Nejsem žádný počítačový hacker. I když jsem se dokázal dostat do systému klasickou cestou. A věděl jsem a stále pravděpodobně vím, jak vám zavolat z vašeho telefoního čísla. Ale k věci.
Bojíte se bezpečnosti Open Source kódů? Pak byste měli:
- Vyhodit svůj mobilní telefon – Android je Linux, iOS je Darwin čili BSD
- Vypnout prohlížeče – 60% z vás má Chrome čili Chromium – Open Source, dalších 5% Firefox a Safari běží na Webkitu, což je Open Source
- Přejít se svými weby na Microsoft Server řešení, protože většina webových serverů běží nad Apachem nebo Nginxem – obojí Open Source
- Mnoho a mnoho softwarů proprietárních software je založeno na Open Source frameworcích, čili obsahují otevřené kódy – Angular, React, Vue kupříkladu pro vývoj webu
Proč má mnoho lidí tendenci se vyjadřovat k bezpečnosti, přestože problematice naprosto nerozumí?
- Viděli ve filmu, jak je jednoduché napadnout systém – takzvaný hacker seděl u grafického klikacího rozhraní ve Flashi a uklikal bezpečnost Pentagonu – takto si většina lidí představuje hackera
- Lidé jsou neustále strašení IT bezpečností – kolik znáte ve svém okolí lidí, kterým odcizili byť jen jedinou korunu z kreditní karty, což bývá nejčastější terč IT útoku na osobu?
- Lidé se bojí o bezpečnost svých mikro eshopů
- 99.9% lidí v životě žádného hackera nevidělo – sám jsem v životě viděl možná dva a to se v komerčním IT pohybuji docela dlouho
- Televizní zprávy, články z druhé ruky o hackingu v bezpečnostním smyslu – toto vytváří strach
Co si lidé vůbec neuvědomují?
- Váš eshop vůbec nikoho nezajíma – automatické systémy neustále scanují web, aby napadly známé díry v systémech a ve finále mohly použít napadené systémy pro spam nebo pro další cílený útok na služby, které mají skutečně cenu.
- Najít díru v systému není úplně jednoduché, jelikož se využívá stále sofistikovanějších mechanismů, aby se do systémů díry nedostávaly
- Největší hrozbou pro systémy a bezpečnost jsou lidé sami – nejčastěji nám útočili na slabá hesla – heslo123 pro FTP není to pravé
- Výhody Open Source pochopil svět již v roce 2014, kdy já osobně nemám na desktopu uzavřený systém již od roku 2004. Češi možná pochopí výhody Open Source plně v roce 2020 – klasicky jsme trošičku za světem.
- Bílý dům používá WordPress pro svůj web a před tím měli Drupal – oboje Open Source pod GPL licencí
- Nejbezpečnější systém světa se jmenuje OpenBSD – Open proto, že do něj nesmí jediný řádek zavřeného kódu – a to z důvodu, že v zavřených kódech mohou být backdoory, chyby a nikdo není téměř schopen toto zkontrolovat a opravit
- Lidé mívají jeden email a jedno heslo pro mnoho služeb – pokud má například Yahoo uloženy hesla v plain text podobě a data se dostanou na světlo světa je velmi rychlé a jednoduché naprogramovat roboty, kteří se snaží pod stejným přihlašovacím údajem přihlašovat do služeb jako LinkedIN, Facebook, Twitter a další
- Lidé žijí v omylu, že uzavřený kód je bezpečnější, protože si systémy představují jako trezor – ale je to právě naopak – čím více očí kód vidí, tím je pravděpodobnější odhalení chyby (http://www.franklinfitch.com/blog/2017/06/13/open-source-vs-closed-source-secure/)
- Velkou hrozbou jsou opět lidé, kteří si bez rozmyslu instalují na své počítače a telefony software, otevírají emaily s přílohami a všeobecně nemají o bezpečnosti ani tušení
Co vám mohu ukázat, jak bych napadl systém a co dělat?
