securitatea şi vulnerabilitățile platformei wordpress (upload).pdf
TRANSCRIPT
-
Universitatea Politehnica Bucureti Facultatea de Automatic i Calculatoare
Managementul i Protecia Informaiei
LUCRARE DE DIZERTAIE Securitatea i vulnerabilitile platformei WordPress
Coordonator
Prof.dr.ing. Sgrciu Valentin
Student
Badea George-Adrian
Bucureti
2015
-
- 0 -
1. Introducere
ntr-o lume a vitezei nevoia de dezvoltare rapid a aplicaiilor web este mai mult dect necesar. Ideea de rapid development n web a atins apogeul o dat cu apariia sistemelor de administrare a coninutului (CMS).
Utilizarea unui CMS n crearea unui website sau a unei aplicaii web reduce timpul de dezvoltare cu pana la 50%, iar administrarea se face mult mai uor chiar i de persoane neexperimentate (majoritatea CMS-urilor avnd un sistem WYSIWYG de editare a
paginilor).
Pe lng avantajele prezentate mai sus, utilizarea unui CMS are i dezvanataje, iar cel mai mare dintre acestea ar fi vulnerabilitatea n faa unui atac. Aceast vulnerabilitate este data, printre altele, de structura arborelui de fiiere pe care orice CMS o are n standard. Astfel toate paginile de login sunt cunoscute pentru toate CMS-urile dac utilizatorul nu a schimbat calea ctre acestea.
n particular, pentru platforma Wordpress calea ctre login este http://www.numesite.ro /wp-login nc de la primele versiuni, iar la Drupal calea este http://www.numesite.ro/?q=user sau pentru Joomla
http://www.numesite.ro/administrator.
Necesitatea unui modul/plugin care va asigura securitatea acestor platforme este mai
mult dect necesar.
2. Noiunea de CMS
Un sistem de administrare a coninutului sau CMS (n englez Content Management System, CMS) este un sistem software creat pentru automatizarea ct mai deplin a gestiunii coninutului, n special a siturilor web. Scopul este de a reduce sau elimina intervenia programatorilor la editarea i administrarea siturilor lor. CMS-ul faciliteaz organizarea, controlul i publicarea de documente sau alt tip de coninut, cum ar fi imagini i resurse multimedia. Un CMS faciliteaz adesea crearea in comun de documente. Un "CMS web" este un CMS cu faciliti adiionale pentru uurarea publicrii de coninut pe diversele situri.
Date fiind complexitatea siturilor web i inexistena unui model standard, definirea unitar a CMS precum i a prilor sale componente este foarte greu de realizat. Graniele dintre portale, sisteme CMS, DMS (Document Management System Sistem de Administrare a Documentelor) i ECS (E-commerce Systems Sisteme de Comer Electronic) nu sunt evidente i acestea adesea se suprapun.
Sistemele de administrare a coninutului web sunt folosite adesea pentru stocarea i controlul documentelor cum ar fi articole, manuale tehnice sau de alte naturi, ghiduri de vnzri i brouri demarketing. Un CMS poate avea urmtoarele funcii:
-
- 1 -
Crearea i transferul de documente i material multimedia
Identificarea utilizatorilor cheie i a rolului lor n gestionarea coninutului
Atribuirea de roluri i responsabiliti diferitelor categorii de coninut
Definirea de sarcini de lucru, adesea cuplate cu trimiterea de mesaje n funcie de eveniment, astfel nct managerii de coninut sunt alertai automat cnd intervin schimbri ce i privesc
Urmrirea i organizarea mai multor versiuni ale aceluiai element de coninut.
Publicarea coninutullui ntr-o bibliotec, pentru a sprijini accesul la coninut. n ultima vreme biblioteca (baz de date) este o parte tot mai important a sistemului; ea poate fi uor interogat.
De obicei un asemenea sistem ofer unelte software prin care utilizatorii fr cunotine de programare pot totui crea i organiza coninutul cu relativ uurin. Majoritatea sistemelor folosesc o baz de date pentru stocarea coninutului, i un layer de prezentare pentru afiarea acestuia vizitatorilor obinuii, bazat pe un set de modele sau mostre (templates). Administrarea se face n mod normal printr-un browser web, dar unele sisteme pot fi modificate i pe alte ci.
Un CMS web difer de creatoare de situri precum FrontPage sau Dreamweaver prin faptul c un CMS permite utilizatorilor fr cunotine tehnice s fac schimbri n sit cu training puin sau deloc. Un CMS este uor de folosit i permite utilizatorilor autorizai s administreze un sit web. Un CMS este mai mult o unealt de ntreinere dect de creere de situri.
Un sistem de administrare a coninutului web ofer urmtoarele faciliti cheie:
Templateuri automate - Creeaz templateuri vizuale standard care pot fi aplicate automat coninutului nou i existent, crend un punct central pentru schimbarea interfeei unui sit web.
Coninut uor editabil - Odata ce coninutul e separat de reprezentarea vizual a sitului, editatul i manipulatul devin de obicei mult mai uoare i mai rapide. Cele mai multe CMS-uri includ unelte de editat WYSIWYG ce permin personalului ne-tehnic s creeze i s editeze coninut.
Scalable feature sets - Cele mai multe CMS-uri au pluginuri sau module care pot fi instalate uor pentru a extinde funcionalitatea.
Upgrade-uri dup standardele web - Soluiile active de administrare a coninutului primesc de-obicei update-uri regulate care includ noi faciliti i in sistemul lastandardele web.
Administrarea workflow-ului - Workflowul este procesul crerii de sarcini secveniale i paralele care trebuiesc indeplinite de ctre CMS. De exemplu, un creator de coninut scrie un articol care nu este publicat pe sit pn cand nu este curat de editorul de copii i aprobat de editorul ef.
Administrarea documentelor - CMS-urile pot veni cu mijloace de gestionare a ciclului de via al unui document, de la creare, prin revizii, publicare, arhivare i distrugere.
-
- 2 -
2.1 Terminologie
Urmtorii termeni sunt adesea folosii referitor la CMS-urile web, dar nu sunt nici standard nici universali:
Bloc - Un bloc este un link ctre o seciune din situl web. Blocurile pot de-obicei fi setate sa apar n toate paginile sitului (de exemplu pe un meniu de navigaie) sau doar n pagina principal.
Modul - Un modul de coninut este o seciune a sitului, de exemplu o colecie de articole de tiri, o seciune FAQ, etc.
Tem - O tem definete aparena fiecrei pagini din sit, controlnd proprieti cum ar fi culori i fonturi.
2.2 Tipuri de CMS
1. CMS-uri bazate pe module - Majoritatea sarcinilor din ciclul de via al unui document sunt ndeplinite de module ale CMS-ului. Module comune sunt crearea i editarea de documente, transformarea i publicarea.
2. TODDS CMS - TODDS (din engleza "Totally Organic Data Driven System"). E o unealt nou care ajuta departamentele IT s-i fac slujba mai eficient, n special cnd ar trebui s aparin unei organizaii de tip marketing.
3. CMS bazat pe web - O alt apropiere fa de construirea de CMS-uri folosete baze de date cum ar fi PostgreSQL, MySQL sau MS SQL, i limbaje de scripting cum ar fi Coldfusion, PHP,JSP sau ASP pentru interaciuea cu datele, pentru a le introduce n coninutul vizual. Datele sunt compilate n pagini HTML sau alte documente i transformate folosind CSS. Aceste sisteme pot include un numr de alte funcii, cum ar fi forumurile, blogurile sau newsletterele e-mail.
3. Wordpress
WordPress este o platform de tip surs deschis pentru publicarea blogurilor.
Platforma WordPress este scris n limbajul PHP, folosind pentru gestionarea bazelor de
date sistemul MySQL. Dispune un sistem de abloane scrise n limbajele HTML i CSS.
Avantajele majore prezentate de WordPress sunt simplitatea i numeroasele plugin-uri
create de ctre comunitate care pot modifica funcionalitatea WordPress-ului
tranformndu-l n aproape orice tip de site web. De asemenea interfaa poate fi schimbat
foarte uor cu ajutorul multitudinii de teme gratuite sau premium cu doar un clic.
-
- 3 -
3.1 Istoric
Wordpress a aprut n anul 2003 ca succesor al platformei de blogging b2/cafelog, care era utilizat de aproximativ 2000 de bloguri la acea vreme. Ca o parantez, ambele platforme sunt scrise n PHP i folosesc MySQL. b2/cafelog a aprut n 2001, iar n mai 2003, doi dezvoltatori, Matt Mullenweg i Mike Little au creat WordPress aducnd modificri platformei b2/cafelog. Numele de WordPress a fost sugerat de Christine Selleck, o prieten de-a lui Matt Mullenweg.
Cum e i normal, sunt mai multe versiuni de WordPress, ncepnd cu 0.70 pn la 3.8. Multe dintre ele, ncepnd cu 1.0, sunt numite dup cte un celebru cntre de jazz (Charles Mingus, Ella Fitzgerald, Dexter Gordon i alii).
n versiunea 1.2 (2004) se adaug suportul pentru Plugin, unul din motivele pentru care WordPress este aa de folosit. Versiunea 1.5 a venit cu suport pentru Template-uri, un alt lucru pentru care este apreciat WordPress, iar versiunea 2.0 (2005)
ne-a adus o nfiare nou.
ncepnd cu WordPress 2.2 (2007) este introdus suportul pentru Widget-uri, lucru
care ne face nou viaa mai uoar de multe ori. Versiunea 2.5 (2008) a avut parte de un redesing al Paginii de Administrare.
