Nous examinons le rapport annuel sur les sites piratés de Sucuri Security de GoDaddy et les types de logiciels malveillants qu’ils ont trouvés dans diverses applications CMS et panier d’achat. Microsoft signale qu’ils trouvent 77 000 Webshells par jour, et le résumé de WP Scan répertorie un certain nombre de plugins et de thèmes populaires présentant des vulnérabilités récentes. Un rapport d’étudiants de l’Université Harvard expose les risques croissants de fuites et de violations en ligne.

Voici quelques horodatages si vous souhaitez vous déplacer:

1:27 Le Rapport de site Web piraté 2019 de nos amis chez Sucuri Security de GoDaddy
5:02 Microsoft dit qu’il détecte plus de 77 000 webshells actifs par jour
5:21 Qu’est-ce qu’une webshell et pourquoi elle est dangereuse
6:07 WSOShell, un shell basé sur PHP que nous voyons souvent sur les sites WordPress piratés
7:25 WPScan répertorie 37 plugins et 9 thèmes avec vulnérabilités révélées en janvier 2020
8:16 Le risques croissants de fuites et de violations de donnéeset comment limiter votre exposition

Retrouvez-nous sur votre application ou plateforme préférée, y compris iTunes, Podcasts Google, Spotify, Youtube, SoundCloud et Couvert.

Cliquez ici pour télécharger une version MP3 de ce podcast. Abonnez-vous à notre flux RSS.

Transcription de l’épisode 64

Bonjour, bienvenue sur Think Like a Hacker, le podcast sur la sécurité et l’innovation WordPress. Voici Kathy Zant, directrice du marketing ici à Wordfence et voici l’épisode 64. C’est la première semaine de février et c’est le coup d’envoi officiel de la saison WordCamp. Ce week-end, nous avons WordCamp Phoenix. Je travaille en tant que sponsor Wrangler. Mon salon est actuellement un entrepôt de sponsors. J’ai très hâte d’obtenir toutes ces boîtes au centre-ville afin que tous les sponsors puissent commencer à distribuer une partie de ce grand butin. J’ai hâte de voir ce qu’il y a dans certaines de ces boîtes! Merci à tous les sponsors qui rendent cet événement possible. Il est maintenant épuisé, donc si vous n’avez pas de billet pour WordCamp Phoenix, désolé, vous aurez FOMO, mais je suis sûr que vous vous amuserez à regarder l’événement sur les réseaux sociaux avec le hashtag de WCPHX.

Si vous allez être à WordCamp Phoenix, veuillez trouver l’équipe Wordfence, dites bonjour et apprenez à choisir un verrou. Nous avons également de nouveaux cadeaux cette année si vous leur faites savoir que vous écoutez Think Like a Hacker. Je serais ravi de vous entendre. Veuillez également me trouver et dire bonjour. Donc, aujourd’hui, nous n’avons pas d’interview pour vous, mais nous avons des nouvelles sur la sécurité et nous allons en parler maintenant. Nos amis de Sucuri Security de GoDaddy ont publié leur rapport annuel sur l’état de la sécurité des sites Web en 2019. Seize personnes ont contribué à ce rapport de plus de 40 pages. J’aime vraiment lire les types d’infections de logiciels malveillants que d’autres sociétés de sécurité voient et parce que Sucuri fonctionne avec plus que WordPress, elles disposaient de données intéressantes et ont pu comparer divers systèmes de gestion de contenu et paniers d’achat tels que Magento, etc.

Il s’agit donc d’un excellent examen d’un large éventail de différents types d’infections et de systèmes de gestion de contenu. Voici donc ce qu’ils ont trouvé. Tout d’abord, ils ont découvert que la moitié environ des sites infectés qu’ils avaient nettoyés avaient des portes dérobées, ce qui est logique. Si vous allez envahir une maison et que vous pensez que vous voudrez peut-être y retourner, vous pouvez peut-être laisser une clé quelque part ou laisser un moyen de rentrer. Même chose avec un site Web. Une porte dérobée est juste du code qui pourrait être ajouté à un fichier normal ou ce pourrait être un fichier autonome qui permet à un pirate d’accéder essentiellement sans restriction à un site compromis. Il leur permet d’accéder à tous les fichiers de ce compte d’hébergement. Ils pourraient ressembler à du code PHP normal ou être obscurcis. Une porte dérobée peut être insérée dans un fichier valide comme une seule ligne de code qui semble plutôt innocente.

