Kilka porad na temat ochrony swojego serwera, serwisu, konta hostingowego, bezpieczeństwo w sieci
1. Hasło
Z pozoru nic nadzwyczajnego, wystarczy wymyślić sobie jakiś ciąg znaków, zapamiętać i po krzyku. „Komu będzie się chciało zgadywać moje hasło…”
Jak dowiodło kilka badań zdecydowana większość internautów wykorzystuje takie hasła jak:"123" , "ala" "imie123" "123dom" „12345″, „hasło”, „qwerty”, „imie”, tosia , zosia, przemo, marko, byniek, iga123, beni itp… tak proste hasła można również w bardzo prosty sposób łamać i nie jest do tego potrzebna specjalnie złożona wiedza w tym zakresie. Często bywa, że korzystamy z wielu różnych serwisów np. Facebook, Bank, Firma hostingowa, konta FTP, konta pocztowe itd… w sumie każdy z nas ma przynajmniej kilka miejsc, do których aby się dostać musi podać hasło. Wiele osób decyduje się na prosty ruch polegający na ujednoliceniu wszystkich haseł lub ich cześć poprzez ustalenie jednego hasła lub kilku i stosowaniu ich jednocześnie na wielu różnych serwisach. Ne trudno wyobrazić sobie co może się stać gdy takie hasło zostanie przechwycone. „Szczęśliwy posiadacz” będzie mógł nie tylko namieszać nam na profilu Facebook’a ale będzie mógł wejść na nasze konto bankowe albo do usługi hostingowej… dalszy scenariusz możesz sobie dopisać.
Czyli wynika z tego, że im bardziej złożone hasło tym lepiej, ale czy na pewno? Jak się okazuje zbyt złożone hasła, o dużym stopniu abstrakcyjności oczywiście są bezpieczne i trudne do złamania jednak przez to są na tyle skomplikowane, że ich zapamiętanie graniczy z cudem, a to najczęściej wymusza na użytkowniku zapisanie takiego hasła na kartce, w komputerze itd… a to też nie jest specjalnie szczęśliwym rozwiązaniem.
- Łącz i przeplataj znaki dwóch słów, stosując przy tym duże i małe litery np. czerwony garnek = CeZwRnOyGraEnK
- Przeplataj litery dowolnego wyrazu z cyframi np. flash 9708 = f9L7a0s8H
- Łącz ze sobą dwa słowa używając jako łącznika dowolnego symbolu np. CzeRwoNy^GarNek
- Wpleć w hasło znaki specjalne (!@#$%)
- Twórz hasło z błędną pisownią (bądź przy tym konsekwentny) np. mózg = MuSk
- Stosuj duże litery w niekonwencjonalnych miejscach np. waRszAwa
- Twórz hasło jako zlepek pierwszych liter wyrazów tworzących dłuższą frazę np. MtRdM (mamy tego roku deszczowy maj)
- Zastępuj litery cyframi – E=3, A=4, T=7 itd. np. K4$74 (kasta)
- Nie wykorzystuj tego samego hasła do zabezpieczania kilku serwisów lub komputerów
Im więcej z powyżej wymienionych elementów zastosujesz w swoim haśle tym będzie ono trudniejsze do odgadnięcia przez specjalne aplikacje służące do łamania zabezpieczeń, a jednocześnie jest szansa, że będziesz w stanie je zapamiętać :) Hasło powinno składać się minimum z 8 znaków. Staraj się unikać zapisywania haseł w programach FTP, to bardzo częsta przyczyna wycieku haseł do sieci o czym słów kilka w dalszej części.
Czy używasz bezpiecznych haseł korzystając z usług hostingowych? Jeśli nie to miej świadomość, że narażasz siebie i swoją stronę na przykre konsekwencje.
