WORDPRESS OLDALAD BIZTONSÁGA ÉS A PANAMAI OFFSHORE BOTRÁNY

A WordPress vitathatatlanul a legrugalmasabb és legnépszerűbb platform a kis vállalatok és cégek webes palettáján. Mi is ezt ajánljuk a partnereinknek,  akiknek az oldalát elkészítjük vagy átalakítjuk, mert szinte az igények 95%-ára tökéletes megoldást ajánlhatunk nekik. Persze a megoldásokhoz gyakorta kell különböző bővítményekkel is dolgoznunk. Egyszerűen fogalmazva a WordPress ezek nélkül a kiegészítők nélkül gyakorlatilag félkezű óriás lenne és számtalan funkció hiányozna belőle.

De, ahogyan a PC-nk operációs rendszere sem lenne képes más szoftverek nélkül kiszolgálni az igényeinket a WordPress esetében is szükségünk van általában az alapmotorhoz kiegészítőket, plugineket telepíteni. A WordPressnél is sok apró kiegészítő összehangolt munkája szükséges a weboldalunk elvárt működéséhez. Ezzel viszont rögtön egy nagy csokor biztonsági kérdés kezelésének problémája kerül elő.

A napokban hackerek 2,6TB-nyi adatot csentek el a panamai Mossack Fonseca ügyvédi és könyvelő cégtől. Az adatok a megszerzésüket követően nagyon gyorsan a sajtónál landoltak és a panamai offshore saga ezzel kezdetét is vette. Most egyáltalán nem akarok a dolog emberi, politikai, gazdasági vetületével foglalkozni, mert erre sokkal hivatottabbak vannak nálam. Minden esetre az tény, hogy a panamai botrány az eddigi történelmünk legnagyobb lebukása az adók elkerülésére létrehozott offshore világban. Számtalan híres-hírhedt közéleti személyiség és politikus került a kérdések kereszttüzébe a közvélemény részéről világszerte.

Néhány az internetes biztonsággal foglalkozó cég a Mossack Fonseca nem frissített WordPress oldalát hibáztatja, mint a betörés valószínűsíthető forrását.

Mit jelent ez nekünk és hogyan hathat ez a saját weboldalunkra, üzletünkre? Mi is veszélyben vagyunk? Tőlünk is ellophatják az adatainkat?

Az egyszerű válasz: NEM. Illetve a lehetséges is szóba jöhet. Pontosan ezért fontos, hogy a kapukat bezárjuk és ne engedjünk mindenkit ki-besétálni a weboldalunk rendszereiben.

A PANAMAI OFFSHORE ÜGY

A Panamai Offshore ügy a legnagyobb a közelmúlt adatszivárgási ügyei közül. A korábbi mega ügyek még a GB-os kategóriában maradtak. A Wikileaks Cablegate ügyben 1,7GB,  az Ashley Madison ügyben 30GB, a Sony Pictures adatszivárgásában pedig 230GB adat csorgott el illetéktelen kezekbe. A Panamai Offshore ügyben már 2,6TB-nyi adatot sikerült megszerezniük a hackereknek. Azzal azonban tisztában kell lennünk, hogy a Mossack Fonseca-hoz hasonló cégek, akik nagy ügyfélkörrel rendelkeznek és az ügyfélkörében ismert személyek találhatóak nagy számban, fokozottan vannak a kiberbűnözők megfigyelése alatt. Hasonlóan fontosak lehetnek a szemükben a nagy bankkártyás forgalommal rendelkező online üzletek is. Ez a botrány most az érzékeny adatokról szól és az adó elkerülést választó jelentős pénzt felhalmozó celebritikről és politikusokról.

Tovább korbácsolta az érzelmeket, hogy olyanokról derültek ki offshore ügyek, akik maguk is fennhangon ellenezték az adó elkerülést. Érdemes megnézni a Süddeutshe Zeitung oldalán az izlandi botrány hős videóját (https://panamapapers.sueddeutsche.de/articles/56fec0cda1bb8d3c3495adfc/ )

Érdemes ízlelgetni a számokat, hogy mekkora lyuk tátong most.

A 2,6TB adat megoszlása:

  • 4,8 millió email,
  • 3 millió adatbázis formátum,
  • 2,1 millió pdf dokumentum,
  • 1,1 millió kép,
  • 320166 db szöveges dokumentum

(Forrás Süddeutsche Zeitung)

Ez körülbelül 1500-szoros adatmennyiség a Wikileaks botrányhoz képest.

 

HOGYAN TÖRTÉNHETETT MEG MINDEZ?

