Bezpieczeństwo w Joomla! - wywiad z Kamilem Ciaś

Bezpieczeństwo w Joomla! - wywiad z Kamilem Ciaś

Jakiś czas temu – dokładnie 25 września 2012 r. napisałem kilka słów na temat moich wrażeń z pierwszego w Polsce Joomla! Day: Joomla! Day Poland - Jak było?

Napisałem w nim między innymi, że miałem szczęście poznać osobiście kilka osób, które należą do czołówki osób aktywnie rozwijających CMS Joomla! zarówno w Polsce, jak i na świecie, takich jak: Brian Teeman, Ryan Ozimek, Nicholas Dionysopoulos, Stefan Wajda, Paweł Frankowski, Michał Trzepizur, Tomek Dziuda.

Niesamowitym zaszczytem i przyjemnością było poznanie dwóch osób: Piotrka Buczkowskiego i Kamila Ciaś. Piotrek przyleciał wraz ze swoją żoną aż ze Szkocji. Kamila poznałem w pierwszy dzień tuż przed obiadem. Obaj czekając na obiad podziwialiśmy widoki na brzegu Jeziora Maltańskiego w Poznaniu. Po krótkiej wymianie zdań i rozmowie o pogodzie, zaczęliśmy dyskusję dotyczącą bezpieczeństwa w systemach informatycznych, w tym między innymi w Joomla! Wymieniliśmy się wówczas śmiesznymi spostrzeżeniami dotyczącymi zachowań użytkowników. To zarówno śmieszne, jak i zatrważające, jak wiele osób lekkomyślnie podchodzi do tak ważnego zagadnienia, jakim jest bezpieczeństwo systemu informatycznego. Podczas naszej rozmowy uświadomiłem sobie, że nie tylko w środowisku, w którym ja się obracam zdarzają się takie sytuacje, jak zapisywanie hasła na półce pod klawiaturą, lub na monitorze :-) To także zdarza się niemal w każdym środowisku!

Podczas naszej rozmowy Kamil napomknął, że będzie prowadził wykład na temat bezpieczeństwa systemu zarządzania dokumentami. Ponieważ tematyka bezpieczeństwa jest mi bliska, bardzo chętnie wziąłem udział w wykładzie Kamila.
Kamil tak się rozkręcił w tłumaczenie zasad bezpieczeństwa i odpowiadanie na liczne pytania, że organizatorzy musieli mu przerwać ze względu na fakt, że za moment miał rozpocząć się kolejny wykład w tej sali :-)

Kamil Ciaś - wykład podczas Joomla! Day

Mnie udało się spędzić z Kamilem sporo czasu podczas całego Joomla! Day. Na wielu innych wykładach uczestniczyliśmy razem, natomiast w przerwach między wykładami dyskutowaliśmy poruszając interesujące nas kwestie.

Sławomir Pieszczek i Kamil Ciaś na sali wykładowej podczas Joomla! Day

Fantastyczne jest to, że nadal utrzymujemy ze sobą kontakt :-)

Ponieważ przygotowuję artykuł dotyczący bezpieczeństwa serwisów opartych na Joomla!, zapytałem się Kamila, czy nie zechciałby udzielić mi krótkiego wywiadu i odpowiedzieć na kilka pytań dotyczących bezpieczeństwa systemów informatycznych i CMS Joomla!

Pomimo tego, że Kamil nie należy do osób, które mają zbyt dużą ilość wolnego czasu,  bez wahania zgodził się na wywiad :-)

Przeczytaj poniżej cały wywiad z Kamilem:

Sławomir Pieszczek:

Kamil, powiedz kilka słów czym się zajmujesz na co dzień.

Kamil Ciaś:

Dzień dobry, jestem managerem IT i codziennie rozwiązuję pojawiające się problemy z zakresu bezpieczeństwa, czy też sieci, ale i elementów programowania co stanowi o tym że moja praca nie jest monotonna a tym samym codziennie przynosi coś nowego i pozwala się rozwijać. W sumie jest to dość rozległy zakres prac. Nawet jeśli ja nie wiem, czy nie potrafię, to muszę wiedzieć kto to potrafi i to zlecić tak by było wykonane w jak najlepszy sposób i w jak najkrótszym terminie. 

Sławomir Pieszczek:

Jakie są Twoje pasje i co robiłbyś najchętniej, gdybyś był niezależny finansowo?

Kamil Ciaś:

Hmm, największą chyba pasją stała się informatyka – dość szeroko rozumiana. W zasadzie stałem się pasjonatem oprogramowania open source.