Maintenant, généralement, la raison pour laquelle un pirate informatique compromet un site est pour des raisons financières, il est donc assez rare de trouver une porte dérobée. Vous le trouvez généralement en conjonction avec d’autres logiciels malveillants affectant ce site. L’infection la plus courante qu’ils ont trouvée, 62% des sites Web qu’ils ont nettoyés contenaient du spam SEO. Maintenant, les pirates vont évidemment compromettre WordPress et d’autres sites Web CMS afin de mettre des liens de spam qui augmenteront le classement de leurs sites dans les moteurs de recherche. Et j’ai trouvé cela intéressant car ils ont déclaré avoir trouvé un certain nombre de sites compromis par le spam qui n’avaient pas de portes dérobées. Cela pourrait indiquer qu’ils ont vu un certain nombre de clients de nettoyage de site venir avec des problèmes de sécurité de base de données. Malheureusement, il existe des moyens de publier des liens de spam dans une base de données WordPress sans avoir de code PHP vulnérable sur votre site si, par exemple, un hébergeur a une vulnérabilité de service. J’ai nettoyé de nombreux sites comme celui-ci où les hôtes avaient des problèmes pour sécuriser leurs bases de données MySQL et nous avons travaillé avec des hôtes afin de les aider à les sécuriser.

Le rapport de Sucuri indique également qu’ils ont vu plus de 56% de toutes les applications de système de gestion de contenu ou CMS obsolètes au moment où ce site avait une infection, mais ils ont signalé que WordPress, de toutes les applications CMS et panier d’achat qu’ils avaient nettoyées , WordPress connaissait le plus de mises à jour. C’est donc une bonne chose pour notre petit coin de bois sur Internet. Je recommande vivement de consulter le rapport de Sucuri, mais gardez à l’esprit qu’il s’agit de données de leur équipe de nettoyage de site. Il n’est pas indicatif d’Internet dans son ensemble. Ce n’est pas indicatif de WordPress dans son ensemble. Prenez donc toutes ces informations comme définitivement intéressantes, mais avec un grain de sel, bien sûr.

Dans un article quelque peu connexe, Microsoft déclare avoir détecté quotidiennement plus de 77 000 shells Web actifs. Ils disent que cela s’est propagé quotidiennement sur 46 000 serveurs infectés. C’est ce qu’ils voient. Qu’est-ce qu’un shell Web? Un shell web est essentiellement une porte dérobée, il tombe dans cette catégorie. Il s’agit en fait d’un outil assez puissant qui vous permet de parcourir le contenu des fichiers et des répertoires ou dossiers d’un serveur en utilisant uniquement votre navigateur Web. Imaginez donc qu’un pirate dispose d’un outil sur votre serveur Web et que ce fichier dispose des mêmes autorisations que votre site Web. Si votre e-mail sur votre serveur dispose des mêmes autorisations, ils ont également accès à votre e-mail. Ils peuvent essentiellement parcourir tout ce qui se trouve dans ce compte d’hébergement à l’aide de ce shell Web. Si les informations client se trouvent sur votre serveur Web et qu’elles sont stockées et détenues avec les mêmes autorisations que votre site Web que ce shell utilise, le pirate a accès à toutes vos informations client, ce qui n’est bien sûr pas une bonne chose.

