Zasada ograniczonego zaufania, na przykładzie serwisu niebezpiecznik.pl

Stosując zasadę ograniczonego zaufania, kara się obu uczestników ruchu, pomimo tego, iż tylko jeden z nich popełnił faktyczne wykroczenie. Natomiast najczęściej stawianym zarzutem uczestnikowi ruchu postępującemu zgodnie z przepisami jest brak zachowania ostrożności...

Co wspólnego mają przepisy prawa o ruchu drogowym z popularnym w Polsce serwisem poświęconym bezpieczeństwu komputerowemu?

6.4.2013 około godz. 19:30 czytelnicy, którzy wówczas odwiedzili serwis niebezpiecznik.pl zostali przekierowywani na manifest w serwisie Pastebin. Niebezpiecznik odwoływał się wówczas w celu pokazywania reklam do pliku znajdującego się na zewnętrznym serwerze, do tego też pliku wstrzyknięto kod, który powodował przekierowanie.

Z postu Piotra Koniecznego, wynika, że ekipa Niebezpiecznika nie popełniła żadnego błędu „nikt nie przełamał zabezpieczeń Niebezpiecznika”.

Jednakże to ekipa Niebezpiecznika ponosi odpowiedzialność za podmianę strony serwisu.

To Oni decydują o tym, co znajduje się w kodzie strony, czy będzie to dziurawy kod czy też podatny na atak zaimplementowany zewnętrzny skrypt.

Autorzy ataku zdecydowali się pokazać światu swój manifest, co by było gdyby zdecydowali się postąpić inaczej?

Możliwe skutki ataku

Dla Kowalskiego atak miał takie same skutki jak podmiana strony, czy też atak na serwery DNS, odwiedził On, bowiem nie tą stronę, którą chciał. Czy jeśli ktoś włamie się na serwer, podmieni fizycznie stronę i będzie przekierowywał pod inny adres, czy też uznamy ten fakt za mało istotny i dowcipnie powiemy, że "dołączyliśmy do grona najlepszych ;)"? : )

Serwis niebezpiecznik.pl jest dość popularny w naszym kraju, poprzez pomyślny atak na serwis, można zaatakować jego użytkowników…

Atakujący mógł wstrzyknąć kod JavaScript, który serwowałby atak na aplikacje np. 0day na Javę, która ostatnio z tego słynie, wówczas taki exploit po udanym ataku mógłby ściągnąć i zainstalować malware czy też rootkita na maszynie czytelnika serwisu…

Atakujący również mógł wykonać kopię 1:1 niebezpiecznik.pl na swoim serwerze i tam przekierować odwiedzających, co dawało by mu dość spore pole do popisu biorąc pod uwagę społecznie zaufanie do serwisu. Przykładów zaufania nie trzeba szukać za daleko, wystarczy odwołać się do tegorocznej akcji primaaprilisowej serwisu, podczas której 1/3 czytających primaaprilisowy post zmieniło zgodnie ze wskazaniem redakcji swój plik hosts wpisując tam:

178.217.184.34 facebook.com.

Kolejno czytelnicy odwiedzili zamiast strony logowania Facebooka, przygotowaną jej kopię na serwerze redakcji, po naciśnięciu przycisku „Zaloguj się” użytkownicy byli przekierowywani na stronę z informacją o primaaprilisowym żarcie, jak zaznaczyła redakcja hasła użytkowników nie były przesyłane… atakujący mógł postąpić podobnie z tą drobną różnicą, że przejąłby podane hasła przez nieświadomych użytkowników…

To sprowadza Nas do początku postu, czyli zasady ograniczonego zaufania, czytelnik pomimo tego, że nie popełnił żadnego przewinienia i poprawnie wpisał adres serwisu, mógł być za to ukarany …

Oczywiście nie można popadać w paranoje, aczkolwiek na pewno warto stosować zasadę ograniczonego zaufania i nie należy pod żadnym pozorem dokonywać bez namysłu żadnych zmian w systemie, zalecanych przez kogokolwiek.

Czy możemy zrobić coś, aby być bardziej bezpieczni w sieci?

Możemy stworzyć sobie bezpieczne domeny korzystając z Qubes OS ; )

Czego nie należy zrobić?

Z poprzedniego postu wiemy już, że nie należy bezmyślnie kopiować rzeczy i wklejać jako wykonywalne polecenia, dochodzi Nam do tego lekkomyślne dokonywanie zmian w systemie i ograniczone zaufanie do autorytetów czy też bezpiecznych serwisów. : )

Czy na systemie GNU/Linux jestem bezpieczny?

Tak, Linux jest „bezpieczniejszy” od Windowsa ... dzięki temu, że mniej osób go używa. :‑) Zarówno Linux, jak i Mac OS czy też Windows posiadają błędy w architekturze, poprzez co nie można ich określić mianem „bezpiecznych”.

Co zatem Nam pozostaje?

Przede wszystkim trzeba dbać o swój system operacyjny i rozważne korzystać z sieci. : ) Najsłabszym ogniwem jest zawsze użytkownik, bez rozwagi nawet Qubes OS Nam nie pomoże. ; )

Modyfikacja 1: Dałem ciała, dopisuję:

Powód wpisu: Post Piotra Koniecznego

Inspiracja: Post Piotra + komentarz pod wspomnianym wyżej postem, który napisał Michał Cichocki

Więcej informacji: Blog Adam 'pi3' Zabrocki

Modyfikacja 2: Podsumowanie:

Mamy tu małe nieporozumienie, nie uważam, że niebezpiecznik.pl to zły serwis, nie ujmuję Panu Piotrowi wiedzy czy też umiejętności. Jeśli miałbym określić intencję napisania powyższego postu, to można by było ją zawrzeć w tym zdaniu:

Wpadka może zdarzyć się każdemu, ale napiszcie, że wtopiliście, a nie, że nic się nie stało i nie przełamano zabezpieczeń niebezpiecznika.

Jeśli chodzi o ogólnie pojęte bezpieczeństwo, to korzystając z okazji, mogę Wam polecić poza niebezpiecznikiem, sekurak.pl (Od razu może napiszę, że nie mam nic wspólnego z tym serwisem, nie płacą mi za reklamę i Waszej opinii pozostawiam to, który jest lepszy, możecie też czytać regularnie oba. : ))