Miksi olla huolissaan sivujen tietoturvasta?

Jokainen tämän sivuston käyttäjä on varmasti pistänyt merkille aivan jatkuvat uutiset tietomurrosta milloin missäkin sivustossa. Nykyään uutiset kertovat useimmiten useamman kuin yhden sivuston murrosta kerralla. Minusta näyttää, että varsin usein aloittelevat Joomla-käyttäjät tyytyvät siihen mitä paketista purkamalla saa asennettua ja lisäävät siihen vain tarvitsemansa lisäosat. Tämä on hyvä linjaus yleensä ottaen, mutta tarvetta olisi syytä tarkastella paitsi sivuston ominaisuuksien, myös sen tietoturvan näkökulmasta. Admin Tools näyttää helpolta ratkaisulta, mutta senkin asentamisen jälkeen pitää käydä melkoinen lista asetuksia huolella läpi ja laittaa kuntoon - asennuksesta käyttöön asetukset kun vielä ovat varsin loivat. Joomla-sivustot ovat kuitenkin jatkuvan ja aktiivisen S&D-toiminnna kohteena murtautujilla. Siispä kirjoitin hiukan tietoturvasta ja keräsin motivoinniksi tietoja harrastajaylläpitämiltäni sivustoilta:

terokankaanpera.fi/tvt/427-tietoturvaa-kotisivusi

Eli vastaus kysymykseen lienee tämä:
"Jos sivustolla on haavoittuvuus, niin ennen pitkää joku tulee ja käyttää sitä".

Teron kirjoittama artikkeli on mielestäni varsin hyvä, joka kokoo yhteen varsin monta asiaa näistä vihulaisista... mutta, meni ehkä ohi rivien, oliko siinä maininta palvelintilan tarjoajasta ja sen tärkeydestä myös, joilla on omat tietoturva-asetuksensa/systeeminsä sivustojaansa kohtaan?

Ja jos muistan oikein, kuunneltuani kansainvälisesti tunnetun F-Secure tietoturvallisuus asiantuntijan esitelmän (tosin webin kautta) eli suomalaisen Mikko Hyppösen ja monien muiden alan asiantuntijoiden... hän/he kertoi, että se on edelleen jatkuvaa työtä (ensin haitallinen yksilö/yhteisö --- sen jälkeen tulee vasta puolustus ko asialle) (eli minun sanoin:loputon kissa hiiri touhu) asia sisältää web/cyber work...

Ja kuten quietfinn mainitsi:

Eli vastaus kysymykseen lienee tämä:
"Jos sivustolla on haavoittuvuus, niin ennen pitkää joku tulee ja käyttää sitä".

Mielestäni kyllä, mutta voimme Joomlassa estää/pienentää sitä huomattavasti, kun pidämme Joomla!n ja sen lisäosat ajantasalla. Eikä tee pahaa ainakaan muutama Teron mainitsema lisäosa.

?

Tarkoitukseni oli siis herätellä vertaisiani - ihmisiä jotka eivät ole alan ammattilaisia vaan harrastajia jotka hakevat oppinsa sieltä mistä saavat ja ehtivät. Kokemus karttuu tehdessä, mutta joitakin kokemuksia ei ehdoin tahdoin hakisi. Yhdistyskentällä, jossa minä yritän olla ammattilainen, on satoja ellei tuhansia ihmisiä joilla on vastuullaan yhdistyksen kotisivujen ylläpitäminen ilman mitään järkevää ammatillista tukea. He tekevät hommansa parhaansa mukaan, yleensä sen ollessa harrastus muiden joukossa.

Edellisestä johtuen en lähtenyt rakentamaan kattavaa pakettia sitä miten tietoturvaaminen tehdään. Itselläni on kokemusta vain Joomlasta ja nyt vähemmän myös WordPressistä. Palvelinten tietoturvaamisesta en tiedä mitään. Minulla on siis hyvä syy olla opettamatta asiaa.

Tarkoitukseni oli näyttää, että juuri senkaltaisia pieniä sivustoja joita harrastaja ylläpitävät sorkitaan myös joka päivä. Tällainen esimerkin kautta tehty tietämättömyyden kuplan puhkaiseminen oli mielestäni tarpeellinen ja mukavampi kuin sivujensa löytäminen murrettuina joku päivä.

P.S. Kirjoittamisen sivutuotteena syntyi kolmen sivuston Admin Tools WAF lokeista poolattu uusi sulkulista jossa on satakunta riviä ja joka estää ip-osoitteet (ja yleensä kaikki sen naapurit viimeisen oktetin tasolla) joista yrityksiä on ollut sivustolla enemmän kuin yksi.

Kiitoksia mielenkiintoisesta artikkelista. Ihtekin joutunut kantapään kautta kokemaan miten käy jos on vanhoja joomlakomponentteja.. Sivut sekaisin ja roskapostiohjelman pesiytyminen systeemiin. Käytännössä joutui asentamaan koko Joomlan uudestaan ja tuhoamaan kaikki vanhat tiedostot, tietokannan sekä vaihtamaan kaikki salasanat. Asensinkin sen jälkeen tuon Akeeban Admin Toolsin ja Backupin pro versiot ja nysväilin asetuksia kuntoon jonka jälkeen ongelmia ei toistaiseksi ole ollut.
Ehkä tälle sivustolle voisi kirjoittaa "yksinkertaisen" suomenkielisen ohjeen tietoturva-asetuksien laittamisesta kuntoon niin meikäläisen tarinoilta vältyttäisiin?

tietoturvaopas olisi kyllä asiallinen juttu jos vain joku kerkeäisi kirjailemaan.

Minulla on käytössä akeeban admin tools ja tuo backuppi. Lisäksi käytän sivuillani OSE security suitea . Hieman arvokas mutta mielestäni toimiva ja selkeä käyttää.

Tietoturvasta kannattaa olla huolissaan. Minulla piti olla palvelimet ja joomla versiot ok, mutta mitäs kummaa 80 % ylläpitämistäni sivuista joutui hyökkayksen kohteeksi. Onneksi ei näähtävästi tehty muuta kuin vaihdettiin index.php tiedostoon vähän koodia. Avasi sivun jossa alkoi joku kertoilemaan niitä ja näitä.

Oli kuitenkin aika homma vaihtaa kaikki index-tiedostot oikeisiin... Nyt sitten tutkailemaan ettei sivuilla ole mitään muuta ikävää ja salasanojen vaihtoon. Siinäpä se ilta sitten hupeneekin.

jarkkos kirjoitti: no koodi sitten

<?php
/**
* @version $Id: index.php 14401 2010-01-26 14:10:00Z louis $
* @package Joomla
* @copyright Copyright (C) 2005 - 2010 Open Source Matters. All rights reserved.
* @license GNU/GPL, see LICENSE.php

...
...

Tuo on kyllä normaali Joomlan index.php

Tuli sitten poistettua se tiedosto joka siellä oli, mutta mielenkiintoista kuitenkin.