- Existují YouTube videa, kde mladí kluci ukazují Metaspoit v akci – nechají běžet 2 antiviry na Windows a skrz přílohu mailu a VB makro spustí kód v Excelu, kterým si otevřou port na Windows a začnou stroj kontrolovat
- Existují videa na YouTube, kde Jacom Appelbaum tvrdí, že CIA a NSA mají cracknuté routery od čínských výrobců a řízeným packet stormem jsou schopni vypnout internet v případě potřeby
- V současnosti se systémy napadají nejvíce takzvaným Distributed Denial of Service útokem, kdy statisíce IP kamer začnou posílat požadavky na zobrazení některé webové stránky – IoT zařízení bývají nezabezpečené již z výroby
- Rozhodně bych neútočil na hrad tlučením hlavou do hradeb – buď bych se nechal najmout jako IT pracovník ve firmě, kterou bych chtěl hacknout, nebo bych přes sociální inženýrství dostal kódy za firemní firewally – sekretářky rády otevírají emaily s platy vedení
- Mějte vždy několik typů hesel
- Pro důležité služby jako je Gmail, Facebook pokud je pro vás důležitý, Amazon, LinkedIN a různé další používejte dvoufaktorovou autentikaci – čili uživatel, heslo a kód na telefonu jako do banky – tam je to jasné
- Mějte vše zálohované – na dvě místa online plus pokud máte důležitá data, mějte jeden disk offline s archivy svých důležitých dat
- Jako heslo si nastavte kousek básničky, nějakou větu či osobní motto
- Existují antivirové firmy, které sice tvrdí, že vás chrání a dávají své antiviry zadarmo, ale jako součást antiviru si instalujete spyware, kdy každý svůj klik a to včetně zabezpečených webů odesíláte oné antivirové firmě, která následně s těmito daty obchoduje – mohu dokázat
- Jediné, co firmy zajímá, jsou vaše data, aby na vás lépe mohly cílit reklamu – toto dělá Facebook, LinkedIN, Google a Angry Birds nebo Pokemon GO ve vašem mobilu na vás řeknou snad dokonce to, že jste na WC
- Facebook měl dokonce ve své mobilní aplikaci odposlech z důvodu, aby lépe updatoval status uživatele – čili aplikace vás v klidu skrz mikrofon poslouchají, přestože je display telefonu vypnutý
- I když vyhodíte telefon z okna, stále bude na stole ležet pár telefonů vašich spolupracovníků či známých, které provádějí to samé
- Svá data odevzdádváte Microsoftu, Googlu, Facebooku, LinkedINu, Instagramu, Snapchatu, O2, T-Mobilu, Vodafonu a mnoha dalším
- Velká bezpečnostní díra vašeho domova je váš router, který vás spojuje se světem – Ubiquiti a další měli v minulosti bezpečnostní problémy
- Ve vašich Windows 10 je nová Zero day zranitelnost https://thehackernews.com/2018/08/windows-zero-day-exploit.html
- Za 14 let jsem na svém BSD a Linuxu na desktopu neměl jediný virus
- Viděl jsem mnoho napadený webů – nejúčinější je mít mnoho a mnoho záloh
- Nemáte zálohy? Neexistujete
- Viděl jsem mnoho a mnoho prosících lidí, kterým kolegové architekti čistili jejich Windows od ransomwaru – zašifrované soubory s vydíráním – pokud by lidé měli zálohy, což nikdy neměli, nemuseli se trápit
Jsem jenom obyčejný uživatel počítače, takže si mě prosím nepleťte s hackerem. Na ty se chodí dívat do kina, protože ty skutečné nikdy nepoznáte, neuvidíte a váš eshopík je skutečně nezajímá!
Jak bezpečnost řeší WPDistro?
- Zálohujeme na tři místa
- Servery nejsou mezi sebou nijak propojeny
- Zálohujeme offline
- Na WordPressech máme automatické aktualizace
- Máme monitoringy, které hlídají naše služby
- Používáme kvalitní pluginy pro WordPress od ověřených firem
- WPDistro zatím nikdy nemuselo řešit bezpečnostní problém na svých systémech
- Díky zkušenostem bychom jakýkoli bezpečnostní incident vyřešili naprosto v klidu a bez problémů s minimem škod
Více o bezpečnosti zde.