Komentarz zielonki do afery botowej i stanowiska Wykopu
Cześć,
Cały wykop i kilka innych stron dudni o aferze botowej, dzisiaj pojawiło się oficjalne stanowisko serwisu, a ja, z racji znajomej mi tematyki postanowiłem się w tej kwestii wypowiedzieć. Wpis będzie podzielony na dwie części: I - część oficjalna, to komentarz do stanowiska Wykopu, czyli cytaty i moje zdanie na ten temat. II część - artystyczna to moje pomysły na poprawę zabezpieczeń serwisu.
Wykopowicze, przede wszystkim należą Wam się przeprosiny, że tak długo musieliście czekać na wyjaśnienie. W pierwszej kolejności skupiliśmy się na ustaleniu przyczyny problemu, a gdy ten był nam już znany, priorytetem stało się zabezpieczenie przejętych kont.
BŁĄD!!! Jeżeli użytkownicy zgłaszali Wam problemy z wykopywanymi wpisami, dodatkowo widzieliście co się dzieje na stronie, to na samym początku blokujecie podejrzane konta, potem siadacie do logów i analizujecie co poszło nie tak. Gdyby Wam zrobili totalny wjazd na chatę i podmienili stronę główną, to najpierw byście szukali problemu, a potem dopiero wyłączyli stronę / serwery w celu dokładniejszej analizy? Chyba nie.
Atak na konta Wykopowiczów przeprowadzony był metodą brute force i dotyczył jedynie kont, które zabezpieczone były banalnie prostymi hasłami.
Taki atak był możliwy do wykonania, ponieważ z tego, co zdążyłem zauważyć (wiem, jestem krótko na tym serwisie), to nie posiadacie żadnej ochrony konta, która blokuje dane konto po np.. trzech nieudanych próbach logowania. Więcej na ten temat w części artystycznej.
Atak przeprowadzono w sposób, który nie powodował zauważalnego skoku w obciążeniu, co poniekąd niestety uśpiło naszą czujność.
Nie wiem, jakie macie systemy monitoringu obciążenia, być może atak faktycznie był przeprowadzany "cichaczem", ale powinniście mieć jakiś system, który monitoruje logowania się użytkowników. Jeżeli w pewnym momencie na wielu kontach próbuje się nieskutecznie zalogować N liczba użytkowników w tym samym czasie, a potem nagle następuje poprawne logowanie, to wiedz, że coś się dzieje. (nie mówię tu o kontach, gdzie atak wyszedł za pierwszym razem).
Dodatkowo wprowadziliśmy captche, której wpisanie będzie konieczne przy błędnym podaniu hasła do konta.
Jeżeli dopiero teraz, to kilka lat za późno
Rozważamy również wprowadzenie logowania nie za pomocą loginu, a za pomocą adresu mailowego i hasła. Metoda ta skutecznie utrudni podobne ataki, ale wymagać będzie to znajomości adresu mailowego przypisanego do swojego konta - a wiemy, że nie wszyscy o nich pamiętają :-)
Nie wprowadzajcie tego, bo to bez sensu z tego właśnie powodu - nie każdy zna przypisany adres e-mail do swojego konta, pewnie wiele osób jedzie na mailu tymczasowym. Lepiej byłoby wprowadzić 2FA, czyli dwuetapową weryfikacje, czyli użytkownik podaje numer telefonu, przy próbie logowania wysyłany jest sms z kodem, wpisuje się kod i user loguje się na konto. Ja wiem, że wprowadzenie tego typu usługi wiąże się z małą rewolucją na warstwie software, ale sorry - taki mamy klimat i tego typu zabezpieczenia są potrzebne.
Chcemy jednak przypomnieć, że nawet najlepsze metody nic nie dadzą, jeśli sami nie zadbacie o odpowiednią ochronę własnego konta. W tej aferze, konta, do których dostęp został przejęty, miały bardzo proste hasła, wręcz banalnie proste.