Dac pn la versiunea 2.6 plugin-urile i template-urile trebuiau instalate manual (adic trebuiau urcate manual pe server folosind FTP), o dat cu versiunile 2.7 i 2.8 a venit i posibilitatea de a instala plugin-urile i Tempalte-urile direct din Pagina de Administrare. Asta pentru ca WordPress s fie mai uor de folosit de majoritatea persoanelor. Versiunea 3.0(2010) ne-a adus un nou template implicit, TwentyTen i alte mbuntiri de sub capot.
Wordpress 3.8.1 (2014) este ultima variant stabil lansat.
3.2 Versiuni
Vezi Anexa 1.
-
- 4 -
3.3 Prezentarea panoului de administrare
Panoul de administrare al platformei Wordpress este uor de accesat, prin simpla
accesare a adresei: http://www.numesite.ro/wp-admin
Dup login, utilizatorului i este expus panoul de administrare:
Acesta conine toate uneltele necesare pentru a modifica i customiza website-ul dup
dorina utilizatorului.
-
- 5 -
Pe sidebar-ul panoului de administrare se gsesc, n standard,
urmtoarele tab-uri:
Dashboard
Posts
Media
Pages
Comments
Appearance
Plugins
Users
Tools
Settings
Crearea unor pagini noi se poate face uor prin simpla accesare a
tab-ului Pages din meniul panoului de administrare.
-
- 6 -
3.4. Dezvoltare i metamorfozare
Avnd n vedere c acest CMS a fost dezvoltat pentru a fi folosit ca un blog, ideea
de a putea fi transformat ntr-un online shop prin simpla instalare a unui plugin i-a asigurat
popularitatea de care se bucur n ziua de astzi.
n prezent exist cteva plugin-uri ce fac posibil transformarea Wordpress-ului
ntr-un online shop veritabil.Prin cele mai populare se pot mentiona: WooCommerce, WP
e-Commerce, Ecwid, eShop.
Cel mai popular dintre acestea fiind WooCommerce dezvoltat n Noua Zeeland.
Dar posibiltatea de transformare nu se oprete aici. Printre categoriile existente de
plugin-uri putem meniona:
Schedule plugins
Gallery plugins
SEO plugins
Backup & Restaurations plugins
Security plugins
Contact form plugins
Language plugins
Aceste plugin-uri pot fi descrcate din directorul de plugin-uri existent la adresa
http://wordpress.org/plugins/. La momentul de fa exist 29 281 plugin-uri care au strns
593 995 099 descrcri.
-
- 7 -
Aceste extensii sunt gratuite, dar unele au dezvoltat i o versiune pltit ce ofer,
de obicei, noi funcii.
3.5 Extensii de securitate existente
n momentul de fa, n directorul de plugin-uri al Wordpress-ului exist un numr
mare de plugin-uri care rezolv o parte din probleme de securitate i vulnerabilitile
platformei.
Prin cele mai descrcare putem meniona:
1. Wordfence security (1 339 329 descrcri)
2. Bulletproof Security ( 1 019 298 descrcri)
3. WP Security Audit Log (64 390 descrcri)
4. Better WP Security (1 553 908 descrcri)
5. All in one WP Security & Firewall (151 895 descrcri)
6. Acunetix security (1 332 656 descrcri)
7. Total security (912 908 descrcri)
8. Htaccess Secure Files (4 304 descrcri)
9. Website defender security (64 307 descrcri)
10. More Secure Login (3 262 descrcri)
Plugin-urile menionate mai sus rezolv cu succes probleme existe, dar
momentan nu exist un plugin gratuit ndeajuns de complex nct sa le rezolve pe toate.
Majoritatea problemelor rezolvate de aceste pluginuri se refer la permisiunile
Read Write Execute de ctre anumite grupuri: Proprietar, Grup sau Public.
O alt problema abordat o reprezint restrictionarea accesului n directoarele
WordPress. Pentru a mpiedica vizitatorii s acceseze directoarele de pe server i s
vad coninutul acestora.
Problema cea mai des ntalnit o reprezint actualizarea nucleului Wordpress si
a plugin-urilor instalate.
Una din problemele majore pe care aceste plugin-uri nu le rezolv ar fi calea de
login (/wp-admin). Soluia pentru aceast problem se regsete la un alt CMS:
Prestashop. Acesta oblig utilizatorul, nc din stadiul de instalare, s modifice calea
catre panoul de administrare, astfel eliminnd aceasta vulnerabilitate.
Deci care e riscul?
-
- 8 -
Este logic c nu putem proteja un site pana nu ii stim toate punctele slabe i
ameninrile cu care ne confruntm. Deci hai s incepem n cunostin de cauz.
N acest capitol vom pregti scena prin prezentarea hackerilor i a trucurilor lor. De
asemenea vom lua n considerare i modul n care aceste trucuri ne pot afecta site-ul,
direct sau indirect.
Cunoate-i dumanul, fie direct sau indirect i nivelul su de pricepere
Ia n considerare securitatea fizic i ameninrile din partea ingineriilor sociale
Cntrete securitatea OS, politica allow vs deny i sursa open vs closed
Ia n considerare malware-ul
Calculeaz riscurile care pot aprea de la mainrii locale precum calulatoare
sau routere
Pete cu grij n terenul minat care este internetul
Msoar vulnerabilitile la adresa lui WordPress i a codurilor tere
Acioneaz asupra fragilitilor serverului
Ai putea crede c toate astea nu au nici un impact asupra securitii WordPress. Te-ai
nela.
Site-ul tu este la fel de sigur ca i cea mai slab legtur a sa: dispozitivele care te
ajut la administrare, securitatea fizic, disciplina ta online. Ca s impun acest punct de
vedere, v dau un mic exemplu: dac ai un blog wordpress administrat de Automattic
sau ai un hosting dedicat, dac un hacker i procur o parol din calculatorul tu,
atunci ai pierdut toate pariurile.
Dar s stabilim un lucru de la nceput. Nu exist securitate complet i oricine spune
altfel are sigur ceva de vnzare. Cu toate astea, ceea ce noi putem realiza cu atenie i
dedicare, este de a nelege, de a ne bloca locaiile, de a consolida legturile i de a ne
disciplina practicile n faa computerului.
Chiar i aa nu vom avea nici o garanie.
Risc calculat
Deci care este riscul, n sine? Uite o modalitate de a privi problema:
Risc=VulnerabilitatexAmenintari
-
- 9 -
O vulnerabilitate este o slbiciune, o gaur in armura ta. Un internet wireless setat prost
sau un plugin codat prost, un stickz note pe care e scris parola sau un email necriptat.
Sau poate e doar tipul obosit de la securitate. Pot fi 1000 de lucruri diferite. Concluzia
este c vulnerabilitatea ine strict de ignorana noastr.
O ameninare, pe ealalt parte, este o exploatare, un mod de a profita de defecte i a
compromite un PC, un router, un telefon sau site-ul tu. Este o unealt care ne
intercepteaz wirelessul, emailurile i aa mai departe.
Riscul este probabilitatea de a fi hckuit. Dac upgradezi pluginul cu defecte, de
exemplu, atunci ameninarea este mic, astfel reducnd riscul. Unele riscuri rmn
pentru c, unde o vulnerabilitate este gsit, va fi cineva undeva care va gsi o
modalitate s o exploateze. Aceast lupt de-a oarecele i pisica se numete
securitate.
Probabil c te ntrebi, de ce s ne deranjm s calculm riscul? Pn la urm orice
vulnerabilitate ne cere atenia. Nu ai grei dar securizarea diferitelor bunuri , iar fiecare
pot aduga riscuri, este foarte complex. Prioritizarea riscurilor ne ajut s identificm
problemele cele mai urgente i, ideal ajutai de o poli de securitate, s asigurm
mentenan continu.
Securizarea unui site nu se face o singur dat. Ameninrile sunt att de vaste nct a
devenit o disciplin continu.
Privire n ansamblu asupra riscurilor
Hai s lum un site WordPress, s enumerm posibilele vulnerabiliti i s analizm
riscurile.
WordPress este o aplicaie interactiv de blogging scris n limbaj PHP i lucreaz n
conjuciune cu o baz de date SQL pentru a stora date i content. Mrimea i
complexitatea acestui content manager este extins cu coduri tere precum teme i
pluginuri. Structura i site-ul WordPress sunt instalate pe un server si sta, platforma i
sistemul de fiiere sunt administrate de la distan.
WordPress. Milioane de site-uri plus 20 milioane de bloguri pe wordpress.com,
platforma Automattic fiind atatcat ncontinuu de hackeri. Conform wordpress.org, 40%
din site-urile self-hosted ruleaz cu versiunile 2.3 pn la 2.9.
Interactiv. Doar prin a fi politicoi, nu mai zic de a oferi interaciune, site-urile devin
inte. Un website, pn la urm, este efectiv un sertar deschis ntr-un dulap care nu se
-
- 10 -
poate ncuia i anume serverul. Deci practic invitm oameni nu numai s citeasc dar
s i manipuleze fiiere i date.
Aplicaie, mrime i complexitate. Aplicaiile au nevoie oricum de securitate dar, daca
lum n calcul mrimea i complexitatea lui WordPress, sunt mai multe probleme de
rectificat.
PHP, coduri tere, plugin i teme. Iat o dinamic cu totul nou. Folosirea codurilor
PHP prost scrie sau prost ntreinute invit atacuri.