A WordFence készített egy nagyon részletes elemzést arról, hogy mi történhetett a Mossack Fonseca szerverén az alatt a bizonyos támadás alatt. Nem szeretnék az apró-cseprő részletekben elveszni, ezért csak a nagyobb lépéseket mutatom meg a folyamatát. Az egész részletes történet itt olvasható el. A Mossack Fonseca oldalán futó WordPress-hez telepítették a Revolution Slider képváltó bővítményt, ami 2014. októbere óta szerepel a sebezhető bővítmények között. Ezen a bővítményen keresztül a behatolók simán bejutottak a Mossack Fonseca WordPress telepítési könyvtáraiba. A WordPress-es bejáraton keresztül egy hírlevelező plugint is megtaláltak. Ez a plugin a visszapattanó levelek email címeit vette le a levelező listáról, épp ezért a mail szerverrel is kapcsolatban állt. Innen juthattak be a céges levelezésbe a hackerek, és innen tölthették le azt a 4,8 millió emailt, amit kiadtak a Süddeutsche Zeitungnak.

De nem csak itt hatoltak be.

A céges iratokat valószínűleg a Drupal CMS rendszerrel kezelt ügyfél portálon keresztül szerezhették meg. A portálon a Drupal 7.23-as verziója futott és fut ma is, ami 23 ismert sebezhetőséggel rendelkezik és a 2014-es Drupalgeddon (tömeges feltörések a Drupalos oldalaknál) egyik fő felelőse volt ez a verzió. (https://www.theregister.co.uk/2014/11/03/drupal_drupalgeddon_analysis/)

Tehát összegezve a lehetséges támadást a behatolók a WordPress oldalon keresztül jutottak be a levelezésig és töltöttek le 4,8 millió emailt, a Drupal alapú ügyfél portálon keresztül pedig megszerezték a dokumentumokat, képeket, adatbázisokat, pdf-eket.

AKKOR MOST AZ ÉN OLDALAM IS VESZÉLYBEN VAN?

Erre a kérdésre nem egyszerű válaszolnunk. Mossack Fonseca célkeresztben volt, mert olyan tevékenységet végzett egy szabad szemmel is jól látható nagyságú összegeket forgató nagyszámú kliens bázisnak, ami magára irányította a hackerek figyelmét. A hackerek olyan kifinomult módszerekkel dolgoztak, hogy feltételezhetjük, hogy kimondottan az ilyen nagyságrendű és fontosságú célpontokra fókuszáló csoportról vagy egyénről lehetett szó.

Ennek ellenére minden kis vállalkozásnak, cégnek van rizikója a kiber bűnözéssel kapcsolatosan, különösen akkor, ha online kereskedik vagy partner adatokkal rendelkezik. Nagyon sok hacker, kiberbűnöző lesi a világhálót, hogy hátha lecseppen neki is egy-egy adag hitelkártya információ vagy más értékes adat.

HOGYAN VÉDEKEZZÜNK A HASONLÓ TÁMADÁSOK ELLEN?

Sokáig találgattak a szakemberek is arról, hogy vajon kintről támadták-e meg a Mossack Fonseca-t vagy belső ember csinálta mindezt. Mára az első verzió tűnik valószínűbbnek, de nagyobb összegeket senkinek nem ajánlanék erre fogadásból. Nyilvánvaló, hogy a cég szempontjából a mindkét irányból lehetséges fenyegetést kezelni kell.

Amik kiderültek eddig a technikai részletekből és hiba forrásokból:

  • Egy olyan bővítményt használtak az oldalukon, ami régóta ismert sebezhetőséget tartalmazott.
  • A webszerverük nem egy tűzfal mögött volt elhelyezve.
  • A webszerver ugyanazon a hálózaton volt, mint a levelezésük.
  • Az érzékeny ügyfél adatokat egy ügyfél portálon keresztül kezelték, ami lehetővé tette belépés után a hozzáférést mások adataihoz is.

Nekünk a mindennapi üzemeltetés során a következőkre kell kiemelt figyelmet fordítanunk:

  • A felhasználóink biztonságos jelszavakat (lehetőleg jelmondatokat) használjanak. Készítsük fel a rendszerünket arra, hogy ne is engedjen 1234, admin, password, jelszo jellegű, nagyon egyszerűen feltörhető jelszót használni.
  • Ne használjuk az “admin” felhasználót. Az újabb WordPress verziókban már nem az admin névvel hozza létre az első felhasználót a rendszer, ami korábban volt. Ha régebbi telepítésű a WordPress oldalunk, akkor cseréljük le az admin felhasználó belépési adatait.
  • Akadályozzuk meg a brute force támadásokat. Amennyiben a rendszerünk érzékeli, hogy valahonnan többször hibásan próbálkoznak belépéssel az oldalunkra, akkor lassítsuk a belépést, lehessen csak pl. 10 percenként újra próbálkozni és, ha letiltottuk korábban az admin felhasználót, akkor az adminnal próbálkozó belépőt tegyük automatikusan fekete listára.
  • Folyamatosan tartsd frissen a WordPress oldaladat. A frissen tartást minden egyes rész esetében fontos betartani, mind a WordPress alapját, mind a témákat, mind a bővítményeket folyamatosan frissítsd.