 Tak vás vítam na mojej prednáške. Volám sa ozev Sudolský posledných 10 rokov pracujem spoločnosti LBIA ako hlavný linúksový administrátor a lasie staransa kompletnú bezpečnosť a ochranu našich klientov. Na prednáške si najskoro trošku zanalizujeme vystup našho aplikačneho farvolu, ktorým chraníme naš zdelany hosting, ukážeme sa nejaké grafy, nejaké čísla. Ten uvol bude trošku možno taký nudnejší a keď sa to prehryzíme, tak nasledne si poviem prečo sa treba proti takým to utokom brániť, čo nám spôsobujú, aké máme možnosti a ktorá z tých možností je pre nás najvhodnejšia a ktorá nám zabezpečí tu najvyšššiu ochranu za najniššiu albo primeranú cenu, lebo samozrejme nične za darmo ani ochrana ani farvol. Takže pomeň na to, máme tu prvý graf. Té čísla sú trošku mňašie a ich bude majť čítá, takže nemúcete tam nejak škúľde zaostrovať. Na tomto grafé vidno taký celkový prehľad utokov na naš zdelany hosting. Su to údaje za september 2019, za jeden mesiat, čo to úplne čerstve údaje. Zozbierane boli len na systémy WordPress, čiže keby sme sobrali celý hosting, tak by boli ovala väčšie, je to asi štvrtina doho, čo tam máme. Ale aj tak sú zaujímavé. Prvý stopček zobrazuje počet útokov, ktoré naš aplikačný farvol odrazil, alebo zablokoval. Je to takmer 184 tisíc. Toto sú toky, ktoré priamo sa zanriavajú na naburanie bezpečnosti tej stranky, nejakého webu, nejakého systému, a ktoré sú z toho s toho najne bezpečnejšie. Drónstopci sú roboti, zablokovaní roboti, samozrejme hneď poviem, že toto sú ty zlí roboti. Čiže nie je to Googlebot, nie je to Bingbot, nie je to Heureka. Sú to ty zlí boti, ktorí budnám priamo robia zlé, alebo nanažukor záraba v peniaze. Čo sam zremy nechcem, takže nechidú preč. Tých tam bol zablokovaných vyššer 350 tisíc. 350 tisíc požiadaviek. Za jeden mesiac. V posledom stopčeku sú zablokované vírusy. To znamená na hratie nejakých vírusov na stranku. Náš farovol dokáže online skanovať upload súborov, čiže vy, keď si autra nejaký utoční, sa nejakým spôsobom samopodariú robi upload na vašu stranku, nejakého súboru, nejakého vírusu, tak náš farovol to viet za chytiť a o teda aj všeobecne aplikať, či farovol to dokáže za chytiť a takovú požadavku dokáže zablokovať. Ten upload ani neprebehne. To je super veď samozrejme. Po takmer 25.000 dokopí to vychádza v priemere asi 10 utokov na jednu WordPressovú stranku každý deň. Môže sa to zdáť, že to nie je nejaké ohromne číslo, tých 10, ale keby sa dvažo by tu každý deň pokúšalo vlamať 10 zlodeou, tak asi vám to jedno nebude, a budete to nieko riešiť. Takže rieši to treba určiť aj na webe. Tak poďme ďalej, ukážeme si nejaké ďalšie grafí. Toto je trochu zložitejší. Veľmi sa ani u nému, pri nému nebudeme zastavovať. Je tam kopec, nejakých sereme pre vás, neznám ich ponu a skrátiek. Podstatne je, že pekne vidíme, ktoré utoky sú ako zastupene. Môžeme si tu vysvetliť, ktoré sa poľňu ten najväčšie, na niebezpečnejšie, uplne tá bordova farba, to je local file inclusion, keď sa utočnik snaží do toho nažovébu nejakým spôsobom vložiť súbor, ktorý máme na tom našom ostinku náraty. Napríklad, že tam vloží konfiguračný súbor pre databázu, a tým si zobrazi heslo. Čo je som zeme zledal, pre databázu, a môžem robiť nejaké útoky. Prípadne ešte zajímavý útok je tá zelená farba, tý je 19%. Je to PHP Code Injection, čiže utočníci sa snažia nejakým spôsobom vložiť svoj vlastný PHP Code do nažovébu. A tým samozrejme, vykonajú úplne čokolovéga, je to ešte horšie ako local file inclusion. Tieto grafí sú zaujímave, aj nie len ako taký prehľad, ale vieme ich potom neskôr využiť na obranu, to si ukážeme trochu neskôr. Trošku zajímavéši graf, skoďal všetky tie útoky lezu. Musím sa príznáť, že tento, tieto udejne nas veľmi prekvapili, my sme skôr čakali, že tam bude tam na vrchu úplne v niekde hore Čína, a pripadne také krajiny India a prosi tie maličke, kde aj keby ste sa snažili to negriešiť tie útoky, tak sa nikam nedostanete, lebo tie vlády nebudú spolupracovať. Nestalo sa tak, najvedu to, koho ide z USA a veľké prekvapenie, je napríklad francúsko 13%. Odkia lezu, tie škáradie robotí, znovu prekvapenie, 54% USA, zase tam je to francúsko, je tam aj znovu zlo razviem, že toto sú ty zli robotí, to nie je Googlebot. Čiže Googlebot si se tiež ide z USA, ale on tu nie je zarada, ni toho neblokujeme samozrejme, takže sú to naozaj len ty zli robotí, ktorí nejakým spôsobom budnám tento preťažujú, alebo na nás zarabajú, stahajú od nás údaje a za naše peniaze, za naše zdroje, ktoré si platíme za ostín gaza server, tak za to si robia svoj bizni, za mým ho platíme. Čiže samozrejme to treba všetko zablokovať. A som tu jednu otázku, nech sa páči. Samozrejme, nie musí to byť ten pôvod toho robota, to je dobrá otázka, môže to byť aj robot, ktorý išel cez nejaké proksy alebo cez nejaký tor, môže byť ta USA preto tak vysoká, exitou, exit no dough. Takže teoreticky môže to byť aj tak, ale v každom prípade, v koľčom toho svetku prístupujú z USA a nám sa to javi ako USA, pripadne ako nejaká ďalšia krajina. Takže, ale hey, môže to tak byť. A vírusy, to je celkom, to je záky menší graf, tu už sa mám ukázela aj ta Čína, SGH Singapur. Utoky pomôcov vírusov stále fíčia od toho, ako bolo to na prvom grafé až 25.000 za 1 mesiac, ktorá sme zachytila, zablokovali. Tu by bolo možno ešte pekne, taký pekne gra v nejaký prehľad, že o aké vírusy išlo, ale vo večne prípadoch sú to rôzne PHP malvery, ktorá je to len nejaký PHP kod, ktorý slúži večinou na to, že stihne niečo ďalšie. Ale my to veľme zachytíť, ja viem, čo zablokovať a je od toho potom pokoj. Takže tu to už vidno tú čínu 22%. Tu by sme skončili, ja som to tak preletia, aby sme sa až tak veľa nenudili, tu by sme skončili pre tých grafóch a pri tejto, pri tejto nejaké analize a ideme sa pozrieť, čo z tým vieme robiť a prečo by sme to mali celé riešiť. Možno sa vám zdá, že tie utaky vám je nične spôsobu, úkážeme si, že prečo to je dobré riešiť a prečo do toho investováť nejaké zdroje a nejaké financie. Takže utaky nám hlavne spôsobu výpadky. Aj keď to možne nevidíte a nie je to také výrazné, te výpadky tam sú, hlavne to sú výpadky, kedy sa vyčerpájú te serverové zdroje, ten web sa alebo celý server sa pretiaží a plne to láhne. Ne musia to byť dlhé výpadky, stačia je kratúčke, ale ak vtedy vám nejaký vás zákaznik idie kliknúť na objednať a po vtedy mu to spadne, tak jedno z veľká šanci, že sa vám na to vykašle a urobí objednávku niekde indie. Takže treba to riešiť. Ďalej môžed voľskú poškodeniu dáť, keď je to nejaký nevidárený utok, ktorý má niečo