Web stranice su postale glavni mehanizam za distribuciju zlonamjernih programa (malware). Što morate znati kao vlasnik web stranica ili kao njihov korisnik.

Napadi na web stranice nisu nikakva novost, događaju se od kada internet postoji kao masovna tehnologija, još od davnih 90-tih godina prošlog stoljeća. Često bi napad uključio izmjenu sadržaja stranice (eng. website defacement) kako bi se uputila politička ili bilo kakva druga poruka posjetiteljima. Alternativno, napadi imaju za cilj onemogućiti pristup stranici, na način da se prema web poslužitelju šalje veliki broj mrežnih zahtjeva kako bi se iscrpili kapaciteti mreže i poslužitelja, a web stranice postale nedostupne (eng. denial of service).
Čak i danas su takvi napadi prilično česti, pogotovo kao odraz dnevno političkih događaja – tipični primjer je napad na stranice gruzijske vlade za vrijeme vojnog konflikta Rusije i Gruzije.

Ipak, internet se mijenja, a mijenjaju se i motivi napada na web stranice. Danas je internet praktički postao masovni medij koji svakome omogućava jednostavno objavljivanje sadržaja. Skup tehnologija koje omogućavaju ovu masovnost proizvodnje sadržaja često se zove Web 2.0, a uključuje među ostalim blogove, Wikipedia sadržaj, društvene mreže poput Facebook-a, kao i tradicionalne web stranice, ali ovaj puta pogonjene softverom za upravljanje sadržajem (Content Management System). Ukratko, postavljanje sadržaja na internet postalo je toliko trivijalno da to može svačija baka.

S druge strane, ova masovna raširenost upotrebe interneta doprinijela je i masovnosti kriminalnih radnji. Zlonamjerni programi (eng. malware) postali su ključni alat u ostvarivanju kriminalnih radnji na internetu, a web stranice su postale glavni mehanizam distribucije takvih programa. Stoga se i promijenio motiv napada: umjesto izmjene sadržaja stranice radi upućivanja nekakve političke poruke, prevladavajući motiv je postavljanje zlonamjernog programa kao alata za kriminalno ostvarivanje financijske koristi.

Naravno, besmisleno je takav program postaviti na neku nepoznatu stranicu. Sa stajališta napadača, puno je smislenije zlonamjerni program postaviti na stranice koje uživaju veliku posjetu, možda omiljeni news portal, forum ili društvenu mrežu. Sasvim legitimna web stranica tako odjednom postaje točka distribucije zlonamjernog koda, koji se nastoji na svaki način instalirati na korisnikovo računalo, po mogućnosti bez znanja korisnika i/ili koristeći neki od sigurnosnih propusta u softveru.

Drastičan rast web prijetnji

S obzirom da je konačni motiv financijska korist napadača, posljedično je kreativnost kao i sam broj napada drastično porasao. Zlonamjerni programi na internetu sada se pojavljuju neviđenom brzinom. Statistike antivirusnih kompanija dovoljno govore o koliko dramatičnim kretanjima se ovdje radi. Tako napr. Trend Micro naglašava da je još 2005. godine otkrivao 50-tak takvih programa dnevno, a danas se radi o 5000 pa i više varijanti novog malware-a dnevno. Ovakav rast zbilja je test za čitavu antivirusnu industriju, obzirom da je proizvođačima sve teže sustizati tisuće varijanti dnevno samo jednog crva ili spyware-a.

Zlonamjerni programi nenamjerno preuzeti sa web stranica donose niz opasnosti s kojima je suočen svaki korisnik interneta: krađa privatnih podataka poput broja kreditne kartice, zapisivanje aktivnosti tipkovnice (eng. keylogger), web stranice koje se lažno predstavljaju kao da su napr. od vaše banke (eng. phishing), spam pošta koja autorima donosi rastući udio u prihodima internet ekonomije, programi koji bez vašeg znanja šalju spam s računala i sudjeluju u mreži tisuća takvih računala „robota“ za distribuciju spama (botnet). Ovo su zaista samo neke od opasnosti, a u praksi su učinci zlonamjernih programa ograničeni samo maštom i „kreativnošću“ autora odnosno napadača.

Tehnički detalji napada postaju najraznovrsniji: od korištenja redirekcije na drugi site preko tzv. iframe elementa u stranici, do isporuke aktivnog koda koji iskorištava najnoviji sigurnosni propust u web pregledniku (napr. Internet Explorer).

