“Teeme ära” koristustalgud sinu (tehtud) veebis – kõik /uus, /vana, /arhiiv ja /newsletter välja!

Fakt: kui su veebi vana versioon on liigutatud alamkataloogi /vana, /old ja uuendamata/turvapaikamata – või kui paned tegemisel oleva ja veel mitte igast nurgast turvatud/uuendatud veebi kataloogi /uus, /new vms – võtavad kurinahad selle varem või hiljem üle.

Pigem varem – ühe turvaintsidendiga tegeledes leidsime näiteks, et uus veeb oli üles pandud /uus alamkataloogi (mõistagi!) mullu 15. septembril ning 25. liigutatud veebi juurkataloogi ehk võetud kasutusele. FTP-logist on näha, et üles laetud veeb oli puhas, liigutamise ajal on seal aga juba sees ühe Hiina reklaamivõrgustiku häkk. 10 päeva, “keegi ei tea, et meil on /uus”. Kes teab, äkki oli adminni parool “test”? Mõni plugin uuendamata? Igatahes leidis selle augu jaanuari lõpus üles järgmine rühmitus ning pani veebi raha teenima.

Talvel koristasin üht teist veebi ja leidsin sealt 6 erinevat WordPress’i, mis paigaldatud viimase 5 aasta jooksul. Ja jupikese ISISe häkist. @martinsookael jagas aga sellist pilti – logides kliendi veebiserverisse leidis ta sealt 8 erinevas kõdunemisfaasis WPd:

Paraku on olemas tööriistad nagu DirBuster (ja selle massrünneteks sobivad analoogid), mille sõnastikud sisaldavad levinud nimekujusid – test.php, phpmyadmin, new, old, dev jne – ning sageli on sellisel viisil avastatud koodi kaudu sisse murdmine lausa tüütult lihtne. Neid veebe krõbistavad nooremhäkkerid hommikukohvi kõrvale, lihtsalt näpuharjutuseks.

Sellest ka “Teeme ära!” üleskutse, mille esimest otsa saab teha ka üldse-mitte-tehniline inimene – tuleta meelde, kas veebiuuenduse ajal on kuhugi vana versioon alles jäetud? Kui meelde ei tule, proovi järgi asukohad stiilis domain.ee/uus, domain.ee/vana, vana.domain.ee … või äkki vedeleb kusagil domain.ee/blogi oma ainsa tervituspostitusega?

Siit edasi võiks FTPga veebiserverisse sisse logida ja vaadata, ega loomehoos arendaja ole mõnda veidi erinevat nimekuju kasutanud – vana-web, vana2, archive jne. Pane kirja, lase veebimeistril igaks juhuks üle vaadata (äkki ikka on millekski vajalik?), siis arhiveerida ja kustutada.

Kui selle käigus hakkab silma aasta 2012 kampaania-maandumisleht, kunagine ise kirjutatud uudiskirjalahendus alamkataloogis /newsletter vms – siis täpselt samasse nimekirja.

Päisepilt ongi ühe täiesti reaalse firma veebiserverist – igati lugupeetav ettevõte, inimesed käivad lipsuga tööl ja büroojuht pakub kohvi kõrvale šokolaadikompvekki. Nende vana uudiskirja-lahenduse kataloogis on süütuna näiv configure.php, mis lähemal vaatlusel võimaldab veebiserverisse uusi faile üles laadida. Ehk teha seda, mida iganes kurinahk teha plaanis.

Jõudu tööle!

Let’s Encrypt nüüd “government grade” ka Eestis

Mullu septembris alustas Let’s Encrypt oma visiooni “Krüptime kogu veebiliikluse!” teostamist, Zone liitus beetaga detsembris – ja alates 12. aprillist on tegemist juba “päris asjaga”: Let’s Encrypt Leaving Beta, New Sponsors.

Kuna meie kaudu tellitud ja kehtivatest sertifikaatidest on tänase seisuga ca 20% Let’s Encrypt omad oli ka meil viimane aeg menüüst “beeta”-märkus maha võtta.

Täiendav tõuge selleks tuli otse ministeeriumist:

mkm-letsencrypt

Olgu lisatud, et tänu Let’s Encrypt-ile käib ka MKM’i IT-l HTTPS toe lisamine nende serverites olevatele saitidele ilma pikema jututa – muuseas poetatud vihje, et üks sait näeks rohelise tabalukuga kenam välja, sai lõunaks vastuse “Vajalikud HTTPS-i sertifikaadid genereeritud [ja paigaldatud]”. Tavapäraselt oleks hakatud kaaluma kas ikka on väga vaja, kas eelarves on raha ning koguma kooskõlastusi. Respekt ja tervitused kaasvõitlejatele!

Zone virtuaalserverite puhul saab Let’s Encrypt serdi tellida ja serverile lisada nii:

Nagu näha on ilma HTTPS toeta ehk Pakett I kasutava virtuaalserveri puhul Let’s Encrypt tellimise lehel ka nupp “Värskenda teenuspaketti” mis võimaldab ühe klikiga teha upgrade Pakett II peale – see annab muideks ka 2x rohkem paralleeltööühikuid ehk maakeeles “protsessori jõudu”. Tõsi, paketivahetuseks peab olema sisse loginud serveri omaniku ZoneID või sellega seotud identiteediga (delegeerimisest ei piisa).

Igaks juhuks ka pikem selgitus koos sellega, mida tuleks näiteks WordPressi ja Magento puhul muuta liikluse suunamiseks HTTPS peale.

Üks üllatav teenus, mis Zonel seni puudus

Tänu visionääride ettekuulutustele ootavad kliendid meilt pidevalt uudseid ja efektiivsust tõstvaid lahendusi – cloud, docker, bigdata, internet of things.