spraviť, nevide, spravi niečo iné poškodi súbor a web úplne predstani fungovať. Finančné straty ne musia byť len úplne zjavné, že nemôžeme predávať Veshope, lebo sme napadnúť a sme preťažení, ale finančné straty, ako som spovínal, sa prejavia aj pri platbách za hosting a za servery. Proste, je možné, že platíte aj o polovicu výkoniejší server a hosting, ako by ste reálne potrebovali. Len preto, aby sa tý vaši klienti vedeli cestých botov a cestie vírusy a všetko pretlačiť, aby tie legitívne požedauky na ten server aj došli. Čiže musíme nadimenzovať hostingy servery len goli tomu, aby sme mohli odlávať nejakým útokom, ktoré tam my aj nie chceme a proste robia nám zle. Ďalej, to môže byť unikdát. Teraz prišlo GDPR, ktorému nerozumie, takže stáči, jak vám stiahnu databázu, hodia to niekde na internet, na jaký fal server a máte problém. Keď vám budú robiť kontrolu z uradu na ochranu osobných údajov, tak verďte tomu, že vám tam naedu ešte aj niekedy neveci, ale nakonec vám dau celko masnú pokutu. Može to klúdne skonči, takže sa na to úplne vykašletie, pretože si pojvete, že teraz platím brútámlu pokutu a zamyselam sa mi, co stane znovu a neviem to vôbec do vplivniť. No a v koniečnom dôsledku je to ešte poškodenie mena, pretože nie je v úlozovkach nič lepšie, a keď si otvorite ešte oba, vyskočí na vás červené obrazovka, že stránka je zavirena. Takom ešte opé si ja už nikde nič ne nakúpim, pretože ja neviem, ako dlou tam ten vírus bol, spôsobom z detekol, možno tam už bol roga ak radol tam udaje skariet. Takže poškodenie mena je niečo, čo si neviete zaplatíť, neviete si to kúpiť, je to zlé, keď sa to stane. Trva to um predcházať, nie trvá to riešiť až potom, ale ráče je z cestu prevencie. Ako sa môžeme proti útokom brániť? Máme 3 možnosti. Zaprvé môžeme si vytvoriť nejaký vlastný jednoduchý farvol príto mnám práve pomožu tie grafí na začiatku, ktoré sme si pozrali to si ukážeme za chvíľku, že akým spôsobom ich vyjime využiť na vytvorenie nejaké vlastné ochrany, ktorá bude celkom dobré účina a bude veľmi lacná, nenaročná. Ďalej si môžeme nainstalovať nejaký plug-in do náš WordPressu, ktorý sa už prejamo za obera obranou, je to nejaký farvol a nakonec môžeme využiť webový aplikačný farvol nažho webostingového poskytovateľa. Tam je trošku problém a nevýhoda, že to neviem o vplivniť, ako sa správa neviem o vplivniť, či tam vôbec je alebo nie je, pretože musíco za nás zabezpečiť naš poskytovateľ. Ale má ako pec iných výhods a chlukusti to povieme. Pomená tu prvú možnosť vlastný farvol. Implementácie komplikovaná označil som takto z toho odvovodu, že niekáždý je expert a niekáždý si vie urobiť aj keď sa co zdá, že sú to je doduché veci, niekáždý si to proste vie napísa, je naprogramovať a nejakým spôsobom zimplementovať. Nie je to niečo, čo si len negy naklíkate ako plug-in. Náročnosť na sereb bude veľmi nízka. Bude to funguvať dobre a nebude to preťažovať, nebude vám to žrať, zdroje. Ale samozrejme, ta účnosť bude veľmi selektívna veľmi obejdená, pretože pude nas ten farvol brániť len proti tomu, čo si my tam sami nastavíme a naklíkáme. Nebude vedeť robiť žiadne heuristiky nad tými požedaukami a nebude vedeť odchytiť útoky, ktoré sú nové, ktoré ešte nejakým spôsobom nie sú zanalizované sú pre nich pripravené nejaké časti kodu, ktoré by sme vedeli použiť. Takže účenosť je skôr selektívna. Takže pozrejme sa ako využimete naša grafia. Ja som s nich vytúcov také najzajemnavejšie údaje ktoré nám pomožú prvytvorení nažovlastného farvolu. Čiže tu môžete krásne to výdov na brika na tých robotov že zablokujeme 3 krajiny a zbavíme sa 90% robotov. To je úplne super. Treba podotknúť že to musia byť krajiny, s ktorých nemáme na všechnosť, samozrejme. Takže ako máme web ktorý sa nezameriavaná na USA, Nemecko, Rusko v pohodie môžeme vsele krajiny zablokovať a sme v pohodie. Treba si dať pozor potom aj na autov, lebo Googlebot ide z USA. Čiže len tak, bez myšlenkový to zablokovať USA nebude dobre. Treba mysleť aj na nejaké vynímky. Ten farvol, keď si ho zobrame tieto údaje a vytvoríme si ho mohol by vyzeráť nejako takto. Toto je kus nastavenia, ktorý môžeme vložiť do suboru hot access a ktorý nám bude robiť prešne to, že ochranie nás pred tými to vecami ktoré som tu vypichol. Vidno tam aj toho Googlebota ktoré ho sme vajblistli, aby sa na našu stránku dostal, pretože úplne prvé zabanovaná USA. Dáv sa tam priďať ďalší boti a dáv sa priďať samozrejme aj tí zlíboti, ktorých potom blokneme, keď sa nám nepáčia. Pomeď alej plágyny. Plágyny sú fajne, sú jednoduché, dáv sa tam proste láko naklikať obre. Najväčšiaň výhoda je vysoká náročnosť na tí serverové zdroje. Svetu pre celém plágyny, ktoré sú naprogramované v PHP-ku, takže porovnávať PHP a C-ko to sa obezne dá, to je úplne nonsense, takže tá náročnosť je vysoká. Porovnáme si plágyny, ktoré som vybrala, ktoré sa mi na vec páčili. Pozrieme sa, akú majú učinnosť, čo vedia robiť, ktorí z nich sa hodí do akých podmienok, a nákej prípady. Čiže my sme urobili nejaké testy, tých troch plágynov, testovali sme to tak, že sme na ništoľovali čistý WordPress, nahodili sme tamži jeden z tých farovolov a pustili sme na to hekerský nástroj z názvom WP Scan. To je nástroj, ktorý sa zameriava na scanovanie WordPressov weboch, bežiacich na WordPresse a ktorý on to špeciálizovaný a vietam najznaozaj kopec diera, kopec zlých veci, ktoré si tam porobíte. To sme pustili, pomerali sme to a výsledky boli teda takéto. Do WordPressu som jadaval také najväčšie nádeje, pretože mne sa aj ta spološnosť, ktorá zazdy za týmto plaginom stoji, páči oni pravidelne vydávajú rôzne bezpečnostné štátistyky útokov a tou bezpečnostiho proste žijú. Bohužel nas dosklamal pretože bol veľmi náročný a účinnosť bola nízka. Zachytil nám len dve požiadauky s 51, ktoré ten vopelskén správil na tenáš testovací web. Druhý plagin bol jetpack. Ten bola tam troško lepšie. Náročnosť je nišia a hlavne tá rámka je odoznišia. Učinnosť stále nie veľmi dobrá. Ale aspoň niečo oproti tomu WordPressu. Najväčším prekopením bol bulletproof security. Ja som tento farovol som veľmejne poznal na šo som ho nádol na nete a dál somho šancu a teda bolo to spravné rozhodnutie pretože náročnosť na server je veľmi nízka oproti ostatným a účinnosť je super. On neproste je prispôsoberý na ten WordPress a pozna aj rôzne špeciálitky a vie to zablokovať. Ostatné dva farovali pre tým čo sme spomínali to urobiť nevedeli. Ktoré ma tu ešte povedať že pri bulletproof sme museli ten scan robiť dva krát pretože nástroj v oposken sa sam seba označuje