Il y a quelques années, nous avons écrit un article et examiné le shell WSO, nommé en raison de l’acronyme web shell par ORB. C’est un shell basé sur PHP que nous voyons souvent sur les sites WordPress piratés comme des backdoors qui permettent aux pirates de faire toutes sortes de choses. Ces fonctions de base telles que renommer des fichiers, copier des choses, déplacer des choses, modifier, télécharger de nouveaux fichiers sur un serveur ou également modifier les autorisations du répertoire de fichiers et créer une archive et télécharger toutes les données de votre serveur. Maintenant, je trouve intéressant que Microsoft voit quotidiennement autant de shells et de serveurs. Le vrai danger pour les paramètres d’entreprise et les clients d’entreprise est que ces shells peuvent être utilisés, si les autorisations et la sécurité du serveur ne sont pas renforcées, pour pivoter dans des environnements plus sensibles qu’un simple serveur Web. Il est donc très important que tous les aspects de votre sécurité soient pris en compte, car un attaquant peut accéder à un site WordPress et s’il est hébergé même dans une zone démilitarisée ou à l’extérieur de votre pare-feu, il peut toujours être pivoté dans des zones plus sensibles.
Donc un article vraiment intéressant là-bas. Nos amis de WPScan qui gèrent WP Vuln DB, la base de données de vulnérabilités de base pour WordPress, ont publié un résumé des vulnérabilités de janvier 2020. Il y avait pas mal de vulnérabilités en janvier, 37 plugins différents, 9 thèmes différents, quelques gros plugins et thèmes répertoriés. Nous aurons un lien dans nos notes de spectacle. Maintenant, si vous utilisez Wordfence, vos analyses vous feront savoir que vos plugins ou thèmes ont une mise à jour qui corrige un problème de sécurité et si vous utilisez Wordfence central, c’est un autre excellent outil, également gratuit, qui vous aidera à gérer de nombreuses installations WordPress et restez au top de ces mises à jour. Le partenariat que nous avons là-bas est donc vraiment utile pour nos utilisateurs.

Notre dernier article de presse cette semaine provient d’étudiants de l’Université Harvard. Deux étudiants de la John Paulson School of Engineering and Applied Sciences ont exploré les fuites de données pour leur projet final en confidentialité et technologie. Donc, vous avez écouté Think Like a Hacker au cours de la dernière année, vous vous souvenez probablement que Mark et moi avons parlé à plusieurs reprises des fuites et des violations de données qui se sont produites. Ce rapport de Harvard était intéressant car ils ont vraiment commencé à reconstituer ce que cela signifie pour l’internaute moyen.

Voir ces fuites de données constituent une menace plus importante que la plupart des gens ne le pensent. Ainsi, ces pirates peuvent trouver et exploiter des informations sensibles non seulement à propos de votre identité virtuelle mais aussi de votre identité réelle et peuvent vraiment faire des dégâts. Qu’est-ce que cela signifie? Disons que vous vouliez acheter un tee-shirt pour un ami dans une jolie petite vitrine. C’était vraiment unique cependant, quelque chose que vous ne pouvez pas trouver sur Amazon. Alors vous allez, vous entrez vos informations de facturation et d’expédition, votre ami obtient son tee-shirt, de nombreux rires ont eu et un an plus tard, ce site Web est piraté et vos données et les données de tous les autres clients qui ont acheté sur ce site sont téléchargées . Et peut-être qu’ils ont utilisé l’un de ces shells Web pour le faire, peut-être une autre méthode, mais dans un cas comme dans l’autre, vos données se retrouvent dans un endroit sombre.

Maintenant, certaines personnes appellent cela le dark web, le réseau peer-to-peer qui n’est pas indexé par les moteurs de recherche comme Google et doit être accessible via un logiciel appelé Tor. Sur le dark web, il existe des forums où les pirates partagent ou vendent des données qu’ils ont trouvées sur des sites vulnérables comme la boutique de tee-shirts dans notre exemple. Maintenant, selon le travail effectué par ces étudiants à Harvard, ces données sont assez faciles à trouver. Maintenant, ce qui est plus alarmant, c’est la quantité de données qu’ils ont trouvées et comment ils ont pu rassembler des informations sur diverses personnes. Donc, si vous êtes comme moi, vous vous souvenez probablement d’une société d’évaluation du crédit, Experian, et de la violation qui s’est produite en 2015 qui contenait des informations personnelles et plus de six millions de personnes.

