A webfejlesztő cégek sötét titkai

2014.06.21

A weboldalak negyede öt perc alatt feltörhető!

"Á nem baj!! Nekem az összes tartalmam megvan, majd újra felteszem"... Mondja a laikus, jóhiszemű weboldal tulajdonos.

Kit terhel a felelősség? A weboldal tulajdonosát!

Elszomorító statisztika jellemzi a magyar és amúgy általában a világ weboldalainak összességét. De miért? Ennyire könnyű lenne feltörni egy weboldalt? Kis odafigyeléssel, koránt sem! A probléma ott kezdődik, hogy amióta megjelentek a dinamikus weboldalak (a weboldal tulajdonosa saját maga szerkesztheti a tartalmakat) úgy kerültek előtérbe, és terjedtek el az un. CMS (magyarul tartalomszerkesztő rendszerek). Pl. Joomla vagy WordPress, hogy csak a legnépszerűbbeket említsem. Használatuk egyszerű, beállításukhoz valódi programozói tudás nem szükséges. Ezekkel a rendszerekkel pár perc alatt "összekattintgatható" egy átlagos weboldal. Ezt a lehetőségek látták meg és használták ki az egyes webfejlesztő cégek is.

Fontosabb a megelőzés

A weboldalak feltörését jobb megelőzni, mert ha megtörtént a baj, nem biztos, hogy egyszerű lesz a feltört weboldal helyreállítása. A weboldal készítése során érdemes a támadások kockázatát minimalizálni. Sajnos sokan erről nem vesznek tudomást és a legalapvetőbb biztonsági intézkedéseket sem teszik meg. Pl. a profizmust mellőző cégeknél bevett megoldás, hogy nem üzemeltetnek saját szervert, hanem valamelyik tárhelyszolgáltatóra bízzák az oldalak hosztolását (a weboldal tárhelyszolgáltatása, ahonnan az fut). A legtöbb olcsó tárhelyszolgáltató halomszámra zsúfolja a weboldalakat egy-egy szerveren. A profit maximalizálásának érdekében, akár több száz ügyfelet (weboldalt) tesz egy-egy szerverre. Válogatás nélkül bárkinek a weboldala felkerülhet egy ilyen szerverre ami óriási biztonsági kockázat is lehet. Erre most nem térnék ki, ez egy külön cikket is megér.

Hogyan törik fel a weboldalakat?

Erre többféle bevett módszer létezik. Az érthetőség és egyszerűség kedvéért megkülönböztethetünk automatikus és manuális technikákat. Többféle szoftver is segíti ezt a tevékenységet. Pl. van amelyik a hálózatot figyeli, van amelyik egyszerűen csak adatbázis hibák után kutat, s van amelyik un. próbálkozásos módszerrel dolgozik. A cél az, hogy valahogy hozzáférjenek a weboldal forráskódjához vagy adatbázisához, bejussanak a weboldalba. Gondolom nem kell mondani, hogy ez milyen következményekkel jár. Pl. utána bármit átírhatnak a weboldalon, akár le is törölhetik azt, megszerezhetik az összes feliratkozó adatát, stb.

Weboldalakat feltörhetnek úgy is, hogy az azokat futtató szerveren feltörnek egy nem frissített vagy gyenge rendszert és a többi weboldalt már a szerverről fertőzik meg. Ezért nagy kockázat, ha sok ingyenes weboldal rendszer fut egy szerveren. Ezek mindig gyenge pontok, amiket megkeresnek és szívesen támadnak.

Miért törik fel a weboldalakat?

A weboldalon sokszor nem is látszik, hogy feltörték. Leginkább elterjedt, hogy a feltört weboldal segítségével kéretlen leveleket küldözgetnek. Vagy fertőző kódokat helyeznek el a forráskódban, ami aktiválódik ha egy internetező megtekinti a vírusos weboldalt. Ezek többnyire nem is látszanak a weboldalon. Az ilyen vírusokat tartalmazó oldalak látogatása után trójai kémprogram próbál meg települni a látogató számítógépére. Ezek a "kellemes" kis programok mindenféle információkat továbbítanak a fertőzött számítógépről. Persze egy idő után az ilyen oldalakat a keresők is letiltják. Pl. a Google előszeretettel alkalmazza a tiltást. Sokszor még a látogató sincs tisztában azzal, hogy kémprogram települt a gépére.