Baza de date SQL. Conin cele mai valoroase date, MzSql i alte aplicaii de date sunt
disponibile utilizatorilor, astfel devenind inte sigure.
Date. Datele userilor, de la email pn la declaraii financiare sunt rvnite de cibernetici
iar compromiterea lor i implicit a contentului, ne cost de la reputaie pn la interdicie
n motoarele de cutare, astea pe lng costurile financiare.
Content i media. Contentul este copiat cu regularitate fr permisiune. La fel i cu
fiierele media, care pot fi expuse pe alte site-uri n timp ce tu plteti pentru storare i
limea benzii.
Site-uri. Acestea-la plural- adaug un risc pentru c un compromis aprut la unul din
ele le compromite pe toate.
Web server. Tehnologia de server poate fi spart direct sau prin WordPress, punnd n
pericol att site-ul ct i datele i poate fi folosit ca ramp de lansare pentru atacuri mai
ample.
Sistem de fiiere. Fiierele nesecurizate corespunztor pun la dispoziie o metod de
penetrare a site-ului.
Administrare la distan. Content casual sau nesecurizat, site-ul, serverul i
administrarea permit atacuri multi-faetate si asta necesit disciplin, un mediu de lucru
sigur i o conexiune impenetrabil.
Cunoate hackerii
Poate sun ca o anatem dar o mare parte a acestei cri este legat de transformarea
inocenei tale n isteimea unui hacker.
Acesta nu este vreun plan viclean ns lucrurile chiar aa stau. Ca s prinzi un ho
trebuie s gndeti ca un ho.
-
- 11 -
n plus, nu toi hackerii sunt att de ri. n mare exist trei tipuri plria alb, plria
gri i plria neagr fiecare cu subgrupurile sale.
Plriile albe
Un precedent important plaseaz plriile albe deasupra tuturor celorlate grupe:
permisiunea.
Cunoscui i ca hackeri etici, aceti oameni deceni sunt motivai s:
nvee despre securitate
Testeze vulnerabilitile
S localizeze i s monitorizeze activitatea ruvitoare
S raporteze probleme
S sftuiasc
S nu fac nimic ilegal
S respecte un cod de etic pentru a nu duna nimnui
Aa c atunci cnd ne testm securitatea pn la limite, asta ar trebui s ne includ i
pe noi. ine minte.
Plriile negre
Fr doar i poate, au intenii necurate i sunt subcategorizai astfel:
Botnet
Un botnet este o reea de roboi automatizai, sau scripturi, adeseori implicai n activiti
malicioase, precum spamming sau minarea datelor. Reeaua tinde s fie alctuit din
mainrii zombie, precum serverul, care pot cauza haos la comand.
Operatorii botnet, acele plrii negre, nu au interes n dunarea site-urilor. Vor ns un
control tcut al resurselor serverului pentru ca mailbotul s ppoat rspndi malware
sau atacuri DoS ( Denial of Service).
-
- 12 -
Cybercriminali
Acetia sunt hackeri a cror activitate variaz de la scrierea i automatizarea malware
pn la data-mining, extracia informaiei sensibile pentru exploatare sau vnzare. Nu e
bine s-i ai de dumani aa c voi mai aduga doar c sunt foarte inteligeni.
Hacktiviti
Oameni cu gndire politic i adeseori nclinai ctre informarea liber, aceti hacktiviti
ar putea face parte i din primul grup.
Scraper
Dei nu sunt tehnic hackeri, acetia fur coninut adesea feed-ul site-ului pentru
benefitul propriilor bloguri.
Script kiddies
Acest grup vast conine tot, de la novici bine intenionai pn la artiti de graffiti online
care, cnd i-au invadat site-ul, l stric doar pentru distracie.
narmai cu tutoriale i un share plin de warez malicios, sunt o ameninare considerabil
pentru c fac cte pagube pot.
Spammeri
Din nou nu sunt tehnic hackeri dar acest grup vast triete de pe urma blogurilor sau
listelor de mailing pentru a-i promova afacerile care, cel mai des se nvrt n jurul
produselor farmaceutice. Pot automatiza bombe de marketing sau s ncastreze link-uri
ascunse dar, nu conteaz ct de educaionale sunt comentariile lor, spammerii sunt n
general doar o pacoste i nu o ameninare.
Misfit
Nu este un jargon de data asta, acest grup include angajai nemulumii, oamenii care
nu sunt iubii i acel tip de peste drum care nu te-a plcut niciodat.
Plriile gri
Acetia pot avea intenii bune dar se pare c i pierd busola moral.
Hackeri i crackeri
Strict vorbind, hackerii sunt doar plrii albe crora le place s vad cum funcioneaz
lucrurile.
-
- 13 -
Crackerii sunt plrii negre sau gri. Probabil au mprumutat jucriile altora pe care le-au
transformat n explozibil.
De-a lungul anilor, liniile dintre cracker i hacker s-au bruiat pn la punctul n care
hackerii nemulumii se descriu ca fiind hackeri etici.
n spiritul simplicitii ne vom referi la toi cei care ncearc sa intre n site, indiferent c
sunt buni sau ri, ca hackeri.
Pn acum, am marcat importana unui mediu de lucru sigu i a unei reele sigure.
Acum vom ncepe s aprofundm i vom analiza mai nti riscurile fizice care trebuie
luate n considerare.
Riscurile se mpart n dou categorii: fizice i tehnice, iar aici ne preocup cea din urm.
Riscul fizic se refer la pierderea sau folosirea neautorizat a materialelor care conin
date:
Intrare prin efracie
Colectarea informaiilor valoroase direct din tomberon sau coul de gunoi
Foti angajai nemulumii
Obiecte pierdute, de exemplu laptop uitat n metrou
Ceva se stric pu i simplu.... de exemplu hard-drive
Iat nc cteva steaguri roii pe care trebuie s le ai n vedere cnd ncerci s
minimalizezi riscurile fizice:
ntrirea pazei, indiferent dac ai supraveghere sau nu. Cine are cheile?
Documentele i hrtiile trebui s fie distruse
Calculatoare conectate i nesupravegheate sau un hard drive necriptat.
Hardware de la calculator, telefon sau alte dispozitive
Fra Ethernet
Absena proteciei mpotriva fluctuaiei de energie electric
Asta nu este o list complet. Pentru companii mijlocii spre mari, e abia nceputul i tu,
cel puin, ai nevoie de un consultant n securitate care s te sftuiasc pe toate
planurile, inclusiv pregtirea angajailor.
-
- 14 -
Dzc lucrezi n echip cel puin ai nevoie de o poli referitoare la fiecare dintre aceste
elemente, indiferent dac i afecteaz munca direct sau indirect.
Ingineria social
Este o practic veche de a pcli oamenii ncreztori s execute ceva sub pretenii
false. Tehnicile foarte eficiente pot fi puse n aplicare att online ct i n persoan. Iat
cteva exemple ferme:
Telefoane
Persoane sau angajai de companie pot fi targetai cu un telefon din partea cuiva care
pretinde a fi un coleg nou, un ef iritat, un manager de resurse umane sau un
administrator IT ngrijorat. Acest inginer ar putea pretinde sau cere informaii sensibile
precum un nume, contact, un username sau o parol. Pot suna chiar i din holul
instituiei sau un caller ID fals pentru a le oferi credibilitate.
Walk-IN
Alternativa Walk-In a scamatoriei telefonice ne prezint un inginer social jucnd un rol
pentru a avea acces ntr-o cldire i a ctiga ncrederea oamenilor.
URL-uri ademenitoare
Ca s nu mutm pe varianta tehnic, un link atractiv, eventual adugat pe site fr
cunotina proprietarului, i atrage atenia aa c dai click pe el. i astfel ai fost supus
unui atac Cross Site Scripting (XSS). Site-ul recuperat este malitios dar tu nu vei
suspecta asta. Ai putea fi ademenit n descrcarea unui malware dac nu ai fcut asta
deja cnd ai intrat pe pagin. Acesta este un scenariu des ntlnit.
Phishing
Aceste neltorii pe email prolifice adeseori vor ncerca s te tenteze s intri pe un site
unde vei fi scalpat. Ca o alternativ, poi primi un email de la cineva pe care aparent l
cunoti i care i trimite un fiier. Odat executat, acest Trojan rootkit i ofer hackerului
o porti ctre calculatorul si reeaua ta.
Reeaua social (i aa mai departe)
Iat o pia n continu cretere. Cu acces la datele tale, avnd ncredere in orice
aplicaie social i friending toi strinii cu profile online pur i simplu ceri probleme.
Este extrem de simplu s creezi probleme att prin site-uri de socializare ct i prin
forumuri, site-uri personale sau business i n grupuri unde, spre exemplu, poi avea un
-
- 15 -
angajat nou care ntreab care e problema cu versiunea veche i vulnerabil a unui site
precum WordPress.
Protecie mpotriva ingineriei sociale
Ingineria social este greu de nvins, dar ce putem face este s aducem ct mai multor
oameni la cunotin i s crem nite polie care specific ce informaii au voie s
divulge membrii echiper noastre.
ine minte c acel tip care i copiaz in calculator o glum bun i poate uploada n
acelai timp i un worm, fata care se folosete de reeaua ta wireless i poate infiltra
reeaua iar colegul care i admir telefonul i poate copia datele. Trebuie s fii extrem
de atent n cine ai ncredere.
Risc tehnic. Hai s avansm ctre evaluarea i protecia riscurilor tehnice ale site-ului
tu i, prin relaie, problemelor de reea care i pot compromite munca.
Vom ncepe s evalum subiectul cu calculatoarele i vom termina cu serverele i site-
ul n sine.
