una introduzione alla sicurezza dei server web

La settimana scorsa ho scritto questo testo per spiegare fenomeni come
le "drive by infection", ve lo ripropongo.

In breve, i vettori di attacco tipici sono tre:
- applicazioni PHP insicure
- applicazioni PHP insicure ed escalation dei privilegi
- furto delle credenziali FTP per l'aggiornamento dei siti

Nel primo caso l'attaccante può scrivere solo i file/directory
scrivibili dall'utente con cui gira il server web in quel momento.
Nel caso dei server più vecchi tutto il codice PHP è eseguibile da un
unico utente comune (web o www-data di solito), che però è diverso da
quello che possiede le pagine, e quindi si possono modificare solo file
o directory che sono stati resi scrivibili dal server (perché ci devono
scrivere le proprie pagine o per incapacità del cliente).
In quelli più recenti invece le pagine PHP di ciascun sito sono eseguite
da un utente diverso per ogni cliente, che però in genere è lo stesso
che possiede i file del sito: in questo caso l'attaccante ha accesso a
tutto il sito da cui è entrato, ma solo a quello.
In genere questa è la tecnica usata dai defacer, raramente da chi
installa malware.

Purtroppo questi attacchi sono praticamente inevitabili perché i clienti
mettono costantemente online CMS buggati (che se non lo sono ora lo
saranno tra un paio di anni) o pagine PHP scritte in modo indecentemente
insicuro, e soprattutto quando il server è vecchio non si possono
attivare le feature che rendono PHP leggermente più sicuro perché poi i
siti già esistenti non funzionerebbero più (PHP è un linguaggio
progettato in modo molto stupido, che rende facilissimo scrivere codice
insicuro, e i clienti adorano usare queste feature potenzialmente
insicure).
(Perché non usare sempre server nuovi? Sono i clienti stessi che non
vogliono spostarsi, per inerzia o perché magari le loro pagine non
funzionano con una versione più nuova di PHP e non vogliono pagare
qualcuno che le metta a posto...)

Nel secondo caso, dopo essere entrati nel server con i privilegi
limitati del server web o di uno dei clienti, si sfrutta un bug del
sistema operativo per ottenere i privilegi di root e potere quindi
accedere a ogni sito. Se si arriva a questo punto la colpa è proprio
dell'hoster che non ha tenuto adeguatamente aggiornati i propri server.

L'ultimo problema è quello più complicato da gestire, perché le
credenziali FTP sono rubate ai clienti stessi da qualche malware con
cui si sono infettati.
Il problema è che, a parte ripulire automaticamente le pagine, c'è poco
da fare: i clienti spesso non credono che i loro computer sono insicuri,
visto che "l'antivirus non rileva niente"...
Oltre che per installare iframe ho visto casi di credenziali FTP rubate
usate per installare siti di phishing e punti di distribuzione per il
secondo stadio di trojan.

(Questo testo è riutilizzabile secondo i termini della licenza Creative
Commons Attribution: http://creativecommons.org/licenses/by/3.0/ .)

-- 
ciao, | Those people who think they know everything
Marco | are a great annoyance to those of us who do. (Isaac Asimov)