Ainsi, l’ensemble de données disponible sur le dark web qu’ils ont trouvé a été divisé par état. Ils se sont donc concentrés sur Washington, D.C.et les données contiennent 69 variables différentes, allant de l’adresse personnelle et du numéro de téléphone d’une personne à son pointage de crédit, à l’historique de ses dons politiques et même au nombre d’enfants qu’ils ont. Ils ont donc examiné les individus à travers d’autres fuites qui s’étaient produites, combinant des informations personnelles volées provenant de centaines de sources. Maintenant, nous avons l’outil de Troy Hunt appelé Have I Been Pwned, où vous pouvez entrer votre adresse e-mail et voir combien de violations et de fuites vos informations se sont produites. Ces étudiants de Harvard ont créé quelque chose comme ça sur le dark web qui effectue ce genre de look -ups à l’échelle. Ils ont ensuite commencé à trouver très rapidement des vulnérabilités dans la présence en ligne d’un individu. Une statistique effrayante, parmi les 96 000 mots de passe qu’ils ont trouvés, seulement 2 600 étaient uniques, alors commencez à utiliser ces mots de passe uniques, commencez à utiliser votre authentification à deux facteurs, utilisez vos gestionnaires de mots de passe.

Mais c’est pire que ça. Voici donc un exemple de la façon dont cela peut être effrayant. Ainsi, en moins de 10 secondes, ils ont produit un ensemble de données avec plus de 1 000 personnes répondant à ces critères; ils ont une valeur nette élevée, ils sont mariés, ils ont des enfants et ils ont également un nom d’utilisateur ou un mot de passe trouvé sur un site de triche. Vous commencez donc à voir comment les pirates peuvent commencer à utiliser ces informations pour des attaques très ciblées contre des individus spécifiques. Une autre question dont ils ont parlé était de dresser une liste de politiciens de haut niveau, révélant leurs cotes de crédit, leurs numéros de téléphone, les adresses de trois sénateurs américains, de trois représentants américains, du maire de Washington D.C. et d’un membre du Cabinet. Il s’agit certainement d’un article et de quelques idées qui méritent d’être explorées. Nous avons ce lien dans les notes de l’émission sur wordfence.com/podcast, mais que pouvez-vous faire pour vous protéger?

Vous vouliez seulement acheter à votre ami un tee-shirt unique que vous ne pouviez pas trouver ailleurs, non? Il y a donc des choses que vous pouvez faire pour limiter votre exposition dans ce monde de violations et de fuites de données. Tout d’abord, utilisez des mots de passe uniques partout. Si vous utilisez un nouveau site, assurez-vous qu’il a un mot de passe unique, un mot de passe que vous n’utilisez nulle part ailleurs. Les gestionnaires de mots de passe sont littéralement le seul moyen de rester au top de nos jours, 1Password et LastPass sont d’excellentes options. Utilisez des adresses e-mail uniques pour certains sites. Si vous utilisez Gmail, vous pouvez utiliser la capacité de Gmail pour créer un e-mail unique en ajoutant un signe plus et une autre phrase à la fin de votre nom d’utilisateur. Ainsi, par exemple, si j’étais kathy@gmail.com, je pourrais avoir un e-mail qui était kathy+tshirts@gmail.com. Il arriverait toujours dans ma boîte de réception, mais dans une sorte ou une recherche sur le dark web, il apparaîtra comme un e-mail différent.

Si un compromis se produit, il est un peu plus difficile pour les pirates de se reconstituer une image de vous lorsque vous utilisez des e-mails uniques et vous pouvez également dire où un compromis a pu se produire lorsque vous utilisez cette méthodologie de segmentation de votre compte Gmail ou plutôt de segmenter votre boîte de réception Gmail. Surveillez également régulièrement vos relevés de carte de crédit pour détecter toute activité suspecte et surveillez vos rapports de crédit et l’authentification à deux facteurs. Nous en parlons beaucoup. Plutôt que d’utiliser l’authentification à deux facteurs basée sur SMS, nous recommandons les mots de passe uniques basés sur le temps. Il existe un certain nombre d’outils qui vous permettent de l’utiliser et vous pouvez en effet rester en sécurité là-bas.

Merci d’avoir écouté cet épisode 64 de Think Like a Hacker. Si vous écoutez sur des podcasts Apple, donnez-nous une note, une critique. Si vous allez être à WordCamp Phoenix, venez dire bonjour. Dites bonjour sur Twitter ou tout autre média social. Je suis Kathy Zant partout et laisse un commentaire sur le post sur wordfence.com. Merci pour l’écoute. Nous reviendrons la semaine prochaine avec une interview et s’il y a une histoire que vous aimeriez que nous couvrions, veuillez contacter Kathy AT wordfence [dot] com et nous vous parlerons bientôt.


Source link

%d blogueurs aiment cette page :