Comprendere i problemi di sicurezza dei Siti Web

Esistono Persone che vengono pagate per hackerare Siti, hosts Condivisi VPS ecc, In questo articolo spiegherò come è possibile, in modo da poter prevenire futuri attacchi dall’esterno. Come consulente per la sicurezza, spesso cerco i punti deboli nelle Applicazioni, negli E-commerce e nei Siti Web dei miei clienti. Molto spesso un attacco comincia sfruttando una falla di sicurezza che è visibile da remoto. Se continuerete a leggere questo articolo scoprirete come gli hacker trovano facilmente le falle nella sicurezza dei Web Server e indicheremo i metodi più opportuni per correggerli.

Per hackerare un’Applicazione, un negozio online o un Sito Web, gli hacker spesso prendono di mira i server dove sono ospitati. Per spiegare perché gli hacker fanno questo, si deve prima comprendere che cos’è l’hosting e che tipo di servizi hosting i nostri ISP ci mettono a disposizione.

Che cos’è l’hosting?

L’hosting è un servizio che vi consente di rendere disponibile la vostra Applicazione, il vostro negozio online o il vostro sito Web in Internet. L’hosting viene eseguito avviando servizi da macchine e apparati comunemente chiamati server. Quando qualcuno digita l’indirizzo del vostro Sito Web nel proprio browser, il suo dispositivo si connetterà al vostro server.

Se gli hacker sono in grado di assumere il controllo di un server, possono accederci senza problemi e manipolare tutte le informazioni in esso contenute. Inoltre, possono abusare della rete del server stesso a proprio vantaggio, anche per operazioni illecite, Spam, attacchi DDoS e tanto altro.

sicurezza_siti_web

Diversi tipi di hosting

La vostra Applicazione, negozio online o sito Web può essere ospitata in diversi modi. Ogni tipo di hosting ha diverse configurazioni per la sicurezza, ma è relativamente facile da capire in quanto tutto dipende dal modo in cui il server fisico (nel datacenter) è condiviso tra i siti Web.

Le società di web hosting (ISP) di solito gestiscono più server e dividono la loro capacità tra il numero di Siti che necessitano ospitare. Un grande server può facilmente ospitare più Siti Web, tutto a seconda della quantità di traffico che l’Applicazione, il negozio online o il Sito Web ha a disposizione. Banalmente il principio si basa sul tipo di contratto che viene stipulato con l’ISP.

Sostanzialmente esistono tre diversi tipi di hosting:

  • Hosting condiviso: il server gestisce più Siti Web condividendo il sistema operativo, la memoria, i core del processore e l’archiviazione del disco rigido. Non ci sono divisioni difficili tra i siti Web. Non tutti i siti sono associati tra di loro. Un Hosting condiviso spesso gestisce più contratti separati con diversi utenti. Nella maggior parte dei casi non si ha il controllo diretto dei servizi, che spesso risultano essere limitati e inefficaci per determinate operazioni e le applicazioni. Vedi ad esempio alcune limitazione nella gestione degli script PHP, gestione dei Database, limitazione nella gestione della banda e delle Sessioni del server. Spesso all’utente viene riservato un Pannello di Controllo in Formato WebGUI per permettere la gestione dell’host e delle configurazioni preliminari, senza avere le competenze necessarie al loro funzionamento. Puntamento domini, Shared hosting ed Email.
Schema di riferimento della struttura di un servizio di Hosting Condiviso.
  • Hosting VPS: il server fisico esegue più server privati virtuali (VPS) che dispongono tutti del proprio sistema operativo e della propria condivisione di memoria, capacità del processore e spazio di archiviazione. Un singolo VPS può essere configurato per eseguire uno o più siti Web (correlati). A causa della forte divisione tra le istanze virtuali, le VPS hanno limiti di gestione della Banda, e spesso i contratti hanno limiti proprio sul loro utilizzo. Ovviamente la gestione del Sistema Operativo, può essere assegnato all’Utente tramite sessioni e partizioni virtuali, oppure in mancanza delle corrette competenze sulla gestione dei servizi, molti ISP mettono a disposizione una serie di strumenti WebGUI utili per la configurazione. Puntamenti dominio, gestione DNS e Email, sono spesso integrati direttamente nei servizi e nei contratti associati.
sicurezza_siti_web
  • Hosting dedicato (solitamente detto Housing): si tratta di un server Fisico, con il suo sistema operativo, i servizi e le memorie appositamente assegnate dall’ISP. Il server fisico, può essere acquistato direttamente da noi e opportunamente collegato a Internet direttamente dal Datacenter del nostro ISP. Oppure molti contratti racchiudono già l’affitto di Macchinari già pronti e configurati, con range di IP assegnati per ogni singola macchina. Spesso tali servizi ISP non hanno alcun limite. Per gestire un Housing, sempre previo contratto stipulato con il nostro ISP, ci si serve di strumenti per accedere da remoto e permetterne la configurazione. Ancora sempre tramite contratto, l’ISP può affidare e/o installare un applicazione a conto terzi (vedi Plesk, Cpanel, ecc) di Pannelli di controllo, utili per chi non ha dimestichezza nell’amministrare un server da remoto. Questi pannelli User Friendly, spesso non sono Freeware e richiedono oltre all’assegnazione ed acquisto di una licenza, anche l’utilizzo e pagamento di un certificato che periodicamente (spesso ogni anno) va aggiornato.
Schema di riferimento della struttura di un servizio Housing (Server dedicato)