Evaluarea lui Windows, Linux i Mac OS
S fim clari, nici un sistem nu este imun la virui pentru c toi putem fi pclii de
ingineri sociali sau s descrcm un malware. Totui, dac eti serios n privina
securitii, folosete un sistem care a fost construir cu securitate n minte. Cu alte
cuvinte acela ar fi Linux sau, unul mai slab, Mac. De ce?
Beneficiaz de permisii denz-by-default
Linux este open source
Permisiile deny-by-default
Windows este demult targetul preferat al hackerilor din cauza popularitii sale. i mai
este un motiv. Pn la Vista, sistemele Windows erau foarte uor de ptruns datorit
permisiilor allow-by-default unde un utilizator standard nu are nevoie de privilegii
administrative pentru a executa un script. Ar putea fi un program prietenos sau ar putea
fi un virus.
Compar asta cu poliele deny-b-default ale lui Mac i Linux: nimeni nu poate executa
fiiere fr drepturi asemntoare cu cele ale unui administrator. Cnd auzi utilizatorii
acestor sisteme zicnd c nu folosesc un antivirus lucru care nu e recomandat oricum
-
- 16 -
li cu toate astea nu au avut probleme, sta e motivul. i mai este un motiv. Pn
acum hackerii nu au atacat aceste sisteme ns, de cnd Windows 7 a devenit mai
complicat, vor ncepe s le atace, mai ales Mac OS.
ntre timp Microsoft a decis s ruleze o securitate U-Turn care adopt deny-by-default.
L-au numit User Account Control. Vista n schimb nu avea nici o securitate. Windows
7 este un sistem decent care ofer i securitate pe lng frumusee.
Avantajele Open-Source
Precum WordPress i alte aplicaii de server gen Apache, MySQL sau PHP, Linux este
open source, deci ce nseamn asta?
Ia ca exemplu Windows. Este closed source, software brevetat, asta nsemnnd c
doar un numr mic de persoane l pot dezvolta.
Compar asta cu majoritatea sistemelor Linux. Fiind open-source, poate fi modificat i
testat de oricine, ntr-o ierarhie strict de useri pentru a asigura calitate i control.
Mac OS X,are o interfa i aplicaii brevetate, dar are un kernel open source, sistemul
de baz care, n acest caz, este o bifurcaie a BSD.
n afar de faptul c este gratis, software-ul open source este testat mult mai sever i
fixarea oricror erori se face mult mai repede.
Sumar al securitii de sistem
n materie de sisteme user-friendly, Linux are un avantaj al securitii. Acestea fiind
spuse, sistemul Mac nu este departe iar Windows 7 merit laude. O comparaie
justificat nu se poate face avnd n vedere faptul c hackerii se axeaz n principal pe
Windows.
XP are nevoie de o disciplin maxim pentru a atinge un oarecare nivel de securitate
ns asta nu nseamn c nu poate fi folosit. Totui nu este ncurajat ca acest sistem s
fie folosit n scopuri business, unde securitatea datelor este primordial.
Acum vom analiza ce tipuri de malware pot afecta aceste sisteme. Se pot aplica
sisteme anti malware pentru a controla aceste ameninri, n special pentru Windows,
sistemul care are cea mai mare nevoie de ele.
Disectarea Malware
Deci, ce este un rootkit? S categorizm tipul de malware i jargonul folosit pentru
acestea, ca lucrurile sp fie ct mai clare.
Ameninri amestecate
-
- 17 -
Cele mai mari ameninri cu care ne confruntm, att local ct i pe server, sunt de la
cocktailuri de malware care, cu mixul de coninuturi, sunt capabile de atacuri
devastatoare.
Spre exemplu, combinarea unui worm cu un toolkit v va obine faimosul W32/Blaster.
Acest Blaster se folosete de deficienele lui Windows pentru propagarea sa iar
misiunea este de a executa un Denial of Service pe serviciul Windows Update de la
gazde infectate, toate n acelai timp. n vreme ce viermele n sine nu cauzeaz
probleme de durat, le ncetinete i blocheaz conexiunile de internet, ngreunnd
descrcarea instruciunilor pentru a remedia problema.
Amestecuile personalizate n schimb, tind s adune mai multe versiuni de Trojan, o
comparaie similar ar fi amestecarea arsenicului cu zahrul i s l numeti bomboan.
Crimeware
O mod mai nou cnd vine vorba de infraciuni cibernetice este crimeware, care oate fi
gsit n mult forme care i fur datele confideniale cu scopul de a le exploata
financiar.n general acest gen de atac este ndreptat ctre reele guvernamentale,
financiare sau de natur militar.
Data loggers
Ca n cazul malware, pot fi echivalente folositoare pentru data loggers i le folosim
frecvent, de exemplu, pentru a nregistra i repeta exerciii precum completarea
formularelor.
n termeni de folosire maliioas, aceti data loggeri pot fi integrai n tot felul de
malware i plantate n mainrii pentru a ne nregistra activitatea, datele, de fapt tot ce
facem.
Probabil c se cunoate termenul de keystroke loggers sau keyloggers care ne
nregistreaz tastrile i trimit textul cuiva care le dorete sau se folosete de ele. Acest
keylogger are o multitudine de subgrupe, i nici una din ele nu sunt foarte prietenoase:
Keyloggers. Sunt unelte de spionaj, folosite pentru profilare social i minarea
datelor. Extrem de enervante numai cnd te gndeti la ele i periculoase n uzul
practic.
Form grabbers. Capteaz intrrile de date, inclusiv parolele ascunse.
Password loggers. Intr n aplicaii i, spre exemplu, cnd i introduci parola
super-secret, i va aprea ca un rnd de asteriscuri. De fapt acest program
salveaz i raporteaz datele introduse de tine
-
- 18 -
Screen loggers. Efectueaz capturi de ecran periodice sau, la clickul de mouse
capteaz ecranul.
Link loggers. Dac nu vrei ca ntreaga lumea s tie c pasiunile tale sunt
croetatul i tricotatul, fii extrem de atent cu acele link-uri ncurcate.
Sound loggers. i nregistreaz conversaiile prin VOIP
Wireless keyboard sniffers. Hackerul adun pachetele de date folosite n
interacionarea dintre tastatur i PC.
Keylogger acustic. Asimileaz un tipar de sunete din maniera n care tastezi,
noteaz diferenele subtile dintre fiecare tast i raporteaz hackerului.
Sunt mult mai multe de att, capturarea mesajelor text, a numerelor de telefon,
controlarea webcamului i aa mai departe, cu variabile nu numai independente dar i
ataate programelor, la drivere pentru tastatur, infiltrate n fiierul kernel sau chiar
funcionnd ca un sistem virtual, ascuns de cel real.
Aceti keyloggers sunt aproape imposibil de detectat i ne dau un motiv extrem de bun
pentru a ne ntreine aparaura.
Virus Hoax
Virusurile hoax sunt doar o pcleal i n general vor lua forma unu chain mail. Vor
crea o panic n cazul n care cineva este convins s tearg fiiere importante sau s
viziteze un site rogue care poate planta malware.
Rootkit
Acestea te trdeaz prin oferirea unui acces back door la un calculator i astfel i ofer
hackerului control administrativ, asociat cu toate privilegiile reelei. n plus, nu este la fel
de uor de detetat precum un malware i poate fi confundat cu fiiere rootkit importante
i dorite.
Spyware
Aceste spyware sunt extrem de bgcioase i sunt folosite la tot, de la analize de
marketing pn la monitorizarea angajailor.
Muli sunt de prere c o form de spyware este i acel tracking cookie i, mai exact,
acel flash cookie care i nregistreaz obiceiurile i este mai dificil de ndeprtat dect
un cookie obinuit.
Cal troian
-
- 19 -
Acest cal troian este mascat ca ceva folositor dar, dup ce este instalat, activeaz un fel
de malware.
Virui
Aceti virui vin adeseori acompaniai de un cal troian i pot fi transmii prin descrcri,
e-mail sau media i sunt executai manual pentru a infecta fiierele. Virusul macro este
un virus care se ascunde n fiiere macro i executat n programe office.
Worm
Se multiplic automat n calculator i se rspndesc rapid, penetrnd reele.
Ziua Zero
n lumea plriilor negre, ziua zero este la creme de la meme.
Deci ce este ziua zero? Aceast ntrebare este un oximoron, pentru c prin natura lor,
nimeni nu tie ce este ziua zero pn cnd nu o descoper.
Zilele zero sunt vulnerabiliti abia descoperite, cu un timp msurat pn cnd apare un
patch. Dac cineva este norocos, va nimeri o plrie alb care va remedia problema
nainte ca priile negre s o atace.
n realitate, aceast zi zero i manipularea unui malware stau la baza problemelor de
securitate, de la dispozitivele noastre pn la internetul propriu-zis.
Grij mondial
Securitatea reelei nu trebuie luat n glum.O dat ce te-ai conectat la internet,
ameninrile cresc.
Versiuni de browser vechi
Din toate programele locale, este browserul care ne conecteaz cel mai mult cu
ameninrile. Browserele care nu sunt upgradate religios sunt predispuse la infecii,
care pot aduce riscuri critice precum permiterea instalrii de malware chiar dac
utilizatorul nu face nimic dect s navigheze pe un site.
Browserul nu este singura noastr grij. i aplicaiile ne dau bti de cap. Cele care se
folosesc de internet ar trebui s ne aduc un plus de griji. n zilele noastre, acestea
reprezint marea majoritate i trimit rapoarte napoi la dezvoltatori. Se recomand
tergerea fiierelor nefolositoare i setarea pe upgradare automat.
