O tom, jak mi hackli web a jak tomu předejít

Znáte to pořekadlo, že kovářova kobyla chodí bosa?
K administraci mého blogu měl přístup i můj oblíbený člověk, softwarový vývojář.

Skončilo to tak, že byl můj blog běžící na WordPressu hacknutý kvůli prostičkému osmimístnému heslu bez speciálních znaků a velkých písmen a nebyla to moje vina.
Podstatné poučení pro všechny je, že ač můj blog nepůsobí dostatečně atraktivně ani navštěvovaně, aby vůbec stálo za námahu něco zkoušet, tak se to kvůli mizernému heslu přesto stalo.

Blog mi každopádně nehackl žádný mladý muž s kapucí, který se nudí a namísto domovské stránky přidá posměšný obrázek a text „owned by“.

Byl to jen trapný bot, prodloužená existence nějakého člověka, který si u tvůrce skriptu zaplatil ne zcela legální reklamu. Bot pravděpodobně skenoval všechny možné weby a hledal bezpečnostní díry. Pokud nějakou našel, jednou z možností bylo slovníkovým útokem získat heslo do administrace webu a potom spamovat.

Jelikož jsem na blog zrovna moc nepsala, začala jsem si všímat až velkého počtu komentářů s odkazy na weby pochybné kvality. Ty komentáře nebyly úplně pitomé, naopak šlo o univerzální lichocení typu: „Ten článek se mi moc líbil.“
Jediné podezřelé poznávací znamení bylo třeba uživatelské heslo komentujícího, které vedlo na nějaký propagovaný web.

Tyhle komentáře se vlastně moc nelišily od zoufalé snahy majitelek neúspěšných blogů na sebe upozornit pod články úspěšnějších kolegyň („Ahoj, líbil se mi tvůj článek, podíváš se i ty na můj blogísek?“)

Ovšem když se ty komentáře množily a začaly jich být stovky, napadlo mě se podívat na zbytek webu. Nebyla to moc hezká podívaná.
Všechny články byly zaplněny odkazy na padělky bot Nike, Viagry a dalších značkových výrobků.
Některé už dokonce ani neměly nic společného s tím, co jsem psala.

Screenshoty té škody bohužel nemám, byla jsem naštvaná a chtěla jsem, aby to všechno co nejrychleji zmizelo. Vlastně to bylo podobné šplápnutí do psího lejna- taky nemám chuť to dokumentovat, ale postarat se o zahlazení všech stop.

A jak to tedy dopadlo? Vlastník slabého hesla spamy promazal, články za pomoci obnovy předchozích verzí vrátil do normálu, heslo změnil a nastavil relativně sofistikovanou blokaci každé IP adresy, která se pokusí přihlásit špatným heslem.

Abyste nemuseli dopadnout jaké já, ráda bych Vám něco napsala o heslech a jejich správném používání.
Pochopitelně zjednodušeně, mou cílovkou beztak asi nejsou experti na šifrování a programátoři z povolání.

Hesla

Nikdy nejste dost nedůležití na to, abyste nikomu nestáli za hack.
Napadený počítač či účet lze snadno používat nejen k šíření spamu, ale i k útokům na jiné uživatele, takže bez ohledu na to, jak jste bezvýznamní či úplně bez peněz, nemyslete si, že nemáte co ztratit- mohli byste se dočkat nepříjemného překvapení.

Není nic špatného na výběru hesla, které se dá zapamatovat, ale nemělo by být na seznamu nejpoužívanějších hesel (k nahlédnutí pod článkem), nemělo by to být křestní jméno ani jméno mazlíčka.

Taky je ale dost blbý nápad mít složitá hesla na nějakém lepícím papírku u počítače (v horším případě ještě spolu s uživatelským heslem a identifikací účtů, ke kterým všechny ty údaje patří).
Svůj PIN od debetní karty taky nenosíte přímo v peněžence, že ne?

Jako bezpečnou alternativu papírku či děravé paměti můžete hesla ukládat třeba do opensource služby na správu hesel clipperz.
Ta nabízí vygenerování relativně náhodného hesla, které pak zašifruje a uchová.
Uživatel tak může mít všechna svá hesla pohromadě a v bezpečí.
Až na heslo od samotného účtu na clipperz, pochopitelně. Pokud ho ztratíte nebo zapomenete, máte smůlu, z důvodu bezpečnosti ho služba neukládá.
https://clipperz.is/

Složitost hesla by měla být úměrná důležitosti účtu, ale v zásadě se dá říci, že jsou všechny docela důležité a možnosti zneužití docela pestré.
Nejpodstatnější jsou účty na které se váže přihlašování k dalším službám, typicky účet na Facebooku nebo na Googlu.

A jak se vyhnout hacknutí (nejen) WordPress webu?

Aktualizací systému.
Silným, tajným a často měněným heslem.
Nepoužívat přihlašovací jméno „admin“, je-li to možné.

Nejpoužívanější hesla na Internetu (bohužel neznám zdroj):

123456

123456789

qwerty

12345678

111111

1234567890

1234567

password

123123

987654321

Další počtení:

https://www.csfd.cz/film/409508-mr-robot/prehled/

Clipperz: správa hesel nejen na internetu

http://profitmastersltd.com/what-is-a-content-injection-attack-and-how-can-i-tell-if-my-website-or-blog-has-been-affected/

 

Facebooktwittergoogle_plusredditpinterestlinkedinmail

2 komentáře u „O tom, jak mi hackli web a jak tomu předejít“

  1. Je šílený, že v dnešní době není na internetu v bezpečí vůbec nikdo. Mě se takhle někdo naboural do Facebooku a psal z mého profilu náhodně přátelům, vymáhal po nich číslo, chtěl jim poslat sms s nějakým kódem (pak se zjistilo, ze je to kód k platbě) a ten kód z sms měli přátelé poslat “mně”. Naštěstí nikdo z nich nebyl tak blbý, aby to vážně udělal a nikdo proto o peníze nepřišel. Ta osoba si s nimi dokonce přes mě normalně psala a vedla fakt slušnou konverzaci, a pak smazala celou historii chatu, abych to nezjistila… až mě zarazilo, že má nekdo potřebu tohle dělat… každopádně super článek, strašně zajímavé téma tohle a je dobrý dát lidem vedet, ze je tohle může potkat taky 🙂

  2. Děkuji za příběh v komentáři, hodně pro mě znamená, že jsem (ani já) svou špatnou zkušenost nesdílela zbytečně.
    Internetová bezpečnost bohužel obvykle nepatří mezi oblíbená témata ženských blogerek, ale přitom zrovna ony a jejich čtenářky patří mezi ohroženější cíle než třeba čtenáři Lupy, Rootu a abc Linuxu…
    Nedávno jsem u jiné blogerky četla hezký popularizační článek o tom, kolik osobních údajů Facebook ukládá, určitě doporučuji přečíst:
    https://www.stylishcoffee.cz/co-vsechno-o-nas-facebook-vi/

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *