Posts Tagged ‘Ασφάλεια’

Το WPScan είναι ένα vulnerability scanner για σελίδες δημιουργημένες με WordPress.
Γραμμένο σε ruby,είναι ικανό να εντοπίσει κοινά τρωτά σημεία της ασφάλειας καθώς και αναγράφονται όλα τα plugins που χρησιμοποιούνται από έναν δικτυακό τόπο φιλοξενίας WordPress.

EΓΚΑΤΑΣΤΑΣΗ:

Αν λοιπόν, έχετε κάποια σελίδα WP η θέλετε να σκανάρετε κάποια που σας ενδιαφέρει, μπορείτε να το εγκαταστησετε στο Ubuntu σας, ακολουθώντας τα παρακάτω βήματα (λογικά θα πρέπει να δουλέψει σε όλες τις εκδόσεις από 10.04 και πάνω):

-Ανοίξτε ένα τερματικό (μπορείτε να το καλέσετε είτε μέσω dash, αρχίζοντας να γράφετε την λέξη terminal, είτε πατώντας συγχρόνως τα πλήκτρα: Ctrl-Alt-T), δίνοντας μια-μια τις παρακάτω εντολές, πατώντας Enter μετά την κάθε μια και δίνοντας τον κωδικό σας, αν ζητηθεί:

osarena code
1
2
3
4
5
6
7
8
sudo apt-get install rails
sudo apt-get install gem
sudo apt-get install libcurl4-gnutls-dev libopenssl-ruby
sudo gem install typhoeus xml-simple
sudo apt-get install subversion
gem install --user-install typhoeus
svn checkout http://wpscan.googlecode.com/svn/trunk/ ./wpscan
cd wpscan

Με τα παραπάνω εγκαταστήσαμε εξαρτήσεις και το ίδιο το πρόγραμμα. Τώρα κανονικά στον προσωπικό σας φάκελο (/home), θα έχει δημιουργηθεί και ο φάκελος του WPScan.

-Για άλλες διανομές, μπορείτε να το κατεβάσετε από την σελίδα του:

ΧΡΗΣΗ:

Για non-intrusive checks σε κάποια WordPress ιστοσελίδα, μπορείτε να χρησιμοποιήσετε αυτή την εντολή από το τερματικό:

osarena code
ruby ./wpscan.rb --url http://www.domain.com

ΣΗΜΕΙΩΣΗ: Όπου http://www.domain.com, βάζετε την διεύθυνση της WP σελιδας που θέλετε να σκαναρετε.
-Για παράδειγμα, αν θέλετε να σκαναρετε τα πρόσθετα που χρησιμοποιεί μια σελιδα WP, θα δώσετε κάτι τέτοιο:

osarena code
ruby ./wpscan.rb --url http://www.domain.com --enumerate p

ΣΗΜΕΙΩΣΗ: Όπου http://www.domain.com, βάζετε την διεύθυνση της WP σελιδας που θέλετε να σκαναρετε.
Η εντολη θα απαριθμήσει όλα τα εγκατεστημένα πρόσθετα της σελίδας.
Για περισσότερα, μπορείτε να ελέγξετε το αρχείο README που έρχεται με το εργαλείο, ή να εκτελέσετε αυτή την εντολή από το τερματικό:

osarena code
cat README

>>>Δείτε το σε δράση στο παρακάτω βίντεο, ώστε να καταλάβετε καλύτερα την λειτουργία του:

Advertisements

Το τερματικό είναι ένα πολύ ισχυρό εργαλείο με το οποίο μπορούμε να κάνουμε τα πάντα.
Έχουμε αναφερθεί σε αυτό αρκετά και έχουμε συγκεντρώσει όλα αυτά που πρέπει να ξέρετε, ώστε να το χρησιμοποιείτε σωστά (Τερματικό: Δες τι μπορείς να κάνεις που ίσως δεν γνώριζες!).
Το ccrypt είναι ενα εργαλείο γραμμής εντολών με το οποιο μπορείται εύκολα και γρήγορα να κρυπτογραφήσετε και να αποκρυπτογραφήσετε αρχεία με μονό δυο πολύ απλές εντολές .

