Varnost spletnih strani – Ali bi morali biti zaskrbljeni?

Varnost spletnih strani – Ali bi morali biti zaskrbljeni?

Če na vaši strani hranite pomembne podatke ali vas karkoli na vaši strani postavlja v središče pozornosti internetne javnosti, potem bo vaša spletna varnost prav gotovo na preizkušnji. Upamo, da bodo informacije predstavljene tukaj pomagale vam in vašem podjetju, da ne postanete tarča nepooblaščenih spletnih napadov.

Dejstvo, da slabo kodirani programi ustvarjajo varnostne luknje, je dobro poznano. Število hroščev, ki lahko ustvarijo varnostne luknje, je neposredno proporcionalno velikosti in kompleksnosti vaših spletnih aplikacij in spletnega strežnika. V bistvu imajo vsi kompleksnejši programi vsaj nekaj hroščev ali pa vsaj par šibkih točk. Poleg tega so spletni strežniki že privzeto nadvse kompleksni programi. Spletne strani tudi same po sebi vsebujejo veliko različnih gradnikov in so namensko zasnovane tako, da propagirajo večjo interakcijo z odjemalci. Posledično lahko prihaja do mnogih varnostnih lukenj in njihova zloraba v današnjih časih strmo narašča.

S tehnološkega vidika ravno programerske rešitve, ki sicer dvigajo dodano vrednost internetne strani, in sicer interakcijo z obiskovalci, omogočajo izvajanje skript ali SQL ukazov na vaših podatkovnih in spletnih strežnikih kot odgovor na zahteve odjemalcev. Katerakoli forma ali skripta, ki je nameščena na vaši stani lahko ima slabosti ali celo hrošče, ki lahko pomenijo potencialno ranljivost.

V nasprotju s splošnim prepričanjem, je meja med tem da se nekaterim obiskovalcem vaše strani omogoči dostop do vaših podjetniških virov in med tem da se nezaželjenim obiskovalcem onemogoči dostop, nadvse tanka. Na voljo namreč nimamo le ene univerzalne nastaviteve, ali pa zgolj enega samega stikala, s katerim bi lahko nastavili varnost na idealno raven. Obstaja več ducatov, ponekod tudi več kot sto posameznih nastavitev samo na strani spletnega strežnika, nato pa še vsaka dodatna storitev, aplikacija ali odprta vrata (porti) na strežniku dodajo še svoj sloj nastavitev. Vendar tu še omenjali nismo programske kode… ampak mislim, da razumete kam pes taco moli.

Temu dodajte še različna dovoljenja, ki jih želite podeliti obiskovalcem, uslužbencem, partnerjem. S tem število spremenljivk drastično naraste.

Del varnostnega tveganja je tudi na strani obiskovalcev strani. Običajen napad na internetno stran zajema tudi tiho in prikrito inštalacijo kode, ki bo zlorabila spletne brskalnike obiskovalcev. Vaša stran praviloma namreč ni končni cilj tovrstnih napadov. Trenutno je po svetu na tisoče internetnih strani, ki so ogrožene. Običajno lastniki takih strani sploh ne vedo, da je bilo na njihovi strani kaj spremenjeno in da je varnost njihovih uporabnikov ogrožena. Uporabniki pa so prepuščeni napadom in uspešni napadalci lahko na obiskovalčev računalnik namestijo zlonamerno kodo.

Varnost spletnega strežnika

Najvarnejši server na svetu, je tisti, ki je izključen. Najvarnejši delujoči strežniki pa so enostavni, z le nekaj odprtimi porti in z malo opravili, ki komunicirajo prek teh vrat. Vendar pa zmogljive in prilagodljive sodobne aplikacije, ki so potrebne za poganjanje moderne, s hi-end tehnologijo naphane spletne strani, zahtevajo poganjanje na kompleksnih strežnikih.

Katerikoli sistem z več sočasno odprtimi vrati, z več paralelnimi storitvami in več skriptnimi jeziki, je seveda ranljiv, saj obstaja preveč vstopnih točk za nepridiprave, ki bi jih lahko posamezno kontrolirali. Če je vaš sistem ustrezno konfiguriran in je IT osebje, zadolženo za strežnike, dosledno pri nameščanju popravkov in varnostnih nadgradenj, se vaše tveganje za vdor znatno zniža. Pomembno pa je kontrolirati še varnost aplikacij, ki tečejo na vaši strani, te namreč tudi potrebujejo konstantne nadgradnje. Ne nazadnje pa je tu še spletna koda sama.

