Ma gli hacker cosa fanno?

[valentino86]

Non riesco a capire cosa facciano gli hacker e peggio ancora i cracker!

Ho visto dei video su youtube in cui un cracker arriva facilmente alla cartella /administrator si trova davanti al login, il nome utente è "admin" e poi usa uno script per decifrare la password!

Quindi io mi sono impegnato a proteggere la parte administrator, ma apparte ciò cosa possono fare? Sarà che non conosco veramente nulla di questo mondo ma non riesco a capire come facciano a bucare un sito e a defacciarlo!

Grazie

[SteveTW]

Un argomento che può avere moooolte sfaccettature.

Innanzitutto, un hacker o cracker, in base alle sue conoscenze, potrebbe fare di tutto.

Diciamo in linea di massima questo, visto che parliamo comunque di Joomla e della sua sicurezza:

1. prima cosa, mantenere sempre il più aggiornato il sito, o meglio, la versione di Joomla del proprio sito, visto che alle falle di sicurezza praticamente ci pensano sempre gli sviluppatori dal momento in cui vengono trovate e quindi corrette nelle versioni che vengono rilasciate

2. scegliere un hosting comunque non facile da "bucare": la sicurezza non è data solamente da come sviluppo "IO" il sito internet, ma anche dalle protezioni lato server che esistono: ad esempio un buon firewall di protezione (non software, ma lato hardware)

3. per ultimo, non facciamoci prendere dalle "spaturnie" per tutta questa ricerca di sicurezza, cosa dobbiamo proteggere? Abbiamo fatto il sito della NASA? Il sito che abbiamo realizzato è così suscettibile di attacchi da parte di hacker perchè attiriamo tanto l'attenzione?.... beh a questo punto, spendiamo qualche soldino in più se proprio abbiamo la necessità di proteggerci cosi tanto, altrimenti state al sicuro e vi rimando al punto .1

A presto......

[valentino86]

Allora il primo e il secondo punto ok!

Per il terzo non sono daccordo! Soprattutto su questo forum si legge di siti innocenti hackerati da gente che ama divertisi e basta. Il punto è che non essendo esperto non cerco di proteggermi da un hacker che buca il sito della NASA ma tutto l'opposto, cerco di proteggermi dal ragazzino che ama defacciare i siti amatoriali dove non si dà importanza alla sicurezza.

Per il fatto di spendere più sul servizio hosting sinceramente non pensavo potesse influire anche sulla sicurezza e di questo ne prendo atto, grazie della dritta!

Però io mi riferisco proprio a "ma come fanno?"

Cioè quali sono i punti deboli di un sito joomla che un ragazzino annoiato può trovare per farmi dei danni?

Ho letto che importanti sono le parti di invio degli articoli e download di documenti...perchè? Cosa fanno?

[SteveTW]

Guarda..... una cosa importante è quella di visionare sempre i componenti, plug-in aggiuntivi che si installano oltre al Joomla base.

Spesso sono plug-in che hanno proprio loro falle di sicurezza, perchè il "ragazzino" che intenta danni verso un sito fatto in Joomla, deve avere comunque buone conoscenze.....

Il mio terzo punto, in questo senso, era certamente un pò provocatorio, ma con questo ovviamente sono daccordo che non si deve perdere di vista la sicurezza....

Esiste una lista di componenti, moduli etc. di cui è nota la INsicurezza..... ora non ricordo dove è, ma l'ho trovata qui su questo sito.

[sali40]

ci sono i post di bugserach.net che sono iperaggiornatissimi, credimi 

Proprio in questa sezione

[valentino86]

Forse la mia domanda sarà veramente stupida:

se lascio le cartelle del template impostate su scrivibile qualsiasi persona con firebug di firefox mi può defacciare il sito?

In caso fosse così come posso intervenire? Non ho trovato nessuna guida sui permessi da dare alle cartelle!

[valentino86]

ecco un altra domandina infelice:

con i post dove sono pubblicati i vari bug cosa ci faccio? Ossia come intervengo?