Για να εγκαταστήσετε το ccrypt σε Ubuntu/Mint και παράγωγες διανομές ανοίγετε το τερματικό(μπορείτε να το καλέσετε είτε μέσω dash, αρχίζοντας να γράφετε την λέξη terminal,είτε πατώντας συγχρόνως τα πλήκτρα: Ctrl-Alt-T) και δίνετε την εντολή:

osarena code
1
sudo apt-get install ccrypt

Για να κρυπτογραφήσετε το αρχείο θα πρέπει με την εντολή cd να μετακινηθείτε στο φάκελο που βρίσκετε και να δώσετε την εντολή:

osarena code
1
ccrypt file_name

Όπου file_name βάζετε το όνομα του αρχείου και τέλος θα σας ζητηθεί να βάλετε ένα κωδικό κρυπτογράφησης. Το κρυπτογραφημένο αρχείο θα πρέπει να έχει την κατάληξη .cpt.

Για να αποκρυπτογραφήσετε το αρχείο,χρησιμοποιηστε την παρακάτω εντολή και μετά γράψτε το κωδικό που δώσατε πιο πριν:

osarena code
1
ccrypt -d file_name

 

Αναδημοσιευση απο το osarena

Η κρυπτογράφηση του σκληρού μας δίσκου η έστω των προσωπικών μας αρχείων, χρησιμεύει σε περίπτωση κλοπής του μηχανήματος μας η παραβίασης του, προστατεύοντας αν μη τι άλλο τα προσωπικά μας δεδομενα.
Βέβαια το Ubuntu, κατά τη διαδικασια της εγκατάστασης, δίνει αυτή την επιλογή για κρυπτογράφηση. Αν παρ’ ολ’ αυτά δεν το έχετε επιλέξει, ένας από τους καλούς τροπους που μπορουμε να κρυπτογραφήσουμε τον προσωπικό μας φάκελο είναι με το eCryptfs.
Ένα ισχυρό εργαλείο κρυπτογράφησης για το Linux, τ’ οποίο δημιουργεί κρυπτογραφικά metadata, στο header των written files, επιτρέποντας έτσι την αντιγραφή των κρυπτογραφημένων αρχείων σε άλλα μηχανήματα.
Τα αρχεία αποκρυπτογραφούνται, χρησιμοποιώντας το ανάλογο Linux kernel keyring.

-Πρώτα απ’ όλα πρέπει να εγκαταστήσουμε το ecryptfs-utils, τ’ οποίο αρκεί να το αναζητήσετε στο Κεντρο Λογισμικου:

-Εναλλακτικά μπορουμε να το εγκαταστήσουμε και μέσω τερματικού (μπορειτε να το καλέσετε είτε μέσω dash, αρχίζοντας να γράφετε την λέξη terminal, είτε πατώντας συγχρόνως τα πλήκτρα: Ctrl-Alt-T), δίνοντας τη παρακατω εντολη, πατώντας Enter μετά και δίνοντας τον κωδικό μας, μόλις ζητηθεί:

sudo apt-get install ecryptfs-utils

 

-Για να κρυπτογραφήσετε τον προσωπικό σας φάκελο αρκεί να δώσετε σ’ ένα τερματικό τη παρακατω εντολη:

sudo ecryptfs-migrate-home –u username
Όπου username, θα βάλετε το δικό σας. πχ:

Καλό είναι να δημιουργήσετε πρώτα, ένα αντίγραφο των ΜΗ κρυπτογραφημένων δεδομένων σας, ωστε ν’ αποφύγετε τυχόν απρόοπτα (πχ μια διακοπή ρεύματος, κλπ)

-Δίνοντας λοιπόν τη παραπάνω εντολη, το σύστημα θα ζητησει σύνδεση με τον αντίστοιχο λογαριασμό χρήστη, πριν την όποια επανεκκίνηση, προκειμένου να ολοκληρώσει τη διαδικασια της κρυπτογράφησης.
-Κάνοντας login, θα σας ανοιξει ένα pop-up παραθυράκι. Για να εκκινήσει η διαδικασια, πατήστε το κουμπακι αριστερά: Run this action Νοw (εκτέλεση αυτής της ενέργειας τώρα)

-Κάνοντας αυτή την ενέργεια, θ’ ανοιξει ένα παράθυρο τερματικού που θα σας ζητησει τον κωδικό σας. Δίνοντας τον, θα σας εμφανιστούν οι φάκελοι και αρχεία του προσωπικού σας φακέλου.