v user agentový že ja som v oposken. Ten web to vie, že ho niekto scanuje a bulletproof na zaklétoho user agenta všetko. Takže znem tomu svojich pustí znovu ten web s krmá prepínať že sa dať náhodný user agent takže pustí vňujeme to znovu a vyzerol to tak to bylo to oveľa lepšie ale oveľa lepšie ako to je ostatné ostatné od ostatného farovali. Poslednou skupinou farovalou je pár domov otázka, niech sa bačí? 10 mil, fajn, dobre. Poslednou je webový aplikační faroval je to systém, ktorý beží mimo wordpressu beží ešte nad ním takže z tohto dôvodu je ta náročnosť extrémne niska on tie požedauky dokáže zaklitej pre tým ako sa dostanú v wordpressu. Príčom aj ten bulletproof keď tam prišiel ten útok tak všetko sa to musel zrealizovať php ten faroval sa musel spustíť, pripaní do databás zistia o si tam nejaké data až potom začal schenovať a blokovať pri aplikačnom farovali to takto nie je on to zablokuje ešte pred tým php takže v kvôli tomuto a od rá vďaka tomuto je je ta náročnosť náhozaj niska, náročnosť na serové zdroje to je veľká výhoda ďalšia výhoda je že ten faroval nebežile na vašom web ale on vidí celý server ako celok a vďaka tomuto je odrazit útoki ktoré nie sú nejaké veľmi náročne na jeden web nie sú nejak zamerané ale na každý web spravila nejakú jednú požedauku alebo jednú požedauku za pol hodinu ale robia to na hrozne veľa weboch na raz a ten faroval keď vidí že ta istá požedauka prišla na 10 rozných webov tak to asi nie je ok keď to prišlo v prebu par sekund čiže to je výhoda že on vidí celý server ako celok no a dá sa samozrejme ako ste aj videli na tých grafoch dá sa to zintegrováť sa antivírovým softwareom a viete online scanová diablovcúborov a nejaké iné veci že si to neviete na implementováť vysami na zdelanom hostingu určite nie musíte sa spolennúť na svoho poskytovateľa ale zase tá učinosť je vysoká o tento tieto aplikačne farovali vedia zachytíť aj útoky ktoré ktoré sú ešte neznáme ktoré len na základ nejaký heuristik zachytia čiže nie je to už len o tom, že máme nejakú databaseu súborov alebo nejakých zoriek ktoré sú zleja ktoré trablokováť, ale on vie zablokováť aj to, čo kvázenie pozná tu to aj vidno tá náročnosť je oproti ostatným extrémne niska aj na cpučko, aj na rámku učinosť bola trošku nišie ako bulletproof to bolo hlavne góli tomu, že bulletproof je totálne špeciálizovaný na WordPress máme také rozne také perličky ktoré treba zablokováť na druhé strane webový aplikačný Firewall vie obraniť aj iné weby nie len WordPress, ale on je universalý takže pri WordPress se učinal zle trošku nišie ale v tom globalom meritku je oveľa višia máme tu ešte taký pekný prehľad Firewallou WordPress veľké sklamanie vyšlo najhoršie pričom je najvyúrvaniejší a vyzerá by takým tváry sa že najlepší aj je takým najkrajším, ale nám sa to nepotvrdilo skôr by som teda išielak by som si volil nejaký plug-in ak by som vyšlo formoploginou tak ten bulletproof ten nás naozaj prekvapila to bolo všetko súto freiverzie to ešte teraz pomenúť nesom si s tých čimáňa ale asi maja on platinu WordPress za Jetpack má ovej platiné verzie my sme testovali tie freiverzie ešte jedna poznánka k tomu wafu k tomu aplikačnom Firewallou tam vidíte že rámka bolo na 51 MHz a cpučko bolo na 7 sekund procesorového času čisty