Sono veramente un principiante

[sali40]

i post dove sono pubblicati i bug, non sono post di discussione. Altrimenti i post stessi diventerebbero confusionari e non utili.

Per discutere, puoi sempre aprire un post facendo riferimento al bug di cui vuoi parlare

[Milcon]

Ciao Valentino nello specifico la sicurezza riguarda la crittografia, tutte le reti sono crittografate, quelle libere lo sono meno e quindi più facili da attaccare. Ci possono essere attacchi attivi,ad esempio catturare un messaggio e duplicarlo e attacchi passivi, ad esempio chi ascolta informazioni ma non agisce. Per i siti internet un attacco classico è quello che viene chiamato Denial of service, cioè bombardare un sito intenet di messaggi e mandarlo ko. A livello di protezione, intendo webmaster che usano la crittografia per proteggersi sono quelle dei portali di banche che usano algoritmi e chiavi particolari per passare pw, un esempio di protezione è quello di poter accedere a un sito da una sola postazione.

[sudoku]

Un argomento che può avere moooolte sfaccettature.

Innanzitutto, un hacker o cracker, in base alle sue conoscenze, potrebbe fare di tutto.

Diciamo in linea di massima questo, visto che parliamo comunque di Joomla e della sua sicurezza:

1. prima cosa, mantenere sempre il più aggiornato il sito, o meglio, la versione di Joomla del proprio sito, visto che alle falle di sicurezza praticamente ci pensano sempre gli sviluppatori dal momento in cui vengono trovate e quindi corrette nelle versioni che vengono rilasciate

2. scegliere un hosting comunque non facile da "bucare": la sicurezza non è data solamente da come sviluppo "IO" il sito internet, ma anche dalle protezioni lato server che esistono: ad esempio un buon firewall di protezione (non software, ma lato hardware)

3. per ultimo, non facciamoci prendere dalle "spaturnie" per tutta questa ricerca di sicurezza, cosa dobbiamo proteggere? Abbiamo fatto il sito della NASA? Il sito che abbiamo realizzato è così suscettibile di attacchi da parte di hacker perchè attiriamo tanto l'attenzione?.... beh a questo punto, spendiamo qualche soldino in più se proprio abbiamo la necessità di proteggerci cosi tanto, altrimenti state al sicuro e vi rimando al punto .1

[sudoku]

Un argomento che può avere moooolte sfaccettature.

Innanzitutto, un hacker o cracker, in base alle sue conoscenze, potrebbe fare di tutto.

Diciamo in linea di massima questo, visto che parliamo comunque di Joomla e della sua sicurezza:

1. prima cosa, mantenere sempre il più aggiornato il sito, o meglio, la versione di Joomla del proprio sito, visto che alle falle di sicurezza praticamente ci pensano sempre gli sviluppatori dal momento in cui vengono trovate e quindi corrette nelle versioni che vengono rilasciate

2. scegliere un hosting comunque non facile da "bucare": la sicurezza non è data solamente da come sviluppo "IO" il sito internet, ma anche dalle protezioni lato server che esistono: ad esempio un buon firewall di protezione (non software, ma lato hardware)

3. per ultimo, non facciamoci prendere dalle "spaturnie" per tutta questa ricerca di sicurezza, cosa dobbiamo proteggere? Abbiamo fatto il sito della NASA? Il sito che abbiamo realizzato è così suscettibile di attacchi da parte di hacker perchè attiriamo tanto l'attenzione?.... beh a questo punto, spendiamo qualche soldino in più se proprio abbiamo la necessità di proteggerci cosi tanto, altrimenti state al sicuro e vi rimando al punto .1

Scusate per l'invio del primo involontaria.

Vado allo specifico:
Hacker o Cracker: non confondiamo le definizioni
Hacker: http://it.wikipedia.org/wiki/Hacker
Cracker: http://it.wikipedia.org/wiki/Cracker

Considero sempre la famosa regola della password sicura: 12 caratteri alfanumerici sono inaffrottambili da qualsiasi PC: "gjao465&2%F2" non è risolvibile.