>>>Σε περίπτωση που έχετε ξεχάσει τον κωδικό σας, μπορειτε να τον ανακτήσετε με την εντολη:

ecryptfs-unwrap-passphrase


Η διαδικασια είναι αυτή, πολύ σύντομη και ασφαλής, μα κάντε ότι κάνετε με προσοχη και κρατώντας αντίγραφο ΜΗ κρυπτογραφημένο σε εξωτερική πηγή (άλλο δίσκο, dvd, usb στικακι).

>>>Δείτε ακομα και τις παρακατω εφαρμογές και τεχνικές κρυπτογράφησης:

  1. Κρυπτογράφησε αρχεία εύκολα. Ιδανικό για UbuntuOne και Dropbox
  2. Furius Cipher: Κρυπτογραφήστε εύκολα και γρήγορα κείμενα.
  3. True Crypt: Κρυπτογραφήστε αρχεία, φακέλους η ολόκληρα partitions εύκολα! (Linux, Windows, MacOSX).
  4. Δημιουργήστε εύκολα, σε 1 λεπτό έναν φάκελο ασφάλειας προσωπικών δεδομένων.
  5. Δείτε και το Sendoid, όπου δίνει δυνατοτητα αποστολής crypto αρχείων και έτσι θα έχετε διπλό “κλείδωμα”.

 

 

Πηγή:http://osarena.net/hacks-guides/ecryptfs-kriptografisi-prosopikou-fakelou-se-ubuntu-me-mia-entoli.html

Το πρόσθετο λέγεται Facebook Disconnect, διαθεσιμο όπως ειπαμε, για Chrome/ium browsers και φυσικά ανεξαρτήτως λειτουργικού συστήματος.
Η εγκατάσταση του, δεν διαφέρει από αυτή ενός συνηθισμένου add-on και σύμφωνα με τον δημιουργό του, αποτρέπει και άλλες σελίδες κοινωνικής δικτύωσης, εκτός του Facebook.
INSTALL Facebook Disconnect
-Nα έχετε κατά νου πως το Facebook (μα και η Google), ανά χρονικά διαστήματα “μπανάρουν” αυτά τα πρόσθετα και αυτός είναι ο λόγος που κάθε τόσο, αυτά ξαναγράφονται η αναβαθμίζονται η ακόμα-ακόμα βγαίνουν νέα.
Ακομα είναι γνωστή και η τακτική τους να αλλάζουν ονομασίες σε cookies, ωστε αυτά να μη μπορούν να συλλαμβάνονται αμέσως από αυτά τα πρόσθετα.
Βέβαια ο τελικός σκοπός τους είναι ακομα και η live παρακολούθηση μας (απο την webcam) η και το ίδιο μας το desktop με τα προσωπικά μας αρχεία που έχουμε αποθηκευμένα στους δίσκους μας και είναι παραπάνω από βέβαιο πως επεξεργάζονται, ωστε να τελειοποιήσουν τις μεθόδους γι’ αυτό.
Σε καμία περίπτωση δεν θελουμε να σας πανικοβαλλουμε, ούτε σας λέμε να μην χρησιμοποιείτε αυτές τις σελίδες. Σκοπός μας είναι να ενημερώσουμε τους ανυποψίαστους για το τι πραγματικά συμβαίνει και συνεχώς να προτείνουμε τρόπους, ωστε να διαφυλάσσουμε το θεμελιώδες δικαίωμα της ατομικής ελευθερίας που δυστυχώς, όπως όλοι βιώνουμε γίνονται από παντού προσπάθειες, ωστε αυτό να πάψει να υπάρχει.

