Par tīmekļa vietņu drošību

Šodien kolēģis norādīja, ka vairākām Latvijas tīmekļa vietnēm uzbrukuši hakeri, ieskaitot nozare.lv un leta.lv, un aicināja izteikt viedokli. Man šajā sakarā ir sakāmas trīs lietas:

1. Hakeri, krakeri un vandāļi

Paši hakeri uzskata, ka hakeris ir cilvēks, kas zina, kā strādā datori un programmas, izmanto tos dažādos (un nereti iepriekš neparedzētos) veidos, papildina un uzlabo tos. Hakeru kustība ir cieši saistīta ar brīvās programmatūras kustību. Ja kāds rīkojas ļaunos nolūkos (bojā un lauž), tad hakeri tos sauc par krakeriem. Diemžēl, tie, kas ar datoriem ir "uz Jūs", šo atšķirību nepamana.

Vai tīmekļa vietņu uzlauzējus būtu jāsauc par krakeriem? Iespējams, bet bieži viņi nav pelnījuši pat šādu apzīmējumu. Krakeris ir tāds pats hakeris, tikai viņa darbības rezultāts sabiedrībai dod nevis labumu, bet gan ļaunumu. Krakeris riskē un ielaužas tur, kur nonākt nebija paredzēts, un izmanto sistēmu iepriekš neparedzētā veidā, piemēram: ar košļeni neitralizē sarežģītu signalizāciju, televīzijas ziņu vietā pārraida savu filmu, caur tviteri vada pilsētas satiksmes regulēšanas sistēmu utt.

Daudzās vietnēs ir paredzēts to saturu mainīt, vienkārši izmantojot tīmekļa pārlūkprogrammu. Protams, bieži nav paredzēts, ka saturu var mainīt jebkurš, bet kāds ļaundaris atklāja, ka nepareizas konfigurācijas vai sistēmas kļūdas dēļ, to var izdarīt arī viņš. Kad tika šķetināta VID EDS lieta, pierādījās, ka Neo neko nav zadzis, jo viņš kopēja informāciju, kas bija publiski pieejama. 

Paštaisītas/vienkāršas satura tīmekļa lietotnes saturu saglabā failos. Tajās var mēģināt "injicēt" neparedzētus pieprasījumus, lai iegūtu citu failu saturu. Piemēram, ar pieprasījumu formā .../index.php?file=////////etc/passwd var uzzināt sistēmā reģistrētos lietotājus. Ja serverim nodotos parametrus izpilda kā programmu, var mēģināt tam "iebarot" sliktas komandas. Ja sistēmā nav ierobežots nododamo parametru veids un failu pieejas tiesības, var pat mēģināt sabojāt visu servera failu sistēmu.

Tomēr vairums gatavu tīmekļa satura pārvaldības sistēmas izmanto datu bāzi. Lai tās uzstādītu un papildinātu (t.i., lai mainītu datu bāzi), parasti ir nepieciešamas datu bāzes administratora tiesības. Ja kāds, izmantojot sistēmas "caurumu", kļūst par šīs sistēmas administratoru, parasti viņš kļūst arī par attiecīgās datu bāzes administratoru. Ja sistēmā ir atļauts izpildīt jebkādu SQL vaicājumu, tad attiecīgo datu bāzi var pat izdzēst. (Ne tikai, bet arī tāpēc Xwiki izmanto HQL.) Dažkārt gatavas sistēmas var uzlauzt pārsteidzoši viegli. Piemēram, ja ir atstātas noklusētās paroles vai nav izdzēsti uzstādīšanas faili. 

Ja uz viena servera darbina vairākas tīmekļa vietnes (kā tas šķiet ir bijis aprakstītajos notikumos), tad, ja lietotāju tiesības nav atdalītas, pēc vienas vietnes uzlaušanas var sabojāt arī citu lietotāju datus. Tā kā šādas darbības nav paredzētas, tad gan ļauno zēnu vai meiteni var droši dēvēt par krakeri, jo viņš/viņa ir panācis/-usi to, kas parastā gadījumā nav iespējams.

2. Kas ir drošība

Vēl arvien daudzi uzskata, ka "droša sistēma" ir "slepena sistēma" un tīmekļa vietnēs veido monstrozu lietotāju pārvaldību un pieejas tiesību kontroli. Parasti tas noved pie tā, ka kāds programmētājs vai sistēmu administrators kaut ko nav līdz galam sapratis un izdarījis pareizi, un sistēmā tik un tā ir drošības "caurumi".

Bet vikipēdijā un arī šajā vietnē (ja nav slinkums reģistrēties) saturu var mainīt jebkurš! Vai tās ir nedrošas? Pēc definīcijas drošs ir:

• nekaitīgs,
• pastāvīgs,
• uzticams.

Tātad, lai sistēma būtu droša, tai nav jābūt slepenai! Paranoiķiem ir daļēja taisnība taustāmo lietu pasaulē, jo tajā sekas novērst ir grūti. Savukārt digitālajā pasaulē padarītu pārvērst par nedarītu ir viegli. Ja vikipēdijā vai šajā vietnē kāds ieraksta rupjību, tad saturu var atjaunot ar dažiem peles klikšķiem, bet nozare.lv un leta.lv, nedarbojās vēl daudzas stundas pēc uzlaušanas. Ja šīs vietnes būtu "slepenākas", tad, varbūt, sliktajiem zēniem/meitenēm uzlaušana neizdotos. Bet viņi nerimsies. Vietnes odo.lv apmeklējumu statistikā var redzēt, ka šādi "uzbrukumi" (jeb, pareizāk sakot, caurumu taustīšana) notiek nepārtraukti. Pat ja šādi "caurumi" ir novērsti, ko vietņu administratori darīs, ja prāta aptumsumā sistēmu sabojās reģistrēts lietotājs? Kā sistēmas "slepenība" uzlabos tās pastāvīgumu, ja serverim noplīsīs cietais disks vai datu centrā izcelsies ugunsgrēks?

3. Windows ēnā

Tīmekļa servera administratoriem (un daļēji arī citiem) ir labi redzams, no kādas IP adreses ir nācis uzbrukums. Varētu domāt, ka pēc tās uzbrucēju var vienkārši notvert. Tomēr parasti šī IP adrese noved līdz neko nezinošam murmulim, kam pieder uzlauzts Windows dators. Bet uzzināt, kurš ir ļaunprātīgi izmantojis šo datoru, ir praktiski neiespējami.

Tik ilgi, kamēr vairums cilvēku lietos tik nedrošu operētājsistēmu kā Windows, vienmēr būs atrodams dators, kuru var izmantot ļaunprātīgiem mērķiem un paslēpt pēdas. Visiem datoru lietotājiem stingri iesaku Linux, jo tas lēts un daudz drošāks par Windows. Ja kāds domā, ka Linux un Mac nav vīrusu tāpēc, ka to ir salīdzinoši maz, varu norādīt, ka no pusotra simta uzlauztajiem datoriem, kas piemēsloja odo.lv vietni, neviens nebija Mac vai Linux.

Protams, ne Linux, ne Mac nespēs neitralizēt jūsu vieglprātību. Ja vēlaties, lai jūsu sistēmas ir drošas, savlaicīgi veiciet atjaunojumus serverim, darbstacijai un izmantotajai tīmekļa sistēmai. Veidojiet datu rezerves kopijas un pārbaudiet to atjaunošanu. Pārraugiet serveru žurnālus, veiktspēju, vietņu apmeklējumus un ievainojamības.