In questo senso, per i Server dedicati, il prezzo di gestione e affitto, può risultare maggiorato, a causa proprio dell’ulteriore assistenza dedicata, comunemente meglio detta Management, che essi richiedono periodicamente. La sicurezza nei servizi di Management di un server al giorno d’oggi è un’attività importantissima da non tenere affatto di poco conto. Una volta acquisita la competenza necessaria nella gestione e Management di un Server Dedicato, è possibile sfruttare tale opportunità come Business da integrare nella propria attività di Webmaster da offrire come consulenza Web.

Analisi delle Opzioni

Con i Server VPS e dedicati, nella maggior parte dei casi la faccenda può complicarsi ulteriormente, poiché a meno che non si aggiungano al contratto altri servizi di Monitoraggio e Management e/o di sicurezza, altresì dispendiosi, ci troviamo spesso a dover ricorrere alle competenze necessarie per reagire e fronteggiare le minacce provenienti dall’esterno.

Avvertenza: “Cloud Hosting” è spesso rinominato come hosting condiviso (titolo forviante)

È importante capire che il più moderno “Cloud Hosting” è in realtà in tutto per tutto un hosting condiviso con un nome di fantasia. Le Web agency spesso configurano il proprio server privato dedicato o virtuale per vendere hosting condiviso ai propri clienti. Quindi, a meno che voi non sappiate gestire una VPS o un server dedicato, è probabile che i vostri siti, applicazioni ed e-commerce siano ospitati in un hosting condiviso.

Problemi di sicurezza con l’hosting condiviso

I rischi per la sicurezza dell’hosting condiviso derivano principalmente dalla sua base di condivisione. Quando uno dei siti Web nello stesso server viene violato, c’è un‘alta probabilità che lo sia anche il vostro, già ospitato nello stesso server ne risente direttamente. In questa situazione, le misure di sicurezza applicate al vostro Sito Web potrebbero non essere sufficienti per proteggerlo dagli hacker. Anche perché tali manovre non sono contemplate da tali tipologie di contratto. Ecco perché gli ISP mantengono limitazioni nei loro servizi di Hosting Condiviso. Questo però non permette di avere le giuste proprietà per un fruizione corretta delle nostre applicazioni, siti web o altro, costringendoci anche noi a dover optare per una soluzione di livello superiore.

Indirizzo IP condiviso

Con l’hosting condiviso di solito significa che più siti Web condividono lo stesso indirizzo IP. Si incontrano svariati problemi se qualsiasi altro sito Web è stato colpito da un attacco, come l’invio di e-mail di spam o l’hosting di contenuti illegali. Ciò potrebbe causare l’inserimento inappropriato alle blacklist, con il conseguente blocco del sito stesso o il downgrade del vostro stesso sito, senza considerare le altre regressioni e posizionamenti dei motori di ricerca, che possono essere penalizzati per un lungo periodo di tempo.

Le Prestazioni

Se consideri che le società di hosting (ISP) di solito mettono centesimi (a volte persino migliaia) di siti Web sullo stesso server condiviso, capirai perché ciò aumenta la possibilità di essere hackerato. Oltre ai problemi di sicurezza, un servizio di hosting condiviso influisce anche sulle prestazioni del vostrosito Web, in quanto deve lavorare anche con altri siti Web con la stessa quantità limitata di risorse del server stesso. Se uno degli altri siti Web riscontra un traffico estremo, inevitabilmente rallenta anche la vostra applicazione, il vostro negozio online o il vostro sito Web!