Εδώ έχουμε μια περίπτωση που δίνει έναν πολύ σαφή λόγο τη διαφορά του Firefox με άλλους ιδιόκτητους browsers. Ένα πρόσθετο πoυ δε νομιζω να δούμε ποτέ στο ChromeStore και πιθανολογώ και σε άλλους κλειστούς browsers.
Μιλάμε για το Priv3, ένα add-on για τον Firefox τ’ οποίο προστατεύει την ιδιωτικοτητα σας από τα αδιάκριτα μάτια των ιστοσελίδων κοινωνικής δικτύωσης.
-Ένα στοιχείο που δεν γνωριζουν οι περισσότεροι χρήστες είναι πως σε αυτές τις social ιστοσελίδες δεν γίνεται γνωστό, ότι κοινοποιούμε. Όχι μόνο αυτό.
Βλέπετε τόσο το Facebook, το Twitter, το GooglePus και άλλοι έχουν καθιερώσει το κουμπακι Like, +1, κλπ.
Αυτά λοιπόν τα σκριπτακια (στην ουσία), έχουν τη δυνατοτητα να συλλέγουν τα στοιχεία μας για όλες τις δικτυακές μας περιπλανήσεις.
Πιο απλά για όλες τις σελίδες που επισκεπτόμαστε και έχουν τ’ αντίστοιχα κουμπάκια.
-Οι καιροί είναι πονηροί, οι κυβερνήσεις σε παγκόσμιο επίπεδο θέλουν να φιμώσουν την δικτυακή ελευθερία, ποτέ δε ξέρεις (πια) τι κατασταλτικός νόμος θα έχει βγει το επόμενο πρωί που θα σηκωθείς, μια παραπάνω προστασία της ιδιωτικοτητας μας δεν βλάπτει καθόλου.
Αυτή ακριβώς τη δουλειά αναλαμβάνει να κάνει το πρόσθετο Priv3, τ’ οποίο μπλοκάρει στο να δουν αυτά τα σκριπτακια τις επισκέψεις μας στο web.
-Και για να προλάβουμε την ερώτηση: Ναι, μπορούν να δουν τις επισκέψεις σας, ακομα και μη πατώντας στο σχετικό κουμπακι (Like, Follow, +1).
Από την άλλη όπως βλέπετε τα σχετικά με την ιδιωτικοτητα οι μεγάλες αυτός ιστοσελίδες το γράφουν στα παλαιά τους υποδήματα. Και όλα καλά να μείνουν σε στοχευμενες διαφημίσεις. Τι θα συμβεί άραγε αν έστω για ελάχιστα δευτερόλεπτα το κάθε Facebook η Google η MS η οιοσδήποτε, αποφασίσει να χρησιμοποιήσει με άλλο (οποιοδήποτε) τρόπο αυτά τα δεδομένα?
Σίγουρα το σενάριο μιας τέτοιας εκδοχής αποτελεί προιόν ταινίας (και -δυστυχώς- όχι επιστημονικής φαντασίας).
INSTALL PRIV3 (Firefox add-on)
Ένα κλασσικό πρόσθετο είναι τ’ οποίο μετά την εγκατάσταση του θα σας ζητησει να κάνετε επανεκκίνηση τον browser σας, ωστε να λειτουργήσει.
H ιστοσελίδα του Priv3 Firefox Extension.

Ασφάλεια και WordPress

Posted: 13 Δεκεμβρίου 2011 in Ασφάλεια, wordpress
Ετικέτες: ,

1) Αδυναμίες του WordPress
Όπως κάθε «πρόγραμμα» (script εν προκειμένω) στο Internet έτσι και το WordPress αλλά και η κοινότητα που το υποστηρίζει προσπαθεί καθημερινά να καλύπτει τυχόν κενά ασφαλείας που μπορεί να προκύπτουν, για τον λόγο αυτό πρέπει να διατηρούμε πάντα ενημερωμένη την εγκατάστασή μας με τις τελευταίες ενημερώσεις που κυκλοφορούν. Μάλιστα στην περίπτωση του WordPress σε σχέση με άλλα CMS που κυκλοφορούν στο διαδίκτυο η αναβάθμιση είναι απλά …ένα κλίκ, καθώς το ίδιο το WordPress μας ενημερώνει την στιγμή που εισερχόμαστε στο διαχειριστικό του περιβάλλον.