Ovviamente i servizi host hanno oneri ed onori: la sicurezza fa businness e quindi introiti. Sarà loro cura gestirci.
Cura te stesso in primis. Usa "addons" joomla certificati, aggiorna quando possibile il tuo sito, usa un sitema di backup. Tieni sempre una cartella con le modifiche create.

Marco

[bg]

Ragazzi,

quindi bisogna prestare attenzione alla nostra evrsione Joomla.

Nel caso del mio sito, si tratta di :


Versione database:  5.0.45 
Versione PHP:  5.2.6

Versione Joomla!:  Joomla! 1.0.15 Stable [ Daytime ] 22 February 2008 23
User Agent:  Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; InfoPath.1)


HO VISTO CHE NON CI SONO AGGIORNAMENTI CHE POTREI FARE, QUINDI, POTREI "STARE SICURO"?


 
 Inoltre, nelle impostazioni php, a cosa dobbiamo prestare attenzione?

Grazie!

Benedetto

[sali40]

se c'è una cosa sicura è che nel dizionario della rete il termine sicuro non è contemplato

[bg]

valentino86,

ragazzi,

oltre alla sicurezza dei nostri componenti, versione joomla, etc,  cosa dobbiamo fare con le strane registrazioni di utenti?

abbiamo parlato della funzione di controllo immagine. 

Il componente Ls registrazione di Luca Scarpa ad esempio ha già questa funzione, ma nonnostante questo avvengono registrazioni strane.

... questi utenti registrati rimangono "inattivi" perchè non cliccano sul link di attivazione  che viene inviato alla loro mail.

insomma, cosa dobbiamo fare in questi casi?

possimao stare sicuri?


grazieee, un saluto


valentino86, benvenuto!

[sali40]

ecco, per esempio http://forum.joomla.it/index.php/topic,59534.msg256124/topicseen.html#new

[emgent]

Non sarei cosi` categorico, le patch alle vulnerabilità che abbiamo pubblicato possono essere benissimo filtrate anche in altri modi, mi spiego meglio:

La sicurezza di un sistema non si ha con solo quello che e` stato detto dall`inizio di questo thread, ci sono tantissime accortezze e tanti sistemi che permettono un filtraggio preventivo.

Ovviamente per un utente medio che gestisce un sito di importanza non rilevantissima, suggerirei solo e soltanto di fare gli update di sicurezza affidando il resto al proprio hosting.

Se invece si parla di siti e-commerce, governativi, universitari (quantomeno istituzionali per capirci) forse e` il caso di rivolgersi ad una societa` di professionisti che fanno sicurezza per mestiere.

un saluto

Emanuele Gentili
Joomla! Security Team
Gerix IT Security Solutions - CEO

[valentino86]

Allora capisco che il discorso può prendere pieghe differenti in base all'impostazione che uno gli vuole dare.
Il punto è capire cosa un hacker può fare che un utente medio è in grado di contrastare.

Ovviamente se parliamo di siti commerciali del valore superiore ai 1000 euro personalmente mi affideri a persone competenti in materia di sicurezza e fin qui ci siamo.

Ma se non fossimo neanche l'ultimo dei siti google, ma un medio sito senza scopi di lucro con discreti utenti che si autogestisce e vuole avere il "massimo" della sicurezza.
Dico massimo della sicurezza perchè come già detto in precedenza la "sicurezza assoluta" non credo esista.

Diciamo che un buon utente adopera con :

- costanti aggiornamenti della versione joomla
- costanti backup del sito
- presta attenzione a componenti,moduli,template e plugin installati
- avere buone password alfanumeriche, aggiornarle e         differenziarle nei vari campi (admin, ftp ecc ecc)
- usare Jsecure per cambiare patch alla cartella administrator
- usare .htaccess e .htpasswd

per un ottimo utente cosa consigliate?!

Bastano questi accorgimenti per eliminare il pericolo di cracker alle prime armi? E per persone mal intenzionate più esperte ci sono altri meccanismi? Ovviamente rientrando nelle capacità di una persona (io) che non sapeva neanche come era fatto un sito fino ad un mese fà.

