A roBOT-ok elleni védekezés
A roBOT-ok más néven Spider (pók) elleni védekezés be szeretnénk egy kis betekintést engedni.
A rendszerből kimentettünk pár képet, csak azért hogy mindenki lássa, hogy mennyi támadás éri a szervert.
Az incidens fülön, az látható, hogy fél óra alatt 100 IP címről érkezett valamilyen támadás jellegű tevékenység 3 nap alatt összesen 51.000 db gyanús tevékenységet érzékelt a rendszer.
A Whitelist (fehér listán), azok láthatóak, akik a rendszer szerint valami gyanús tevékenységet végeztek (pl: bejelentkezéskor elírták a jelszót) de ezután sikeresen azonosították magukat, igy a rendszer nem figyeli őket tovább.
A Graylist (szürke listára) kerül minden gyanús tevékenység, olyan IP címek is, amik több ezer másik szerver ellen próbáltak meg támadólag fellépni. Ez a lista nem jelent automatikus tiltást, a rá került látogató lehetőséget kap, hogy igazolja magát.
A Blacklist (fekete listára) kerülnek a letiltott IP címek, ezek többször kisérletek meg támadást a szerver ellen, ezért tőbb órára vagy akár több napra tiltólistára kerültek.
(a kép felett a listák nevére lehet kattintani)
Incidents | Whitelist | Graylist | Blacklist |
A robotok elleni védelem, két részből tevődik össze.
1: Viselkedés alapú szűrés:
A szoftverkészítők több ezer támadást vizsgáltak meg, és ezek alapján több ezer viselkedésmintát rögzítettek.
Ha egy “látogató” viselkedése, ezen szabályoknak megfelelő, akkor a rendszerünk gyanús viselkedésként detektálja.
Ebben az esetben a “látogató” felkerül a szürke listára (greylist), ami egy tiltólista, de ebben az esetben megadja a látogatónak a lehetőséget, hogy azonosítsa magát.
Ehhez egy Captcha oldalt jelenít meg a szerver, ahol egy pipával tudja igazolni a látogató, hogy ő egy valóságos ember, nem pedig robot.
Ha sikerült az igazolás akkor a látogató IP címe 3 órára felkerül a WhiteList-re (Fehér lista), ami azt jelenti, hogy megtekintheti a szerveren található weboldalakat.
Automatikusan fehér listára kerül, az a személy is, aki sikeresen bejelentkezik a cPanel felületre.
Ha a Captcha oldalon nem igazolja vissza pipával, hogy valós személy, akkor az első pár alkalommal csak 1-1 percre kerül tiltólistára, amennyiben a gyanús tevékenységet tovább próbálja folytatni, akkor hosszabb időre tiltólistára kerül az IP cím.
2: Felhő alapú adat elemzés:
A világon több millió szervergép található, azok a gépek amelyeken az általunk is használt védelmi szoftvert futtatják, egy központi szerverre küldik a gyanús tevékenységről az adatokat.
Ezen a szerveren egy mesterséges intelligencia kielemzi a kapott adatokat, és amennyiben úgy ítéli meg, hogy az adott IP címről tényleges támadás történt, akkor ezt az IP címet rögtön továbbítja a hálózat összes többi gépének.
Igy minden gép tudni fogja, hogy az adott IP címről támadás várható. Igy ezeket az IP címekről érkező forgalmat, rögtön gyanús tevékenységként fogják értékelni, és rögtön visszaigazolást fog kérni a rendszer, hogy robot vagy ember a látogató.
Miért fontos a robotok szűrése?
A legtöbb ember amikor azt hallja, hogy hackertámadás, vagy feltört weboldal, akkor a filmekből jól ismert klisé ugrik be, ahol egy sötét szobában egy kapucnis fiatal srác, a félig megevett szendvics mellett, 8 monitoron különböző programokat futtat amivel megpróbál egy weboldalt feltörni, vagy egy bank rendszerébe belépni., és persze rendszerint 1 percnyi kódolással bármelyik Bank rendszerét feltörik.
Természetesen ilyen is létezik, de az ilyen próbálkozások, egyedileg fejlesztett, rendszerek feltörésére szolgálnak. És a valóságban több napos munka árán, sokszor akár telefonon, vagy emailben próbálnak rávenni egy egy alkalmazottat arra, hogy kifecsegje a szükséges információkat, amivel a következő alkalmazottból már még több információt tud kiszedni. A feltörésének kevesebb mint az 0,1% történik ilyen módszerekkel.
A maradék 99,9% jóval egyszerűbb, és hatékonyabb módszerrel történik.
Ma már az interneten fellelhető weboldalak 90%-a valamilyen kész weboldal motort használ (CMS rendszerek).