Trafic necriptat
-
- 20 -
Orice date trimii cu ajutorul internetului pot fi interceptate i extorsionate. Poate fi
programul tu de messenger sau VOIP, poate fi e-mailul sau webmailul.
Site-urile sunt hackuite i adeseori vizitatorii sunt inta. Aa cum va fi detaliat n curnd,
putem naviga inocent pe un site, dm click pe un link i i apare ecranul albastru.
Acesta este doar un exemplu de baz dar ideea este c n mediul online este foarte
uor s fii pclit. Este i mai ru cnd nu eti avertizat de acel ecran albastru i nu eti
contient de faptul c tocmai ai descrcat un rootkit keylog.
Mai sunt i cele puse la cale pentru a crete traficul printr-o aplicaie Faceboo sau acele
linkuri scurte de pe Twitter.
Calculatoare publice infectate
Aici este vorba n principal de calculatoarele publice din cafenele. Acestea prezint un
risc crescut din cauza multiudinii de utilizatori cu acces administrativ.
Identificarea problemelor cu wireless
Identificarea acestor probleme este periculor pentru reeaua ta, portofelul tu i nivelul
tu de stres.
Avnd o conexiune ethernet este destul de sigur dar, dac nu ai securizat-o
corespunztor, ai muncit degeaba.
Eti i mai vulnerabil, adic pachetele tale de date pot fi interceptate, decodate i
minate. Dac:
Foloseti orice alt protocol de securitate dect WPA2
Asta te asigur.
Hotspot Wireless
ntr-o manier similar, este destul de evident c aceste hotspot nu sunt sigure pentru
site-ul tu.
Exist i gemeni malefici, care imit o conexiune wireless dar a fost setat de un phisher
adeseori uzurpnd o reea de cartier adevrat. Te ademenete cu acces gratis dar i
va copia toate datele i informaiile tale de cont n scopuri financiare.
-
- 21 -
Baza zero
Cnd vine vorba de toate ameninrile posibile, internetul este baza zero. Este fabulos
i te mbpgete. Dar este i de-a dreptul periculos.
Securitatea site-ului tu, a reelei, a afacerii i a identitii tale depind de nelegerea
pericolelor internetului i contracararea lor.
Risc pentru site i server
Riscurile online i locale se transform n ameninri ndreptate ctre site i server.
ngrijorarea major nu e greu de neles. Serverul, ca un calculator, este asemntor
unui dulap. Are multe sertare-sau porturi- i fiecare n parte conin fiiere de care un
serviciu depinde. Din fericire, multe din aceste sertare pot fi sigilate. ns cnd vine
vorba de acele sertare administrative, de exempl cele care conin panoul de control,
acelea trebuie s ne fie accesibile doar nou, i trebuie s ne folosim de o cheie de
securitate n combinaie cu fiierele n sine pentru a ne asigura c nu exist nici o
slbiciune. Alte sertare, de exemplu cele care conin fiierele web, nu pot fi nchise
niciodat pentru c altfel nu am putea accesa site-ul. Exist o grij n plus c cineva
poate accesa intern, dintr-un sertar oarecare, celelate sertare i astfel ntreaga reea.
Vulnerabiliti fizice ale serverului
Ct est de sigur acel dulap_ Am acoperit securitatea fizic i am detaliat arta ingineriei
sociale. n principal, trebuie s ne ncredem n gazdele web c menin centrul de date i
c i aleg cu atenie partenerii i angajaii. O copie de rezerv n afara serverului este
vital.
Porturi deschise cu servicii vulnerabile
Gestionm porturile i astfel diferitele tipuri de trafic n reea printr-un firewall. Asta
permite sau blocheaz pachete de date n funcie de portul cu care navigheaz.
Pachetele FTP spre exemplu navigheaz cptre portul 21. Traficul web sigur- https n loc
de http- se ndreapt catre 443. i aa mai departe.Nu conteaz dac un server FTP
este instalat, dac portul 21 este blocat atunci orice trefic este blocat.
Deci iat problema. S spunem c permii un server FTP cu o slbiciune cunoscut.
Apare un hacker, exploateaz deficiene i are acces la calculator printr-un port.
Muli din comunitatea bloggerilor vor cunoate termenul de Digg of death, o problem
ntmpinat des atunci cnd un post popular care conine acest Digg cauzeaz un
traffic rush i,dac gazda nu intervine i blocheaz traficul, poate coplei resursele. Aici
a avut loc un denial of service neintenionat.
-
- 22 -
Ca n cazul multor atacuri, atacurile DOS vin ntr-o mulime de forme dar scopul
maliios, adeseori concetrat ctre site-uri mari sau reele, este n general de a inunda
serviciile i de a dezactiva HTTP. Variantele distrbuite sunt cele mai puternice,
sincroniznd puterea combinat a unei reele zombie sau botnet mpotriva intei.
Probleme de acces i autentificare
n majoritatea cazurilor, pur li simplu blocm accesul prin dezactivarea serviciului i
nchiderea portului.Muli dintre noi nu avem nevoie dect de porturi web i de
administrare.
Porturile de srever, pentru acces direct a server sau folosirea unei ci de mjloc ca un
panou de control, pot fi folosite pentru intrri nedorite dac serviciul corespondent poate
fi exploatat sau un hacker i afl credenialele.
Atac buffer overflow
Acest tip de atac al memoriei este asistat de un software prost compus care folosete o
bucat de cod adesea introdus prin wed sau un device de monitorizare porturi.
Ca exemplu, atunci cnd trimii date printr-un formular, acesta se va salva ntr-un spaiu
de memorie, un buffer, unde ateapt s fie procesat. Acum imagineaz-i c cineva
trimite un cod mai lung, care ocup mai mult spaiu dect programatorul a permis. Din
nou, acele date vor beneficia de buffer dar, fiindc e prea mare, se revars, rescriind
comenzile i se execut pe sine.
Ca n cazul multor atacuri, aceasta manipulare este posibil pentru c programatorul
codului nu a asigurat un user input validation corespunztor. Rezultatul poate fi
oricare de la un calculator stricat pn la controlul total al mainriei.
Interceptarea datelor cu atacuri man-in-the-middle
MITM este locul n care cineva st ntre tastrile tale i server, salvndu-i aciunile.
Asta poate fi un rootkit, un data logger, o reea sau un wireless sniffer.
Dac datele tale se transmit necriptate, n text simplu, ca n cazul FTP sau HTTP i cel
mai comun n email, atunci totul este expus. Asta include i datele tale de logare.
Descoperirea parolelor prin atacuri
Atacurile de for brut trec prin alfanumerice i combinaii de caractere mpotriva unei
funcii de login, ca penru un panou de control sau Dashboard, pn cnd parola este
-
- 23 -
expus. Sunt ajutai foarte mult dac userul este cunoscut deci iat un indiciu mpotriva
folosirii username-ului clasic, admin.
Fora brut i mnnc timp, dar poate fi coordonat cu ajutorul unor zombie, grbind
procesul extrem de mult.
Atacurile dictionary arunc cuvinte de la A la Z mpotriva parolei iar atacurile hybrid
combin fora brut cu cea a atacurilor dictionary pentru spargerea parolelor naive, gen
pa55worD.
Pericolele scripturilor cross-site (XSS)
n acest caz utilizatorii de site devin o int secundar pentru c, atunci cnd viziteaz o
pagina hackuit, recupereaz codul i l infecteaz local.
Un exemplu este injecia iframe care adaug un link care duce, de exemplu, la o
descrcare dapuntoare pe un alt server. Cnd un vizitator vizioneaz aceast pagin,
o descarc local cu tot cu malware i astfel, atacatorul deine controlul asupra PC-ului.
Un alt exemplu clasic ar fi folosirea XSS pentru furtul cookie-urilor.
Tot ce necesit asta este injectarea codului ntr-o pagin care raporteaz unui fiier de
pe serverul hackerului. Vizitatorii vor avea cookie-urile salvate i sesiunile de navigare
deturnate cu tot cu privilegii. Dac userul e logat pe pagina de banking online, i poate
lua adio de la bani.
Ameninri clasificate cu cross-site request forgery (CSRF)
Nu este acelai lucru ca XSS dar exist similariti, principala fiind faptul c un site prost
construit este indundat de malware pentru a cauza un efect.
Un utilizator se logheaz pe site-ul tu i ca orice alt dat i se acord un session
cookie. Userul navigheaz pe cteva pagini, una din ele decorat cu un cod plin de
imaginaie, pe care browserul utilizatorului l va descrca.
Ce se poate ntmpla site-ului depinde de privilegiile utilizatorilor aa c variz de la o
schimbare de parol pn la un efect de tem numit digital soup.
Accesul nesecurizat este un factor de risc principar aa c acestea sunt ngrijorrile
majore:
Wp-login nu este singura variant.Logarea pe server, pentru panouri gen
phpMyAdmin sau cPanel atrag ameninri.
Userii ca root sau admin sunt puncte de atracie pentru atacuri de for bruta
-
- 24 -
Parolele au nevoie de ngrijire. n fapt, parolele nu sunt bune. Folosete o
combinaie unic, alfanumeric de fraz cu caractere speciale.
Folosirea necriptat de HTTP i FTP pentru orice lucru de valoare
Porturi deschise sau nefiltrate
Ultimele dou meniuni v vor da cele mai mari bti de cap.
