Bezpečnost firemních prezentací v ČR II. - Zásady bezpečné správy webu pro malé a střední firmy

Minulá část našeho miniseriálu, byla věnována spíše obecným principům zajištění bezpečnosti firemních prezentací. Dnešní díl se zaměřuje na konkrétní zásady podporující bezpečnost firemní prezentace. Následující rozhovor s ing. Pavlíkem snad pomůže zodpovědět některé otázky z této problematiky.

Věřím proto, že tyto řádky budou, alespoň trochu, nápomocny uživatelům a firmám v úsilí vybudovat vlastní, co možná nejbezpečnější, internetovou prezentaci.

e-komerce.cz: Zásady bezpečné správy webových stránek, to je přece jen široká problematika. Určitě by stálo za to ji více rozčlenit.

Pavlík: Jedna věc se týká správnosti dynamických aplikací, jejich rozvržení, a druhá jedná o problematice bezpečnostních práv. Všeobecně by mělo platit, že účet, pod kterým klient na web přichází, by měl mít omezená práva. Nejlépe jen právo “read”. Dále je nezbytně důležité, aby správce webu prováděl neustálou kontrolu přístupů na stránky v logovacích souborech, kde může mnohé odhalit. Někdy je nutný i případný audit nebo monitoring podezřelého místa a omezení nebo úplná blokace IP adres či celých masek sítí. Tolik snad o politice práv. Pak je tady problematika programování a chyb sytémů.

e-komerce.cz: Programováním myslíte tvorbu dynamických aplikací na webu?

Pavlík: Ano. Webmaster by měl mít vyhrazen adresář pro spouštění dynamických stránek, které např. mohou manipulovat s diskovým prostorem, mohou používat systémové prostředky atd. Webmaster se také musí starat o to, aby maximálně omezil riziko nestandardních přístupů do těchto adresářů. Případné ovládnutí takovýchto dynamických stránek cizí osobou znamená odevzdání serveru napospas všem hackerovým choutkám. Samozřejmě webmaster by měl sledoval dění okolo produktu, který využívá. V okamžiku, kdy zaspí a neošetří systém opravným patchem nebo service packem apod., stává se to osudným. Pro jednoho člověka je to velmi náročné, proto pokud chce vstoupit nějaká společnost do e-komerce, tak by to mělo být již záležitosti teamu.

e-komerce.cz: Fajn. Pro jednoho člověka je to vážně práce až nad hlavu. Čtenáře by určitě zajímali jaké jsou nejčastější druhy poškození webu?

Pavlík: Poškození webu lze hrubě rozdělit na tři nejčastější způsoby. První je obsahový, kdy hacker poškodí obsah webu a zanechá zde svou značku. Značka má ve většině případů daný web zesměšnit nebo parodovat. Tímto druhem útoku si vlastně hackeři vytvářejí jakousi reklamu, dávají veřejnosti na vědomí svoji existenci.

V druhém způsobu jde již o samotná data na serveru. Nejsou to statické obsahy stránek, ale jsou to např. vnitřní datové struktury, databáze, logy, statistiky apod. Na základě těchto zmanipulovaných dat může dotyčný správce činit byť s dobrými úmysly opravdové hrubé chyby. Většinou si tak hacker vytváří živnou půdu pro dlouhodobé ovlivňování serveru. Třetí skupina je systémové napadnutí serveru. V tomto případě se snaží hacker změnit server na svého otroka. Hacker se prolomí do prostředků nutných pro správný chod systému, což mívá fatální následky. V každém případě by měl mít správce připravený scénář “co dělat když”.

e-komerce.cz: Dá se tedy říci, že každý hacker má svůj styl práce. Můžete přiblížit, jakým způsobem se tyto útoky provádějí?