Ezek a programok több százezer programsort tartalmaznak, és ilyen sok kódban akaratlanul is nagyon sok biztonsági hiba van.
A heckerek ezeket a hibákat keresik. Ehhez pedig egyszerű programokat úgynevezett RoBOT -okat alkalmaznak.
A robotok éjjel nappal az internetet figyelik, minden fellelhető weboldalt megpróbálnak meglátogatni, és ott kideríteni, hogy az adott hiba aminek a keresésére peprogramozták megtalálható e az adott weboldalban. Ha megtalálható, akkor azt gond nélkül feltörik. A feltört oldalba pedig elhelyezik a saját kódjaikat.
Sokan teszik fel a kérdést, hogy ez miért jó a hackereknek.
A válasz, a pénz miatt! Ha sikerül feltörni egy weboldalt, akkor azon keresztül milliószámra lehet küldeni a SPAM-et (kéretlen reklámlevél) .
Ha egy ilyen levél célba ér, és valaki megveszi az abban hírdetett fogyi tablettát, vagy cerka növelő csoda szert.
Akkor ebből a vásárlásból jutalékot kap a SPAM küldője.
Joggal kérdezheti valaki, hogy miért nem vesznek egy saját szervert, vagy bérelnek egy saját tárhelyet.
Nos azért mert annak a szervernek az IP címe pillanatok alatt felkerül egy feketelistára, és igy gyakorlatilag egy levél sem érne el a címzettig.
Ezért számukra létszükség az, hogy mindig újabb és újabb tárhelyekről tudjanak SPAM et küldeni.
Természetesen ennél komolyabb dolgokra is tudnak használni egy feltört weboldalt.
Például adathalászatra.
Ehhez, elkészítik egy weboldal klónját ez lehet egy BANK oldala, vagy egy cPanel bejelentkező oldal, Gmail, stb…
Következő lépésben leveleket küldenek nagyon sok címzettnek, amiben rendszerint arról értesítik, hogy valami probléma volt a fiókjukkal, és kérik hogy jelentkezzenek be, mert különben törlésre kerül a fiók, vagy nem férnek hozzá a számlájukhoz.
Persze az ügyfelet elfogja a rettegés, úr isten, mi történt….. És hát gyorsan meg akarja oldani a problémát, ezért se hall se lát dömötör módjára, bármire rákkatnint, csak ne hogy töröljék a fiókját.
Természetesen a levélben található link nem a Bankunk oldalára visz, hanem a feltört tárhelyen elhelyezett csali oldalra, ami ugye pont úgy néz ki, mint az eredeti oldal.
Gyorsan be is írja a felhasználó nevét és a jelszavát, majd kattint az elküld gombbra. Ebben a pillanatban a felhasználónevét és a jelszavát el is küldte a hackereknek, akiknek ezután már gyerekjáték betörni a levelező fiókjába, vagy PayPal fiókba.
Ma már a kötelező kétfaktoros azonosítás miatt a Banki oldalakra sokkal nehezebb bejutni, de egy hackernek akár a levelező fiókunk is aranybánya lehet, hozzáfér minden adathoz, címlistához, jelszavakhoz, stb…
Használhatják még a weboldalt vírus terjesztésre, és más weboldalak feltöréséhez is.
Mint fentebb írtam, a weboldalakat robot programokkal törik fel, ezek futtatásához is szükség van egy tárhelyre, amihez bármilyen feltört tárhely megfelel.
Sokan azt gondolják, hogy oké, de azért programozni nem olyan könnyű, és viszonylag kevés programozó választja a sötét oldalt.
Sajnos ma már programozónak sem kell lenni! “Heckerek” számára is léteznek kész programok, weboldalak gyakorlatilag minimális tudással, bárki lehet hacker.
Épp ezért megfelelő védelem nélkül senkinek a webolda nincs biztonságban! A hackereknek a helyi virágbolt oldala pont olyan fontos célpont, mint egy nagy cég tárhelye.
Mi van a jó robotokkal (google, yahoo, bing, facebook, stb…)
Az internetnek nem csak sötét oldala van, a jó oldal is használ robotokat, a nagy különbség, hogy ezek csak feltérképezik a weboldalakat, és nem próbálnak meg betörni a weboldalba.
Ezeknek a robotoknak köszönhetjük, hogy a google ba beírva kedvenc süteményünk nevét, rögtön kapunk több száz receptes oldalt, ahol ennek a süteménynek a receptje megtalálható.
Természetesen, ezek a robotok megfelelően azonosítják magukat, és az IP címük is publikus, igy a védelmi szoftverek be tudják azonosítani őket, ezért nem akadályozzák a tevékenységüket.