Skip to main content

งานของทีมรักษาความปลอดภัย Joomla

เว็บไซต์ที่ขับเคลื่อนโดย CMS มีส่วนผสมทั้งหมดสำหรับฝันร้ายด้านความปลอดภัยด้านไอที: สามารถเข้าถึงได้โดยสาธารณะมีการทำงานบนเครื่องที่มีประสิทธิภาพพร้อมการเชื่อมต่อที่ยอดเยี่ยมและระบบพื้นฐานที่ใช้อยู่นับไม่ถ้วนทั่วโลก ทำให้เป้าหมายนี้น่าสนใจสำหรับผู้โจมตี Joomla การรักษาความปลอดภัย Strike Team (JSST) จะทำงานอย่างหนักเพื่อให้แน่ใจว่าฝันร้ายนี้ไม่ได้กลายเป็นความจริงสำหรับผู้ใช้ Joomla!


เช่นเดียวกับทีมอื่น ๆ ในโครงการ Joomla, JSST เป็นทีมอาสาสมัครทุกคนที่กระจายอยู่ทั่วโลก การกระจายทางภูมิศาสตร์นี้เป็นเรื่องสำคัญในกรณีของเราเนื่องจากธุรกิจรักษาความปลอดภัยมักเป็นประเด็นที่สำคัญอย่างหนึ่งซึ่งการมีสมาชิกจากโซนเวลาที่แตกต่างกันเป็นข้อได้เปรียบที่นี่เพราะช่วยให้ทีมสามารถปฏิบัติหน้าที่ได้ตลอด 24 ชั่วโมงตลอด 24 ชั่วโมง

งานของทีมสามารถแบ่งออกได้เป็น 4 งานย่อยดังนี้

  1. การตรวจสอบ : สมาชิกในทีมกำลังดำเนินการตรวจสอบอย่างใกล้ชิดเป็นจำนวนหลายสิบไซต์เพื่อรับทราบถึงสถานการณ์การโจมตีแบบใหม่ให้เร็วที่สุดเท่าที่สามารถทำได้ โชคดีที่การตรวจจับเหล่านี้ไม่จำเป็นต้องใช้ดวลามากนักเพราะ 99% ของปัญหาด้านความปลอดภัยทั้งหมดถูกสื่อสารอย่างเป็นความลับกับทีมโดยนำเราไปสู่การทำงานขั้นต่อไป
  2. การจัดการปัญหา : เมื่อมีการรายงานปัญหาด้านความปลอดภัยใหม่ ทีมจะเริ่มดูรายละเอียดเพื่อตรวจสอบปัญหาและจำลองวิธีการของการเกิดปัญหา ส่วนหลังเป็นสิ่งสำคัญมากเพราะรายงานมักเป็นเพียง "ปลายของภูเขาน้ำแข็ง" และสาเหตุที่แตกต่างกันคือ เราภูมิใจที่สามารถบอกได้ว่า JSST ทำผลงานได้ยอดเยี่ยมเพื่อให้แน่ใจว่าปัญหาต่างๆได้รับการแก้ไขเรียบร้อยแล้ว
  3. การแก้ไขปัญหา : เมื่อปัญหาหลักได้รับการระบุแล้วการแก้ไขต้องได้รับการพัฒนาและผ่านการทดสอบ ความท้าทายใหญ่ที่นี่คือการทดสอบสถานการณ์ให้มากที่สุดเท่าที่จะเป็นไปได้กับทีมขนาดเล็กมากและไม่มีโอกาสได้รับการตอบรับจากบุคคลที่สาม (เช่นนักพัฒนาซอฟต์แวร์ส่วนขยาย)
  4. การตรวจสอบแบบใช้งานจริง : ก่อนที่จะรวมคุณสมบัติใหม่เข้าด้วยแกนหลัก JSST จะตรวจสอบโค้ดอัตโนมัติ คุณลักษณะดังกล่าว นี่เป็นวิธีที่ยอดเยี่ยมสำหรับการแก้ไขปัญหาก่อนที่จะเกิดขึ้น