A tak poza zawodem pytasz... Uwielbiam czytać książki szczególnie powieści, trochę kryminałów i rzecz jasna podróżnicze. Z tą ostatnią to szczególnie opowieści z gór... Lubię też chodzić po górach...głównie zimą. Uwielbiam również jazdę rowerem, dość szybko po lesie...

Zapytałeś co bym robił gdybym był zupełnie niezależny finansowo? Myślę że podróżowałbym po Świecie... Fascynuje mnie pierwotna Afryka, kraje bałkańskie. Taki może obrazek z jednej z moich wakacyjnych wycieczek rowerowych: zatrzymałem się przy starej chatce, przed płotem stał starszy mężczyzna, środek upalnego dnia, on sam w piżamie z fajką siedział pod domem... jakby się czas zatrzymał...

Sławomir Pieszczek:

Jak zaczęła się Twoja przygoda z Joomla?

Kamil Ciaś:

Szczerze to nawet nie pamiętam dokładnie, ale było to za czasów Mambo więc troszkę już lat... Jak to bywa z ciekawości, poszukując nowych rozwiązań open source trafiłem na system zarządzania treścią, który na tamten czas oferował coś rewolucyjnego. Oddzielnie warstwy prezentacji od warstwy treści co umożliwiło znacznie elastyczniejsze zarządzanie witryną.

Sławomir Pieszczek:

Jak często i dlaczego korzystasz z oprogramowania typu Open Source i do jakich zastosowań?

Kamil Ciaś:

Open Source daje niesamowitą elastyczność w działaniu i jeśli rzeczywiście programista i grafik znają się na rzeczy to mają fantastyczną platformę do stworzenia tak naprawdę dowolnego systemu na bazie www jeśli mówimy o Joomla!, a przecież do tego się dąży by usługi były serwowane poprzez przeglądarkę.

Jak często pytasz? Open Source to nie tylko Joomla!, ale i Linux i ogrom innego oprogramowania. Jest to sposób licencjonowania programów dająca użytkownikom swobodę działania. Zapytałeś o zastosowania. Otwarte oprogramowanie jest szeroko wykorzystywane chyba w każdej dziedzinie naszego życia. Począwszy od telewizorów, telefonów kończąc na samochodach. Dzieje się tak głównie ze względu na sposób licencjonowania oprogramowania a co za tym idzie open source daje swobodę modyfikacji kodu źródłowego.

Sławomir Pieszczek:

Joomla! to spora społeczność różnych ludzi zaangażowanych w rozwój tego systemu. Co według Ciebie przyciąga ich do tego projektu? Jak to wygląda w Twoim wypadku?

Kamil Ciaś:

Tak, zgadza się Joomla! to naprawdę spora społeczność. Fantastycznie że można spotkać ludzi tak mocno zaangażowanych w projekt i przede wszystkim ważne jest to że posiadają oni niezwykle bogatą wiedzę i doświadczenie. To co przyciąga do Joomli to chyba skalowalność serwisu. Mam tu na myśli  system na podstawie którego możemy zbudować praktycznie dowolny serwis www wykorzystujący nowoczesne technologie. Rozumiem, że problemem stają się rozszerzenia i bezpieczeństwo, ale czy przy stronach generowanych statycznie ten problem nie występuje?

W moim przypadku w zasadzie chodziło o narzędzie dzięki któremu mogę wytworzyć dowolną platformę dla użytkowników. Witryna internetowa, lub intranetowa, system zarządzania dokumentami, czy też platforma społecznościowa. Rozwiązań jest naprawdę dużo.

Sławomir Pieszczek:

Jako niezależny specjalista ds. bezpieczeństwa prowadziłeś wykład podczas tegorocznego Joomla! Day. Jak sądzisz jakie są najczęściej popełniane błędy związane z bezpieczeństwem administratorów serwisów opartych na Joomla!

Kamil Ciaś:

Przede wszystkim bardzo się cieszę że mogłem uczestniczyć w Joomla Day Poland. Fantastyczni ludzie, atmosfera i głównie sporo ciekawych informacji, bo przecież nigdy nie jest tak że wiemy wszystko.