WordPress bez Firewallou nám dával 66 MHz a 8 sekund procesorového času ale on ešte znižil náročnosť presne goli tomu že požedauky nepustil do WordPressu a nemusela sa tam initializovať WordPress a datá báza on to zablokoval ešte pred tým takže vlastne znižil nám tu náročnosť webu že zablokoval tie útoky ešte pred tým ako z týchli niečo urobiť ako z týchli zinicializovať PHP to je veľká výhoda naozaj týmto by som pred nášku ukončil a to som veľmi pekne za pozornost ako by ste mali nejaké otázky tak teraz je ten správny čas nech sa báči uzadu Díky, ja som sa chcel spítať dá sa niekde dohľadať jakým spôsobom bola tá metodíka vaša napr. aké byli nastavenia a podobne lebo spomínal si tam to Vavco ten web application Firewall a WordPress má niečo podobne bieží to samozrejme na PHP ktoré to spravne nastavíš tak ten nabieha ešte skôr ako nabieha WordPress či ho nastavíš cez aby nabiehal skôr ako WordPress a už ten filtruje svoje veci vlastne ani nepustí do WordPressu ale toto myslím, že nie je základe nastavenie toto som tam určitě nestavil takže je možná, že by sa to znižilo v každom prípade ja to zniženie až také veľké nebude aj tak sa tam spustí to PHP do nejaké datá báze minimálne ten WordPress ta zaťaž na server si myslím, že by sa možno ešte zvýšila toho jako verím to môže by ešte porastla ale myslím, že tá učinosť 2,51 samozdážne je uvediteľná či da sa niekde dohladať nejakým alebo, že by ste dali nablog alebo, že aká byla metodika a že by prípadne sa dalo otestovať to Jasne, možme možme sa dohodnúdiať, že si niekde nejak si napíšeme na tom pokycať ešte Zajma to aj mňa určite, by sa je možno bohlím robia potom aktoizáciu hodím je to do našo blogu a aj z nejakým konkrétnym nastavením tých farovolov Niech sa bačí Čože otázka otázka bola aký máme názor na cloudflare napríklad alebo na služi podobne cloudferu je to zaujímavý koncept a konkrétne s cloudferom, až také dobra zkušenosti nemáme z toho dôvodu že robí nejaké zvláštné veci proste chodia nám z neho z dvojné požedávky pre webi, ktoré to má uaktivované z dvojné požedávky robí to dívnu záťaž pardon a je to také rozpoluplne v takom glovanom hledisku je to zájímavý koncept farovolovano nieho som je sa celkom páči konkrétne k cloudfer niech sa bačí tíže odporúčené nastroje na nejaký bezpečnostný scan v našich webbou veľmi dobrý je ten v buscan to je dobrá vec, on je špeciálizovaný na WordPress a dokáže vám napríklad existúcich úzerov bez toho, aby niečo hekol dokáže to s toho WordPressu vytiahnúť všetkých úzerov, ktorí tam existú zobrazívam loginy robí to tak, že musíte tam na v tom WordPresse a on prelezi v obsah a pozrie sa, že ktorý článok ktorý úzer vydal s tohto povytiahoje loginy idečka a takéto vecí aj bez priglasenia bez nejaké autorizácie a na vyššenie WordPress scan má databázu plug-in plug-in respektive zranitelných verzí to zveľa plug-in a vy je vám zobraziť, že máte tam takýto plug-in v takéto verzí a ta verzia obsahuje takéto bug-in tak si to ráče aktuľizujte ten WordPress scan je dobrý ale videl som aj nejaké online nastroje keď si dáte Google-iť online scan nie viem, to už si raz nepamitám či to bylo špeď celizované na WordPress ale sú aj online nastroje ktoré vám preskenúte stránky sú, áno, sú, sú, kurí to má áno, áno, presne tak