Servizi di rete condivisa

Un altro problema con l’hosting condiviso è che di solito sul server sono abilitati molti servizi di rete, come un servizio web, posta, FTP e database. Questi servizi sono disponibili tramite porte impropiamente aperte. È una cattiva forma avere tutte le porte aperte ovunque perché espone a exploit quei servizi che sono in attivo su quelle porte. I firewall possono limitare ciò che è consentito connettere una determinata porta, ma in un ambiente di hosting condiviso queste restrizioni spesso non sono molto rigide (o addirittura assenti). Questo perché tali servizi aggiunti sono deleteri per le stesse performance della macchina stessa. Tuttavia per fortuna, la maggior parte degli ISP, affiancano tali soluzioni di sicurezza ai loro servizi, ma purtroppo con una massiccia limitazione di servizi offerti, come determinati Scripting, Database e/o Gestione di banda, li rende già precari per come abbiamo accennato prima.

Hackerare un’Applicazione, un e-commerce o di un Sito Web

Per hackerare la vostra Applicazione, negozio online o Sito Web, un hacker può eseguire la scansione del vostro server di hosting alla ricerca di porte aperte, identificando i diversi servizi in esecuzione sul server stesso. Il programma unix NMap è spesso usato per fare questo. L’hacker si collega al servizio in ascolto su porte aperte per scoprire di che programma e servizio si tratta.

Utilizzo di nmap per eseguire la scansione di un server di hosting, identificando i servizi di rete e le porte aperte

Queste informazioni possono essere utilizzate per verificare se i servizi di rete in esecuzione presentano punti deboli di sicurezza noti. Esistono librerie online in cui è possibile ricercare queste debolezze in base al nome e alla versione del software. Trovare una debolezza nota è facile come una query di Google. Se viene rilevato un punto debole esistente, l’hacker può utilizzarlo per ottenere l’accesso al server.

Controllando l’indirizzo IP del server di hosting, l’hacker può determinare se il server è condiviso con altre Applicazioni, negozi online o Siti Web (basta un semplice reverse DNS). È possibile utilizzando ricerche, elencare tutti i Siti Web ospitati sullo stesso server. Sebbene il vostro sia aggiornato e sicuro, altri sullo stesso server potrebbero eseguire software obsoleti (con punti deboli di sicurezza). Il software del sito Web comune è ben documentato, le versioni precedenti di PHP e WordPress hanno gravi problemi di sicurezza. In questo caso la soluzione è usare Plugin ufficiali, e scripting controllato secondo le esigenze, che nella maggior parte dei casi risulta impraticabile per le proprie esigenze.

Una volta che un hacker sa quale software utilizza il vostro Sito Web, è facile cercare buchi di sicurezza noti utilizzando database come cvedetails.com

In Conclusione

Il modo migliore per proteggere le proprie Applicazioni, e-commerce o Siti Web è limitare il più possibile l’esposizione agli exploit. Mantenere aggiornato il software del sito Web è fondamentale, ma potrebbe non essere sufficiente se il vostro hosting è condiviso.

Per evitare che altri hacker possano influenzare la vostra Applicazione, e-commerce e Sito Web, dovreste considerare di ospitarla su un server fisico o virtuale dedicato con il suo indirizzo IP. È quindi possibile rafforzare la sicurezza di un sito web filtrando le porte aperte e chiudendo i servizi di rete inutilizzati.

In questo modo riducete quella che gli esperti di sicurezza informatica chiamano “attack surface”. Più è piccolo, più diventa facile difenderlo. Basta acquisire le giuste competenze in merito, che sicuramente vi aiuteranno ad ottenere una corretta pratica di management del Server adottando le giuste strategie d’intervento e di difesa.

Contattateci ora!!!

Contatto Immediato

Contattate subito un Nostro consulente per avere un riscontro immediato. Sappiamo di certo come aiutare i nostri Clienti, al fine di avere un giusto e corretto servizio web ben difeso e operativo senza problemi.

Corsi e Affini sulla Sicurezza dei Siti Web

[CORSO – CS01LWSA218]

Linux Web Server Administrator

Per chi ha esigenze di gestire web server a livello professionale. Ottima opportunità di competenza da applicare su contratti di management.

Iscriviti Dettaglio
[CORSO – CS08SDR01]

Sistemista di Reti

Dedicato a chi comincia o a chi vuole approfondire le proprie competenze in Networking. Rivolto a CED, Professionisti e appassionati.

IscrivitiDettaglio
 

Il mio sito è sotto attacco. Ragioni, Cause e Soluzioni per siti di piccola taglia.

sito sotto attaco

Premetto che sulla base di queste domande, in questo articolo parleremo di quelle motivazioni per cui siti di irrilevante importanza nel web sono più vulnerabili rispetto ad altri, e perché necessitano di maggiore se non di eguale Livello di Sicurezza rispetto altri più rilevanti.