Pavlík: Je téměř nemožné postihnout vynalézavost, zákeřnost a eleganci všech druhů napadení. Na jejich rozmanitost lze uplatnit podobnost z nemocí útočící na imunitní systém člověka. Hacker většinou používá několik způsobů najednou, ale snad nejtěžší úkol pro hackera je zamést po sobě stopy - nejenže tak správci znesnadní zjistit výčet operací, které vykonal, ale i případnou identifikaci útočíci IP adresy. Dokonalé zmatení stopy vedoucí k hackerovi je vizitkou jeho schopností. Jsou známy případy, kdy na sebe vzájemně útočily servery jako ve válce, kterou hacker s úsměvem odstartoval z “nějakého” místa na zemi. Velice populární byl případ násilného zatížení serveru útokem tisíce současně přistupujících počítačů. Pro hackera to samozřejmě představuje velmi náročnou práci. Výčet způsobů útoků však opravdu převyšuje rámec tohoto rozhovoru.

e-komerce.cz: Dobrá, pak by určitě stálo za to uvést, který se jmenovaných druhů útoků je v současnosti u hackerské komunity nejoblíbenější.

Pavlík: Domnívám se, že v současnosti je to asi změna obsahu. Důvodem je většinou fakt, že když někdo “shodí” server, návštěvník, čtenář si řekne “hmm ono to dnes nejede” a jde jinam. V případě změny obsahu vidí práci hackera, jako jeho vizitku. Průlomy do systému jsou používané méně často, protože vyžadují nejvíce práce.

e-komerce.cz: Často diskutovaným tématem je situace okolo bezpečností internetových prohlížečů. Co k tomu dodat?

Pavlík: Použitím internetového prohlížeče se vždy vystavujete riziku, že dáváte nějakým způsobem svůj počítač k dipozici. Bezpečnostním pravidlem by měla být zásada – neinstalovat žádné produkty do prohlížeče, které nemají spolehlivý zdroj a neskýtají záruku. Jakýkoli program, který spustíte v rámci prohlížeče znamená riziko, zvláště necertifikované prvky ActiveX. Mnohé jde omezit přímo v nastavení prohlížeče. Stanete-li se však pedanty, kteří zakazují vše “nenormální”, upadnete do opravdové schizofrenie. Skripty, Dhtml, ActiveX, Java a různorodé plug-iny dodávají stránkám tu správnou šťávu a dnes si bez nich ani svět webu nedokážu představit.

e-komerce.cz: Dnešní podoba webu je hlavně interaktivní prezentací. Pokud tedy zakážu tyto věci, musím zákonitě ztratit největší lákadlo na webu - jeho interaktivitu.

Pavlík: Ano, ale máte menší pravděpodobnost, že se někdo dostane do vašeho počítače. Jestli máte o svoje data opravdu strach, nemějte je na stanici, která přistupuje do internetu. Jinak zde platí: kdo se bojí nesmí do lesa.

e-komerce.cz: Jedním z nejčastěji zmiňovaných témat v oblasti bezpečnosti jsou rozdíly z hlediska bezpečnosti mezi samotnými prohlížeči. Můžete prozradit Váš názor?

Pavlík: Domnívám se, že ať je to IE či Netscape nebo ostatní méně používané prohlížeče, dochází zde k pravidelnému odhalování nebezpečných děr. Uživatel nebo správce jeho počítače by tak měl sledovat dění okolo produktu a dohlížet na opravy nebo nové verze. Obecně lze říci, že bezpečnost je také závislá na síti, kde je dotyčný počítač provozován. Rozhodně není na škodu, pokud bude konkrétní systém kvalitně zabezpečený ať už firewallem nebo aspoň proxy serverem. Tím jsem chtěl jen říci, že pro bezpečný přístup do internetu neexistuje vhodný klient, ale vhodný firewall popř. proxy server.

e-komerce.cz: Jak je to v případě firem?

Pavlík: Kvalitní zabezpečení serveru je nezbytností v případě firem podnikajících na internetu. Ty se totiž vystavují konkurenci a vždy zde bude existovat riziko zneužití nebo proniknutí.

e-komerce.cz: A v případě obyčejných uživatelů?

Pavlík:Ty by měl přikrýt provider zajišťující jejich připojení. Většinou to bývá tak, že tito mají nainstalované své firewally, minimálně proxy. Zde by měl asi začít fungovat tržní mechanismus, který zajistí, aby obstáli v budoucnu jen ti nejlepší. Uvidíme.
Autor: Karel Baláš
Datum: 10. listopadu 2000