Pytasz o najczęściej popełniane błędy...  W niedługim czasie pojawi się cykl artykułów właśnie na ten temat w kontekście CMS Joomla. Myślę jednak że głównym problemem bezpieczeństwa i zarazem najsłabszym ogniwem jest sam użytkownik. Rzecz jasna myślę o webdeveloperach ale i także o przedsiębiorcach. Często spotykam się z tematem cedowania zarówno prac graficznych jak i programistycznych na jednego człowieka... Owszem jest to możliwe jeśli faktycznie dana osoba zna się w temacie... a co jeśli mimo małej znajomości chociażby języka PHP szef zleca wykonanie serwisu? Mówi się wtedy że Joomla jest „dziurawa”. Nie, to człowiek jest „dziurawy”. Wybacz ten kolokwializm, ale jeśli przyjrzymy się sprawie okaże się że gro z projektantów używa przestarzałego i już w zasadzie nie wspieranego systemu, lub też stosuje stare lub nieprzetestowane rozszerzenia.

Wiedza i ćwiczenia są kluczem. Na drugim miejscu w podstawowych błędach administracyjnych postawiłbym zbyt słabe loginy i hasła do serwisów, co często wręcz jest nagminnie stosowane. Na niechlubnym podium postawiłbym również temat praw dostępu do pliku, co stanowi niejako kwintesencję i nie boję się użyć tego stwierdzenia – głupoty.

Czy nie za ostro? Zastanawiając się... każdy z nas na swój sposób jest głupi... a złamanie zabezpieczeń serwisu jest jedynie kwestią czasu. Oczywiście lepiej zastosować większe i mocniejsze zabezpieczenia, które być może zniechęcą napastnika i w ten sposób uratujemy serwis...  Ale z kolei na jak długo? Pytanie pozostawiam otwartym.

Sławomir Pieszczek:

Wielu przedsiębiorców, zwłaszcza rozpoczynających swoją działalność w Internecie, chcąc obniżyć koszty prowadzenia serwisu, sami zajmują się wszystkim. Czy uważasz, że to jest dobre podejście, zwłaszcza w kontekście bezpieczeństwa?

Kamil Ciaś:

Absolutnie jest to błędne podejście. Przedsiębiorca winien zająć się zarządzaniem i planowaniem w firmie, to po pierwsze. Po drugie jest to pozorna oszczędność. Chcąc zaistnieć w sieci i być postrzeganym poważnie należy poważnie podejść do tematu. Minęły już dawno czasy – „stwórzmy stronkę...” Owszem nadal to funkcjonuje, ale przyjrzyjmy się z jakim skutkiem te firmy prosperują.

Dobrze jeśli działalność firmy nie jest związana z technologią, czy też nie jest uzależniona od Internetu, ale jeśli? Poważny serwis wymaga gruntownego przepracowania. Potrzeba ustalenia kluczowych celów, grupy odbiorców itd. Pozwoli to poprawnie pozycjonować serwis co przełoży się na wyniki finansowe.

Pytasz o bezpieczeństwo... Niestety rozwiązania „nie”profesjonalne skutkują brakiem wiedzy a ta bezpośrednio wpływa na kształt serwisu i bezpieczeństwo serwisu.

Sławomir Pieszczek:

Gdybyś miał wymienić pięć podstawowych zasad bezpieczeństwa, jakich administratorzy serwisów Joomla! powinni bezwzględnie przestrzegać, co to by było?

Kamil Ciaś:

Nie wiem czy zmieszczę się w pięciu punktach, ale spróbuję.

Piątą zasadą myślę że powinno być bezwzględne szyfrowanie serwisu poprzez https. Oczywiście szyfrujemy te serwisy do których się logujemy, które prowadzą subskrypcję, nie zaś wizytówki oparte o statyczny html.

Na czwartym miejscu pilnowanie praw dostępu i właściciela pliku i aktualizacja. Złe praktyki jasno pokazują jak łatwym celem są witryny których pliki można bez trudu nadpisać, lub też wstrzyknąć złośliwy kod.

Na trzecim miejscu instalujemy tylko rozszerzenia trzonu aktualne i z wiadomego pochodzenia. Nie jest problemem zainfekowanie komputera użytkownika chociażby programem szpiegującym. Przecież jeśli nie przeanalizujemy kodu aplikacji, to niby skąd mamy wiedzieć czy jest bezpieczna czy też nie?

Na drugim miejscu postawiłbym silne hasła ale i niejednoznaczne loginy. Utrudni to znacznie atak, a jeśli nie używamy tego samego hasła w dziesięciu różnych serwisach, myślę że od tej strony powinniśmy czuć się spokojniej.

Przyszła kolej na miejsce pierwsze... Cóż dodać... Kopie bezpieczeństwa! Trudno funkcjonować kiedy nie mamy świeżej kopii witryny. Może się wydawać że te pięć kroków to dość dużo, ale czy chcąc prowadzić biznes powinniśmy lekceważyć zasady bezpieczeństwa?

Sławomir Pieszczek:

Co poradziłbyś osobie, której witryna została zaatakowana?

