Számtalanszor találkozom vele, hogy ha egyszer beüt valami egy weboldallal kapcsolatban (feltörték, vagy csak nem működik), akkor az oldal gazdája kapkod, és gyakorlatilag fogalma sincs, hogy kit kellene megkeresnie, kire tolhatná a felelősséget.
Igen, sokszor próbálják áttolni a felelősséget a tárhelyszolgáltatóra, vagy a programozóra. Tíz új ügyféltől legalább hatszor kapom meg a kérdést egy-egy feltörés után:
„Ugye ha tárhelyszolgáltatót váltok, akkor nem fogják újra feltörni az oldalt?”
Valahogy meg sem fordul az emberek fejében, hogy ha az oldalukat feltörik, akkor az bizony az Ő felelősségük! Ezt fel kell vállalni, és meg kell tenni a szükséges lépéseket.
Nem véletlenül írtam a tárhelyes kérdést, mert szegény tárhelyesek kapják legtöbbször az „áldást” az ügyfelektől. El kell fogadni, hogy a tárhelyszolgáltató nem felelős azért, hogy a Te oldalad biztonságos legyen. Az ő felelősségi körébe az tartozik, hogy a szerver – ami az oldaladat kiszolgálja – lehetelőleg non-stop üzemeljen, a leveleid kézbesítve legyenek, és hogy az ügyfelei egymástól jól el legyenek szeparálva. Ez főképpen arra szolgál, hogy nehogy beleláss más ügyfelek adataiba, másrészt pedig így ha az oldaladat feltörik, akkor egy malware fertőzés, sőt akár célzott támadás esetén is a többi ügyfél oldala és adatai biztonságban legyenek. Hogy a Te oldalad nem volt biztonságos? Bocs, így jártál. Ez nem a tárhely sara. Nem várhatod el egy tárhelyszolgáltatótól sem, hogy a nála üzemeltetett több száz weboldalt egyesével átnézze, biztonsági rések után kutatva.
Oké, a tárhelyesekre nem igazán lehet áttolni a felelősséget. Kire lehetne még? Á, igen… a programozó. Miért nem tudta rendesen megcsinálni azt az átkozott oldalt?
Mondd csak, milyen weboldalad van, amit feltörtek? WordPress, vagy valamilyen egyéb nyílt forrású CMS? Ez esetben valószínű, hogy amikor az oldalt átvetted, akkor a legfrissebb komponensekkel volt elkészítve. Az átvétel után viszont a frissítések telepítése nem a programozód felelőssége, hanem a Tied! A tartalomkezelő rendszereket érintő feltörések igen nagy része arra vezethető vissza, hogy az oldal gazdája nagy ívben tojt a frissítésekre. Másik opció, hogy annyira gyenge jelszót használt, amit viszonylag gyorsan sikerül megfejteni. Persze más kérdés – és sokszor csak utólag derül ki, hogy mi van akkor, ha a remek programozó egy fizetős plugin, vagy sablon lopott verzióját használta? Ebben az esetben azonnal szöges léccel verném nyakon a tisztelt fejlesztőt. Az hagyján, hogy jó eséllyel biztonsági réseket, hátsó kapukat helyezett el az oldaladon, de a lopott szoftverkomponenssel együtt élni jogilag sem biztos hogy kifizetődő.
Ha egyedi oldalad van, akkor kicsit árnyaltabb a kép, hiszen frissítgetéssel nem fogod megoldani a problémákat. Arra a kérdésre, hogy a fejlesztő miért nem tudta biztonságosra megírni a rendszert, viszonylag egyszerű a válasz: mert a fejlesztő fejlesztő, és nem IT biztonsági szaki. Nem elegendő tisztában lenni a tipikus törési technikákkal, ez egy külön szakma, és nem véletlenül.
Mondok egy példát: abban az időszakban, amikor hivatalosan is etikus hackerré váltam, egy banknak készítettem az online banking felületét. Etikus hackerként, frissen a vizsga után persze hogy tudtam mire kell figyelni. Mégis, amikor leauditáltam a saját munkámat, találtam benne biztonsági hibát! Hogy lehet ez?
Egyszerűen a fejlesztés más kvalitásokat igényel. Egy kreatív folyamat, a kód folyamatosan változik, alakul. Alkotsz, teremtesz. Ezzel szemben a biztonsági audit egy sokkal szárazabb terület. Persze itt is kell hozzá némi kreativitás, de az analitikus gondolkodásmód sokkal jobban előtérbe kerül. Összefoglalva: ha egy hacker a saját kódjában képes hibát véteni / találni, akkor egy ilyen szakképzettség nélküli fejlesztőnél miért nem tudjuk elfogadni azt, hogy hibázhat? Övé a felelősség? Ígérte neked azt, hogy atombiztos oldalt készít? Akkor mutasson róla egy jegyzőkönyvet, hogy auditálták a rendszert, akkor elhiheted neki! Ha nem ígért ilyet, akkor kérj az új oldaladra egy biztonsági vizsgálatot. Így tudod csak csökkenteni a kockázatokat!
Kihez fordulj tehát, ha gond van?
- Ha nem megy az oldalad:
Nézd meg, hogy a tárhelyszolgáltató weboldala bejön-e? Kérdezz rá, hogy van-e műszaki problémájuk, vagy a Te oldaladdal van gáz? Esetleg letiltották? - Ha feltörték az oldaladat:
Hagyd a tárhelyszolgáltatót… Ha azt kéred, hogy mentésből állítsák vissza az oldalad, attól még a biztonsági rés ott lesz, és újra-és-újra fel fogják törni.
Hagy a programozót… Vagy fizess neki, hogy rendberakja és felfrissíti az oldaladat.
A dologhoz hozzátartozik, hogy a programozó valószínűleg nem fogja megtalálni az utolsó backdoor-t is. Elég jól álcázódnak mostanában ezek a kódrészek. De persze egy próbát azért megér…
Ha pedig minden kötél szakad….. tudod hogy hol találsz.