Amikor látszik a feltörés, akkor általában megváltoztatják vagy törlik a weboldal teljes tartalmát, de vallási vagy politikai üzeneteket helyezhetnek el rajtuk. Mindegyikre láttam már példát.

Miért is gond ha feltörnek egy weboldalt?

Tegyük fel, hogy pl. egy feltört weboldalról csak 100.000 e-mailt küldenek ki. Ebből a néhány e-mailből lesz olyan amit bejelentenek az NMHH (Nemzeti Média- és Hírközlési Hatóság) oldalán (mint spam), mert éppen valakinek olyan kedve van, bal lábbal kelt fel, zavarja, hogy aznap már az ötödik kéretlen levelet kapta, stb. Megnézik kié a domain amiről a leveleket küldték, majd megbüntetik a weboldal tulajdonosát. Akár több millió forintra is!

Egy komoly vállalkozónak szüksége van arra, hogy fenntartson egy jól működő, korszerű honlapot a cégének. Arra viszont nincs, hogy egy problémás weboldallal jelezze, "ennyit érek"! Ha gond van az oldalával az ügyfelei azt látják, hogy ezt nyújtja a weben. Erre jogosan azt kérdezhetik, hogy akkor máshol miért nyújtana többet?

Mire kell figyelned?

Weboldalad legyen mindig naprakész! Legyen mindig frissítve! A weben folyamatosan változások vannak, újabb szabályok, szabványok jelennek meg. Ráadásul a programnyelvek is fejlődnek, amikkel a weboldal készül. Azok is sokszor változnak, mert hol egy régi funkciót vesznek ki belőlük, hol egy újat adnak hozzá, hol pedig egy biztonsági rést foltoznak az újabb verzióban.

Ha ingyenes rendszerre épül a weboldalad (pl. WordPress vagy Joomla) akkor beszéld meg a készítőjével, hogy az összes kiegészítőt és az alaprendszert is rendszeresen frissítse! Ez a legfontosabb. A WordPress és a Joomla de a többi ingyenes motorra épülő weboldalak még így sincsenek a helyzet magaslatán! Erre szakosodott szakmai blogok százszámra közölnek befoltozatlan biztonsági réseket egy-egy alapoldalhoz, pluginhez (az eredeti rendszerhez kapcsolódó kiegészítő). Sajnos "boldog - boldogtalan" írhat plugineket egy - egy ilyen CMS-hez, és sajnos meg is teszik. Ezért ennyire sebezhetőek ezek a rendszerek.

Nem egyszer fordult már elő, hogy egy jobb nevű tárhelyszolgáltató több napra lekapcsolta az összes elavult WordPress vagy Joomla alapú weboldalt ami a szerverein futott. Sajnos ezeket a weboldalakat a készítőjük kevés esettől eltekintve, az ügyfél tájékozatlanságát kihasználva magára hagyja.

Túl sok velük a gond, mégis népszerűek! Miért?

Mert ingyen vannak!! :) A webfejlesztő cégek nagy része használja, mert ezzel rövid távon maximalizálhatják a profitjukat. Nem kell programozni! Felvehetnek olcsóbb, képzetlenebb munkaerőt, aki kevesebb fizetéssel is beéri. Eladnak egy ingyen letölthető rendszert, amit szép ruhába öltöztetnek (ez a design - a weboldal kinézete). Általában a weboldal tulajdonosának fogalma sincs, hogy milyen rendszer fut a weboldala alatt. Ő csak azt látja, hogy működik a weboldala és néha ezért még jó mélyen is a zsebébe kell nyúlnia.

Szóval egy "ügyes" cég jól jár az ilyen weboldalakkal. Csak az a baj, hogy az ügyfél meg nem... Persze az elején az ügyfél örül a működő szép weboldalának. Aztán idővel jelentkeznek majd a problémák. Nem kell hozzá egy év, a kódok némelyike már annyira elavult lesz, hogy muszáj frissíteni. Ha nem, annak előbb - utóbb garantált következménye lesz.

A képek a bergep.hu és a kurir.hu oldaláról valók.



Balogh Béla