Bez obzira na sve, konačni rezultat je da korisnik koji pristupa vašim web stranicama, „usput“ nesvjesno preuzima i zlonamjerni program. Ubrzo otkrivate da davatelj usluga (hosting provider) koji osigurava prostor za vaše web stranice, ne osigurava automatski i potrebnu sigurnost sadržaja.
Na vaše još veće iznenađenje shvaćate da je posjeta stranicama onemogućena: Google kroz svoje rezultate pretrage upozorava da je stranica izvor zlonamjernog koda, Firefox preglednik blokira pristup uz upozorenje prikazano na slici dole, a antivirusni programi i rješenja za url filtriranje temeljena na web reputaciji automatski spriječavaju korištenje vaših stranica.

Vaša reputacija, kao i temeljni smisao stranice - pozornost odnosno posjeta, je bitno narušena. Situacija je još ozbiljnija ako web stranice koristite za direktno generiranje prihoda (napr. e-commerce ili web shop i sl.).

Davatelji hosting usluga – sve češće žrtve i u Hrvatskoj

S obzirom da su točke distribucije zlonamjernih programa sve web stranice, pa čak i one legitimne, primarni cilj napada su postali davatelji hosting usluga (hosting providers) kod kojih su web stranice pohranjene. Takvi davatelji usluga tipično na jednom serveru dijele i po nekoliko tisuća različitih web stranica. Stoga nije rijetkost da napadač uspije kopirati zlonamjerni program na svaku od stranica (odnosno domena) spremljenih na određenom serveru. Rezultat: odjednom tisuće sasvim legalnih stranica širi malware programe.

Ovakvi scenariji već se neko vrijeme događaju mnogim davateljima hosting usluga u inozemstvu. Posebno je poznat slučaj iz susjedne Italije, gdje je 2007. godine jedan od najvećih europskih davatelja usluga bio žrtva napada, pri čemu je više od 10000 stranica, uključujući mnoge državnih i vladinih organizacija, distribuiralo program koji je među ostalim bilježio aktivnost tipkovnice korisnika (keylogger) i slao sve prikupljene podatke napadačima.

U posljednje vrijeme, učestalost napada znatno je porasla, pa su tako i ovdašnji mediji počeli bilježiti incidente na popularnim web stranicama i portalima u Hrvatskoj. Najnoviji primjeri uključuju news portal business.hr te stranice Nacionalne i sveučilišne knjižnice (nsk.hr). Sudeći po statistikama i informacijama dostupnih preko Google-a i njegovog partnera u tzv. Safe Browsing inicijativi – StopBadware.org, naši davatelji hosting usluga nisu imuni na provale zlonamjernih programa u stranice tvrtki i pojedinaca kojima osiguravaju web prostor.

Zaključak

Naravno, krivnja najčešće nije na davateljima hosting usluga, već na vlasnicima stranica koji ne vode dovoljno računa o sigurnosti i/ili nemaju percepciju odgovornosti koju javna usluga donosi. Bez obzira da li održavate web stranicu kao pojedinac, tvrtka ili organizacija, odgovornost je u konačnici na vama, a ne na davatelju usluga.
Odgovorno ponašanje znači da ćete lozinke za administrativni pristup stranicama čuvati na sigurnom mjestu te mijenjati ih u redovnim vremenskim intervalima.
Ipak, osim ove osnovne preporuke, valja imati na umu i sljedeće savjete:

• prije svega potražite davatelja usluga koji inzistira na sigurnosti, a to podrazumijeva barem antivirusni softver na web serveru kao i automatske provjere vaših stranica i uklanjanje zlonamjernog koda;
• osigurajte automatizirane testove na ranjivosti i zlonamjerni softver na stranicama. Primjer rješenja za takvo nešto je Trend Micro SecureSite;
• Provjeravajte vašu stranicu u Google Safe browsing dijagnostičkoj bazi; dovoljno je upisati URL ovog formata: http://www.google.com/safebrowsing/diagnostic?site=MojWebSite.com MojWebSite.com naravno zamijenite vašom domenom.
• Redovito provjeravajte domenu u nekoj web reputacijskoj bazi, napr. Trend Micro SecureCloud: https://securecloud.com/

Redovita briga i svjesnost o sigurnosnim implikacijama učinit će drastičnu razliku, doprinjeti čuvanju reputacije vaših stranica (kao i vaše tvrtke/organizacije), te pomoći da internet bude sigurnije mjesto za poslovanje i zabavu.