Jak může dojít k napadení vašeho webu

Většina lidí si myslí, že se útočník na váš web dostane skrz dostatečně nezabezpečený hosting. Prostě, že jim někdo hackne server, kde máte váš web. Ve skutečnosti jsou tyto velkou výjimkou. Pokud k takovéto události dojde většinou se jedná o nějakou menší hostingovou společnost, kde se o správu serverů starají spíše nadšenci, než dobře placení odborníci s dlouholetou zkušeností.

Cesta internetem

Mezi vámi a internetovou stránku, kam se přihlašujete vede dlouhá cesta. Můžete si zkusit zadat do prohlížeče příkaz tracert google.cz. Ukáže vám trasu mezi vámi a Google. Každá položka na této trati může být bezpečnostním rizikem. Od vašeho routeru, modemu, síťových prvků vašeho poskytovatele internetu až po cílový server. Například váš napadený router může ochotně předávat přihlašovací údaje k FTP. Kdypak jste jej naposledy aktualizovali?

Krom pravidelné údržby síťových prvků je ochranou šifrování. Místo FTP používejte FTPS, místo POP3 zabezpečený POP3S a pro přihlášení místo HTTP zvolit HTTPS. Pokud je administrace čistě pro vás, je jedno, že použijete certifikát vlastní výroby. Důležité je, že jsou data na cestě šifrována.

Tato opatření nabývají na důležitosti v okamžiku, kdy se připojujete přes nezabezpečeného ISP. Zvláště na různých wi-fi zdarma může někdo odposlouchávat. Pokud však svou komunikaci budete šifrovat, razantně snížíte šanci, že někdo získá vaše heslo.

E-mail

Naší velkou slabinou je e-mail. Právě sem totiž přijdou ztracená hesla. Často si na nich necháváme i vygenerovaná hesla. Takže pokud se k e-mailu dostane třetí osoba a máme zde hesla, nemusím na to ani přijít. Prostě si je přečte. Je nutné používat dostatečně silné heslo a v případě brute force útoků hádání hesla přihlášení pro danou IP adresu anebo rozsah zablokovat.

E-mail je však naší slabinou i proto, že útočník ví že nám patří. Musíme si dávat pozor na phising a XSS útoky. Odkazy z e-mailu bychom měli otvírat v pracovním prohlížeči, přes který se nepřihlašujeme, má silné zabezpečení a hlavně na počítači nás chrání bezpečnostní software, kterému věříme.

Hostingový účet

Zatímco server provozovatele u profesionální služby jen tak někdo nedostane, u hostingu máme většinou možnost ovlivnit zabezpečení. Například povolit určité funkce, které sníží úroveň zabezpečení, ale naše aplikace je vyžaduje. Pokud si spravujete například VPS musíte si jej aktualizovat na vlastní pěst.

Moderní sdílené webhostingy často umožňují hostovat větší množství domén. Často tak na jednom účtu můžeme mít více zákazníků. Při rozdělování práv musíme dbát na to, kdo může co vidět. Zároveň by jeden web neměl mít možnost sahat do skriptu druhého. To platí i o databázích. Pokud už dojde k zcizení hesla jednoho uživatele, neměl by být kvůli benevolentním právům zasažen jiný uživatel.

Samotný software

Většina redakčních systémů je každý den pod útokem několika robotů, kteří zkouší zdali jste opravili dřívější bezpečnostní chyby. Takzvané Zero Day útoky, které směřují na doposud neobjevené zranitelnosti jsou spíše výjimkou. Většina je na už známé a dávno opravené chyby. Často mohou být i roky staré. Tyto útoky provádí automatické skripty. Zkouší to na tisíce webů každý den. Když je útok úspěšný pošlou zprávu na ovládací server. Pak čekají na instrukce.

Jak se proti nim dá bránit? Především mít vše aktuální. Dále s využitím vhodných metod jako je omezení přístupu ze specifických IP adres anebo oprávnění zápisu se dá předejít různým problémům. Na internetu najdete stovky návodů jak udělat ze svého redakčního systému pevnost.

One thought on “Jak může dojít k napadení vašeho webu

  1. Myslím si ,že v oblasti obrany sa nikde nedá spraviť dosť a stále je čo zlepšiť ja si myslím ,že keď niekto dobrý sa chce niekam dostať tak sa dostane .

Zanechat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *