Փորձենք վերլուծել, թե ինչ եղավ, և ինչու:

Աղետ

29.01.2011-ի երեկոյան, երբ սկսվեց թոհուբոհը, չգիտեմ ով և երբ տվեց առաջին ահազանգը (տվյալ դեպքում սոց.ցանցերում լուրը), ընդհամենը մի քանի րոպեի ընթացքում հայկական համացանցը լցվեց 295 հայկական կայքերի անգործունակ լինելու գույժով:

Իմ խորին համոզմամբ պետք չէր այդքան բարձրաձայնել տեղի ունեցածի մասին: Նախ, դրանով ինքներս ավելի էինք սրացնում մթնոլորտը, և երկրորդ, պետք էր ուղղակի ամեն մեկը գտներ իր ծանոթի կայքի հասցեն, և շտապ տեղեկացներ նրան: Հանգիստ մաքրեինք հետքերը, հետո կմտածեինք ինչ ու ոնց անել: Կամ պետք էր ուղղակի հենց սկզբից զանգել SmartSystems, ասել, խնդրել ու հորդորել, որ սերվերն անմիջապես անջատեին, հետո նոր զբաղվեին հատ-հատ վերականգնումով:

Ամեն դեպքում տեսարանը գրավիչ չէր ու շատ վատ արդյունք թողեց:

Եվ հետո, ո՞վ է ասել, որ 295 հայկական կայք են կոտրել: Կան մի քանի տոսանկյուններ, ըստ որոնց թիվը շատ ու շատ ուռճացված է:

Օրինակ, եթե տրված ցուցակից հանենք բոլոր գայություն չունեցողները, ինչպիսին է http://girotti.com.workuSClxdAc7uD3UB , ապա կստանանք ընդհամենը 281 հատ (հավատացեք, ես չեմ ալարել ու հանել եմ ավելորդները):

Մնացած 281 հատից եթե հանենք այն բոլոր դոմեյնները, որոնք ուղղակի ռեդիռեկտ են եղել նույն կազմակերպության մեկ այլ դոմեյնի, ինչպիսին են օրինակ vxbox.am և  vxbox.com-ը, ապա կստանանք մոտ 240 հատ դոմեյնային անվանումեր, որոնք կան ցուցակում: Ընդ որում, ես չեմ հանել նույն կազմակերպության տարբեր համադրությամ անունները, ինչպիսիք են օրինակ smartsoftware.am և smartsolutions.am դոմեյնները, որովհետև կա չնչին հավանականություն, որ այդ կայքերը տարբեր պարունակություններ ունեն:

Մի խոսքով հաշվարկները ցույց են տալիս, որ կոտրված կայքերի մոտ մեկ երրորդը վերահասցեավորվող էին: Եվ պետք չէր այդքան մեծ բում բարձրացնել թվի հետ կապված:

Իսկ ընդհանուր առմամբ, երևույթը սա է` կոտրել են ընդհամենը 1 սերվեր, որի վրա գտել են վերոնշյալ կայքերի անուններով ֆոլդերներ և իրենցից ուրախ հրապարակել են ցուցակը, թե իբր տեսեք-տեսեք այսքան շատ գործ ենք արել:

Ինչո՞ւ մերոնք լուռ էին.

Վերջին տարիներին անընդհատ կրկնվող նման հարձակումները ժողովրդի մեջ սերմանել է այն միտքը, որ մերոնք էդքան չկան, նրանց պատասխանելու համար:

Իրականում ոչինչ էլ այդպես չէ: Քչերը գիտեն, թե մերոնք ինչ են անում նույն ֆռոնտում, բայց էն, որ նրանք չեն իջնում նույն մակարդակին ու անիմաստ տեղը դրոշ չեն կախում ազերա-թուրքական կայքերի առաջին էջերում, դա փաստ է:

Իսկ ի՞նչ եղավ երեկ: Ինչո՞ւ մերոնք ձայն հանեցին հանկարծ:

Ամեն ինչում մեղավորը ժողովուրդն է, նրանք պահանջում են պատասխան քայլ, մեր անվտանգության մասնագետները չեն անում, չեն ջարդում, չեն կախում դրոշներ, ու մարդիկ վհատված ասում են “Երգիրը երգիր չի…”: Երեկվա դեպքերից հետո մարդի էլի նույն մտածելակերպն ունեին, ու ստիպված, մերոնք բացահայտ արեցին պատասխան քայլը: Սա իրականում լավ էր: Լավ էր, քանզի ժողովուրդը հասկացավ, որ մեր մասնագետները կարողանում են: Լավ էր, քանզի թուրք-ադրբեջանցիների մասին խոսելու փոխարեն հայերն արդեն մերի մասին էին պատմում: Բայց մյուս կողմից նաև վատ էր: Վատ էր, քանզի ժողովուրդը չպետք է հավատար մեր մասնագետների կարողությանը միայն նման օրինակից հետո:

