Dziennik Przedsiebiorcy

Publikacja 08.04.2013

KW_TAGS

Oto niektóre niebezpieczeństwa wynikające z zaniedbania tego zagrożenia:

  • podmiana strony firmy, dodanie niepożądanych treści – może to mieć ogromny wpływ na wizerunek firmy.
  • wysyłka niepożądanych maili (spamu) z serwera - dodanie IP serwera do czarnych list spamowych, w najgorszym razie blokada przez dostawcę z tego powodu - strona stanie się niedostępna.
  • całkowite skasowanie zawartości strony, w przypadku braku backupu ( zapasowej kopii strony)  utrata treści.
  • instalacja wirusa,  który sam rozsyła wirusy, lub np. przynależność do tzw. BotNetu - nasz serwer/strona będzie sama atakowała inne serwery/strony wg preferencji atakującego – grozi to zablokowaniem strony lub nawet odpowiedzialność karna.
  • instalacja wirusa przez który Google uzna stronę za zarażoną, wtedy w przeglądarkach przy wejściu wyświetla się informacja o zagrożeniu – powoduje to spadek wiarygodności strony, spadek ilości naszych oglądających czyli potencjalnych klientów.

Istnieje jednak kilka podstawowych rzeczy, które można i należy wykonać, aby zabezpieczyć firmową stronę internetową przed nieautoryzowanym dostępem i zmianą treści chroniące przed tymi zagrożeniami.

Aktualne oprogramowanie

Głównym problemem, mimo wielu sporów i niejasności jest fakt stosowania nieaktualnego - niebezpiecznego oprogramowania. Czy to na serwerze, czy to w samych plikach strony - należy zadbać o aktualność. Kluczowe tu się mogą stać błędy typu 0day ( np. atak z wykorzystaniem luki, która nie jest nikomu znana - szczególnie developerom danej aplikacji), dlatego należy w miarę regularnie kontrolować aktualność oprogramowania zarówno na serwerze jak i w samych plikach strony. Istotna jest tu zatem lokalizacja serwisu na serwerze. O ile rozwiązania współdzielone serwera (tzw. shared) są tanie i dość łatwe w zorganizowaniu, to niejednokrotnie nawet u polskich usługodawców zdarzały się przypadki, gdy następowało włamanie na serwer i ingerencja w pliki stron wszystkich klientów ulokowanych na nim. Problem ten wynika z faktu, że zazwyczaj administratorzy takich tanich usług współdzielonych nie przywiązują do tego większej wagi, zaś z racji natury takich rozwiązań uzyskanie dostępu do konta administratora jest jednoznaczne z możliwością ingerencji w dowolne pliki na serwerze, w tym na pliki stron klientów. Dlatego aby takiego problemu uniknąć, a raczej go zniwelować (nie ma nigdy 100% zabezpieczenia) można zastosować się do jednego z kilku rozwiązań, odcinających w gruncie rzeczy nas od innych klientów i uniezależniających od osobistych upodobań dostawców i administratorów serwera fizycznego.

Serwer

Obok postawienia serwera we własnej lokalizacji (tj. stworzenie własnej serwerowni, tzw data center) najbezpieczniejszym, ale jednocześnie jednym z najdroższych rozwiązań jest zakup własnego (np. dedykowanego) w firmie oferującej SLA (tzw. gwarancję dostępności usługi, najczęściej oferującej monitorowanie usługi, raportowanie, przegląd osiąganych wyników) na wysokim poziomie. Serwer dedykowany, skonfigurowany w sposób właściwy, z administratorem, który na bieżąco kontroluje aktualność usług i oprogramowania, to jeden z kluczowych elementów podnoszących jego bezpieczeństwo. W przypadku strony, gdzie jest duży ruch, a ilość klientów zostawiających swoje dane szybko się zwiększa, można też zastanowić się nad uruchomieniem własnego serwera we własnej serwerowni. Koszt jest tutaj zdecydowanie największy, ale mamy pełną swobodę jeśli chodzi o zarządzanie tym kto może korzystać z jakich usług. Teoretycznie można wtedy udostępnić panel administracyjny strony np. tylko w wewnętrznej sieci firmy, tak aby nigdzie z zewnątrz nie było do niego dostępu.

Autoryzacja i uprawnienia

Z prostych uniwersalnych rozwiązań warto rozważyć wprowadzenie dodatkowych warunków autoryzacyjnych celem dostania się do panelu zarządzającego stroną. Jednym z takich rozwiązań jest autoryzacja typu HTTP z poziomu pliku .htaccess, znana dobrze administratorom m.in. prostych routerów, gdzie to rozwiązanie jest często stosowane. Oprócz tego dzięki .htaccess można ograniczyć wejścia do określonego zasobu (np. panelu) tylko dla osób o określonym adresie IP (czyli można np. ograniczyć dostęp do panelu do możliwości wejścia z IP biura lub IP administratora).