Site ncet i administrarea serverului
O mentenan incomplet este adeseori precursorul unui hack. De exemplu, dup ce ai
instalat platforma att de uor, poate fi tentant s te gndesti ca WordPress poate fi
lsat n pace s i fac treaba. Civa dinte noi, cei care folosesc unelte precum Press
This sau ScribeFire, vedem panoul de control foarte rar, cu att mai puin serverul.
Versiuni vulnerabile
Aplicaiile sunt peticite pentru un motiv i adeseori asta implic o ameninare nou.
Dac lai programe gen Apache sau PHP fr patch, serverul tu poate fi deschis
atacurilor.
Atenia acordat unui upgrade este important. Peticete acea slbiciune nainte s fie
exploatat. Asta este vital pentru WordPress i este deci vital pentru coduri tere
precum un plugin.
Cod rou: teme, plugin, widget
Introducerea codurilor tere ne deschid o cu totul nou arie de ngrijorri. O privire
asupra depozitului WordPress ne arat peste 1000 de teme i aproape 10.000 de
plugin-uri. Natura platformei ne permite s o personalizm cu widget-uri. Fiecare
modificare este o posibilp slbiciune.
Punctul care trebuie neles este urmtorul: cum deviem de la platforma de baz,
suntem neprotejai de umbrela oficial WordPress. Aceste vulnerabiliti tere pornesc
de la trei factori:
Un cod prost
Absena testrilor
O mentenan de proast calitate.
Asta nu nseamn c acea comunitate de dezvoltatori este o aduntur de inepi. Grija
principal este c, avnd n vedere uurina limbajului PHP, oricine poate contrui un
-
- 25 -
script funcional. Validarea mpotriva exploatrilor ns, are nevoie de cunotine mai
avansate.
Aadar, unde se poate, orice site sau pachet de servere trebuie modifica n scopul
securitii, fr erori sintactice i cu logri protejate mpotriva editrilor. Orice altceva
invit atenie.
Fiiere inutile
Un volum mare reprezint un risc i mai puin nseamn mai mult aa c, pentru orice
aplicaie,plugin sau tem, dac nu o foloseti, terge-o. n acelai timp copiile de
rezerv nu trebuie s fie storate pe server.
Escalarea privilegiilor i oportuniti.
Sunt ngrijorri i la adresa utilizatorilor, cei ri. Sunt o mulime de pai care trebuie
urmai pentru a-i ine la distan pe cei ru intenionai. Scopul este sa-i menii la funcia
de subscriber i s le negi rolul de administrator. Multe dintre aceste tehnici nu sunt
presetate, adeseori necesitnd schimbri n setrile serverului, i anume fiierele
ownership i permissions.
Atacuri cu injecie SQL
Un mod de a crete privilegiile este cu un atac SQL.
SQL nseamn Structured Query Language, o multitudine de comenzi care creeaz i
editeaz o baz de date. Instalrile WordPress au tendina de a folosi brand-ul MzSQL.
O injecie SQL este chiar o injectare de cod i dac baza de date nu a fost corect
protejat, ori va accepta acel cod ori, dac are o sintax proast, va genera o eroare
plin de indicii.
Prin folosirea injeciilor SQL hackerul manipuleaz baza de date pentru a face orice poi
s faci cu phpMyAdmin aa c poate ncepe cu explorarea bazei i poate ajunge pn
la furtul de date.
Scurgerea de informaii
Folosirea unei injecii SQL pentru a fora o eroare nu e singurul mod de a descoperi
poteniale hackuri, spre exemplu, ce prefix de tabel foloseti.
Cnd ne gndim la o scurgere de date, exemplul care ne va veni n minte este
WordPress sau versiunea web a serverului, dar cnd hackerii construiesc un profil al
intei, tehnicile lor i pot duce mult mai departe dect sursa unui site sau o pagin de
-
- 26 -
eroare forat. Adunarea datelor implic tot, de la ingineria social la Google, citirea
rapoartelor WHOIS, vulnerabilitate i scanarea aplicaiilor.
Hackul Google pentru explorare
Hackerii nu au nevoie s viziteze un site penru a aduna date. De exemplu o cutare
Google:
site:somesite.com intitle:index of
Aceasta i va gsi pagini, inclusiv pe cele vechi, cu aceste cuvinte cheie n titlu i pot fi
folosie pentru verificarea mesajelor de eroare pe un site.
O alt metod foreaz site-ul prin imputarea unei adrese incorecte n browser,
dezvluinf informaii tip Apache sau PHP pe lng cele MySQL.
Atacuri la director
Acestea pot fi destul de oribile, din nou folosindu-se de bara de adrese a browserului
pentru a colecta date sensibile.Folosete comanda up-one-folder pentru a naviga n
fiierele web i apoi n folderul rdcin:
http://somesite.com/../../../../etc/passwd
passwd nu conine parole, n general. Conine ns alte date importante, inclusiv o list
cu username-uri.
Furt de content, SEO pillaging i depreciere SPAM
Majoritatea bloggerilor WordPress tiu puin mai mult despre content dect restul. Pn
la urm, WordPress este o unealt a scriitorilor.
Scraping i media hotlinking
Scraping i poate afecta n mod negativ poziia ta n search results i astfel venitul, n
unele cazuri.
Acest content are i el nevoie de securizare. n unele cazuri, mai mult dect orice
altceva. Realitatea este c nu putem securiza contentul preemptiv. Ce putem face este
s cutm pe Google hack-happz i s trimitem notificri de copyright violation.
Acestea fiind spuse, scrapingul nu este neaprat ceva ru pentru c, controlat
corespunztor, i va aduce trafic.
Spam, polemici i atacuri
-
- 27 -
Spamul este groaznic nu doar pentru c se aseamn unei opere de art proast dar i
pentru c polueaz valoarea unui content decent. n loc s adauge o vorb bun sau un
comentariu util, spam se bag n discuii reale, defaimeaz munca altora i mprtie
link-uri, astfel reducnd valoarea n search a site-ului tu.
Este i mai ru cnd este injectat n contentul paginii sau preioasa configurare
htaccess devin plin de redirecionri spam.
Toate cele enumerate ar trebui s ajute n formarea unei idei asupra vulnerabilitilor ce
pot aprea la adresa reelei tale , de la dispozitive la server deci implicit, asupra
WordPress n sine.
4. Securitatea n WordPress
4.1 Vulnerabilitile platformei Wordpress
Exista mai multe tipuri de vulnerabilitati descoperite de diverse persoane sau companii de securitate. Este posibil ca ele sa fie legate sau pot fi separate. Cel mai important este ca WordPress, producatorul, sa reactioneze rapid si sa lanseze o actualizare.
Conform Trend Micro, site-urile compromise au o setare modificata ce deturneaza URL-ul original. Astfel, site-ul afectat contine un script ce va redirectiona vizitatorul spre o pagina infectata. Fisierul virusat este detectat ca TROJ_BUZUS.ZYX.
TROJ_BUZUS.ZYX, reprezinta o infectie in lant, care duce spre diversi alti virusi, incluzand antivirusi de tip rogue: TROJ_FAKEAV.ZZY. Troienii Buzus se raspandesc de regula prin mesaje primite prin yahoo! messenger, dupa cum v-am atentionat si eu in aceasta postare. Ce se intampla in acest moment este o modificare a comportamentului acestui virus.
O alta problema intalnita la mai multi utilizatori ai WordPress a fost descrisa de Cristopher Penn. Este vorba de injectarea unui cod sub forma unu java script in baza de date. In tabela wp_options, se gaseste o intrare de genul rss_ urmata de un sir de cifre + litere aleatorii. Codul java care este continut de aceasta intrare este de tip obfuscated si apare cam asa:
FFPJ1JpnyfUnpDzz3h9tfaI92uDvyD/Of+r4XyJ2f2Uev6U539WDM39kP10QFLP53+Y5BaX3+0/a03rZ00nKX5Na27hXdOSw17TGuO7pDWt/+Na0+lVHHdrWrScqzVqdysqybmiWvILqqXzn5L+ehyvSzriIZHsfoIiUKwlJvcjvH69FR7SHB4UNXyXOaZw+ivT8dhjkZ6rtGj+PPJRMlCW5ePEZVlLOj8YkgL80/26LuefqVXgStMY/Afw/
-
- 28 -
Solutia este stergerea acestei intrari din baza de date.
In plus, WordPress vine cu Magpie, o versiune veche si vulnerabila, care gestioneaza feed-urile RSS. Pentru a rezolva aceasta problema, descarcati FeedWordPress, copiati cele doua fisiere incluse in folder-ul MagPIE-RSS upgrade in folder-ul wp-includes, al instalarii dumneavoastra WordPress.
Alte raportari, fac referire la fisiere de tip .php, cu denumiri aleatorii create in radacina site-ului, unde este instalat WordPress.