2) Ασφάλεια και δικαιώματα αρχείων (ασφαλίστε το αρχείο ρυθμίσεων της εγκατάστασής σας)

Ένα ακόμη σημαντικό σημείο για την προστασία μας είναι τα δικαιώματα του αρχείου wp-config.php. Συνήθως το αρχείο αυτό έχει δικαιώματα 644 που σημαίνει ότι ένας απλός χρήστης μπορεί να καταφέρει να διαβάσει τα περιεχόμενά του (εφόσον ξέρει πως να βρει την διαδρομή προς αυτό).Για να αποφύγετε τέτοιες περιπτώσεις μια και το wp-config.php είναι ένα απλό αρχείο κειμένου στην ουσία, φρόνιμο θα ήταν να ρυθμίσετε τα δικαιώματα του αρχείου σε 444 ή 750.

Στην περίπτωση αυτή θα πρέπει να έχετε υπ’ όψιν σας ότι αλλαγές στις ρυθμίσεις του Blog σας δεν μπορούν να γίνουν ούτε από εσάς, παρα μόνον εφόσον αλλάξετε προσωρινά τα δικαιώματα του αρχείου σε 644 ή αν αντιμετωπίζετε εκ νέου πρόβλημα σε 750 μέχρι να ολοκληρώσετε τις αλλαγές (ρυθμίσεων) και μετά να επαναφέρετε πάλι τα δικαιώματα σε 444 ή 644.

3) Μην χρησιμοποιείτε τον user admin.

Κατά την εγκατάσταση του WordPress ο πρώτος χρήστης που δημιουργείτε είναι ο λεγόμενος admin. Κάτι τέτοιο είναι γνωστό όχι μόνο σε εσάς αλλά και σε όσους θέλουν να «ξεκλειδώσουν» το Blog σας και να σας δημιουργήσουν πρόβλημα! Όσο δυνατός και αν είναι ένας κωδικός ασφαλείας, πάντα κάποιος θα καταφέρει να τον σπάσει. Η λύση που σας προτείνω λοιπόν είναι να δημιουργήσετε έναν νέο χρήστη στον οποίο θα δώσετε δικαιώματα Διαχειριστή και μετά θα απενεργοποιήσετε τον user admin.

Προσοχή! Αυτό που λέω είναι να απενεργοποιήσετε τον χρήστη admin και ΟΧΙ να τον διαγράψετε. Σε περίπτωση διαγραφής του υπάρχει πιθανότητα να μπορέσει κάποιος να δημιουργήσει τον χρήστη και να έχει δικαιώματα διαχειριστή.

4) Προστατέψτε τους καταλόγους του Blog σας (WP Folders)
Μια καλή τεχνική για να καταφέρετε να αποκρύψετε πληροφορίες που είναι ζωτικής σημασίας για την εύρυθμη λειτουργία του Blog σας είναι η απόκρυψη από τις μηχανές αναζήτησης των φακέλων που φιλοξενείτε ο πυρήνας του Blog σας. Αυτοί οι φάκελοι είναι γνωστοί και εύκολα αναγνωρίσιμοι καθώς στο όνομά τους έχουν το πρόθεμα WP. Η απαγόρευση σε αυτούς, εισόδου των μηχανών γίνεται με έναν πάρα πολύ απλό τρόπο, προσθέτοντας απλά στο αρχείο robot.txt την ακόλουθη εντολή.

Disallow: /wp-*

5) Μην εμφανίζετε την έκδοση του WordPress σας.

Τα νέα στο διαδίκτυο κυκλοφορούν πολύ γρήγορα, έτσι σε περίπτωση που κάποια «τρύπα» ασφαλείας γίνει γνωστή για μια έκδοση (την έκδοση που χρησιμοποιείτε) του WordPress (ισχύει και για κάθε άλλο CMS) τότε …οι επίδοξοι εισβολείς αναζητούν να βρουν αυτή την έκδοση σε σελίδες που βρίσκονται online και να εκμεταλλευτούν το κενό ασφαλείας που έγινε γνωστό.
Για να καταφέρετε λοιπόν να μειώσετε και αυτόν τον κίνδυνο, καλό είναι να μην εμφανίζετε την έκδοση στην οποία στηρίζετε το Blog σας.