Ze swojej strony moglibyście wprowadzić jakieś wymagania odnośnie hasła, czyli minimum 8 znaków, jeden znak specjalny itd. Itp.
Część II - artystyczna.
Co zrobić, aby żyło się lepiej?
Wymagania odnośnie haseł
Wprowadzić wymagania odnośnie hasła, jakie ma być założone na koncie, czyli minimum 8 znaków, znaki specjalne itd. Itp. Chyba wiecie, o co chodzi ;-)
Blokowanie konta po nieudanych logowaniach
Wdrożyć system, który będzie blokował konto po N nieudanych próbach logowania, wysyłał powiadomienie e-mail (lub sms w przypadku 2FA) do użytkownika i zmuszał go do zmiany hasła.
Większe bezpieczeństwo panelu logowania / 2FA
Zwiększenie bezpieczeństwa samego procesu logowania poprzez wprowadzenie weryfikacji dwuetapowej, na którą naciskam.
Lepszy system monitoringu i dyżurów
Ja wiem, że był weekend i wielu adminów zerowało niejedną flaszkę, ale taki serwis jak Wasz powinien mieć tak ułożone zaplecze, że obserwacja ruchu powinna działać 24/7. Dodatkowo usprawnijcie Wasze systemu monitoringu, aby były uczulone na tego typu anomalia.
Poprawa komunikacji z użytkownikami
Jeżeli coś dzieje się niedobrego, to bądźcie łaskami nas o tym poinformować, w sensie co robicie, bo my, czyli użytkownicy nie wiem, czy pijecie wódę za rentę babci, czy siedzicie jak nerdy przed komputerami i analizujecie całą sytuację. Kilka linijek do publicznej informacji nikogo nie zbawi, a uspokoi nastroje rewolucyjne.
P.S Coś dla użytkowników ze słabymi hasłami.
Jeżeli macie problem z wymyślaniem mocnych haseł, to polecam program o nazwie KeePass. Wiele artykułów można o nim znaleźć w necie. Polecam, zarąbisty program, który ułatwia życie i poprawia bezpieczeństwo.
Pozdrawiam,
GratisLPG.
Cały wykop i kilka innych stron dudni o aferze botowej, dzisiaj pojawiło się oficjalne stanowisko serwisu, a ja, z racji znajomej mi tematyki postanowiłem się w tej kwestii wypowiedzieć. Wpis będzie podzielony na dwie części: I - część oficjalna, to komentarz do stanowiska Wykopu, czyli cytaty i moje zdanie na ten temat. II część - artystyczna to moje pomysły na poprawę zabezpieczeń serwisu.
Wykopowicze, przede wszystkim należą Wam się przeprosiny, że tak długo musieliście czekać na wyjaśnienie. W pierwszej kolejności skupiliśmy się na ustaleniu przyczyny problemu, a gdy ten był nam już znany, priorytetem stało się zabezpieczenie przejętych kont.
BŁĄD!!! Jeżeli użytkownicy zgłaszali Wam problemy z wykopywanymi wpisami, dodatkowo widzieliście co się dzieje na stronie, to na samym początku blokujecie podejrzane konta, potem siadacie do logów i analizujecie co poszło nie tak. Gdyby Wam zrobili totalny wjazd na chatę i podmienili stronę główną, to najpierw byście szukali problemu, a potem dopiero wyłączyli stronę / serwery w celu dokładniejszej analizy? Chyba nie.
Atak na konta Wykopowiczów przeprowadzony był metodą brute force i dotyczył jedynie kont, które zabezpieczone były banalnie prostymi hasłami.
Taki atak był możliwy do wykonania, ponieważ z tego, co zdążyłem zauważyć (wiem, jestem krótko na tym serwisie), to nie posiadacie żadnej ochrony konta, która blokuje dane konto po np.. trzech nieudanych próbach logowania. Więcej na ten temat w części artystycznej.
Atak przeprowadzono w sposób, który nie powodował zauważalnego skoku w obciążeniu, co poniekąd niestety uśpiło naszą czujność.