Kamil Ciaś:

Najlepszym rozwiązaniem jest wstawienie informacji iż trwają prace administracyjne, usunięcie wszystkich plików z katalogu serwisu i dogłębna analiza problemu.

Nie ma większej głupoty niż przywrócenie z kopii w tym miejscu już „nie”bezpieczeństwa. Skoro witryna raz została zaatakowana i nie usunęliśmy przyczyny a jedynie skutek to i zostanie zaatakowana drugi raz. Najgorsze jest to iż nadal nie znamy przyczyny i metody ataku, co w żaden sposób nie poprawia bezpieczeństwa naszej strony.

Sławomir Pieszczek:

Czy Twoim zdaniem CMS Joomla! to bezpieczny system?

Kamil Ciaś:

A czy istnieje bezpieczny samochód, statek, czy samolot? Każde z nich jest wytworzone przez człowieka i zarządzane przez człowieka, a jak już wspomniałem wcześniej to człowiek jest najsłabszym ogniwem w każdym procesie. Jeśli zastosujemy się do wszystkich znanych zasad bezpieczeństwa to można powiedzieć że Joomla jest bezpieczna.

Sławomir Pieszczek:

Z jakimi największymi wyzwaniami związanymi z bezpieczeństwem systemów, musiałeś się zmierzyć podczas swojej kariery zawodowej?

Kamil Ciaś:

W zasadzie to chyba głównym problem i to w przeważającej większości małych i średnich firm jest brak spójnej polityki bezpieczeństwa. Stanowi to niejako o ogromnym nadużywaniu bezpieczeństwa i niestety prowadzi często do utraty zarówno danych jak i wiarygodności firmy.

Witryna firmy to tylko część, następnie brak szyfrowania e-mail, niewydzielony dostęp do informacji i niestety zainfekowane komputery. Z tym się spotykam w zasadzie na co dzień w firmach przy różnego rodzaju audytach.

Sławomir Pieszczek:

Kamilu, dziękuję Ci serdecznie za poświęcony czas. Mam nadzieję, że dzięki Twoim spostrzeżeniom, wiele osób będzie bardziej zwracać uwagę na kwestie bezpieczeństwa swoich serwisów opartych na Joomla!
Liczę także na dalszą Naszą współpracę :-)

Kamil Ciaś:

Ja również dziękuję serdecznie.

 

Chcesz otrzymywać powiadomienia o moich kolejnych wpisach lub projektach?
Wpisz swoje imię oraz adres e-mail a następnie kliknij "ZAPISZ MNIE"

Twoje imię:


Adres email:


BLOG ROKU 2012
Magiczne numerki Joomla!

Podobne wpisy

 

    By accepting you will be accessing a service provided by a third-party external to https://www.slawop.net/

    Najnowsze komentarze

    Gość - Studio Jak wybrać hosting dla Joomla!?
    13 wrzesień 2019
    Warto jeszcze dopisać punkt, żeby przy wyborze wybrać panel między DirectAdmin/cPanel. Niektóre hostingi mają swoje własne rozwiązania - czasami bardzo specyficzne, co niekoniecznie jest dobrą rzeczą
    Gość - Marek Szyfrowanie symetryczne a niesymetryczne
    09 czerwiec 2019
    "Klucz przekazany do publicznej wiadomości, nazywany jest kluczem publicznym lub jawnym. Może on być stosowany do szyfrowania lub deszyfrowania informacji otrzymanych od osoby, która go wygenerowała. ...
    Gość - Marek Tworzenie szablonów dla Joomla! Helix Ultimate
    10 maj 2019
    Witam, napotkałem problem pojawiający się przy zmianie kolorów tła czy czcionek oraz importowaniem ustawień. W pierwszym przypadku, po zmianie kolorów i ich zapisaniem, panel podglądu strony przeładow...
    Gość - Andy SSL i Joomla! w Smarthost
    03 styczeń 2019
    Dzięki, jak zwykle dobra robota! Warto dodać, że instalacja certyfikatu SSL nie zapewnia bezpieczeństwa transmisji danych. To jest możliwe po wdrożeniu polityki bezpieczeństwa w firmie. Co do SSL - to...
    Gość - Henryk Jak utworzyć menu poziome w szablonie protostar?
    02 styczeń 2019
    Robię punkt po punkcie i nie wyświetla się poziome menu Nie wiem gdzie tkwi błąd i co robię źle?Jeśli to możliwe to proszę o pomocps. posiadam książkę "Joomla! 3x" i tu również niema pomocy Pozdrawiam...