4.2 Ponturi pentru o securitate sporit
1. Restrictionarea cautarilor in site
Nimeni nu ar trebui lasat sa execute cautari pe intregul server, de aceea in
fisierul search.php inlocuiti linia urmatoare:
cu linia:
2. Restrictionarea accesului in directoarele WordPress
Pentru a impiedica vizitatorii sa acceseze directoarele de pe server si sa vada
continutul acestora, aveti doua optiuni. Prima este mai simpla si presupune crearea de
fisiere index.html in fiecare director si subdirector de pe server, a doua optiune este mai
eleganta (recomandata) si presupune editarea fisierului .htaccess. Pentru aceasta
accesati File Managerul din cpanel si adaugati in fisierul .htaccess urmatoarea linie:
Options All Indexes
3. Restrictionarea accesului la fisierul wp-config.php
Pentru a impiedica accesul neautorizat la fisierul wp-config.php (in care sunt
salvate username-ul si parola bazei de date), adaugati urmatoarea linie in fisierul
.htaccess:
deny from all
4. Restrictionarea accesului la fisierul .htaccess
-
- 29 -
Pentru a impiedica accesul neautorizat la fisierul .htaccess, adaugati in acest
fisier urmatoarea linie:
deny from all
5. Eliminati meta tag-ul generator
Acest meta tag afiseaza versiunea WordPress in codul sursa al paginii web, iar
daca dorim sa avem un blog sigur, nu ar trebui sa lasam pe nimeni sa stie ce versiune
folosim, pentru a-i exploata vulnerabilitatile. Desi meta tagul generator ar trebui sa fie
eliminat de pluginul Secure WordPress, exista posibilitatea ca acesta sa fie inserat prin
headerul temei pe care o folositi si sa reapara. In acest caz va trebui sa editati manual
fisierul header.php al temei curente si sa eliminati linia:
-
- 30 -
9. Documentati-va inainte de a instala un plugin
Inainte de a instala ceva pe blog este bine sa va documentati inainte, sa aflati
care este parerea altor utilizatori si care este nota (ratingul) acelui plugins. Evitatile pe
cele cu rating scazut sau care au fost lansate de curand, pentru ca pot contine
vulnerabilitati.
10. Schimbarea prefixului tabelelor din baza de date
Prefixul tabelelor din baza de date (wp_) va trebui schimbat, iar daca site-ul tau
este doar un site de prezentare, nu un blog sau portal pe care accepti comentarii, va
trebui sa blochezi din start posibilitatea de comentarii (chiar daca nu apar pe site
nicaieri, asigura-te ca ai comentariile inchise). Daca ai nevoie de comentarii, va trebui
sa iti instalezi pluginul anti-spam Akismet sau unul similar.
5. Pluginul Lazy Wordpress Security
5.1 Instalarea pluginului
Acest plugin se va instala ca orice alt plugin:
1. Din seciunea Plugins se va selecta Add new
2. Se va uploada fiierul .zip prin intermediul interfeei pus la
dispoziie de platforma WordPress.
-
- 31 -
3. Se va activa pluginul din lista de plugin-uri
Pentru moment plugin-ul rezolv doar una dintre probleme platformei Wordpress
i aceea fiind vulnerabilitatea n cazul unui atac de tip brute-force asupra paginii de
login (wp-login.php).
Soluia prezentat i implemetat rezolv printr-o metod simpl i n acelai
timp eficient aceast problem: blocheaz accesul utilizatorilor timp de 60 de minute la
pagina de login n cazul n care parola este introdus greit de mai mult de 5 ori
consecutiv.
Acest timp de 60 de minute poate fi editat si schimbat din panoul de administrare
pe care utilizatorul l are.
Pentru a restriciona accesul, fiecrui utilizator i va fi salvat adresa IP n baza
de date ntr-o tabela separat pe care acest plugin o creaz automat la instalare.
Identificarea IP-ului fiecrui utilizator se va face printr-o functie simpl n PHP:
function GetIP()
{
foreach (array(HTTP_CLIENT_IP, HTTP_X_FORWARDED_FOR, HTTP_X_FORWARDED,
HTTP_X_CLUSTER_CLIENT_IP, HTTP_FORWARDED_FOR, HTTP_FORWARDED,
REMOTE_ADDR) as $key)
{
if (array_key_exists($key, $_SERVER) === true)
{
foreach (array_map(trim, explode(,, $_SERVER[$key])) as $ip)
{
if (filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE
| FILTER_FLAG_NO_RES_RANGE) !== false)
{
return $ip;
}
}
}
}
}
Acest plugin nu aduce modificari vizuale la pagina de login, aa c nimeni nu va
putea afla dac exist sau nu acest plugin activat.
-
- 32 -
Accesarea pentru a putea face cteva setri pentru acest plugin se face din
seciunea Settings din panoul de administrare Wordpress.
-
- 33 -
Funciile disponibile pentru acest plugin:
Numrul de ncercri disponibile pn la blocarea IP-ului
Restricionarea accesului ntre logri
Timpul de blocare al unui IP
Blocarea utilizatorilor care nu au un nume utilizator corect
Afiarea curenta a tuturor IP-urilor blocate la momentul respectiv
-
- 34 -
5.2. Concurena actual a plugin-ului de securitate
n momentul de fa, n directorul de plugin-uri al Wordpress-ului exist un numr
mare de plugin-uri care rezolv o parte din probleme de securitate i vulnerabilitile
platformei.
Prin cele mai descrcare putem meniona:
1. Wordfence security (1 339 329 descrcri)
2. Bulletproof Security ( 1 019 298 descrcri)
3. WP Security Audit Log (64 390 descrcri)
4. Better WP Security (1 553 908 descrcri)
5. All in one WP Security & Firewall (151 895 descrcri)
6. Acunetix security (1 332 656 descrcri)
7. Total security (912 908 descrcri)
8. Htaccess Secure Files (4 304 descrcri)
-
- 35 -
9. Website defender security (64 307 descrcri)
10. More Secure Login (3 262 descrcri)
Plugin-urile menionate mai sus rezolv cu succes probleme existe, dar
momentan nu exist un plugin gratuit ndeajuns de complex nct sa le rezolve pe toate.
Majoritatea problemelor rezolvate de aceste pluginuri se refer la permisiunile
Read Write Execute de ctre anumite grupuri: Proprietar, Grup sau Public.
O alt problema abordat o reprezint restrictionarea accesului n directoarele
WordPress. Pentru a mpiedica vizitatorii s acceseze directoarele de pe server i s
vad coninutul acestora.
Problema cea mai des ntalnit o reprezint actualizarea nucleului Wordpress si
a plugin-urilor instalate.
Una din problemele majore pe care aceste plugin-uri nu le rezolv ar fi calea de
login (/wp-admin). Soluia pentru aceast problem se regsete la un alt CMS:
Prestashop. Acesta oblig utilizatorul, nc din stadiul de instalare, s modifice calea
catre panoul de administrare, astfel eliminnd aceasta vulnerabilitate.
-
- 36 -
2. 10 tips-uri pentru o securitate sporit n Wordpress
WordPress ar fi destul de sigur, direct din digi-box dar are o slbiciune, aceea fiind
popularitatea, lucru care l face o int irezistibil pentru hackeri. Acetia privesc
mulimea de site-uri cu setri standard ca pe o roat a norocului. tiu i cum
funcioneaz i cum s l atace.
Ca rspuns, ceea ce avem noi de fcut este s mrim mizele.
Dar tii asta deja, aa c hai s trecem mai departe. Asta este ordinea jocului:
1. Securizare
2. Copiile de rezerv (back-up-urile)
3. Updateurile
4. Neutralizarea contului de admin
5. Corectarea permisiunilor
6. Ascunderea versiunii de WordPress
7. Schimbarea prefixul tabelelor wp_
8. Setarea unor chei secrete
9. Interzicerea accesului la wp-config.php
10. ntrirea wp-content i wp-includes
6.1. Securitatea
Aplicaiile sunt peticite pentru un motiv i adeseori asta implic o ameninare nou.
Dac lai programe gen Apache sau PHP fr patch, serverul poate fi deschis
atacurilor.
Atenia acordat unui upgrade este important. Peticete acea slbiciune nainte s fie
exploatat. Asta este vital pentru WordPress i este deci vital pentru coduri tere
precum un plugin.
-
- 37 -
6.2. Copiile de rezerv (back-up-urile)
Datele care se schimb cel mai des i astfel are nevoie de copii de rezerv frecvente
sunt n baza de date, dei sunt administratori de site care vor s salveze i jurnalele de
logri. Baza de date cel puin, are nevoie de o copie de rezerv zilnic n cazul celor
mai muli dintre noi dar tu decizi dac i-ar fi de folos o copie din or n or sau poate
una pe sptmn e suficient.
n termeni de fiiere web, prioritile se schimb din nou. Muli scap cu o copiere
ocazional a ntregului site naintea unei copii incrementale, spre exemplu, folderul
uploads n directorul wp_content sau, n unele cazuri, anumite foldere de plugin care
pot conine date importante. Dac dezvoli o tem, funcii sau codul unei platforme de
baz, ar fi bine s i permii asta. Altminteri, fiierele WordPress intrinsece sunt uor de
nlocuit, la fel i plugin-urile iar unii consider c o captur de ecran este folositoare
pentru a vedea ce plugin-uri folosesc sau poate alte setri ale panoului de control sau
plugin, pentru referiri viitoare.
Lsnd la o parte site+-ul i logrile pe server, n cele mai multe cazuri ar trebui s
facem copii de rezerv cel puin acestor fiiere:
Baza de date
Directorul wp_content
Cnd ai ndoieli, f o copie de rezerv la tot: asta nseamn toate fiierele web de la
baza site-ului tu WordPress plus baza ta de date.
6.1.1. Full, incremental i diferenial
Este bine s nelegem diferenele dintre aceste tipuri de copii de rezerv, apoi poi s
foloseti o combinaie ntre ele pentru propria ta strategie. Definiiile pot varia puin
depinznd de software, dar, ca un ntreg, uite unde trebuie s fii atent.
O copie de rezerv full copiaz tot ce i+ai specificat n ntregime, spre exemplu doar
arborele director wp_content sau doar un fiier dump. Copia incremental creeaz o
serie de copii de rezerv full. Cea diferenial salveaz tot ns apoi salveaz doar
fiierele modificate.