Istotną sprawą jest też stosowanie linuxowych CHMOD-ów czyli systemu uprawnień w systemach linux w odpowiedni sposób. Warto dzięki zmianie CHMODów zezwolić skryptom na zapisywanie tylko tam gdzie rzeczywiście tego potrzebują. W ten sposób możemy uniknąć sytuacji, gdy przez dziurę w skrypcie strony ktoś podmieni plik na serwerze na inny (jednak na dziury w oprogramowaniu na serwerze czy zbyt mało złożone hasła nie ma to wpływu).

Zabezpieczenie przed przeciążeniem

Kolejną ważną rzeczą jest zabezpieczenie przed atakami typu „DOS/DDOS”. To trudna sztuka, ponieważ często mamy znikome możliwości ochrony przed tego typu atakami, zwłaszcza na serwerach współdzielonych. Tam problem jest o tyle trudny, że celem ochrony innych klientów, właściciel serwera może zakończyć z nami współpracę, tak aby inni klienci ulokowani na tej samej maszynie/ w tej samej sieci nie odczuli dyskomfortu w związku z atakami, które otrzymujemy.

Ograniczyć możliwości ataku można zastosować m.in. rozwiązania typu „cache”, które serwują klientom zawartość statyczną zamiast dynamicznie generowanej, co zmniejsza obciążenie serwera. Do tego można użyć rozwiązań typu „CloudFlare”, które zajmują się monitorowaniem ruchu i wycinaniem szkodliwego ruchu w momencie gdy następuje atak, aby uchronić naszą stronę przed niedostępnością czy uszkodzeniem. Z tego punktu widzenia wartym uwagi może być rozwiązanie serwerowe typu Cloud, dzięki któremu przy wzmożonym ruchu możemy dynamicznie zwiększyć zasoby przydzielone dla serwera, aby uniknąć jego zablokowania pod wpływem wysokiego obciążenia.

Często sytuacja zbliżona do ataku DDOS następuje w momencie wysyłania mailingu do dużej ilości klientów, czy w momencie pokazania naszego serwisu szerszym mediom (np. duże portale internetowe lub TV), stąd funkcjonują w internecie pojęcia np. "Wykop Efekt" czy "DDTVN Efekt" - są to sytuacje gdy publikacja w określonym medium powoduje wzmożony ruch, co zaś skutkuje przeciążeniem i często samoistnym wyłączeniem serwera.

Hasła

Najważniejszym aspektem bezpieczeństwa pozostają jednak hasła - są one często piętą achillesową w bezpieczeństwie usług internetowych różnego rodzaju - warto upewnić się, że nasze hasło jest odpowiednio trudne, odpowiednio niespotykane i odpowiednio niemożliwe do odgadnięcia, oraz że jest używane wyłącznie do jednej usługi (aby np. haker włamując się na jedną z usług z której gdzieś korzystamy i wyciągając hasła nie mógł się zalogować do innej). Tym samym należy dołożyć szczególnych starań by zabezpieczyć  komputery przed szkodliwym oprogramowaniem, które kradnie hasła, bo wtedy to i najtrudniejsze hasło jest do odgadnięcia. Dobrym rozwiązaniem jest też korzystać z protokołu szyfrowanego przy wprowadzaniu zmian na stronę, tj. np. SFTP.

Dołącz do dyskusji

Kod antyspamowy
Odśwież

FacebookGoogle Bookmarks

Czytaj również

Bezpieczeństwo danych technologicznych

Bezpieczeństwo danych w firmach: jak ochronić dane w formie...

Zgodnie z art. 32 RODO każda organizacja powinna oszacowywać ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie...

Tablet i ekran dotykowy w praktyce biznesowej

Wyposażone w ekrany dotykowe urządzenia mobilne szybko zyskują popularność w wielu zastosowaniach konsumenckich. Czy jednak interfejs dotykowy może stać...

Sygnały, które mogą świadczyć o naruszeniu bezpieczeństwa firmy

Analizy pokazują, że w większości organizacji brakuje przekonania o skuteczności posiadanych rozwiązań pozwalających wykrywać i zapobiegać działaniom...

VoIP – technologia przyszłości czy już przeszłość?

Ostatnimi czasy coraz większą popularność zyskuje w Polsce telefonia VoIP. Nazwa ta jednak wzbudza najczęściej konsternację.

Wykorzystanie kodów QR w firmie

Fotokody znane są od ponad 20 lat, ale na dobre rozpowszechniły się dopiero kilka lat temu wraz ze wzrostem popularności smartfonów.

Czego nie ujawniać w internecie - bezpieczeństwo w sieci

Bezpieczeństwo w internecie nigdy nie jest całkowite – zarówno zagrożenia, jak i korzyści z nim związane, zmieniają się praktycznie z dnia na dzień

mobile trendy

Przyszłość aplikacji mobilnych

Zdaje się, że nic nie może zaszkodzić wyjątkowej popularności urządzeń mobilnych. Jak zatem wygląda przyszłość aplikacji?

Zmiany w administracji danych osobowych

Już niedługo czekają nas nowości w ochronie danych osobowych. Czy administratorzy danych osobowych muszą się ich obawiać?