Skip to main content

Het werk van het Joomla Security Team

Een website heeft alle ingrediënten voor een nachtmerrie op het gebied van IT-beveiliging: het is publiek toegankelijk, het draait op verschillende webservers en wordt ontelbare keren over de hele wereld gebruikt. Het is een aantrekkelijk doelwit is voor aanvallers. Het Joomla Security Strike Team (JSST) werkt er hard aan om ervoor te zorgen dat deze nachtmerrie geen realiteit wordt voor Joomla-gebruikers!
Net als elk ander team in het Joomla Project is de JSST een all-volunteer team dat over de hele wereld verspreid is. Deze geografische verdeling is belangrijk in ons geval, omdat de beveiligingsactiviteiten vaak een tijdkritische kwestie zijn - leden uit verschillende tijdzones hebben hier een groot voordeel, omdat het team 24 uur per dag in dienst kan zijn.

De taak van het team kan opgesplitst worden in 4 verschillende subtaken:


  • 1 - Monitoring
    De teamleden van het Joomla Security Team hebben tientallen nauw gemonitorde sites om zo snel mogelijk op de hoogte te zijn van nieuwe aanvalsscenario's. Gelukkig zijn deze sondes zelden nodig, omdat 99% van alle beveiligingsproblemen vertrouwelijk worden gecommuniceerd naar het team, waardoor we naar de volgende taak gaan.
  • 2 - Probleemafhandeling
    Wanneer een nieuw beveiligingsprobleem wordt gerapporteerd, moet het rapport worden erkend. Zodra dit is gebeurd, begint het team met het zoeken naar de details om het probleem te verifiëren en om te bepalen hoe gevaarlijk het is. Het laatste deel is uiterst belangrijk, omdat rapporten vaak slechts 'het topje van de ijsberg' zijn en de onderliggende oorzaak anders is. Ik kan met trots zeggen dat JSST hier fantastisch werk verricht en ervoor zorgt dat problemen correct worden gepatcht.
  • 3 - Probleempatching
    Zzodra de oorzaak van het probleem is vastgesteld, moet een fix worden ontwikkeld en getest. De grote uitdaging hier is om zoveel mogelijk scenario's te testen met een heel klein team en geen mogelijkheid om feedback te krijgen van derden (bijv. Ontwikkelaars van uitbreidingen).
  • 4 - Pro-actieve audits
    Voordat nieuwe functies worden samengevoegd in de kern, voert JSST geautomatiseerde en handmatige controles uit op de nieuwe code die in die functie is opgenomen. Dat is een geweldige manier om problemen op te lossen, nog voordat ze zich ooit voordoen.

Communicatie is belangrijk

Naast het technische gedeelte gaat het werk van JSST voornamelijk over de voortdurende communicatie met verschillende partners.

De eerste groep partners zijn beveiligingsonderzoekers.
Ze zoeken voortdurend naar onbekende problemen in de kern van Joomla, simuleren aanvallen en rapporteren bedreigingen voor het project. Gelukkig is het een industriestandaard geworden om deze rapporten privé te doen om de verkoper (dus in dit geval dat van ons) voldoende tijd te geven om het probleem op te lossen en een beveiligde versie uit te brengen. Dit proces, verantwoordelijk onthullen genoemd, werkt opmerkelijk goed en ik kan onze verslaggevers niet genoeg bedanken voor het ondersteunen van ons op een dergelijke professionele manier. In ruil voor deze rapporten verwachten de onderzoekers normaal gesproken enige "zichtbaarheid" (verstrekt door het geven van credits in de beveiligingsaankondigingen) en vooral, ze verwachten enige waardering en één-op-één communicatie.

De tweede groep partners is de afgelopen jaren een game changer geworden voor de JSST: webhostingbedrijven!
In de Joomla-wereld zien we vaak dat veel sites worden gehackt na kritieke releases, omdat Joomla-site-eigenaren hun installaties niet op tijd bijwerken - 'in de tijd' is hier het interessante deel, want voor echt kritieke aanvallen kan een gebruiker te weinig hebben meer dan 10 uur voordat de eerste automatische aanvallen beginnen. Om deze gebruikers die langzaam updaten bij te werken, biedt het beveiligingsteam niet alleen de eigenlijke patch, maar ook instructies voor het filteren van potentiële aanvallen met server-side maatregelen. Deze informatie wordt verzonden naar tal van webhosts, beveiligingsbedrijven en CDN-providers over de hele wereld op exact hetzelfde moment dat de release plaatsvindt, zodat deze bedrijven miljoenen gebruikers kunnen beschermen door gewoon een filterregel toe te voegen met een enkele klik.

En last but not least, moet het team ook communiceren met de Joomla-community. We moeten contact opnemen met het CMS Maintainer-team om beveiligingsreleases te coördineren, we werken samen met het marketingteam om ervoor te zorgen dat belangrijke informatie zijn weg vindt naar de gebruikers en we informeren gebruikers en ontwikkelaars ook over beveiligingsgerelateerde onderwerpen. bewustzijn van het belang van juiste veiligheidsmaatregelen.

Joomla neemt beveiliging serieus

Het JSST heeft een enorme verantwoordelijkheid. Het is onze taak miljoenen websites te beschermen tegen aanvallen en gelijke tred te houden met nieuwe dreigingsscenario's die voortdurend opduiken. Ik kan met trots zeggen dat het team deze verantwoordelijkheid zeer serieus neemt en uitstekend werk levert door niet alleen een passieve rol te spelen en gerapporteerde problemen te verhelpen, maar door het CMS ook proactief te beveiligen. Met onze handmatige en geautomatiseerde audits, de monitoring en architecturale beveiligingsverbeteringen voor nieuwe hoofdversies, proberen we problemen op te lossen voordat ze verschijnen.
We prevent your security nightmares from becoming reality!