Θέματα ασφαλείας δικτυακών τόπων σχετικά με εφαρμογές PHP

Από το Πανελλήνιο Σχολικό Δίκτυο: Η ανακοίνωση αυτή αφορά στα προβλήματα ασφαλείας τα οποία προκύπτουν από την απρόσεκτη χρήση εφαρμογών (κυρίως διαχείρισης ιστοσελίδων), οι οποίες έχουν υλοποιηθεί με τη γλώσσα php.  Παραδείγματα τέτοιων εφαρμογών είναι ενδεικτικά οι Mambo, PostNuke, PHPNuke, Joomla, WordPress και phpBB.

Οι εφαρμογές αυτές γίνονται συχνά στόχος επίθεσης από κακόβουλους χρήστες, με αποτέλεσμα την μή εξουσιοδοτημένη πρόσβαση και αλλοίωση του περιεχόμενου του ιστοχώρου που εξυπηρετούν. Τα προβλήματα ασφαλείας συνήθως οφείλονται σε κομμάτια κώδικα που κάνουν κακή χρήση της γλώσσας προγραμ-ματισμού PHP  (π.χ. components ή plugins) και όχι σ’ αυτή καθ’ αυτή τη γλώσσα. Πρόσφατο κενό ασφαλείας εντοπίστηκε στο component oziogallery2 του Joomla.

Όταν ανακαλύπτονται κενά ασφαλείας σε κάποια δικτυακή εφαρμογή, αυτά συνήθως ανακοινώνονται στην επίσημη ιστοσελίδα της ομάδας που την αναπτύσσει αλλά ταυτόχρονα και σε ιστοσελίδες ειδικευμένων ομάδων ασφαλείας όπως για παράδειγμα οι http://nvd.nist.gov και http://www.frsirt.com.

Κατά κανόνα, όταν παραβιάζεται η ασφάλεια κάποιας εφαρμογής php οι επιτιθέμενοι εκμεταλλεύονται ευπάθειες του λογισμικού, οι οποίες είναι γνωστές και έχουν αντιμετωπισθεί από τους παρόχους του λογισμικού. Οι διαχειριστές όμως έχουν αμελήσει να ενημερώσουν το λογισμικό τους, με αποτέλεσμα να παραμένουν ευάλωτοι.

Προτεινόμενα βήματα για την πρόληψη παραβίασης της ασφάλειας των web εφαρμογών που χρησιμοποιούμε είναι:

• Όταν επιλέγουμε την web εφαρμογή που θα χρησιμοποιήσουμε, να λαμβάνουμε υπόψη την υποστήριξη που αυτή παρέχει σε θέματα ασφάλειας (έγκαιρη αντιμετώπιση προβλημάτων ασφάλειας, ευκολία εγκατάστασης των σχετικών διορθώσεων).
• Να παρακολουθούμε ηλεκτρονικές ομάδες συζητήσεων (forum) που ασχολούνται με την ασφάλεια τουλάχιστον για το λογισμικό που χρησιμοποιούμε, ώστε να ενημερωνόμαστε έγκαιρα όταν υπάρχουν νέες εκδόσεις που αντιμετωπίζουν ανακοινωμένες ευπάθειες.
• Πριν την εγκατάσταση πρόσθετων προγραμμάτων (components, plugins) να κάνουμε έλεγχο για τυχόν κενά ασφαλείας.
• Να φροντίζουμε για την ενημέρωση του λογισμικού μας και των επιμέρους προγραμμάτων που χρησιμοποιεί, όπως components/plugins αμέσως μόλις δημοσιοποιηθεί τρόπος αντιμετώπισης κάποιας ευπάθειας (ενημέρωση ασφαλείας).
• Να μην αποκαλύπτουμε δημόσια τις ακριβείς εκδόσεις των εφαρμογών που  χρησιμοποιούμε, γιατί έτσι διευκολύνουμε την αναζήτηση των ευπαθών συστημάτων με χρήση μηχανών αναζήτησης από κακόβουλους χρήστες.
• Να ενεργοποιούμε μόνο τα χαρακτηριστικά που είναι απολύτως απαραίτητα στις εφαρμογές αυτές, π.χ. αν είναι δυνατό να αποφεύγουμε την ενεργοποίηση των ομάδων συζητήσεων (for a - phpBB) στα CMS, γιατί συχνά αποτελούν στόχο επίθεσης.

Χρήσιμοι σύνδεσμοι :

1. http://news.netcraft.com/archives/2006/01/31/php_apps_a_growing_target_for_hackers.htm
2. http://nvd.nist.gov/nvd.cfm
3. http://www.frsirt.com/english