2. Szyfrowane połączenie czyli SSL
Często taki rodzaj transmisji kojarzy się z bankami, bo w naturalny sposób takie miejsca muszą być dobrze chronione i tu nikt nie ma żadnych wątpliwości ani z tym nie dyskutuje. Co jednak z usługami hostingowymi? No cóż ciągle jeszcze wielu dostawców nie traktuje tego zagadnienia poważnie i tu faktycznie można mieć pretensje jeśli tak jest. Rzetelny usługodawca powinien zapewnić bezpieczną komunikację praktycznie na każdym protokole. Ważne jest to aby odpowiednimi certyfikatami (najlepiej autoryzowanymi):
chronić dostęp do panelu administracyjnego usługi hostingowej
zapewnić możliwość bezpiecznej komunikacji przy wykorzystaniu kanału FTP (np. SFTP, FTP +TLS itp…)
zapewnić możliwość bezpiecznej komunikacji z serwerem poczty
zapewnić możliwość uruchomienia na usłudze hostingowej własnych certyfikatów SSL np. szyfrujących wymianę danych w Twoim sklepie internetowym
Miło jeśli dostawca nie stosuje własnych certyfikatów tzw. „self_signed”, ale wyda kilka złotych na autoryzowany certyfikat wydany przez stosowne Centrum Certyfikacji. Niestety wciąż wielu dostawców próbuje oszczędzać na certyfikatach i stosuje własne lub o zgrozo nie stosuje ich w ogóle, a prawda jest taka, że większość użytkowników tych usług w ogóle nie zwraca na to uwagi co najczęściej nie wynika z ich luźnego podejścia do tematyki bezpieczeństwa ale zwyczajnie z braku wiedzy na ten temat.
Warto sprawdzić jakie rodzaje zabezpieczeń na tym polu udostępnia Twój usługodawca, a jeśli zobaczysz poruszając się po Panelu zarządzania gdzie zakładasz konta email, zmieniasz hasła itd… że w pasku adresu przeglądarki adres zaczyna się od http:// to już wiesz, że Twoje dane jakie przekazujesz w trakcie prac z panelem idą po sieci otwartym tekstem, łatwym do” podsłuchania”. W takiej sytuacji zapytaj swojego dostawcy czy możesz korzystać z połączeń SSL aby ten stan rzeczy zmienić. URL powinien zaczynać się od https:// Ta jedna mała literka „s” robi wielką różnicę :)
Czy korzystasz z szyfrowanych połączeń do komunikacji z narzędziami Twojej usługi hostingowej? Jeśli nie, jest to kolejny element stwarzający realne zagrożenie.
3. Aktualizacje skryptów
Powszechnie panuje przekonanie, że jak zainstaluje się coś z czego korzysta wielu to zapewne jest to dobre, bezpieczne i w ogóle super i potem nic już nie trzeba robić :) To wręcz wymarzona sytuacja, niestety zupelnie oderwana od rzeczywistości i nie mająca z nią nic wspólnego. Przede wszystkim trzeba zdawać sobie sprawę z tego, że nie ma skryptów bez wad, no chyba ze skryp to coś w rodzaju:
Im organizm bardziej złożony tym pojawia się coraz więcej uwarunkowań i czynników mogących zagrozić jego zdrowiu. Jeśli więc zainstalujesz dowolny system CMS na swojej usłudze hostingowej, np. Joomle, Drupala i inne, to uruchamisz taki zlożony organizm, który niewątpliwie gdzieś „pod skórą” zawiera wiele słabych elementów. Z czasem gdy zostaną odkryte mogą być wykorzystane przez włamywaczy. Kiepsko, prawda? Jeśli do takiego systemu CMS dołożysz jeszcze dodatkowe moduły/rozszerzenia czyli ten złożony organizm skomplikujesz jeszcze bardziej, to jednocześnie przybędzie słabych punktów. Od razu podkreślę, że nie mam nic przeciwko tego typu rozwiązaniom (mam na myśli CMS-y Open Source, które podałem jako przykłady), sami wdrożyliśmy sporo takich serwisów, a obok nich wiele komercyjnych rozwiązań i ten problem dotyczy wszystkich bez wyjątku.
