Cenário de ameaças Web - WordCamp BH

Transcript

1. Cenário de ameaças Web + WordPress @WordCamp BH 2014

2. Fioravante Souza, a.k.a Fio Cavallari Fioravante == Fiorino + Variante

   InfoSec guy desde 2005 (oficialmente) Líder do time de pesquisa na Sucuri.net Já arrumou muito WordPress quebrado por aí Cervejeiro caseiro nas horas vagas Certified InfoSec Troll Um pouco sobre mim...

3. Sobre a Sucuri.net Segurança de Websites Operação internacional Independente de

   plataforma Mais de 2 milhões de sites verificados por mês 4 milhões de ataques bloqueados por mês Mais de 500 sites remediados por dia Atendimento 24/7

4. São 45 minutos de... Medo, Incerteza e Dúvida (ou FUD)

   versus Realidade / Cenário atual Identificação Limpeza & Restauração Proteção & Prevenção

5. Medo, Incerteza e Dúvida

6. Realidade / Cenário Atual Os meliantes de sempre: - Drive-by

   Malware - BlackHat SEO - Click-jacking - Defacements - Server Level

7. Realidade / Cenário Atual

8. Medo, Incerteza e Dúvida Seu site está infectado mesmo sem

   você saber

9. Realidade / Cenário Atual A possibilidade existe... >10.000.000 de sites

   verificados com o SiteCheck (números de 2013) ≈ 2.000.000 comprometidos 60% WordPress 90% desatualizados ou com componentes vulneráveis Não seja esses 90% (FUD?)

10. Medo, Incerteza e Dúvida WordPress é o CMS mais atacado

    de todos!

11. Realidade / Cenário Atual Maior marketshare Mais visibilidade Mais malwares

    Mais ataques

12. Medo, Incerteza e Dúvida FUD é sempre exagerado; É como

    o filme: "Baseado em fatos reais"; Como fugir disso? Use fontes imparciais; Peça ajuda.

13. Identificação Reativa: • Google Webmaster Tools • Blacklists (virustotal.com) •

    sitecheck.sucuri.net Proativa: • Monitoramento de mudanças • wordpress-file-monitor-plus (grátis) • sucuri premium plugin (pago)

14. Limpeza & Restauração Substituir arquivos do WordPress Core. (tudo que

    não seja wp-content)

15. Limpeza e Restauração Ainda procurando pelo malware? • Procure por

    entradas suspeitas: ◦ include_once, require_once… ◦ eval() ◦ strtr() • Substitua o tema atual • Desabilite todos os plugins • Habilite um por um • Procure por text widgets estranhos

16. Limpeza & Restauração Tudo deu errado? Hora de restaurar backups!

    Sim, você tem backups, certo? Precisa de ajuda com os backups? wordpress.org/plugins/backupwordpress (free) sucuri.net/services/website-backups (pago)

17. Proteção & Prevenção Mantenha seu site atualizado! • Core •

    Plugins • Temas • Add-ons ◦ TimThumb ◦ Uploadify ◦ JetPack

18. Proteção & Prevenção Use SSH/SFTP; Troque suas senhas; Restrinja acessos;

    Segregue funções; Desapegue; Não use [nulleds].

19. Proteção & Prevenção Quando o ~GRÁTIS~ sai caro... http://blog.sucuri.net/2014/03/unmasking-free-premium-wordpress-plugins.html Os

    exemplos a seguir foram baixados de sites contendo versões piratas dos plugins em questão. Não estamos avaliando a qualidade ou funcionalidade de nenhuma dessas ferramentas.

20. Proteção & Prevenção Quando o ~GRÁTIS~ sai caro... http://blog.sucuri.net/2014/03/unmasking-free-premium-wordpress-plugins.html SEOPressor

    - Melhorar o ranking do site no Google - Investimento real: $ 47 a $ 497 - Investimento Pirata: Uma conta wp-admin

21. Proteção & Prevenção Freeware nem sempre é GRÁTIS. http://blog.sucuri.net/2014/03/unmasking-free-premium-wordpress-plugins.html Restrict

    Content Pro (novo payload) - Gerencia membros e conteúdo - Investimento: $ 42 - $ 155 - Investimento Pirata: Um lindo código injetado no cabeçalho e usuários pê-da-vida com alertas ou drive-by-malwares.

22. Proteção & Prevenção Mas tem muita gente disposta a ajudar

23. Proteção & Prevenção wordpress.org/tags/hacked wordpress.org/tags/malware www.badwarebusters.org blog.sucuri.net www.unmaskparasites.com https://www.

24. Obrigado, gracias, thanks e-mail: [email protected] Twitter: @fiocavallari Untappd: fiocavallari

25. Perguntas?