Enamus neist on laiema üldsuse – ja olgem ausad, ka mõnede visionääride – jaoks võrdlemisi raskesti mõistetavad ning kipuvad jääma pigem turundusloosungiteks. On aga üks lausa tarbijatele lähedane ja arusaadav valdkond: Asjade Internet ehk Internet of Things (edaspidi: IoT).

Meediast leiab igapäevaselt teateid meie ellu tulnud uutest nutikatest seadmetest – WiFiga veinipudel, mesh-võrku moodustavad lambipirnid, arvukad droonid jms. Turult on aga täiesti puudu nii terviklik IoT elutsükli haldus (ingl k lifecycle management) kui ka mitmed selle jaoks vajalikud komponent-teenused.

Loe edasi “Üks üllatav teenus, mis Zonel seni puudus”

Plugin, ma olen su isa…

Tavapärane soovitus on uuendada kohe ja kõike mis seda vähegi nõuab – sest kui mõni uuendus peaks lappima turva-augu, leiab lähipäevil logidest märke katsetest seda ära kasutada.

Vahel läheb aga teisiti – eelmine nädal jäi Sucuri’le silma WordPressi plugin Custom Content Type Manager uuendus, mis tundus sisaldavat turva-probleemi – lähemal uurimisel polnud tegu aga näpukaga, vaid sihilikult paigaldatud taga-uksega: When a WordPress Plugin Goes Bad.

Zone virtuaalserverites on selle plugina kataloog olemas 15 saidil – kuna probleemne kood on pluginakataloogist eemaldatud siis ei ole need aga enam ohustatud.

bad-plugin-no-donutLühidalt – keegi kasutajanime wooranker kasutav (või selle üle võtnud) isik sai õiguse teha muudatusi WordPressi plugi-kataloogis avaldatud ja ca 10-tuhande installiga pluginale ning asus kohe ka eksperimenteerima. Ehk siis uuenduse (või uue installi) teinud saite üle võtma.

Tänaseks on WordPressi tiim talt õigused ära võtnud (lisaks ülalmainitule oli puudutatud Postie), algse plugina-versiooni koodi taastanud (ja versiooninumbrit suurendanud) ehk reaktsioon kiire ja korralik. “Tumedale poolele” ülemineku risk aga jääb – ja kui levinud plugina puhul hakkab see loodetavasti peagi mõnele turvafriigile silma, siis vähemkasutatu puhul võib selleks tükk aega kuluda.

Mida siis soovitada?

  • küsi enne uue plugina paigaldamist “on mul seda ikka tegelikult vaja? paneb see mu veebi paremini müüma?”
  • kasuta ainult https://wordpress.org/plugins/ pealt paigaldatut (või väga tuntud autori loodut)
  • eelista suurema installide arvuga pluginaid – nende puhul on loota, et koodi-probleemid on silutud ning jamasid märkab keegi, kes suudab kiiresti reageerida
  • uuenda, uuenda, uuenda (mitte-uuendamise risk on oluliselt suurem)
  • uue veebitarkvara paigaldamisel tee seda Zone+ abil – see tagab, et nii WordPres kui kasutusel olevad pluginad on igapäevaselt uuendatud (kui mingi uuendus peaks tulevikus ka veebi veidi katki tegema, on see oluliselt väiksem jama kui sissehäkitud saada)
  • … ja Nimbusec skännima!

Näksitud andmebaas – ei, näksimata andmebaas

Täna EEnet’i nimel saadetud parooli-õngitsus-kirja eest võiks tõlkeroboti sooritusele maksimaalsed stiilipunktid anda – loodetavasti läheb “näksima meie andmebaasis” samamoodi küberfolkloori kogudesse nagu ammune “Ligupidamisega“.

Zone postiserveritesse jõudis selliseid enne saatja blokeerimist üle 4500, aga kaevates logides on veidi erineva sõnastuse ja saatjaga kirju tulnud massiliselt ka varasematel päevadel, reedel näiteks 10000.

Saatja: Admin [ad@eenet.ee]
Saadetud: 2. märts 2016. a. 9:05
Adressaat: Me
Teema: Sinu konto suletakse lähema 24 tundi !

Seal on näksima meie andmebaasis, mis pani meid blokeerida sissetulevad kirjad ja sa pead kehtivaks tegema oma konto klikkides siia, et vältida oma webmail alates lõplikult blokeeritud.

Märge: Suutmatus kinnitada oma kontole, konto suletakse lähema 24 tundi.

©2016 Konto hooldus- meeskonnaga.
Kohtuasja arv: GK09TKV

Kuna sellistes kirjades olevatel linkidel klikkimine on riskantne isegi juhul, kui puudub plaan sinna paroole sisestada, siis olgu lisatud ka turvaliselt virtuaalmasina-liivakastist tehtud pilt seekordsest vormist (täitmise korral saadetakse andmed ühele gmail.com aadressile):

naksitud-andmebaas-ei-naksimata-andmebaas

Ega’s muud, kui kõigile lähikondsetele veelkord üle korrata:

  • paroole tasub sisestada ainult saitidele, kuhu oled omal tahtel aadressi tippides (või lemmikute hulgast valides) läinud
  • igal pool kus vähegi võimalik – kasuta sisselogimiseks parooli asemel turvalisemat lahendust, näiteks Google Authenticator telefoni-äpp (GMaili puhul saad seadistada siit), SMS-iga saadetav kinnituskood või Eesti tingimustes mobiil-ID (vt: kuidas siduda minuZone konto ligipääs mobiil-ID-ga)