Για να το πετύχετε αυτό θα πρέπει να προσθέσετε στο αρχείο function.php του στυλ (template – theme ή όπως αλλιώς μπορεί να σας είναι γνωστό) που χρησιμοποιείτε την ακόλουθη γραμμή:

Κώδικας: Επιλογή όλων
<?php remove_action(‘wp_head’, ‘wp_generator’ ); ?>

6) Χρησιμοποιήστε πρόσθετα που αυξάνουν την ασφάλεια

Και όμως υπάρχουν, πρόσθετα (plugins) τα οποία φροντίζουν να κρατήσουν στο μέτρο του δυνατού, έξω από το Blog σας και να αντιμετωπίσουν επιθέσεις σε αυτό τους επίδοξους εισβολείς (hackers). Ένα από αυτά είναι και το WordPress Firewall το οποίο είναι ίσως από τα πλέον απαραίτητα για να έχετε λιγότερους πονοκεφάλους.

7) Αντίγραφα Ασφαλείας

Το σημαντικότερο όλων για να καταφέρετε να διατηρείτε το Blog σας ασφαλές είναι η δημιουργία και διατήρηση εφεδρικών αντιγράφων ασφαλείας. Είναι ένα κομμάτι που όσο και αν το βλέπουμε και το ακούμε παντού δυστυχώς ….είναι πολύ πίσω! Μπορεί ο hoster που μας φιλοξενεί να διατηρεί αντίγραφα ασφαλείας όμως ένα είναι σίγουρο! Τα δικά μας αντίγραφα την στιγμή που κάνουμε κάποιες αλλαγές ή την στιγμή που έχουμε προσθέσει κάποιο κείμενο – άρθρο είναι ότι καλύτερο!

Ο πάροχος φιλοξενίας μας λαμβάνει αντίγραφα με αυτόματο τρόπο (στην PascM.Gr λαμβάνουμε και διατηρούμε αντίγραφα ασφαλείας κάθε μέρα – ενώ διατηρούμε και εβδομαδιαίο και μηνιαίο αντίγραφο) όμως αυτό δεν μας καλύπτει πάντα και απόλυτα!

Η καλύτερη μέθοδος είναι η διατήρηση από εμάς ενός ή και περισσοτέρων set αντιγράφων ασφαλείας για να μπορούμε ανα πάσα στιγμή να έχουμε τον πλήρη έλεγχο στο αντίγραφό μας και την επαναφορά του. Παράλληλα από την στιγμή που ο πάροχος λαμβάνει αντίγραφο ασφαλείας με αυτόματο τρόπο είναι πολύ πιθανό να έχουμε ένα αντίγραφο το οποίο έχει ήδη δεχθεί επίθεση…ή είναι αρκετά παλιό (ανάλογα και πότε θα αντιληφθούμε το πρόβλημα).

8) Προσοχή στους κωδικούς ασφαλείας

Η αλήθεια είναι ότι αρκετές φορές το πρόβλημα βρίσκεται εκεί! Δηλαδή στους εύκολους κωδικούς ή στους μη σωστά αποθηκευμένους. Αρκετοί χρήστες χρησιμοποιούν απλές ημερομηνίες ή λέξεις που είναι πάρα πολύ κοινές για να δημιουργήσουν τον κωδικό ασφαλείας τους και σ’ αυτό κανείς δεν μπορεί να κάνει κάτι για να μας προστατέψει! Πρέπει λοιπόν εμείς οι ίδιοι να διατηρούμε τους κωδικούς ασφαλείας επαρκώς δύσκολους αλλά και σωστά αποθηκευμένους για να μην αντιμετωπίζουμε προβλήματα.

Ένας ακόμη παράγων που επηρεάζει την ασφάλεια των κωδικών μας είναι το καθαρό από ιούς μηχάνημα / υπολογιστής από το οποίο κάνουμε τις όποιες εργασίες στο Blog μας. Δυστυχώς αρκετοί από εμάς δεν φροντίζουν για την ασφάλεια του υπολογιστή τους όσο θα έπρεπε με αποτέλεσμα αρκετές φορές να υπάρχει το φαινόμενο της υποκλοπής των κωδικών πρόσβασης από προγράμματα που έχουν ήδη μολύνει τον υπολογιστή μας όπως π.χ. Keylogers…

Πηγή: http://www.pascm.net/wordpress/wordpress-security/