Jedyną metodą na skuteczną ochronę jest stałe śledzenie komunikatów dotyczących bezpieczeństwa na stronie producenta i dokonywanie aktualizacji tak szybko jak to możliwe zwłaszcza gdy dotyczą one luk w zabezpieczeniach skryptów. To nie jest tak, że jak postawisz Joomle czy inny system to on już na wieki będzie działał dobrze i będzie bezpieczny. Życie nie jest aż tak proste. Jeśli w ten sposób postrzegasz to zagadnienie uwierz mi, popełniasz poważny błąd. Monitoruj to co się dzieje wokół rozwiązania, które stosujesz. Wiem, że możesz nie mieć na to czasu lub wiedzy, ale bez tego narażasz się lub co gorsze swoich Klientów na poważne konsekwencje. Jeśli sam nie chcesz, nie masz czasu lub nie potrafisz się tym zająć zleć to komuś innemu, ale nie pozostawiaj swojej strony bez opieki.
Jeśli masz środki możesz uruchomić specjalne usługi związane z audytem Twoich stron pod kątem ich bezpieczeństwa. Nie sa to usługi tanie. Te lepsze kosztują od kilku do kilkunastu tysięcy zł w skali roku i codziennie wykonują testy strony oraz serwera na którym działa, informując Cię natychmiast o wykrytych zagrożeniach. Jednak nawet wówczas są to tylko informacje o problemach (choć bardzo cenne) oraz podpowiedzi ich rozwiązania. Czarna robota tak czy inaczej spada na Ciebie.
4. Ochrona antywirusowa Twojego komputera
Wirusy i wszelkiej maści robactwo, które krąży po internecie to coraz bardziej zmyślne programy, które potrafią odczytać hasła dostępowe do Twojego konta FTP zapisane w programie (np. Total Commander lub innym) i rozesłać je po sieci do kolejnych zainfekowanych komputerów. Tamte robią swoje i puszczają dane dalej. W konsekwencji możesz któregoś dnia na swojej stronie znaleźć wrzutki obcego kodu i zdziwisz się gdy po ich wyczyszczeniu pojawią się ponownie… usuniesz, a na drugi dzień zobaczysz kolejne i kolejne, kolejne… a Google jako że nie lubi takich sytuacji może zablokować wyświetlanie strony w takich przeglądarkach jak Firefox i Chrome. To z pewnością nie będzie miłe doświadczenie. Wrzutki będą się pojawiały dotąd dokąd nie zmienisz haseł, co zablokuje dostęp do konta tym, do których Twoje hasło się wydostało. Jednocześnie jeśli nie przeskanujesz gruntownie, dobrym i aktualnym programem antywirusowym komputerów, z których łączysz się na serwer, to sama zmiana haseł może się okazać zwykłą stratą czasu.
W większości usługodawcy hostingowi stosują standardowe zabezpieczenia w postaci programów antywirusowych, które póki co niestety nie potrafią radzić sobie z tego typu zagrożeniami. Cześć stosuje dodatkowe zabezpieczenia chroniące Twoje konto przed exploitami i im podobnymi, jednak i te nigdy nie będą w pełni skuteczne ponieważ każdego dnia pojawiają sie nowe „śmieci”, które nie są od razu wyłapywane.
Dlatego niezwykle ważne jest to abyś stosował na swoim komputerze dobre, sprawdzone rozwiązania antywirusowe, aktualizujące sygnatury wirusów przynajmniej raz na dobę. Pozwoli Ci to wyraźnie zminimalizować ryzyko wycieku haseł na skutek infekcji Twojego komputera. Dobrą praktyką jest także okresowa zmiana haseł.
To tylko 4, moim zdaniem podstawowe elementy związane z bezpieczeństwem Twoich danych na koncie hostingowym. Jest ich oczywiście więcej i temat można drążyć na wiele sposobów, chciałem jednak pokazać jak dużo zależy od Ciebie i na jak wiele czynników związanych z bezpieczeństwem Twojej strony masz realny wpływ, nierzadko decydujący.
Rola samego usługodawcy hostingowego jest także spora, bo oprócz zapewnienia możliwie wysokich standardów, jednym z istotnych elementów jego misji powinna być edukacja Klientów i informowanie ich o tym jak unikać zagrożeń i jak je minimalizować.