[emgent]

Allora capisco che il discorso può prendere pieghe differenti in base all'impostazione che uno gli vuole dare.
Il punto è capire cosa un hacker può fare che un utente medio è in grado di contrastare.

Ovviamente se parliamo di siti commerciali del valore superiore ai 1000 euro personalmente mi affideri a persone competenti in materia di sicurezza e fin qui ci siamo.

Ma se non fossimo neanche l'ultimo dei siti google, ma un medio sito senza scopi di lucro con discreti utenti che si autogestisce e vuole avere il "massimo" della sicurezza.
Dico massimo della sicurezza perchè come già detto in precedenza la "sicurezza assoluta" non credo esista.

Diciamo che un buon utente adopera con :

- costanti aggiornamenti della versione joomla
- costanti backup del sito
- presta attenzione a componenti,moduli,template e plugin installati
- avere buone password alfanumeriche, aggiornarle e         differenziarle nei vari campi (admin, ftp ecc ecc)
- usare Jsecure per cambiare patch alla cartella administrator
- usare .htaccess e .htpasswd

per un ottimo utente cosa consigliate?!

Bastano questi accorgimenti per eliminare il pericolo di cracker alle prime armi? E per persone mal intenzionate più esperte ci sono altri meccanismi? Ovviamente rientrando nelle capacità di una persona (io) che non sapeva neanche come era fatto un sito fino ad un mese fà.

Direi decisamente di no. Questo non basta affatto.

Molte persone si sono rivolte alla mia societa` per questioni simili: pensavano di essere "sicuri" utilizzando quello che hai precedentemente descritto con l`aggiunta di protezioni lato webserver come modsecurity e via discorrendo, ma quando sono stati messi davanti alla realta` dei fatti, hanno deciso di affidarsi completamente ad un`azienda esperta nel settore (in quel caso la mia), e da quasi un`anno non hanno piu` problemi di alcun tipo o genere.

Questo per farti capire che se ti serve un servizio realmente efficace non risolvi cercando in rete e scaricando applicativi di dubbia efficacia.

Gia` come gruppo di sviluppo di Joomla cerchiamo di alzare il livello di protezione del prodotto, ma se vuoi una certezza professionale affidati ad una delle aziende che fanno sicurezza per mestiere..


Emanuele Gentili
Joomla Security Team
Gerix IT Security Solutions - CEO

[valentino86]

Ma perchè non riesco a farmi capire?!

E' logico che non basta affatto, sennò le aziende come la tua non avrebbero ragione di esistere, il punto è invece
trovare la massima sicurezza free ossia senza rivolgersi ad una azienda.
Normale che la sicurezza "free"  comparata a quella che ti può dare la più stupida e incapace azienda nel settore non sono paragonabili ma non è questo il nocciolo della discussione.

Io penso che un sito amatoriale debba iniziare con un livello di protezione adeguato ma "free" è normale che se poi il sito va bene e si presentano buone possibilità di sviluppo e crescita anche a livello di introiti rivolgersi ad una azienda nel settore mi sembra il minimo.

[emgent]

Ma perchè non riesco a farmi capire?!

E' logico che non basta affatto, sennò le aziende come la tua non avrebbero ragione di esistere, il punto è invece
trovare la massima sicurezza free ossia senza rivolgersi ad una azienda.
Normale che la sicurezza "free"  comparata a quella che ti può dare la più stupida e incapace azienda nel settore non sono paragonabili ma non è questo il nocciolo della discussione.

Io penso che un sito amatoriale debba iniziare con un livello di protezione adeguato ma "free" è normale che se poi il sito va bene e si presentano buone possibilità di sviluppo e crescita anche a livello di introiti rivolgersi ad una azienda nel settore mi sembra il minimo.

Il reale problema e` che "Sicurezza" e "Free" (inteso come gratuito) sono due parole che non vanno molto d`accordo. Come ho precedentemente scritto se il sito e` prettamente "amatoriale" e non tocca interessi monetari ne dati particolarmente sensibili, la cosa migliore e` prendere un buon hosting (che in questo caso "dovrebbe" pensare al resto).

Emanuele Gentili
Joomla Security Team
Gerix IT Security Solutions - CEO