การสื่อสารเป็นสิ่งสำคัญ

นอกจากงานด้านเทคนิคงานของ JSST ยังมีการสื่อสารกับพาทเนอร์หลายราย

กลุ่มคู่แรกคือนักวิจัยด้านความมั่นคง 

พวกเขามองหาปัญหาที่ไม่เคยเจอในแกนหลักของ Joomla ตลอดจนจำลองการโจมตีและรายงานภัยคุกคามต่อโครงการ โชคดีที่อุตสาหกรรมได้กลายเป็นมาตรฐานอุตสาหกรรมเพื่อทำรายงานเหล่านี้โดยส่วนตัวเพื่อให้ผู้ขาย (ในกรณีนี้คือ joomla) มีเวลาพอที่จะแก้ไขปัญหาและเผยแพร่เวอร์ชันที่มีความปลอดภัย กระบวนการนี้เรียกว่าการเปิดเผยข้อมูลอย่างรับผิดชอบทำงาน เพื่อแลกกับรายงานเหล่านี้นักวิจัยมักคาดหวังว่าจะมี "ทัศนวิสัย" (ให้โดยการให้เครดิตในประกาศเกี่ยวกับความปลอดภัย) และที่สำคัญที่สุดคือพวกเขาคาดหวังว่าจะได้รับความชื่นชม

กลุ่มคู่ค้าที่สองได้กลายเป็นผู้เปลี่ยนเกมสำหรับ JSST ในช่วงสองสามปีที่ผ่านมา: โฮสต์เว็บ!

ในโลกของ Joomla เรามักเห็นไซต์จำนวนมากถูกแฮ็กหลังจากออกเผยแพร่ที่สำคัญเนื่องจากเจ้าของไซต์ Joomla ไม่อัปเดตเว็บในทันที  เป็นส่วนที่น่าสนใจที่นี่เนื่องจากสำหรับการโจมตีที่สำคัญจริงๆผู้ใช้อาจมีปัญหาเล็กน้อย มากกว่า 10 ชั่วโมงก่อนที่การโจมตีอัตโนมัติครั้งแรกจะเริ่มขึ้น ทีมรักษาความปลอดภัยจะไม่เพียง แต่จัดหาแพทช์ที่แท้จริง แต่ยังมีคำแนะนำในการกรองการโจมตีที่อาจเกิดขึ้นพร้อมกับมาตรการฝั่งเซิร์ฟเวอร์ ข้อมูลนี้ถูกส่งไปยังโฮสต์เว็บ บริษัท รักษาความปลอดภัยและผู้ให้บริการ CDN จำนวนมากทั่วโลกพร้อมกับการปล่อยให้เป็นอิสระเพื่อให้ บริษัท เหล่านี้สามารถปกป้องผู้ใช้หลายล้านคนโดยการเพิ่มกฎตัวกรองด้วยการคลิกเพียงครั้งเดียว

นอกจากนี้ทีมยังต้องการสื่อสารกับชุมชน Joomla เราจำเป็นต้องติดต่อทีม CMS Maintainer เพื่อประสานงานด้านการรักษาความปลอดภัยเราทำงานร่วมกับทีมการตลาดเพื่อให้แน่ใจว่าข้อมูลสำคัญจะเข้าสู่ผู้ใช้และเรายังให้ความสำคัญกับผู้ใช้และนักพัฒนาในหัวข้อที่เกี่ยวกับความปลอดภัยโดยทั่วไป ตระหนักถึงความสำคัญของมาตรการรักษาความปลอดภัยที่เหมาะสม

Joomla ให้ความสำคัญต่อความปลอดภัยอย่างจริงจัง

JSST มีความรับผิดชอบอย่างมาก งานของเราคือการปกป้องเว็บไซต์นับล้านให้พ้นจากการโจมตีและรักษาสถานการณ์ใหม่ ๆ ที่อาจเกิดขึ้นได้อย่างต่อเนื่อง เราภูมิใจที่สามารถพูดได้ว่าทีมงานรับผิดชอบอย่างจริงจังและทำงานได้ดีโดยไม่เพียงแค่ใช้บทบาทที่แฝงและแก้ไขปัญหาที่รายงานไว้เท่านั้น แต่ยังช่วยให้ CMS มีความปลอดภัยยิ่งขึ้น ด้วยการตรวจสอบแบบใช้มือและแบบอัตโนมัติการตรวจสอบและการปรับปรุงด้านความปลอดภัยทางสถาปัตยกรรมสำหรับเวอร์ชันหลัก ๆ เราพยายามแก้ปัญหาก่อนที่จะปรากฏ 


"เราป้องกันไม่ให้ฝันร้ายด้านความปลอดภัยของคุณกลายเป็นจริง!"

เดวิดจาร์ดินหัวหน้าทีม JSST

  • Hits: 2121