Un utente malintenzionato visualizza un sito Web vulnerabile principalmente per avere una risorsa ed opportunità da sfruttare e rubare a proprio vantaggio:

  • Che sia supportato da un server in modo da favorire l’utilizzo e l’esecuzione di programmi propri
  • Che sia connesso a Internet e probabilmente mantiene una reputazione pulita
  • Potrebbe includere dati utente interessanti e ri-utilizzabili
  • Probabilmente dispone un vasto traffico e banda
  • Mantiene una ragione di imortanza per voi

Il più delle volte, usano queste risorse per fare soldi. E continueranno a trovare nuovi modi creativi per farne altri.

Utilizzo del Server Web per eseguire i propri programmi

Se state utilizzando ad esempio un sito WordPress, il Vostro server web è probabilmente un server Linux pienamente funzionante con MySQL e PHP installati. A seconda della situazione di hosting, potrebbe anche avere una quantità significativa di potenza di elaborazione.

Estrazione di criptovaluta

Mesi addietro ho rilevato nella Rete, attraverso la consultazione di appositi siti mirror, che la maggior parte degli attacchi massicci, sono rivolti maggiormente verso siti WordPress. Nei periodi più intensi di attacchi registrati, un aggressore compromette i siti sfruttando gli stessi per attaccare altri siti WordPress per guadagnare con Monero, una criptovaluta che può essere estratta in modo efficiente utilizzando l’hardware del server web.

Da tali dati si è stati in grado di identificare in che modo gli aggressori controllavano i server compromessi, accumulando un guadagno di circa 100 Mila dollari attraverso i loro sforzi di Estrazione.
Fonti provenienti da:
https://www.wordfence.com/blog/2017/12/massive-cryptomining-campaign-wordpress/
https://www.cryptocompare.com/mining/guides/how-to-mine-monero/
https://www.coin-report.net/it/estrazione-monero/

Sfruttamento della vostra reputazione on line.

Capire che la reputazione del vostro sito vi rende un bersaglio vulnerabile.

Hosting per pagine di phishing

Una pagina di phishing tenta di ingannarvi nella condivisione di informazioni riservate, come la password, il numero della carta di credito o il codice fiscale. Un esempio di pagina di phishing è una pagina di accesso fittizia che vi dà l’impressione di quello che state facendo in modo regolare, ad esempio la schermata di login di GMail. Inserendo le vostre credenziali, l’utente malintenzionato le registra per conto suo, e lo rende ora è in grado di accedere al vostro vero account GMail e di rubare i dati.

Il vostro sito ha una reputazione pulitissima. Quando gli utenti malintenzionati ospitano pagine di phishing nel vostro sito, servizi come Google Safe Browsing normalmente avvisano gli utenti di siti Web sospetti, non sapranno avvisare del pericolo rappresentato da una pagina di phishing ospitata sul vostro sito.

Hosting delle pagine di spam e iniezione di link di spam

Il vostro sito è legittimo, quindi i motori di ricerca come Google presumono che anche i vostri contenuti, inclusi i link in uscita lo siano. Gli hackers amano piazzare spam SEO sotto forma di pagine e link sul vostro sito, aumentando le classifiche SEO per le loro attività illegittime.

Un grande esempio e il Supply Chain Attack, scoperto di recente durato 4,5 anni, ha avuto un disastroso impatto su 9 plugin di WordPress. Acquistati tali plug-in venivano poi utilizzati per incorporare collegamenti di spam nei siti, per poi essere eseguiti. Il malintenzionato ha utilizzato questi collegamenti per migliorare il posizionamento nei motori di ricerca per altri siti web che offrivano prestiti, servizi di scorta e altre operazioni illegali.

È importante comprendere che, mentre il vostro sito da solo non è in grado di aumentare i risultati SEO ottenuti da un hacker, migliaia di siti compromessi possono farlo.

Invio di email spam

Inviare e-mail di spam eludendo i filtri antispam non è un’impresa facile. Oggi i clients di posta elettronica utilizzano una miriade di tecniche per identificare e bloccare lo spam. Quasi tutti i filtri antispam si basano su blacklist di indirizzi IP per bloccare tutti i messaggi provenienti da sorgenti ritenute dannose.

Ed è qui che entra in gioco il Vostro server web. Non solo ha tutto l’hardware e software necessario per inviare spam. La reputazione del vostro indirizzo IP probabilmente è rimasta illibata. Inviando spam con sorgente IP del vostro server, i criminali informatici hanno maggiori possibilità di ottenere risultati.

