امنیت

آشفته بازار طراحی سایت

چند روز گذشته به دلایلی قصد حضور در یک کلاس برنامه نویسی داشتم. و با کمی جستجو به دو مجموعه معتبر رسیدم: مجتمع فنی تهران و آموزشگاه دانشگاه شریف.

خیلی کشش ندم. توی سایتشون ثابت نام کردم و امیل های زیر بهم رسید و بهت زده شدم.

ایمیل ثابت نام آموزشگاه دانشگاه شریف

ایمیل ثابت نام آموزشگاه دانشگاه شریف

ایمیل ثابت نام آموزشگاه مجتمع فنی تهران

ایمیل ثابت نام آموزشگاه مجتمع فنی تهران

میبینید؟ در هر دو ایمیل پسورد من بصورت “متن ساده” نمایش داده شده.

در قسمت “فراموش کردن رمز عبور” در سایت لایتک این جمله آمده: “کلمه عبور شما به پست الکترونیکی ثبت شده شما در هنگام ثبت نام، ارسال خواهد شد.”

و در سایت مجتمع فنی: “در صورتی که کلمه عبور خود را فراموش کرده اید لطفا آدرس ایمیل خود را برای دریافت مجدد کلمه عبور وارد کنید.”

اینها همگی دلالت دارند بر اینکه پسورد های کاربران در دیتابیس سایت به صورت متن ساده نگهداری میشه. کوچکترین ضعف امنیتی که منجر به دسترسی یک هکر به دیتابیس بشه منجر میشه به یک فاجعه مخصوصأ برای کاربر هایی که در جاهای مختلف، از جمله ایمیلی که باهاش توی سایت ثابت نام کردند، از یک پسورد استفاده میکنند.

دسترسی به ایمیل اصلی یک نفر میتونه منجر بشه به هک شدن زنجیره ای همه اکانت های اون شخص.

متاسفانه هنوز هستند “طراح های سایت” خود خوانده ای که الفبای امنیت رو بلد نیستند و با توجه به اینکه استفاده از الگوریتم های رمزنگاری یک طرفه برای نگهداری پسورد ها بسیار ساده است، به نتایج زیر می شه رسید:

  • کاری رو که ادعاش رو دارند بلد نیستند
  • امنیت کاربرها پشیزی براشون ارزش نداره

راه حل:

همونطور که همیشه گفته شده شما باید با فرض امن نبودن سایت ها ثابت نام کنید. پس:

  • از پسورد های یکه و غیر مشابه استفاده کنید.
  • ترجیها دو ایمیل داشته باشید که یکیش برای کارهای روزمره و دیگری برای کارهای خصوصی یا مهم باشه
  • اطلاعات مهم شخصی رو در اختیار سایت هایی که اهمیتی به امنیت اطلاعات شما نمیدند نذارید

اگر ایده ای برای تکمیل این لیست دارید، کامنت بذارید تا همگی استفاده کنیم.

Standard
امنیت

کوزه شکسته

چرا کوزه شکسته؟ چون در این حدود یک هفته که وبلاگ راه افتاده ۲ روز به خاطر حمله دیداس به سرور در دسترس نبود و یک روز هم به خاطر هک شدن سرور.

استفاده از سرور های ارزان و البته مشترک که به درستی هم کانفیگ نشده باشه غیر از این هم نتیجه ای نداره. روزی که این سرور رو برای استفاده انتخاب کردم به این قسمتش هم فکر کرده بودم. ولی فکر نمی کردم به این زودی دچارش بشم 🙂

اینکه چرا به این انتخاب رسیدم هم بماند

اما چکار میشه کرد برای کمتر آسیب دیدن؟ اول اینکه دسترسی های فولدرای مهم رو تغیر دادم (در پست دیگه ای در مورد پرمیشن های فولدر ها در لینوکس توضیح میدم). دوم اینکه با استفاده از یک پلاگین به صورت روزانه از وبلاگ بکاپ می گیرم و البته این بکاپ باید کامل باشد، شامل فایل ها و پلاگین ها و دیتابیس و نیز جایی غیر از سرور خود وبلاگ نگاه داری بشه که من دراپباکس رو انتخاب کردم.

دراپباکس یه سرویس رایگان با حجمی مناسب است که پشتیبانی خوبی داره و البته پلاگین های وردپرسی مناسبی هم برای کانکت به اون وجود داره. من از BackWPup استفاده میکنم.

حالا من بکاپ تا ۱ ماه گذاشته وبلاگم رو با همه فایل ها و حتی پوسته اون دارم که اگه مشکلی برای سرور پیش بیاد و ادمین هم پشتیبانی خوبی نداشته باشه، من چیزی رو از دست ندم و بتونم کوله ام رو بردارم برم یه سرور دیگه.

Standard
امنیت

ارتش الکترونیک سوریه و ضعف های وردپرس

هفته گذشته “ارتش الکترونیک سوریه” وابسته به حکومت اسد، دو شکار بزرگ داشت: وبسایت‌های Truecaller.com و tango.me سایت نرم‌افزار تانگو.

این گروه در اکانت توییتر خود اعلام کرد سایت تروکالر رو هک کرده و به دیتابیس هاش دسترسی داره. طبق ادعای این گروه، پسوردها به صورت متن ساده ذخیره شده بودند.

در مورد تانگو هم ادعا شده که اطلاعات تماس و ایمیل و شماره تلفن میلیون ها کاربر را به دست آورده و همچنین عکسی از فایل های لاگ این نرم‌افزار رو ارائه کرده.

و اما نکته تاسف برانگیز اینه که این دو سایت که سرمایه خوبی هم داشتند و می تونستند پشتیبانی بهتری از سایتشون داشته باشند از سیستم مدیریت wordpress استفاده می کردند که به‌روز نشده بود و هکرها با استفاده از ضعف ‌های امنیتی وردپرس (که برخی از اونها رو با یک جستجو می تونید پیدا کنید و نیازی به تلاش آنچنانی نداره) تونستند که به اطلاعات حیاتی کاربران دسترسی داشته باشند.

عکس‌های زیر که وسیله این گروه ارائه شده نشون می‌ده که غیر از هسته وردپرس، حداقل ۱۰ پلاگین هم آپدیت نشده‌اند. پلاگین آپدیت نشده در وردپرس یعنی در باز و خونه خالی برای دزدها.

sea-truecaller sea-tango

متاسفانه سهل انگاری این سایت ها باعث به خطر افتادن اطلاعات کاربران می‌شه که در کشورهایی مثل سوریه این نشت اطلاعات می‌تونه عواقب بدتری رو برای افراد به دنبال داشته باشه.

چند نکته در استفاده امن از وردپرس وجود داره که اولیش آپدیت به موقع است. استفاده از پلاگین های شناخته شده تر و با پشتیبانی بهتر. ترجیحا استفاده هرچه کمتر از پلاگین ها. پاک کردن پلاگین ها و پوسته هایی که استفاده نمی کنید. نصب نکردن پوسته های متفرقه و البته استفاده از پلاگین هایی که امنیت وردپرس رو بالا می برند مثلا پلاگین TAC که پوسته های نصب شده رو چک می کنه و در صورت وجود کدهای مشکوک، به شما اطلاع می ده.

خوشحال می شم اگر ایده هایی برای بالاتر بردن امنیت سایت هایی که از وردپرس استفاده می کنن در کامنت ها بگید تا در متن وارد بشه ویا لینک به مطالب خودتون بدید که دیگران استفاده کنند.

Standard