Nie wiem, jakie macie systemy monitoringu obciążenia, być może atak faktycznie był przeprowadzany "cichaczem", ale powinniście mieć jakiś system, który monitoruje logowania się użytkowników. Jeżeli w pewnym momencie na wielu kontach próbuje się nieskutecznie zalogować N liczba użytkowników w tym samym czasie, a potem nagle następuje poprawne logowanie, to wiedz, że coś się dzieje. (nie mówię tu o kontach, gdzie atak wyszedł za pierwszym razem).
Dodatkowo wprowadziliśmy captche, której wpisanie będzie konieczne przy błędnym podaniu hasła do konta.
Jeżeli dopiero teraz, to kilka lat za późno
Rozważamy również wprowadzenie logowania nie za pomocą loginu, a za pomocą adresu mailowego i hasła. Metoda ta skutecznie utrudni podobne ataki, ale wymagać będzie to znajomości adresu mailowego przypisanego do swojego konta - a wiemy, że nie wszyscy o nich pamiętają :-)
Nie wprowadzajcie tego, bo to bez sensu z tego właśnie powodu - nie każdy zna przypisany adres e-mail do swojego konta, pewnie wiele osób jedzie na mailu tymczasowym. Lepiej byłoby wprowadzić 2FA, czyli dwuetapową weryfikacje, czyli użytkownik podaje numer telefonu, przy próbie logowania wysyłany jest sms z kodem, wpisuje się kod i user loguje się na konto. Ja wiem, że wprowadzenie tego typu usługi wiąże się z małą rewolucją na warstwie software, ale sorry - taki mamy klimat i tego typu zabezpieczenia są potrzebne.
Chcemy jednak przypomnieć, że nawet najlepsze metody nic nie dadzą, jeśli sami nie zadbacie o odpowiednią ochronę własnego konta. W tej aferze, konta, do których dostęp został przejęty, miały bardzo proste hasła, wręcz banalnie proste.
Ze swojej strony moglibyście wprowadzić jakieś wymagania odnośnie hasła, czyli minimum 8 znaków, jeden znak specjalny itd. Itp.
Część II - artystyczna.
Co zrobić, aby żyło się lepiej?
Wymagania odnośnie haseł
Wprowadzić wymagania odnośnie hasła, jakie ma być założone na koncie, czyli minimum 8 znaków, znaki specjalne itd. Itp. Chyba wiecie, o co chodzi ;-)
Blokowanie konta po nieudanych logowaniach
Wdrożyć system, który będzie blokował konto po N nieudanych próbach logowania, wysyłał powiadomienie e-mail (lub sms w przypadku 2FA) do użytkownika i zmuszał go do zmiany hasła.
Większe bezpieczeństwo panelu logowania / 2FA
Zwiększenie bezpieczeństwa samego procesu logowania poprzez wprowadzenie weryfikacji dwuetapowej, na którą naciskam.
Lepszy system monitoringu i dyżurów
Ja wiem, że był weekend i wielu adminów zerowało niejedną flaszkę, ale taki serwis jak Wasz powinien mieć tak ułożone zaplecze, że obserwacja ruchu powinna działać 24/7. Dodatkowo usprawnijcie Wasze systemu monitoringu, aby były uczulone na tego typu anomalia.
Poprawa komunikacji z użytkownikami
Jeżeli coś dzieje się niedobrego, to bądźcie łaskami nas o tym poinformować, w sensie co robicie, bo my, czyli użytkownicy nie wiem, czy pijecie wódę za rentę babci, czy siedzicie jak nerdy przed komputerami i analizujecie całą sytuację. Kilka linijek do publicznej informacji nikogo nie zbawi, a uspokoi nastroje rewolucyjne.
P.S Coś dla użytkowników ze słabymi hasłami.
Jeżeli macie problem z wymyślaniem mocnych haseł, to polecam program o nazwie KeePass. Wiele artykułów można o nim znaleźć w necie. Polecam, zarąbisty program, który ułatwia życie i poprawia bezpieczeństwo.
Pozdrawiam,
GratisLPG.