Գուցե երեկվա mozambicoArmeniCo-ից հետո մեր ժողովուրդը կհավատա նաև մերոնց ուժերին:

Հույս ունենանք ու սպասենք, որ այդպես էլ կլինի:

Վարդան Գրիգորյան / blog.grigoryan.biz

Ինչպես արդեն նշել եմ ֆիշինգի մասին իմ հոդվածում, շատ հաճախ մարդկանց ուղղակի կարող են խաբել, և պարզապես ուղարկելով մեկ հատիկ կեղծ նամակ` դրդելով նրանց իրենց ձեռքով ներմուծել իրենց գաղտնի ինֆորմացիան այնտեղ, որտեղ պետք չէ դա անել: Հենց այդ նպատակով էլ ստեղվել են EV սերտիֆիկատները, որոնք այնքան վառ են պատկերում իրական կայքի տիրոջ մասին ինֆորմացիան, որ դա չնկատել ուղղակի հնարավոր չէ: Հենց բրաուզերի url-ի տողում կանաչ ֆոնի վրա գրվում են կայքի իրական տիրոջ անվանումը և որոշակի այլ տվյալներ: Այսպիսով, օգտագործողներ, տեսնելով բրաուզերի կանաչ տողը, կարող են համոզված լինել, որ իրենք գտնվում են վստահելի կայքում, օրինակ իրենց բանկի կայքում, և կարող են հանգիստ այդ կայքում ներմուծել իրենց հաշվեհամարի որոշակի տվյալներ: Իրականում EV սերտիֆիկատի միակ արժանիքը բրաուզերի կանաչ տողը չէ, փոխվել են նաև տվյալների կոդավորման եղանակները, բայց հասարակ օգտվողների համար առաջնայինը արտաքին տեսքով տարբերվող և վստահություն ներշնչող կանաչ տողն է:

Այս կարևորագույն հանգամանքը հաշվի առնելով էլ, դեռևս 2008-ի մարտին Paypal-ը իր բոլոր օգտագործողներին խորհուրդ տվեց հեռու մնալ Safari բրաուզերից, քանի որ այդ բրաուզերում EV սերտիֆիկատները չէին պատկերվում և կանաչ տողը չէր երևում:

Այս ամենը իհարկե շատ լավ է ու վստահություն ներշչող, բայց դեռևս 2009-ի մարտին, երկու անվտանգության մասնագետներ Ալեքս Սոտիրովը և Մայք Զուսմանը հայտնաբերել են, որ նախկինում MitM(Man in the Middle) հարձակումներից ապահով համարվող EV սերտիֆիկատն իրականում այդքան էլ ապահով չէ: Ավելի ճիշտ, ոչ թե սերտիֆիկատն է վտանգի ենթարկվող, այլ դեռևս բազմաթիվ բրաուզերների թերությունների պատճառով իրականում MitM հարձակումները հնարավոր են` պահպանելով բրաուզերի վրայի կանաչ ֆոնը: Այս մասին նրանք հայտնել են դեռևս 2009-ի մարտին Վանքուվերում կայացած CanSecWest կոնֆերենցիայի ժամանակ:

Հետագայում ավելի մանրամասն կգրեմ MitM հարձակումների մասին, հիմա պարզապես նշեմ որ դրա իմաստը կայանում է SSL սերտիֆիկատի կեղծումը:

Ինչ վերաբերում է EV սերտիֆիկատներին, մասնագետների խոսքով նրանց դեպքում էլ հիմնական գործողությունը SSL սերտիֆիկատի կեղծումն է, որը կատարելը այդքան էլ դժվար չէ: Հետո, երբ արդեն հաքերն ունի կեղծ սերտիֆիկատ, թողնում է, որպեսզի այցելուն մտնի իրական կայքը, տեսնի բրաուզերի կանաչ տողը, վստահ ներմուծի իր տվյալները, և հենց այդ ժամանակ, նա փոխարինում է սերտիֆիկատը իր ունեցածով, որը թույլ է տալիս էջում ցուցադրել java-script կոդ կամ որոշակի այլ ինֆորմացիա: Դե իսկ բրաուզերը շարունակում է ցույց տալ կանաչ տողը, չհասկանալով փոփոխված սերտիֆիկատի գոյությունը:

Այսուհանդերձ Սոտիրովը նշում է, որ EV սերտիֆիկատները եղել և մնում են դեռևս ամենաանվտանգը, բայց քանի դեռ բրաուզերները չեն վերացրել իրենց թերությունները գույների տարբերակման հետ կապված` մենք չենք կարող ամբողջովին վստահ լինել, որ կանաչ տողը երաշխավորում է մեր անվտանգությունը:

Գուցե բրաուզերներն արդեն շտկել են իրենց թերությունները, կամ արդեն պատրաստվում են: Դեռ կգրեմ այս մասին:

Վարդան Գրիգորյան / blog.grigoryan.biz

Ի՞նչ է ֆիշինգը

Փորձեմ ոչ ֆորմալ տեսքով բացատրել այս երևույթի իմաստը:

Մեզանից շատերը օրական բազմապիսի նամակներ են ստանում, որոնցից շատերը համարում ենք սպամ, որոշներն էլ կասկածի տակ դնելով` ամեն դեպքում կարդում ենք այդ նամակները: Ֆիշինգի իմաստը կայանում է նրանում, որ հաքերներն ուղարկում են իրենց թիրախին որևէ նամակ, որն իբր ուղարկել է այս կամ այն կարևոր կազմակերպությունը կամ վեբ կայքը, և խնդրում են ներբեռնել որևէ վարակակիր ծրագիր կամ խնդրում են լրացնել գաղտնի տվյալներ որևէ ֆորմալ միջացավայրում, որն արտաքին տեսքով վստահություն է ներշնչում օգտվողին:

Ավելի լավ պատկերացնելու համար, ուզում եմ ներկայացնել այս երևույթն օրինակի վրա:

Ենթադրենք Դուք գրանցված եք mail.ru կայքում, ունեք այնտեղ էլ.փոստի հասցե, ակտիվ եք Мой Мир համակարգում և նույնիսկ շփվում եք mail.ru Agent ծրագրով: Երբեևէ ստացել ե՞ք  Открытки@Mail.ru կայքից որևէ բացիկ Ձեր ընկերների կամ հենց ադմինիստրացիայի կողմից: Իհարկե, այո’… Իսկ երբևէ մտածե՞լ եք, որ այդ նամակները կարող է ուղարկել Ձեզ ցանկացած մարդ` նշելով կամայական էլ.փոստի հասցե, որպես ուղարկող… Պատկերացրեք, որ այդպիսի բան հնարավոր է:

Ուրեմն ինչ են անում ֆիշինգի այս օրինակի դեպքում հաքերները…

1. Պատրաստում են mail.ru-ում համակարգ մուտք գործելու համար նախատեսված ֆորմայի նման ֆորմա, այսինքն մի վեբ էջ, որը նույնն է, ինչ հետևյալ էջը` http://win.mail.ru/cgi-bin/login : Օրինակի համար դիտեք իրական էջը և համեմատեք իմ պատրաստած էջի հետ, որը կարող եք տեսնել ԱՅՍՏԵՂ : Նման է, չէ՞…. Իմիջայլոց, եթե իմ պատրաստած էջում ներմուծեք Ձեր էլ.փոստի անունն ու գաղտնաբառը, ապա Դուք մուտք կգործեք համակարգ, ասես ոչինչ չի էլ եղել, իսկ ես կտեսնեմ Ձեր էլ.փոստի գաղտնաբառն ու անունը:

2. Հաջորդ քայլում պատրաստում են էլեկտրոնային նամակ, որը նման է Cards@mail.ru -ի կողմից ուղարկվող էլեկտրոնային նամակին: Իհարկե մանրամասն չեմ գրի, թե ինչպես պատրաստեք այդ նամակը:

3. Անանուն նամակ ուղարկելու ծառայություն մատուցող որևէ կայքից ուղարկում են էլեկտրոնային նամակ, Ձեր էլ փոստի հասցեին այնպես, իբր դա ուղարկել է cards@mail.ru-ն, և Դուք ոչինչ չեք կասկածում… Չէ՞ որ նամակն ուղարկել է ադմինիստրացիան: Նամակում նշվում է, որ Դուք ստացել եք էլեկտրոնային բացիկ, որը կարող եք դիտել սեղմելով ինչ-որ հղման: Իրականում այդ հղումը Ձեզ կտանի դեպի 1. կետում նշված ֆիկտիվ էջը և կխնդրի Ձեզ ներմուծել Ձեր տվյալները:

Եվ վերջ.. այսքանով հաքերների գործն ավարտվում է: Մնացածը կախված է լինում արդեն Ձեզնից. Կվստահեք արդյոք նամակին և կներմուծեք արդյոք Ձեր տվյալները ֆիկտիվ էջում:

ԻՆՉՊԵ՞Ս ԽՈՒՍԱՓԵԼ ՖԻՇԻՆԳԻՑ

Այստեղ կա մեկ խորհուրդ. “Նախքան որևէ կայքում Ձեր գաղտնի ինֆորմացիան ներմուծելը կամ որևէ ծրագիր ներբեռնելը, բրաուզերում ուշադիր նայեք, թե ինչ հասցեում է տեղակայված այդ էջը, գուցե դա ֆիկտիվ էջ է, որը շատ նման է Ձեր իմացած էջին”:

Դե ինչ… երևի այսօրվա համար այսքանը:

Հ.Գ.

Ուշադիր կարդացեք Ձեր էլ.փոստի ստացած բոլոր նամակները, գուցե այն հաքերի կողմից ուղարկված նամակ է:

Հոդվածը պատրաստեց` Վարդան Գրիգորյանը / blog.grigoryan.biz / www.ireport.am /

Այսօր ամբողջ աշխարհի ՏՏ ստորաբաժանումների մասնագետներն իրենց ցանցի անվտանգությունն ապահովելու համար ստիպված են օգտագործել բազմապիսի ծրագրեր, որոնք լրացնում են մեկը մյուսին և ի դերև են հանում գրեթե բոլոր վտանգները: Մյուս կողմից անընդհատ պետք է հետևել օգտագործվող ծրագրերի թարմացումներին: Մի խոսքով պետք է ձեռքդ միշտ լինի զարգացման պուլսին:

Ընդհանուր առմամբ կարելի է ասել, որ անվտանգության ապահովումն իրենից ներկայացնում է հետևյալ հասկացողությունների համադրությունը` միջցանցային էկրան, կորպորատիվ հակավիրուսային ծրագրեր, Snort հարձակումների հայտնաբերում BASE համակարգի միջոցով, հայտնի սխալների հայտնաբերում Nessus կամ OpenVAS համակագերի միջոցով, ցանցային սքաներ Nmap և մի քանի այլ մանր մունր գործողություններ, որոնք պետք է կատարել ինչ-որ հաջորդական կարգով: Այսինքն, սկզբում օգտագործվում է առաջին ծրագիրը, ուսումնասիրվում նրա արդյունքները, հետո հաջորդը և այդպես շարունակ: Այս ամենը զգալի մեծ ժամանակի կորուստ և ծանրաբեռնվածություն են գցում ՏՏ ստորաբաժանումների աշխատակիցների վրա…

Այս ամենը դեռ ոչինչ, բայց երբ պարզվում է, որ  ցանցի ներսում առաջացած խնդիրը հնարավոր չէ ուղղել նշված քայլերից և ոչ մեկի արդյունքում, այդ դեպքում հարկ է լինում կատարել մեխանիկական աշխատանք` ուսումնասիրելով բոլոր ձեռք բերված ստատիկ արդյունքները:

Հենց այս պատճառով էլ ստեղծվել են ավտոմատացված համակարգեր, որոնք կատարում են վերը նշված քայլերից յուրաքանչյուրը, և էկրանին արտաբերում բոլոր գտնված թերությունները` մարդկային հասկանալի տեսքով:

Իհարկե գոյություն ունեն ավտոմատացված համակարգերի բազաթիվ տեսակներ, որոնք այնքան թանկ են, որ նույնիսկ մեխանիկական աշխատանքի վրա ծախսվող սեփական ժամանակը չես գնահատի այդքան: Այդպիսիք են օրինակ` Microsoft Security Response Center (MSRC), IBM Internet Security Systems, Lumension Vulnerability Management (նախկինում PatchLink), QualysGuard, Symantec Control Compliance Suite (SCCS), MaxPatrol և այլն:

Փորձենք շրջանցել վճարովի այս համակարգերը և ուսումնասիրել նմանատիպ բայց  բաց կոդով մի համակարգ:

Անվտանգության վերահսկում OSSIM-ի միջոցով

OSSIM (Open Source Security Information Management, ossim.net) համակարգի գլխավոր խնդիրն է մաքսիմալ իր մեջ ինտեգրել իրար հետ շաղկապված անվտանգություն վերահսկող համակարգերը: Ներկա պահին OSSIM-ն իր մեջ ներառում է այնպիսի ծրագրեր, ինչպիսիք են` Arpwatch, P0f, pads, Nessus/OpenVAS, Ntop, Snort, tcptrack, tcpdump, Nmap, Spade, Nagios, Osiris, OCSInventory-NG, OSSEC, RRDTool (հնարավոր է նաև ուսումնասիրություններ կատարել  preludeIDS, NTsyslog, Snare, Cisco Secure IDS ծրագրերի արդյունքներից ելնելով): Ահա այս մեծ ցուցակի ծրագրերի աշխատանքի արդյունքում հնարավոր է ունենալ հստակ պատկերացումներ Ձեր ցանցի ներսում տիրող վիճակի վերաբերյալ: Վերջնական արդյունքները կարելի է պահել բազաթիվ եղանակներով` syslog, plain log, SNMP, OPSEC, սոկետ և այլն: Առանձին ուշադրություն է դարձվում համակարգի ընթացիկ վիճակին, մասնավորապես օրական թրաֆիկներին, ինչպես նաև հետևել օգտագործողների ակտիվությանը` էլ.փոստ, ICQ, http, ftp և այլն:  OCSInventory-NG համակարգը տվյալներ է տալիս ցանցի յուրաքանչյուր համակարգի ՕՀ(օպերացիոն համակարգի) և սարքավորումների վերաբերյալ: OSSIM-ը հսկում է նաև ցանցի համակարգիչների կապը և տեղեկցանում առկա ռիսկերի մասին: Այդ նպատակով ստեղծվում են TCP սեսսիաների պարբերական գրաֆիկներ, UDP, TCP և ICMP-ի ներքին կապերի փոփոխական գրաֆիկներ, որը հնարավորություն է տալիս հստակ իմանալ գոյություն ունեցող այնպիսի ցանցային հարձակումները, որոնք կատարվում են միաժամանակ տարբեր համակարգիչներից: Արդյունքում OSSIM-ը ծառայում է արպես հարձակումներ կանխարգելող համակարգ (IPS, Intrusion Prevention System)` հենվելով բազաթիվ աղբյուրներից ստացած արդյունքների վրա:

OSSIM-ը հիմնականում բաղկացած է`

• Սերվեր – կատարում է հսկողություն համակարգի նկատմամբ, նորմավորում է տվյալները, գնահատում ռիսկը և կարգավորում գործողությունների հաջորդականությունը,
• Framework-ի հսկման դեմոն (deamon) – աշխատում է սերվերի վրա և տարբեր աշխատող մասեր կապակցում է  իրար,
• Տվյալների բազա – իր մեջ պահում է ստացված տվյալները (բաղկացուցիչ մասերը – MySQL, OSSIM, Snort/ACID և Phpgacl),
• Ագենտներ – սրանք բազայի մեջ են ներմուծում Snort, Pads, Ntop, Tcptrack, p0f, Arpwatch, Nessus և այլ ծրագրերի կողմից ստացված արդյունքները ,
• Ղեկավարման վեբ համակարգ – սրա միջոցով ղեկավարվում է ամբողջ գործընթացը` ստացված տվյալների անալիզ և արտաբերում, ռիսկի գնահատականների հաշվարկ (Apache, PHP` ADOdb-ով, Phpgacl, Rrdtool, Mrtg, ACID, Nessus, Nmap, Ntop, FPDF և այլն)

Ընդ որում, այս նշված մասերից յուրաքանչյուրը կարելի է տեղադրել տարբեր համակարգիչների վրա: Այդ դեպքում նրանց միջև ապահովվում է կոդավորված կապ` SSL-ի միջոցով:

Դե ինչ, OSSIM-ի մասին կարող եք մանրամասն կարդալ իրենց կայքից, իսկ ես ասեմ, որ իմ կարծքիով համակարգը իդեալական է ՏՏ ստորաբաժանումների համար:

Այս հոդվածիս մեջ գրեցի միայն OSSIM-ի մասին: Բայց դա չի նշանակում, որ այն միակն է իր ձևի մեջ: Կան բազմաթիվ այլընտրանքներ, որոնց մասին կգրեմ առանձին-առանձին:

Վարդան Գրիգորյան / NeoMedia նախագիծ

SQL Injection-ը բավականին լավ գործիք է հակերի ձեռքին, որպեսզի ստանա ուրիշի սերվեր մուտք գործելու հնարավորություն: Եվ չնչին ցանկության դեպքում /իսկ հակերների մոտ այդ չնչին ցանկությունը այլ մարդկանց համար ահռելի մեծ է/ նա կստանա այդ հնարավորությունը …

