När den personliga säkerheten online höjs är ett nytt sätt för hackare att komma över viktiga uppgifter CMS-system. Det hela är en del av den nya termen social engineering.
David Britton Vice President of Industry Solutions på 41st Parameter påpekar att antalet hacks mot publiceringssystem som:
- WordPress 3
- Joomla! 3
- Drupal 7
har ökat markant. CMS:en kan enligt 41st Parameter användas som en ingång för att sedan installera lokala bakdörrar som i sin värsta form kan installera och fjärrstyra egna verktyg på datorn/servern.
Nås uppgifter och lösenord denna väg kan hackare börja bygga upp en bank med detaljerade personuppgifter som slutligen via t ex riktade epost-utskick används för att driva in de uppgifter som krävs för att komma åt ett bankkonto.
Publiceringssystem som Drupal och WordPress anses fortfarande enkla att hacka jämfört med andra system.
Kommentarer
”Publiceringssystem som Drupal och WordPress anses fortfarande enkla att hacka jämfört med andra system.”
Kommer man med ett sådant vag påstående så gäller det att kunna backa upp det också.
Jag har varit aktiv i Drupal communityn dom senaste fem åren och har faktiskt aldrig hört talas om ett enda fall då Drupal har hackats. Däremot har tredjepartsapplikationer eller servrarna Drupal sajter körts på hackats. Det kan dock aldrig tolkas som att Drupal har dålig säkerhet!
Så vänligen ge oss länkar till seriösa källor för detta svepande allvarliga påstående tack!
En release. Fler som skrivit om det http://www.idg.se/2.1085/1.517378/har-ar-hackarnas-nya-maltavlor samt originalet http://blog.the41st.com/data-breaches-how-at-risk-are-you/ som beskrevs som ’Drupal, Joomla and WordPress’ när de uppgifterna först presenterades.
IDG-artikeln har lika låga grad av källfakta. Samma påståenden som här men inte ett enda exempel eller länk till fall då det inträffat.
Den andra länken nämner överhuvudtaget inte ens Drupal eller WordPress.
Slår t.o.m. tabloiderna i dålig journalistik.
här är WordPress, Joomla nämnt http://threatpost.com/fort-disco-brute-force-attack-campaign-targets-cms-websites
Återigen en vag artikel som börjar med:
”More than 6,000 websites built on content management systems such as WordPress, Joomla and Datalife Engine were compromised”
Där ”such as” kan översättas med ”Som exempelvis”. Alltså inget specifict alls.
Dessutom, ”brute force” handlar om att du försökte logga in genom att bombardera sajterna med olika kombinationer av namn och lösen. Lyckas dom beror det på en kombination av tur och hur dåligt sajt-ägarna konfigurerat sajterna.
Drupal, liksom WordPress och med all sannolikhet alla seriösa open source CMS-projekt har alla antingen inbyggt eller tillägg för att motverka brute force. T.ex. genom att efter x antal försök helt enkelt automatiskt blocka IP-nummer, att blockera all inloggning ifall onormalt antal felaktiga försök görs från olika IP-nummer osv.
Därför kan man inte beskylla open source-projekten för bristande säkerhet odyl. Inte då det är sajtägarna som bör göra sin hemläxa och veta vad man behöver skydda sig om.
Det vore som att klaga på tillverkaren om man får inbrott i sin olåsta bil.
Som det mesta här på mkse så är inte riktiga fakta det viktiga, utan att dra trafik till sajten…
Ge oss ett enda verkligt exempel där Drupal har använts för att komma åt bankkontouppgifter så kan man ta det här på allvar. Pajasnyheter.
Drupal och WordPress är entry point. LAMP cms används där efter för att komma åt Filesman och starta en PHP exekvering av Styx Exploit kit. Samt fösa in nya botar via PHP kod. Hajjar ni?
Jag har inget problem med att förstå, jag jobar med It-säkerhet och LAMP sedan 1999. Ge mig ett exempel som sagt.
Den här artikeln är väl typ det slutgiltliga beviset för vad MKSE handlar är att snacka skit om open source. Inte att lyfta fram fakta.
Mkse är fullständigt unikt. En enormt bra källa med information om trender och benchmark som få branscher kan visa upp motstycke till. Daglig koll är givet för att hänga med. Är det inte därför du läser här?
Enda anledningen till varför jag läser den här bloggen är för att rätta till all strunt som skrivs. Källan till den här artikeln rättade till sitt strunt på en gång. Martin gör det inte.