Guida all'hacking

Aperto da emanuele, Domenica - 18 Maggio 2014 - 14:15

0 Utenti e 1 Visitatore stanno visualizzando questa discussione.

emanuele

Dati i recenti trascorsi, ho pensato che una guida su come "reagire" in caso il proprio sito sia stato hackerato potrebbe essere utile.

Il reagire all'hacking inizia molto prima che si venga hackerati, inizia quando si decide di aprire un sito. In quel preciso istante si inizia ad essere potenziali target.
Il server che si sceglie può essere mal configurato e lasciare "porte aperte", può ospitare siti già compromessi che non se ne son mai resi conto e via dicendo. Quindi la scelta dell'host è già un primo importante passo.

Purtroppo non sono un sistemista, né un esperto di sicurezza, quindi non posso darvi grandi suggerimenti, so che esistono vari modi con cui gli host "migliorano" la sicurezza di PHP, tra questi posso citare (ma non vado oltre il citarli): SuPHP e PHPsuExec (simili nelle funzionalità, in soldoni permettono di eseguire PHP come se fosse l'utente a cui appartengono i file), Suhosin (è un'estensione e/o una patch per PHP che applica principi di sicurezza più stringenti alla versione ufficiale di PHP).

Ma il server non è solo PHP, è anche ogni altri script che gli gira sopra (come il recente heartbleed ha dimostrato), quindi bisogna sempre tenere un occhio aperto... su cosa non saprei. ;)

Una volta che il server è "a posto", dobbiamo occuparci dell'aspetto umano. Ogni volta che diventa più difficile entrare in un sistema tramite la tecnologia, l'anello più debole risulta sempre posizionarsi tra la sedia e la tastiera. In altre parole: noi.

Password deboli, password riutilizzate in più applicazioni diverse, password passate a persone su internet per ricevere una mano, password inserite senza prestare troppa attenzione in form che sembrano quelle giuste (phishing), ecc. E questo solo per citare le password.
Una delle vignette sulla sicurezza che preferisco è (click per versione ingrandita):

Siamo stati istruiti a pensare che una password tipo: i7@l1@nsrnf+ è sicura.
La verità è che per un computer non è particolarmente più sicura di italiansmf%1.
I computer al giorno d'oggi possono creare e comparare hash a velocità allucinanti ed inimmaginabili fino a poco tempo fa, indovinare una password simili è questione di poche ore (la vignetta è di 3 anni fa).
Oggi esistono poi molti programmini che fungono da "contenitori" sicuri di password, quindi salvano le vostre password in questi programmi, sarà sufficiente ricordarsene una (ammesso che abbiate sempre il contenitore sottomano)

Ricordate che quando date la vostra password a qualcun altro, questa password è da considerarsi compromessa, ed andrà sostituita non appena il "lavoro" è finito, senza eccezioni!

Utilizzare la stessa password su più siti/computer, è come usare la stessa serratura per chiudere la porta di casa e la cassaforte (che si trova in giardino) e poi lamentarsi che avendo dato le chiavi all'idraulico (è il primo che mi è venuto in mente, niente contro gli idraulici!! ;D) questi ha ripulito la cassaforte invece di aggiustare il rubinetto. Certo, l'idraulico è colpevole, ma noi non siamo stati particolarmente furbi. ;)

Fare sempre attenzione a dove si inserisce la password!
Il phishing è una tecnica spesso utilizzata per fregare password: un link apparentemente innocente, porta ad un altro sito su cui viene presentata una pagina del tutto simile a quella di login al nostro sito, noi inseriamo le credenziali e ci lamentiamo perché non le accetta, riproviamo e tutto funziona. Cos'è successo? In verità eravamo stati portati su un altro dominio, lì abbiamo inserito il nostro nome utente e la nostra password, questi sono stati "presi" dall'altro sito, e noi siamo stati rimandati sul nostro dove il login è fallito. Re-inseriamo i dati ed il login ha successo. Facile no?
Occhio a quello che si fa.
Qui poi il discorso sarebbe ancora più complicato, ma fermiamoci qui, per ora l'importante è capire il concetto.

Benissimo ora abbiano un host con dei server sicuri, noi abbiamo imparato a stare attenti, non ci resta che installare il nostro script preferito...


La prossima volta perché ora devo andare. Sorry. ;)

Discussioni simili (3)