1. Hasło
Z pozoru nic nadzwyczajnego, wystarczy wymyślić sobie jakiś ciąg znaków, zapamiętać i po krzyku. „Komu będzie się chciało zgadywać moje hasło…”
Jak dowiodło kilka badań zdecydowana większość internautów wykorzystuje takie hasła jak:"123" , "ala" "imie123" "123dom" „12345″, „hasło”, „qwerty”, „imie”, tosia , zosia, przemo, marko, byniek, iga123, beni itp… tak proste hasła można również w bardzo prosty sposób łamać i nie jest do tego potrzebna specjalnie złożona wiedza w tym zakresie. Często bywa, że korzystamy z wielu różnych serwisów np. Facebook, Bank, Firma hostingowa, konta FTP, konta pocztowe itd… w sumie każdy z nas ma przynajmniej kilka miejsc, do których aby się dostać musi podać hasło. Wiele osób decyduje się na prosty ruch polegający na ujednoliceniu wszystkich haseł lub ich cześć poprzez ustalenie jednego hasła lub kilku i stosowaniu ich jednocześnie na wielu różnych serwisach. Ne trudno wyobrazić sobie co może się stać gdy takie hasło zostanie przechwycone. „Szczęśliwy posiadacz” będzie mógł nie tylko namieszać nam na profilu Facebook’a ale będzie mógł wejść na nasze konto bankowe albo do usługi hostingowej… dalszy scenariusz możesz sobie dopisać.
Czyli wynika z tego, że im bardziej złożone hasło tym lepiej, ale czy na pewno? Jak się okazuje zbyt złożone hasła, o dużym stopniu abstrakcyjności oczywiście są bezpieczne i trudne do złamania jednak przez to są na tyle skomplikowane, że ich zapamiętanie graniczy z cudem, a to najczęściej wymusza na użytkowniku zapisanie takiego hasła na kartce, w komputerze itd… a to też nie jest specjalnie szczęśliwym rozwiązaniem.
David Harley, członek Działu Badawczego oraz dyrektor Działu Wywiadu Zagrożeń firmy ESET, określił 9 zasad, które pozwalają stworzyć bezpieczne i jednocześnie łatwe do zapamiętania hasła. Oto one:
- Łącz i przeplataj znaki dwóch słów, stosując przy tym duże i małe litery np. czerwony garnek = CeZwRnOyGraEnK
- Przeplataj litery dowolnego wyrazu z cyframi np. flash 9708 = f9L7a0s8H
- Łącz ze sobą dwa słowa używając jako łącznika dowolnego symbolu np. CzeRwoNy^GarNek
- Wpleć w hasło znaki specjalne (!@#$%)
- Twórz hasło z błędną pisownią (bądź przy tym konsekwentny) np. mózg = MuSk
- Stosuj duże litery w niekonwencjonalnych miejscach np. waRszAwa
- Twórz hasło jako zlepek pierwszych liter wyrazów tworzących dłuższą frazę np. MtRdM (mamy tego roku deszczowy maj)
- Zastępuj litery cyframi – E=3, A=4, T=7 itd. np. K4$74 (kasta)
- Nie wykorzystuj tego samego hasła do zabezpieczania kilku serwisów lub komputerów
Im więcej z powyżej wymienionych elementów zastosujesz w swoim haśle tym będzie ono trudniejsze do odgadnięcia przez specjalne aplikacje służące do łamania zabezpieczeń, a jednocześnie jest szansa, że będziesz w stanie je zapamiętać :) Hasło powinno składać się minimum z 8 znaków. Staraj się unikać zapisywania haseł w programach FTP, to bardzo częsta przyczyna wycieku haseł do sieci o czym słów kilka w dalszej części.
Czy używasz bezpiecznych haseł korzystając z usług hostingowych? Jeśli nie to miej świadomość, że narażasz siebie i swoją stronę na przykre konsekwencje.
2. Szyfrowane połączenie czyli SSL
Często taki rodzaj transmisji kojarzy się z bankami, bo w naturalny sposób takie miejsca muszą być dobrze chronione i tu nikt nie ma żadnych wątpliwości ani z tym nie dyskutuje. Co jednak z usługami hostingowymi? No cóż ciągle jeszcze wielu dostawców nie traktuje tego zagadnienia poważnie i tu faktycznie można mieć pretensje jeśli tak jest. Rzetelny usługodawca powinien zapewnić bezpieczną komunikację praktycznie na każdym protokole. Ważne jest to aby odpowiednimi certyfikatami (najlepiej autoryzowanymi):
chronić dostęp do panelu administracyjnego usługi hostingowej
zapewnić możliwość bezpiecznej komunikacji przy wykorzystaniu kanału FTP (np. SFTP, FTP +TLS itp…)
zapewnić możliwość bezpiecznej komunikacji z serwerem poczty
zapewnić możliwość uruchomienia na usłudze hostingowej własnych certyfikatów SSL np. szyfrujących wymianę danych w Twoim sklepie internetowym
Miło jeśli dostawca nie stosuje własnych certyfikatów tzw. „self_signed”, ale wyda kilka złotych na autoryzowany certyfikat wydany przez stosowne Centrum Certyfikacji. Niestety wciąż wielu dostawców próbuje oszczędzać na certyfikatach i stosuje własne lub o zgrozo nie stosuje ich w ogóle, a prawda jest taka, że większość użytkowników tych usług w ogóle nie zwraca na to uwagi co najczęściej nie wynika z ich luźnego podejścia do tematyki bezpieczeństwa ale zwyczajnie z braku wiedzy na ten temat.
Warto sprawdzić jakie rodzaje zabezpieczeń na tym polu udostępnia Twój usługodawca, a jeśli zobaczysz poruszając się po Panelu zarządzania gdzie zakładasz konta email, zmieniasz hasła itd… że w pasku adresu przeglądarki adres zaczyna się od http:// to już wiesz, że Twoje dane jakie przekazujesz w trakcie prac z panelem idą po sieci otwartym tekstem, łatwym do” podsłuchania”. W takiej sytuacji zapytaj swojego dostawcy czy możesz korzystać z połączeń SSL aby ten stan rzeczy zmienić. URL powinien zaczynać się od https:// Ta jedna mała literka „s” robi wielką różnicę :)
3. Aktualizacje skryptów
Powszechnie panuje przekonanie, że jak zainstaluje się coś z czego korzysta wielu to zapewne jest to dobre, bezpieczne i w ogóle super i potem nic już nie trzeba robić :) To wręcz wymarzona sytuacja, niestety zupelnie oderwana od rzeczywistości i nie mająca z nią nic wspólnego. Przede wszystkim trzeba zdawać sobie sprawę z tego, że nie ma skryptów bez wad, no chyba ze skryp to coś w rodzaju:
<?php
echo „Jestem bezpieczny”;
?>
Im organizm bardziej złożony tym pojawia się coraz więcej uwarunkowań i czynników mogących zagrozić jego zdrowiu. Jeśli więc zainstalujesz dowolny system CMS na swojej usłudze hostingowej, np. Joomle, Drupala i inne, to uruchamisz taki zlożony organizm, który niewątpliwie gdzieś „pod skórą” zawiera wiele słabych elementów. Z czasem gdy zostaną odkryte mogą być wykorzystane przez włamywaczy. Kiepsko, prawda? Jeśli do takiego systemu CMS dołożysz jeszcze dodatkowe moduły/rozszerzenia czyli ten złożony organizm skomplikujesz jeszcze bardziej, to jednocześnie przybędzie słabych punktów. Od razu podkreślę, że nie mam nic przeciwko tego typu rozwiązaniom (mam na myśli CMS-y Open Source, które podałem jako przykłady), sami wdrożyliśmy sporo takich serwisów, a obok nich wiele komercyjnych rozwiązań i ten problem dotyczy wszystkich bez wyjątku.