Coder inside

Մեր ժամանակներում, տվյալների բազայի հետ աշխատում են համարյա բոլոր ծրագրավորման լեզուներով, օրինակ` BASIC, C++, Java, PERL, PHP, Assembler և նույնիսկ JavaScript! Շատ հաճախ տվյալների բազան օգտագործում են ֆինանսական որոշակի խնդիրների լուծումների, հաշվապահության, կադրերի կառավարման և շատ այլ ոլորտների մեջ, բայց իրենց մեծ տարածումը տվյալների բազաները գտան հենց ինտերնետում:

Տվյալների բազաները հաճախ օգտագործվում են ՎԵԲ ԾՐԱԳՐԱՎՈՐՄԱՆ մեջ: Նրանք օգնության են հասնում օրինակ գրանցված անդամների տվյալների պահպանման, կայքում որոնում իրականացնելու և շատ այլ դեպքերում: Տվյալների բազաներին դիմելու համար օգտագործվում են այսպես ասած սերվերային տեխնոլոգիաները, ինչպիսիք են` PHP, PERL, ASP և այլն: Ու հենց այստեղից էլ սկսվում է ամենահետաքրքիրը:  Որովհետև երբ սերվերի վրա տեղադրված են բոլոր թարմացումները, իսկ ֆայրվոլն արգելափակում է մուտքը բոլոր պորտերով, բացի 80-ից, կամ երբ անհրաժեշտ է մուտք գործել համակարգ` որոշակի տվյալների համար, հակերին միայն մնում է օգտվել ինչի՞ց… Դե իհարկե  SQL Injection-ից/այսուհետ SQL-ինյեկցիա/: Այս “գործողության” իմաստը կայանում է ՎԵԲ ՏԵԽՆՈԼՈԳԻԱՆԵՐԻ սխալների օգտագործումը SQL-ի օգնությամբ: Բանը նրանում է, որ շատ վեբ կայքեր, իրենց գրանցված անդամների տվյալների մշակման համար կազմում են որոշակի SQL-հրամաններ, որոնք կատարում են փոփոխություններ տվյալների բազայի մեջ:  Այս հրամանների օգտագործումը կարող է հանգեցնել հետաքրքիր արդյունքների…

SQL Injection

Հարձակման այս մեթոդը հասկանալու համար պատկերացրեք, թե մտել եք մի կայք, որպեսզի ներբեռնեք շատ կարևոր ինֆորմացիա, բայց պարզում եք, որ այդ ինֆորմացիան կարող է ներբեռնել միայն գրանցված անդամը, իսկ գրանցումը վճարովի է Իսկական ժամանակն է հիշել, թե ինչպիսի խնամքով պետք է վերաբերվել  SQL տվյալների բազային: Օրինակ լոգինի և գաղտնաբառի ստուգումը կատարող կոդը կարող է ունենալ հետևյալ տեսքը`

$result=mysql_db_query($db,"SELECT * FROM $table WHERE user='$login' AND
pass='$password'");
$num_rows=mysql_num_rows($result);
mysql_close($link);
if ($num_rows!=0)
{
// AUTHENTICATION OK
}
else
{
// AUTHENTICATION ERROR
}

Ես ավելացրել եմ երկու մեջբերում, առաջինը` “AUTHENTICATION OK “, որի փոխարեն պետք գրված լինի ճիշտ մուտքագրված տվյալների դեպքում կատարվող կոդը, իսկ երկրորդը` “AUTHENTICATION ERROR “, որին էլ պետք է փոխարինի սխալ մուտքագրված տվյալների դեպքում կատարվող կոդը: Ֆորման լրացնելուց հետո, բրաուզերում կարող ենք տեսնել մոտավորապես էսպիսի մի տող` http://www.server.com?login=user&password=31337, որտեղ  www.server.com-ը այն սերվերի անունն է, որի մեջ փորձում ենք մխրճվել: Հիմա փորձենք պատկերացնել թե ինչ SQL հարցում կարող է զբաղվել մեր մուտքագրած տվյալների մշակմամբ: Այն մոտավորապես կունենա հետևյալ տեսքը`

SELECT * FROM users WHERE login='user' AND password='31337'

Սա մոտավոր նշանակում է հետևյալը` վերադարձրու ինձ users աղյուսակի բոլոր այն տվյալները, որոնց լոգինը user է, իսկ գաղտնաբառը` 31337: Եթե գոյություն ունի այդպիսի տվյալ, ուրեմն տվյալ մարդը գրանցված է… Բայց որոշ հատուկ դեպքերում, ամեն ինչ կարելի է ձևափոխել: Հաշվի է առնվում այն հանգամանքը, որ SQL-ում կան AND և OR հրամաններ, որոնք համապատասխանաբար նշանակում են ԵՎ, ԿԱՄ :  Օրինակ ինչն է մեզ խանգարում հարցումը կատարել այսպես`

