουμε. Ένας χάκερ μπορεί να μασκάρει την διεύθυνσή του με την διεύθυνση οικείου προσώπου / συνεργάτη.

Πώς αντιμετωπίζεται;

Με πολύ προσοχή. Δεν στέλνουμε ποτέ στοιχεία πρόσβασης σε κανέναν μέσω ηλεκτρονικού ταχυδρομείου. Να ελέγχετε ποιος σας στέλνει μηνύματα. Αν εντοπίσετε περίεργη συμπεριφορά, αλλαγή στον τρόπο επικοινωνίας, ορθογραφικά λάθη που παλιότερα δεν γινόντουσαν, ή κάτι που δεν σας ταιριάζει, καλέστε στο τηλέφωνο τον αποστολέα και επιβεβαιώστε αν το μήνυμα το λάβατε από τον ίδιο. Κάποιες πολύ σημαντικές συμβουλές σχετικά με τον τρόπο αντιμετώπισης προσπαθειών εξαπάτησης μέσω ηλεκτρονικού ταχυδρομείου παρέχονται από την Δίωξη Ηλεκτρονικού Εγκλήματος σε αυτό το σύνδεσμο.


Social Engineering

Ή αλλιώς Κοινωνική Μηχανική. Υπάρχει ένα πολύ ενδιαφέρον βιβλίο του Kevin Mitnick στο οποίο αναλύεται μια μέθοδος παραβίασης συστημάτων χωρίς την χρήση υπολογιστή, αλλά με τον απλούστερο τρόπο εξαπάτησης, που έχει ως βάση την ανθρώπινη φύση και τις αδυναμίες της. Το 2019 άλλωστε υπήρξαν πολλά κρούσματα τηλεφωνικών κλήσεων από «τεχνικούς της Microsoft” που εντόπισαν κάποιο πρόβλημα στο λογισμικό του υπολογιστή μας και προσφερόντουσαν να το λύσουν. Κάποιοι εύπιστοι (και δεν ήταν λίγοι) έδειξαν εμπιστοσύνη σε αυτούς που προσφέρθηκαν και έδωσαν στο πιάτο ότι δεδομένα είχαν στον υπολογιστή τους.

Πώς αντιμετωπίζεται;

Μην εμπιστεύεστε ποτέ κανέναν. Κανείς δεν θα προσφερθεί ποτέ δωρεάν να σας φτιάξει κάτι. Και καμία εταιρεία δεν θα σας ζητήσει πρόσβαση στον υπολογιστή σας ή να μάθουν ευαίσθητες πληροφορίες όπως κωδικούς. Αν σας συστηθούν ως τεχνικοί κάποιας γνωστής εταιρείας ζητήστε τα στοιχεία τους, ονοματεπώνυμο αριθμό τηλεφώνου και τμήμα, και αν δεν σας κλείσουν το τηλέφωνο, επικοινωνήστε με την εταιρεία και ενημερώστε για το συμβάν.


Εν τέλει, πώς μπορούμε να έχουμε ασφαλή την ιστοσελίδα μας και τα δεδομένα μας;

Η απάντηση είναι με πολύ προσοχή. Καλώς ή κακώς το διαδίκτυο είναι ένας χώρος που κρύβει πολλούς κινδύνους. Όπως ακριβώς και στον πραγματικό κόσμο, για να κρατάμε ασφαλή τα υπάρχοντά μας, πρέπει να κρατάμε καλά ασφαλισμένες τις πόρτες και τα παράθυρα στο σπίτι μας, και να είμαστε σε εγρήγορση. Αντίστοιχα πρέπει να λειτουργούμε και στον εικονικό κόσμο του διαδικτύου. Όσο πιο καλά θωρακίζουμε τα δεδομένα μας, τόσο περισσότερο ασφαλή είναι.

Δεν μπορούμε να έχουμε 100% ασφάλεια για τα δεδομένα μας. Πρέπει να είμαστε προετοιμασμένοι. Η μάχη αυτή κρίνεται στα σημεία, πότε είναι ένα βήμα μπροστά ο χάκερ, πότε είμαστε εμείς. Το παν είναι να είμαστε έτοιμοι για κάθε ενδεχόμενο.

Newsletter

Βρίσκετε ενδιαφέροντα τα άρθρα μας;
Κάντε εγγραφή παρακάτω.
Στέλνουμε 1 μήνυμα κάθε Δευτέρα!
Σεβόμαστε την ιδιωτικότητα σας. Δεν μοιραζόμαστε με κανέναν τα στοιχεία σας και μισούμε το spam. Μπορείτε να διαβάσετε περισσότερα στην πολιτική απορρήτου μας