Jedyną metodą na skuteczną ochronę jest stałe śledzenie komunikatów dotyczących bezpieczeństwa na stronie producenta i dokonywanie aktualizacji tak szybko jak to możliwe zwłaszcza gdy dotyczą one luk w zabezpieczeniach skryptów. To nie jest tak, że jak postawisz Joomle czy inny system to on już na wieki będzie działał dobrze i będzie bezpieczny. Życie nie jest aż tak proste. Jeśli w ten sposób postrzegasz to zagadnienie uwierz mi, popełniasz poważny błąd. Monitoruj to co się dzieje wokół rozwiązania, które stosujesz. Wiem, że możesz nie mieć na to czasu lub wiedzy, ale bez tego narażasz się lub co gorsze swoich Klientów na poważne konsekwencje. Jeśli sam nie chcesz, nie masz czasu lub nie potrafisz się tym zająć zleć to komuś innemu, ale nie pozostawiaj swojej strony bez opieki.
Jeśli masz środki możesz uruchomić specjalne usługi związane z audytem Twoich stron pod kątem ich bezpieczeństwa. Nie sa to usługi tanie. Te lepsze kosztują od kilku do kilkunastu tysięcy zł w skali roku i codziennie wykonują testy strony oraz serwera na którym działa, informując Cię natychmiast o wykrytych zagrożeniach. Jednak nawet wówczas są to tylko informacje o problemach (choć bardzo cenne) oraz podpowiedzi ich rozwiązania. Czarna robota tak czy inaczej spada na Ciebie.
Czy regularnie wykonujesz aktualizacje wykorzystywanych na stronie skryptów?
4. Ochrona antywirusowa Twojego komputera
Wirusy i wszelkiej maści robactwo, które krąży po internecie to coraz bardziej zmyślne programy, które potrafią odczytać hasła dostępowe do Twojego konta FTP zapisane w programie (np. Total Commander lub innym) i rozesłać je po sieci do kolejnych zainfekowanych komputerów. Tamte robią swoje i puszczają dane dalej. W konsekwencji możesz któregoś dnia na swojej stronie znaleźć wrzutki obcego kodu i zdziwisz się gdy po ich wyczyszczeniu pojawią się ponownie… usuniesz, a na drugi dzień zobaczysz kolejne i kolejne, kolejne… a Google jako że nie lubi takich sytuacji może zablokować wyświetlanie strony w takich przeglądarkach jak Firefox i Chrome. To z pewnością nie będzie miłe doświadczenie. Wrzutki będą się pojawiały dotąd dokąd nie zmienisz haseł, co zablokuje dostęp do konta tym, do których Twoje hasło się wydostało. Jednocześnie jeśli nie przeskanujesz gruntownie, dobrym i aktualnym programem antywirusowym komputerów, z których łączysz się na serwer, to sama zmiana haseł może się okazać zwykłą stratą czasu.
W większości usługodawcy hostingowi stosują standardowe zabezpieczenia w postaci programów antywirusowych, które póki co niestety nie potrafią radzić sobie z tego typu zagrożeniami. Cześć stosuje dodatkowe zabezpieczenia chroniące Twoje konto przed exploitami i im podobnymi, jednak i te nigdy nie będą w pełni skuteczne ponieważ każdego dnia pojawiają sie nowe „śmieci”, które nie są od razu wyłapywane.
Dlatego niezwykle ważne jest to abyś stosował na swoim komputerze dobre, sprawdzone rozwiązania antywirusowe, aktualizujące sygnatury wirusów przynajmniej raz na dobę. Pozwoli Ci to wyraźnie zminimalizować ryzyko wycieku haseł na skutek infekcji Twojego komputera. Dobrą praktyką jest także okresowa zmiana haseł.
Czy Twój program antywirusowy zawsze jest aktualny?
Podsumowanie
To tylko 4, moim zdaniem podstawowe elementy związane z bezpieczeństwem Twoich danych na koncie hostingowym. Jest ich oczywiście więcej i temat można drążyć na wiele sposobów, chciałem jednak pokazać jak dużo zależy od Ciebie i na jak wiele czynników związanych z bezpieczeństwem Twojej strony masz realny wpływ, nierzadko decydujący.
Rola samego usługodawcy hostingowego jest także spora, bo oprócz zapewnienia możliwie wysokich standardów, jednym z istotnych elementów jego misji powinna być edukacja Klientów i informowanie ich o tym jak unikać zagrożeń i jak je minimalizować.
artykuł zapożyczony od: www.deel.com