Alla fine i filtri antispam registreranno tutto ciò che accade e salveranno nella blacklist anche il vostro indirizzo IP del server, così l’hacker passando semplicemente ad una vittima successiva, lascerà la reputazione del vostro server e sito in rovina e di conseguenza danneggerà l’immagine della Vostra azienda.

Attaccare altri siti

A volte gli utenti malintenzionati danneggiano i siti vulnerabili per attaccare altri siti. Abbiamo visto gli hacker utilizzare questo tipo di approccio nell’attacco di Estrazione di criptovaluta di cui abbiamo parlato in precedenza, in cui un utente malintenzionato sia in grado di controllare una botnet composta da migliaia di siti, di altre persone che eseguivano contemporaneamente l’Estrazione di criptovaluta e procedevano all’attacco di altri siti web ancora.

Il Vostro Server Web diventerà così una piattaforma di attacco utile, poiché il Vostro indirizzo IP non essendo probabilmente registrato in alcuna balcklist, sarà in grado di eludere gli anti-Spyware e i sistemi di sicurezza di altri web server.

Hosting di contenuti dannosi

A volte gli hacker utilizzano il server Web per ospitare file dannosi che possono essere richiamati da altri server. Essenzialmente usano il Vostro account di hosting come un file server.

Sfruttamento del traffico del vostro sito

Reindirizzamenti dannosi

Una cosa molto comune che gli hacker fanno con i siti Web violati è l’aggiunta di reindirizzamenti nei contenuti. I visitatori del vostro sito non devono nemmeno cliccare su un collegamento ipertestuale per visitare il sito di spam: il reindirizzamento automatico li porterà direttamente lì.

In alcuni casi, chi genera questo tipo di attacco arriva al punto di reindirizzare tutto l’intero traffico verso siti dannosi. Nella maggior parte dei casi, vengono adottate misure preventive per evitare di essere rilevati, reindirizzando il traffico solo verso URL specifici, sistematicamente, o per browser, o per tipi e fonti di dispositivi specifici.

Siti Defacciati (Ghost pages)

In alcuni casi, l’hacker vuole solo inviare un messaggio pubblico. Prendendo il controllo del vostro sito web, sono in grado di raggiungere i vostri visitatori, almeno fino a quando non capirete che cosa è realmente sta succedendo. Gli attacchi di questa natura vengono orchestrati e rappresentati spesso da un movimento politico o sono solo alla ricerca di “street cred” per costruirsi una notorietà nelle comunità degli hacker.

Distribuire malware

Un modo particolarmente perfido con cui gli aggressori monetizzano i siti Web violati, consiste nell’utilizzarli per diffondere malware. Iniettano codice malevolo nei siti Web, che a loro volta installano malware sui computer o sui dispositivi dei visitatori quando raggiungono le pagine del vostro sito.

In quaità di proprietario del sito, questo status è particolarmente compromettente per la Brand Reputation, in quanto non solo rischiate che il vostro sito sia contrassegnato da motori di ricerca e in altre blacklist, ma i vostri visitatori non saranno felici della vostra condotta nella comunicazione digitale. La Vostra reputazione, sia online che con i visitatori, potrebbe essere compromessa per molto tempo. Inoltre, un sito Web compromesso può avere un impatto negativo a lungo termine sul posizionamento nei motori di ricerca.

Rubare dati

Anche se non si accettano carte di credito sul proprio sito, un utente malintenzionato potrebbe comunque trovare dati preziosi da razziare. Ad esempio, se acquisite dati tramite moduli dal vostro sito, potrebbe esserci qualcosa che valga la pena prendere. Inoltre, gli utenti malintenzionati possono utilizzare coppie di nomi utente e password rubate per tentare di accedere ad altri siti: il tipico furto di identità.

I Ransomware

Abbiamo imparato negli anni che i siti web rappresentano quasi sempre una forma di interesse per le persone, anche se non è un sito aziendale. Sfortunatamente anche i criminali informatici lo sanno e continueranno a usare i loro stratagemmi per servirsi di Agenti di Riscatto.
Per approfondire tale argomento vi rimando agli articoli redatti appositamente sull’argomento:

In Conclusione per risolvere

Indipendentemente dalle dimensioni del pubblico del vostro sito web o dal costo del vostro piano di hosting, i criminali troveranno tranquillamente un modo per monetizzarlo se non risulta opportunamente protetto.

Fortunatamente, non è necessario essere esperti di sicurezza per mantenere un sito sicuro. Con i nostri servizi di Management e Sicurezza nel web, siamo in grado di mantenere una Reputazione Stabile del vostro Brand dando valore al vostro sito, allo stesso livello di competizione con altri concorrenti più rilevanti.