SELECT * FROM users WHERE login='user' AND password='31337' AND email='user@server.com'

Այս դեպքում կստուգվի նաև email փոփոխականը: Բայց եկեք կանգ չառնենք ԵՎ-ի վրա, որովհետև մեզ ավելի շատ հետաքրքիր է նրա ընկերը` ԿԱՄ-ը: Օրինակ ինչ կլինի եթե գրենք հարցումն այսպես`

SELECT * FROM users WHERE login='user' OR 1=1--' AND password='31337'

Նախ ասեմ, որ երկու գծերը` “–”, նշանակում են որ հարցումն այդքանով ավարտվում է, և դրանից հետո եկող տվյալները չեն ընթերցվում համակարգի կողմից! Ստացվում է, որ մենք կատարել ենք հետևյալ հարցումը`

SELECT * FROM users WHERE login='user' OR 1=1

Ինչպես տեսնում եք, մենք ավելացրեցինք ևս մեկ պայման`”1=1″, այսինքն համակարգը կտա մեզ ճիշտ արդյունք, եթե լոգինը լինի  user կամ 1=1: Բայց մաթեմատիկան մեզ հուշում է, որ 1-ը հենց հավասար է 1-ին (չնայած ինչեր ասես հիմա չեն հորինի ): Դե իսկ հիմա, մեր SQL հարցումը տեղափոխենք բրաուզեր` http://www.server.com?login=user or 1=1–&password=31337 :  Սա հանգեցնում է նրան, որ կապ չունի թե մենք ինչ լոգին ենք լրացրել, իսկ համակարգը մեզ ճիշտ արդյունքն է վերադարձնում:

Բայց այս ամբողջն ընդհամենը թեորիա է: Պրակտիկայում մեզ անհայտ է, թե ինչպես է կատարվում հարցումը, ինչ պարամետրեր են փոխանցվում և ինչ հաջորդականությամբ: Դրա համար նույն գործողությունը`”user’ OR 1=1–”, պետք է կատարել բոլոր փոփոխականների համար: Ինչպես նաև պետք է ստուգել ուղարկող ֆորմայի մեջ արդյոք կան թաքնված փոփոխականներ, որոնք սովորաբար լինում են այս տեսակի` “<INPUT TYPE=HIDDEN VALUE=’value’ >”: Եվ որ ամենակարևորն է, պետք է իմանալ, թե իրականում ինչ անունով սկրիպտ է ստանալու Ձեր ուղարկած տվյալները:

Իսկ ինչ վերաբերում է իմ բերած օրինակին, այն կարող էր լինել օրինակ այսպիսին`

SELECT * FROM users WHERE (login='user' AND password='31337')
SELECT * FROM users WHERE login="user" AND password="31337"
SELECT * FROM users WHERE login=user AND password=31337

և այլն…

Այս դեպքում պետք է փորձել բոլոր հնարավոր տարբերակները`

‘ OR 1=1–
” OR 1=1–
OR 1=1–
‘ OR ‘a’=’a
” OR “a”=”a
‘) OR (’a’=’a
OR ‘1′=’1′

Ամեն ինչ կախված է սկրիպտը գրող վեբ ծրագրավորողից և նրանից, թե ինչի համար է գրված սկրիպտը: Դե քանի որ ամեն մարդ սովոր է աշխատանքը կատարել իր ոճով, շատ հավանական է, որ ծրագրավորողը ընտրած լինի ամենադժվար տարբերակը: Դրա համար էլ պետք չէ հանձնվել, եթե համակարգը հանկարծ չընդունի Ձեր կողմից տրված տվյալները: Պետք է սոտւգել հնարավորինս շատ տարբերակներ:

— Շարունակելի —

Վարդան Գրիգորյան / iReport.am / blog.grigoryan.biz

Հիշե’ք. Ավելի լավ է անվտանգության մասին մտածել հենց սկզբից, քան հետագայում փորձել շտկել վնասները:

Նշված քայլերի հաջորդականությունը կարևոր չէ, կարևորը դրանց կիրառումն է:

1. Պահեք Ձեր բլոգի բեքապ տվյալները` “WP-database backup” պլուգինի միջոցով

Առաջին կարևորագույն խորհուրդը` պահեք Ձեր բլոգի բեքապ տվյալներն ինչքան հնարավոր է հաճախ: Իհարկե կարող եք դա անել առանց որևէ պլուգինի, պարզապես արխիվացնելով բազաները phpMyAdmin-ից: Սակայն ինչների՞դ է պետք  չարչարվել, եթե այդ ամենը Ձեր փոխարեն կկատարի համակարգը:

“WP-database backup” պլուգինը կարելի է կարգավորել այնպես, որ նա ավտոմատ կերպով ամեն օր արխիվացնի բազաները և ուղարկի Ձեր էլ.փոստի հասցեին:

2. Ստուգեք բոլոր ֆայլերի թույլ կողմերը

Հաջորդ քայլը կայանում է նրանում, որ Դուք պետք է ստուգեք Ձեր բլոգի բոլոր ֆայլերի թույլ կողմերը: Այս հարցում առաջարկում եմ օգտագործել “WP Security Scan” պլուգինը: Պլուգինն ինքը կգտնի սխալները և Ձեզ կառաջարկի նրանց վերացման տարբերակները:

Այս պլուգինը կարողանում է անհրաժեշտության դեպքում փոփոխություններ կատարել նույնսիկ տվյալների բազայում, ինչպես օրինակ` փոփոխել տվյալների բազայի աղյուսակների համարակալումներն ու անվանումները, ջնջել անհայտ ու կասկածելի ադմինիստրատորներին, ստուգել Ձեր գաղտնաբառը: Դրանից բացի պլուգինը ստուգում է բոլոր արկղերը(folder) և նրանց տրված թույլտվությունները (chmod): Ստորև ներկայացնում եմ պլուգինի նկարը`

3. Պաշտպանեք Ձեր բլոգը “բրուտֆորս”-երից

“Բրուտֆորս”-ը իրենից ներկայացնում է գաղտնաբառը հայտնաբերող սկրիպտ կամ ծրագիր, որն իր աշխատանքի ընթացքում ստուգում է բոլոր հնարավոր տարբերակները և գտնում գաղտնաբառը: Կան “բրուտֆորս”-եր, որոնք մի քանի ժամվա ընթացքում փորձարկում են հարյուր հազարավոր գաղտնաբառեր:

Սրա դեմ պայքարելու համար ամենաառաջին քայլն այն է, որ Դուք ընտրեք ինչքան հնարավոր է երկար և խառը գաղտնաբառ` ցանկալի է, որ այն լինի առանց որևէ իմաստի:

Ինչպես նաև, խորհուրդ եմ տալիս wp-admin արկղին միացնել Apache մուտքագրման համակարգը: Սա կարող եք անել ինչպես Ձեր կայքի cPanel-ից, այնպես էլ համապատասխան պլուգինի միջոցով, որը կոչվում է  “Ask Apache”: Այս պլուգինը պաշտպանում է wp-admin արկղը` սերվերի մակարդակով: Հնարավոր է նաև պաշտապնել այլ արկղեր, օրինակ` wp-content կամ wp-includes:

4. Մի’ տեղադրեք անծանոթ պլուգիններ

Համացանցում կարելի է հանդիպել բազմաթիվ հետաքրքիր պլուգիններ, որոնց ծրագրային կոդը կազմողներն անհայտ են: Զերծ մնացեք նմանատիպ պլուգիններից և օգտվեք միայն փորձված և մասնագետներից կողմից առաջարկվող պլուգիններից:

Բացի դրանից, շատ կարևոր է այն, որ ցանկացած պլուգին, որը տեղադրված է Ձեր բլոգում, պետք է թարմացնեք մինչև դրանց ամենավերջին տարբերակները, քանի որ վերջին թարմացումներում պլուգինի կոդավորողները շտկում են բազմաթիվ թերություններ, որոնք կարող են այս կամ այն պատճառով սպառնալ Ձեր բլոգի անվտանգությանը:

5. Թաքցրեք Ձեր WordPress-ի տարբերակի համարը (version)

Եթե հակերն իմանա Ձեր բլոգային համակարգի տարբերակի համար, ավելի հեշտ կլինի նրա համար օգտագործել այդ համարի բաց կողմերը: Այդ համարը գրված է “meta tag version”-ում: Բավական է մտնել Ձեր բլոգի դիզայնի header.php ֆայլի մեջ և ջնջել այդ տողը:

Կա նաև այլըտրանք` օգտվել համապատասխան պլուգինից: Այս պլուգինը հնարավորություն է տալիս խաբել հակերներին և տեղադրել սխալ համար:

Դե ինչ, այսքանով եզրափակեմ այս հոդվածս: Հույս ունեմ, որ կընդունեք խորհուրդներս և կկիրառեք դրանք Ձեր բլոգում:

Վարդան Գրիգորյան / iReport.am / blog.grigoryan.biz