Programska koda spletne strani in internetna varnost

Vaša stran prav gotovo omogoča vsaj enega od načinov komunikacije z vašimi obiskovalci. Na vsakem mestu, kjer je omogočena interakcija z obiskovalci obstaja možnost, da imate potencialno varnostno luknjo. Spletne strani namreč uporabnikom pogosto omogočajo:

  • nalaganje nove podstrani z dinamično vsebino
  • iskanje produkta ali lokacije
  • izpolnitev vnosnih polj
  • iskanje po vsebini strani
  • uporaba spletne trgovine
  • ustvarjanje novega profila
  • logiranje v profil
V vsakem od zgoraj naštetih scenarijev obiskovalec vaše strani efektivno pošlje ukaz preko vašega strežnika, najpogosteje v podatkovno bazo. Ko pride do priložnosti za komunikacijo, denimo preko vnosnega polja, polja za iskanje ali komentarjev na blogu, bo dobro spisana programska koda omogočala sprejem le omejenega nabora ukazov ali informacijskih tipov, kar je idealno za spletno varnost. Vendar te omejitve pri vnosu niso avtomatične. Tudi dobri programerji potrebujejo veliko časa, da spišejo kodo, ki omogoča in zagotovi selektivno prepuščanje zgolj varnih ukazov.

Tu pa tiči glavnina problemov. Koda na vaši strani prihaja izpod prstov programerjev z vseh vetrov. Del kode je verjetno stare. Vaša stran lahko poganja programsko opremo z različnih virov, nakar je stran po navadi nadgrajena in dograjena še s strani vašega spletnega upravljalca.

Temu dodajte še programsko opremo, ki je bila morda kupljena že pred leti in trenutno ni v uporabi. Na spletnih strežnikih se je tako lahko nabralo že več aplikacij, ki niso več v rabi in na katero se nihče v vašem podjetju zaradi nerabe, ne spozna. Tako kodo je često težko najti, običajno je neuporabna, nekoristna in prej ko slej ni bila pokrpana ali nadgrajena že več let. Takšna koda je kot naročena za možnost zlonamernega vdora v vaš sistem!

Znane pomanjkljivosti v spletni varnosti in še neodkrite varnostne luknje

Kot vam je morda znano, obstaja skupina ljudi, ki so poznani kot hekerji. Med njimi obstajajo velike razlike, še posebno na ravni njihove kompetentnosti. V bistvu jih je večina zgolj posnemovalcev drugih. Na določenih forumih si preberejo kaj na temo dobro POZNANIH spletnih slabosti, ki jo je zasnoval nekdo drug in ta postopek uporabijo, da vdrejo na stran, ki se jim zdi zanimiva, pogosto je njihov edini motiv, da vidijo, če to zmorejo. Seveda če na stran uspešno vdrejo, bodo izrabili to pomanjkljivost da stran pohabijo, kaj podtaknejo ali pa morda celo kaj ukradejo.

Na svetu obstaja pa zgolj peščica hekerjev, ki so dejansko sposobni odkriti nov način spletnih vdorov. Glede na to, da je na svetu več deset tisoč programerjev, ki dnevno pomagajo dvigati nivo spletne varnosti, je odkrivanje novih ranljivosti težaško in zahtevno delo. Na stotine, večkrat tudi tisoče ur je treba običajno vložiti, da znaš izrabiti novo varnostno pomanjkljivost. V nekaj primerih se tovrstnega načrtovanja lotijo posamezniki, vse pogosteje pa večje skupine, ki jih financira organizirano kriminalno podzemlje. Le ti si seveda želijo čimprej povrniti svojo investicijo in še zaslužiti po vrhu, zato se običajno osredotočajo na večja, donosnejša podjetja ali državne organe z zaupnimi podatki, za katere lahko iztržijo visoko ceno.