6.1.2. Cum i unde faci copia de rezerv
-
- 38 -
Hai s intrm n detalii, acoperind bazele prin comparare pro i contra al fiecrei
metode de salvare nainte de a detalia cele mai bune metode att pentru fiiere web i
date fr s trebuiasc s ii cont de tipul de hosting.
a. Salvarea fiierelor db+ pe serverul web
Pe scurt, o idee proast.
Salvarea pe serverul web este mai bun dect nimic, sigur. Pn primeti o eroare, sau
pn te alegi cu un server compromis. Sau pn cnd gazda web schimb serverele.
b. Salvarea fiierelor web prin gazda web
Este bine s verifici dac gazda web face copii de rezerv zilnic. Astea sunt lucruri
destul de standard, cu fiiere web i baze de date salvate pe o partiie ter.
Acestea fiind spuse, nu te baza pe asta dect ca o soluie extra, de ultim instan, care
poate funcioneaz.
c. Salvarea fiierelor db pe(web)mail
Probabil o opiune mai potrivit pentru bazele de date mai mici, copiile automate pot fi
trimise off-server prin e-mail. Un cont de webmail poate fi folosit pentru a elibera clientul
de mail local ns datele sunt tranferate i salvate ca text simplu.
Din plugin-urile disponibile, WordPress Database Backup ( WP DB Backup ) este cea
mai bun opiune lipsit de bti de cap i poate fi programat s ruleze oricnd, de la
o dat pe or pn la o dat pe sptmn.
WP DB Backup http://www.ilfilosofo.com/blog/wp-db-backup
d. Salvarea db i/sau fiiere pe cloud storage
Spaiu de stocare online poate fi o locaie excelent pentru copia de rezerv WordPress
pentru c aceste destinaii sunt accesibile de oriunde i oricnd.
Un nou val de plugin-uri web, destinate strict pentru backup-to-cloud, i-au pierdut
popularitatea. Exist o gam larg de pachete de stocare limitate care au preuri de
nimic i alii care storeaz datele folosind incripia 256 bit AES:
SMEStorage Multi-Cloud WordPress Backup http://wordpress.org/
extend/plugins/smestorage-multi-cloud-files-plug-in
-
- 39 -
d. Copie WordPress automat
Un punct de vedere similar al acestui concept poate fi vzut la WordPress Automatic
Backup. Aici, diferena este c, pltind civa dolari pentru un spaiu de stocare S3
Amazon, pluginul i salveaz toate fiierele web particularizate i baza de date. Avnd
aceast copie complet, este posibil ca pluginul s aib o funcie de restaurare
complet, pe care o i are de altfel:
Automatic WordPress Backup http://www.webdesigncompany.net/
automatic-wordpress-backup
e. Updraft
Din nou o funcie similar. Acest plugin nc n fa se testeaz destul de bine, att pe
un server mprit ct i pe o cutie VPS. Pe lng salvarea fiierelor i a datelor pe
Amazon, Updraft favorizeaz spaiul Rackspace Cloud i sunt n plan adugarea mai
multor centre:
Updraft http://langui.sh/updraft-wp-backup-restore
f. BackWPup
Aproximativ acelai lucru, BackWpup
BackWPup http://wordpress.org/extend/plugins/backwpup
g. VaultPress
Mai este i oferta personalizat a celor de la Automattic, i anume VaultPress, care le
seamn celor mai sus menionate dar este mai bine dezvoltat:
VaultPress - http://vaultpress.com
h. O soluie fr cloud
Folosirea acestuia ca un loc de stocare ieftin i uor de folosit a fiierelor WordPress va
exploda n urmtorii ani. Putem s ne ateptm ca stocarea virtual s devin mai puin
-
- 40 -
beta i mai mult alpha, uor de reparat, s ofere o gam larg de servicii, restaurri i
alte soluii de backup.
i. Salvarea fiierelor pentru utilizatori de Windows locali
Folosind un program gen freeware-ul matur al lui Luis Cobain, Cobian Backup, este cel
mai bun program pentru utilizatorii Windows, fr s conteze planul de hosting.
Asta dac eti zgrcit ca mine i nu vrei s cheltuieti mult pentru ceva gen
SyncBackPro, poate cea mai bun alternativ comercial:
SyncBackPro http://2brightsparks.com/syncback/compare.html
Instalat local, Cobian programeaz salvarea copiilor de rezerv fie remote-to-local fie
remote-to-remote ( pe un cloud sau un server web de exemplu ). Are opiuni full,
incrementale sau difereniale i o opiune de override manual. Poi folosi Transport
Layer Security ( TLS ) sau Secure Sockets Layer ( SSL ) pentru un flux de date sigur,
compresare pe loc i mult mai multe pe lng astea:
Cobian http://www.educ.umu.se/~cobian/cobianbackup.htm
Dezavantajul lui CObian este c, pentru cei mai muli dintr noi, este departe de a fi
simplu s configurezi irul de setri SSL, aa c nu o s ne deranjm astzi. n loc de
asta, vom folosi puntea super util FTP SFTP a lui Tunnelier pe care am menionat-o
n capitolul 5 pentru a descrie facilitile de backup online ale lui Cobain. Hai s le lum
pe bucele....
Acces SSH pentru a centraliza fiiere web amestecate de pe server i asta este
posibil cu orice host, dup cum am explicat n capitolul 5.
Nume server sau adresa IP pe care CPanel sau gazda vi-l furnizeaz
Numr port SSH desemnat de gazd, de obicei 22 dar este deseori schimbat
Un username i o parol n general cele folosite pentru accesarea panoului de
control
Cobian instalat pentru backup crend o punte ntre funcia sa FTP i funcia
SFTP a lui Tunnelier
Tunnelier instalat cum am explicat n capitolul 5, pentru a avea o conexiune
sigur
Dou fiiere lot pentru a-i permite lui Cobian s controleze Tunnelier
-
- 41 -
-
1
Anexa 1
Versiune Data de lansare Versiune DB
0.70 May 27, 2003
0.71 June 9, 2003
0.711 June 25, 2003
0.72 October 11, 2003
1.0 January 3, 2004
1.0.1 January 25, 2004
1.0.2 March 11, 2004
1.2 May 22, 2004
1.2.1 October 6, 2004
1.2.2 December 15, 2004 2540
1.5 February 17, 2005 2541
1.5.1 May 9, 2005 2541
1.5.1.2 May 27, 2005 2541
1.5.1.3 June 29, 2005 2541
1.5.2 August 14, 2005 2541
2.0 December 26, 2005 3441
2.0.1 January 31, 2006 3441
2.0.2 March 10, 2006 3441
2.0.3 June 1, 2006 3441
2.0.4 July 29, 2006 3441
2.0.5 October 27, 2006 3441
2.0.6 January 5, 2007 3441
-
2
2.0.7 January 15, 2007 3441
2.0.8 February 8, 2007 3441
2.0.9 February 21, 2007 3441
2.0.10 April 3, 2007 3441
2.0.11 August 5, 2007 3441
2.1 January 22, 2007 4772
2.1.1 February 21, 2007 4773
2.1.2 March 2, 2007 4773
2.1.3 April 3, 2007 4773
2.2 May 16, 2007 5183
2.2.1 June 21, 2007 5183
2.2.2 August 5, 2007 5183
2.2.3 September 8, 2007 5183
2.3 September 24, 2007 6124
2.3.1 October 26, 2007 6124
2.3.2 December 29, 2007 6124
2.3.3 February 5, 2008 6124
2.5 March 29, 2008 7558
2.5.1 April 25, 2008 7796
2.6 July 15, 2008 8201
2.6.1 August 15, 2008 8204
2.6.2 September 8, 2008 8204
2.6.3 October 23, 2008 8204
2.6.5 November 25, 2008 8204
2.7 December 10, 2008 9872
-
3
2.7.1 February 10, 2009 9872
2.8 June 10, 2009 11548
2.8.1 July 9, 2009 11548
2.8.2 July 20, 2009 11548
2.8.3 August 3, 2009 11548
2.8.4 August 12, 2009 11548
2.8.5 October 20, 2009 11548
2.8.6 November 12, 2009 11548
2.9 December 18, 2009 12329
2.9.1 January 4, 2010 12329
2.9.2 February 15, 2010 12329
3.0 June 17, 2010 15260
3.0.1 July 29, 2010 15477
3.0.2 November 30, 2010 15477
3.0.3 December 8, 2010 15477
3.0.4 December 29, 2010 15477
3.0.5 February 7, 2011 15477
3.0.6 April 26, 2011 15477
3.1 February 23, 2011 17056
3.1.1 April 5, 2011 17516
3.1.2 April 26, 2011 17516
3.1.3 May 25, 2011 17516
3.1.4 June 29, 2011 17516
3.2 July 4, 2011 18226
3.2.1 July 12, 2011 18226
-
4
3.3 December 12, 2011 19470
3.3.1 January 3, 2012 19470
3.3.2 April 20, 2012 19470
3.3.3 June 27, 2012 19470
3.4 June 13, 2012 20596
3.4.1 June 27, 2012 21115
3.4.2 September 6, 2012 21707
3.5 December 11, 2012 22441
3.5.1 January 24, 2013 22441
3.5.2 June 21, 2013 22442
3.6 August 1, 2013 24448
3.6.1 September 11, 2013 22448
3.7 October 24, 2013 25824
3.7.1 October 29, 2013 25824
3.8 December 12, 2013 26691
3.8.1 January 23, 2014 26691