Sklepy internetowe, portale informacyjne i inne zasoby internetowe często oparte są na platformach, które umożliwiają skorzystanie z zestawów gotowych do użycia narzędzi. Zazwyczaj różne funkcje są dostępne w postaci wtyczek, z których w razie potrzeby mogą skorzystać użytkownicy danej platformy. Z jednej strony to wygodny system, dzięki któremu programiści nie muszą wynajdować koła na nowo za każdym razem, gdy potrzebują konkretnego narzędzia czy funkcji. Z drugiej strony im więcej ulepszeń innych firm masz na swojej stronie, tym większe ryzyko wystąpienia przykrej niespodzianki.
Istota problemu
Wtyczka to mały program, który zwiększa lub polepsza funkcjonalność strony. Niektóre wtyczki na przykład wyświetlają widety sieci społecznościowych, inne gromadzą statystyki, a jeszcze inne tworzą ankiety.
Jeśli podłączysz wtyczkę do silnika swojej strony, działa ona automatycznie i przypomina o sobie tylko wtedy, gdy w jej działaniu wystąpi błąd — a dokładniej gdy ktoś go zauważy. To właśnie tu czyha zagrożenie: jeśli autor wtyczki ją porzuca lub sprzedaje innemu programiście, użytkownik raczej się o tym nie dowie.
Dziurawe wtyczki
Wtyczki, które od lat nie były aktualizowane, najprawdopodobniej zawierają niezałatane luki, które mogą zostać wykorzystane do przejęcia kontroli nad stroną lub pobrania na nią keyloggera, programu do generowania kryptowalut lub czegokolwiek innego, czego zapragnie cyberprzestępca.
Czasami zdarza się, że aktualizacje są dostępne, lecz informacja ta nie dociera do właścicieli stron internetowych, a w rezultacie dziurawe moduły działają jeszcze przez wiele lat od chwili zakończenia dla nich wsparcia technicznego.
Bywa, że autorzy wtyczek łatają luki, ale z jakiegoś powodu nie są one automatycznie instalowane: na przykład autorzy modułów zwyczajnie zapominają zmienić w aktualizacji numer wersji. W efekcie osoby korzystające z automatycznej aktualizacji nie sprawdzały samodzielnie numeru wersji, przez co na ich stronie używane były przestarzałe wtyczki.
Zastępowanie wtyczek nowszymi
Niektóre platformy służące do zarządzania zawartością strony blokują pobranie modułów, dla których wsparcie techniczne dobiegło końca. Niestety ani programista, ani platforma nie mogą usunąć dziurawych wtyczek ze stron użytkowników, gdyż mogłoby to skutkować niestabilnym działaniem.
Co więcej, porzucone wtyczki mogą być przechowywane nie na samej platformie, lecz w publicznie dostępnych serwisach. Gdy twórca kończy wsparcie techniczne lub usuwa moduł, Twoja strona nadal ma dostęp do kontenera, w którym wtyczka się znajdowała. W takiej sytuacji cyberprzestępca może z łatwością przechwycić lub sklonować ten porzucony kontener i zmusić zasób do pobrania szkodliwego programu zamiast wtyczki.
Taka sytuacja przydarzyła się licznikowi tweetów New Share Counts, umieszczonemu w chmurze Amazon S3. Po zakończeniu wsparcia technicznego dla wtyczki programista napisał wiadomość na swojej stronie internetowej, jednak nie przeczytało jej ponad 800 klientów.
Chwilę później autor wtyczki zamknął kontener w chmurze Amazon S3, a do dzieła wkroczyli cyberprzestępcy. Utworzyli nowy kontener z tą samą nazwą i umieścili w nim szkodliwy skrypt. Strony, które nadal wykorzystywały tę wtyczkę, zaczynały ładować nowy kod, a użytkownicy — zamiast licznika tweetów — widzieli zasób phishingowy obiecujący nagrodę za wypełnienie ankiety.
Gdy użytkownicy nie są świadomi zmiany właściciela
Czasami programiści nie porzucają swoich dzieł, lecz je sprzedają — przy czym nie interesuje ich, kto jest po drugiej stronie, co oznacza, że taki moduł może stosunkowo łatwo nabyć cyberprzestępca. W takich okolicznościach kolejna aktualizacja może na przykład umieścić na stronie szkodliwy kod.
Wykrycie takich wtyczek jest bardzo trudne, a często decyduje o tym zwykły przypadek.
Monitoruj wtyczki na swojej stronie
Jak widać, stronę internetową można zainfekować na wiele sposobów, wykorzystując do tego wtyczki, z których korzysta. Niestety platformy nie potrafią zapewnić ochrony przed wszystkimi odmianami takich ataków, dlatego najlepiej jest samodzielnie monitorować bezpieczeństwo wtyczek na swojej stronie.
- Przygotuj listę wtyczek, które są używane w Twoich zasobach, a także informacje o tym, gdzie są one przechowywane. Nie zapomnij regularnie sprawdzać aktualizacje dla nich.
- Nie ignoruj informacji od twórców oprogramowania, którego używasz, a także umieszczanych na stronach, poprzez które jest dystrybuowane.
- Zawsze dbaj o aktualność wtyczek; jeśli dla którejś z nich wsparcie techniczne dobiegnie końca, zmień ją na inną.
- Jeśli z jakiegoś powodu jedna z Twoich firmowych stron nie jest już potrzebna i kończysz dla niej wsparcie techniczne, nie zapomnij usunąć jej zawartość, w tym wszystkie wtyczki. W przeciwnym razie to tylko kwestia czasu, aż znajdują się na niej luki, które mogą wykorzystać cyberprzestępcy do zhakowania Twojej firmy.
- Pracownicy mający dostęp do publicznie dostępnych stron powinni mieć odpowiednią wiedzę w zakresie współczesnych zagrożeń i zapewniania bezpieczeństwa.