Kot protiutež tovrstnim, organiziranim napadom obstaja na stotine spletnih varnostnih entitet. Te javne in zasebne skupine redno spremljajo razvoj na področju varnosti in ažurno objavljajo informacije o novo odkritih pomanjkljivostih, zato da se lahko ob pravem času sproži alarm in razvijejo popravki, ki zakrpajo dotične ranljivosti.
Rezultat izida tovrstnih spletnih vojn, je da vsakršni vdori hitro postanejo znani, se pravi s z odkritim »protistrupom« in so kmalu dokumentirani v detajle. Običajno imamo tako na tisoče (da ne rečemo deset tisoče) znanih spletnih pomanjkljivosti in res zelo, zelo malo neznanih, novih ranljivosti. Poleg tega so ti neznani napadi visoko specifični in usmerjeni predvsem proti res visoko donosnimi ali kako drugače markantnimi stranmi.

Najvišja stopnja tveganja spletne varnosti: Znani ali nepoznani napadi?

Vaša spletna stran ima tisočkrat večjo možnost da bo napadena preko znane ranljivosti kot pa preko neznane. Razlog za to tiči v dejstvu, da obstaja veliko znanih napadov na ranljivosti v spletu in kompleksnost strežnikov in sodobnih spletnih programskih gradnikov ne omogoča več, da bi lahko zakrpali vse varnostne luknje in se zaščitili pred vsakim znanim napadom.

Število spletnih strani širom sveta je nadvse veliko in število novih, do sedaj še ne videnih in ne dokumentiranih spletnih zlorab je tako majhno, da so vaše možnosti, da bili napadeni z enim izmed teh napadov, skorajda zanemarljivo majhne.

Če ravno ne privlačite pozornosti nadvse usmerjene, znatno financirane in dobro organizirane skupine spletnih hekerjev, je vaša primarna skrb, da izničite vaše ZNANE pomanjkljivosti, zato da nebi nekdo že ob površnem pregledu vaše strani našel enostavne in nepooblaščene vstopne točke do vaše strani.

Obrambna strategija spletne varnosti

Obstajata dve možnosti zagotovitve odlične varnosti. Po eni strani lahko že od samega začetka dodelite vsa potrebna sredstva za ohranjanje konstantnega opozarjanja na nove varnostne pomanjkljivosti. Zagotovite lahko, da so vsi popravki in nadgradnje izvedeni takoj za vso programje, ki je trenutno v rabi. Ocenite lahko stopnjo varnostnega tveganja, omogočite lahko, da dela na vaših straneh izvajajo samo v varnostnih aspektih podkovani programerji. Postavite lahko tudi tesno zaprt požarni zid, namestite ustrezno protivirusno zaščito in investirate v IPS/IDS sistem.

Vaša druga možnost: Uporabite enega izmed spletnih pregledovalnikov, ki testira vašo obstoječo opremo, aplikacije in kodo spletne strani, da se preveri, če pri vas obstaja možnost za izmed ZNANIH oblik napada. Četudi so požarni zidovi, protivirusno programje in IPS/IDS sistem vsekakor pomembni pa je po kmečki pameti dobro zakleniti tudi glavna vrata. Veliko bolj efektivno je namreč popraviti in zakrpati pol ducata dejanskih ranljivosti, kot jih vzeti vnemar in se truditi zgraditi čedalje višje zidove okoli njih. Nadzor nad mrežnim prometom in skeniranje s pomočjo spletnega iskalca lukenj je prav gotovo najbolj efektivna investicija v varnost vašega spletnega mesta.

Če bi se morali odločiti le za eno izmed obeh poti do spletne varnosti, se pravi vestne gradnje zidov, investicij v infrastrukturo ali za testiranje pomanjkljivosti, praksa kaže, da je testiranje na pomanjkljivosti, glede na isto raven finančne investicije učinkovitejše. Dokaz je veliko število dobro zaščitenih spletnih strani, ki so napadene vsak mesec, za razliko od nižjega števila napadov na dobro preventivno skeniranih strani. Mi s svojim produktom spletna varnost, zagotavljamo visoke standarde varnosti.

Objavi komentar

Naslov

ISOMEDIA
Zgornji Prhovec 12a
1411 Izlake
Tel: 040 624 752
Splet: http://www.isomedia.si
Email: kontakt@isomedia.si