Jako hostingová společnost s více jak 5 000 virtuálními servery a takřka 35 000 webhostingy se s bezpečnostními hrozbami potýkáme prakticky pořád. Naše zákaznická i techniká podpora řeší každý den desítky problémů našich zákazníků, kteří podcenili bezpečnostní rizika. Co jsou nejčastější příčiny? K čemu jsou nejvíce využívány napadené služby? Jak bránit svá data online i offline?
(Tento text je partnerským příspěvkem.)
Základem webhostingu je dobře připravený systém. Ten náš, na který jsme patřičně hrdí, byl vybudován na více jak 15 letech zkušeností. Už od základu byl navržen tak, aby byla většina bezpečnostních hrozeb minimalizována. Důraz byl kladen zvláště na prevenci. Když děláte něco tak velkého jako je webhosting, nemůžete se spokojit s improvizací, nedokonalostmi anebo se přizpůsobit stávajícím řešením. Je nutné vše upravit a v případě, že nějaká služba toto neumožňuje, tak si vybrat jinou, či vytvořit vlastní. Díky tomu jsme za 32 měsíců našeho provozu neměli žádný bezpečnostní incident, i když nejen z logů vidíme, jak to každý den někdo zkouší.
Ovšem nehodláme do budoucna nic podcenit. Připravujeme několik výzev pro firmy zabývající se bezpečností a hackery na volné noze, kteří pokud je pokoří a pomohou nám odstranit problém, získají nehynoucí slávu a finanční odměnu.
Převážná část zavirovaných stránek jsou masově používané redakční systémy - CMS. Přitom jednoduchou a nejúčinnější obranou je pravidelná aktualizace. To platí nejen o samotném CMS, ale i různých doplňcích, které si k němu zákazníci instalují. Spousta lidí používá zrovna ty, které už jejich tvůrci nevyvíjí a neopravují bezpečnostní chyby.
Dalším oblíbeným nešvárem je stahování doplňků z různých neoficiálních stránek. Lákadlem je dobře vypadající „vylepšená verze“ ovšem často se zadními vrátky.
Poslední rok se také šíří trend zpoplatňovat doplňky formou prémiových služeb. Lidé, kteří chtějí ušetřit, si tak často stáhnou doplněk se škodlivým kódem z nějakého warez webu.
Jen pro zajímavost: Většinu bezpečnostních chyb v známých CMS zneužívají roboti k tomu naprogramovaní. Ti prochází doslova internet a hledají neaktualizované verze.
Nějčastěji dochází ke zcizení hesla k FTP prostřednictvím virů, které si je dokáží vytáhnout z oblíbených FTP klientů, jako je například Total Commander či FileZilla. Nejjednoduší je si do nich hesla neukládat. Ovšem trendem dnešních dnů jsou i viry, které prochází emailové zprávy uložené v poštovním klientovi přímo u zákazníka v počítači. Hledají v nich specifické řetězce či odesílatele. Schválně kolik z vás si z Outlooku či Thunderbirdu smazalo email s vygenerovaným heslem k FTP?
Právě zkušenosti našich zákazníků nás vedli k myšlence zavést zablokování a povolení FTP přístupu z administrace v zákaznickém rozhraní WEDOS. Je to jednoduchý úkon, který vám může ušetřit spoustu starostí a hodně zákazníků jej i využívá.
Samotné viry pak zákazník nejčastěji chytne ze zavirovaného emailu. Pak jsou to statisticky internetové stránky s falešným antivirem, dále neaktualizovaný Adobe acrobat reader a Java.
A co se děje s napadanými servery a webhostingy, jakmile k nim získá útočník přístup? Nejčastěji z nich odchází ven phishingové emaily, na druhém místě je to pak klasický spam. Třetí místo u nás mají DoS útoky.
Tento trend trvá více méně už řadu let, proto jsme také při návrhu webhostingu zvolili omezení 500 odeslaných emailů na den. Za 32 měsíců provozu na tento limit většina zákazníků nikdy nedosála. Ti, kteří potřebují posílat větší množství, si buď emaily rozloží na více dní, anebo po dohodě jim limit můžeme navýšit. Samozřejmě nás musí ujistit, že mají vše patřičně zabezpečené. Víme, že to je pro těch několik procent lidí nepříjemné, ale díky tomuto limitu mail servery WEDOS nekončí v různých black listech.
V momentě kdy je napadený webhosting, řešíme to zakázáním PHP funkce mail. U VPS je situace složitější. Snažíme se vše urychleně řešit s majitelem, ovšem v momentě kdy ven proudí miliony emailů, je nutné sáhnout v krajním případě i k odpojení. O všem je samozřejmě zákazník informován emailem, popřípadě SMS.
Po emailech jsou to pak s velkým odstupem DoS útoky. Ty ovšem nenapáchají oproti emailům takové škody. Můžeme zasáhnout rychle a vše se vyřeší během pár minut.
WEDOS je známý hlášením pravidelných DDoS útoků, které na nás cílí. Spousta lidí se nás ptá, jak takový DDoS útok vlastně probíhá. Lidé si představují naše techniky jak sedí u počítačů vedle velké interaktivní mapy světa s říkají: „Detekován útok zřejmě z Ruska! Síla 2 Gigabity za vteřinu a roste! Pokuste se jej lépe zaměřit. Snažím se, ale je přesměrován přes několik proxy serverů. Přesměruj všechnu energii do obranného firewallu! Snažím se, jsme na 50%! Počkat ... zdroj útoku zaměřen. Připravují se k protiútoku...“
Takhle to ve skutečnosti ani zdaleka není. Vlastně je to nudná záležitost. V kancelářích máme velký monitor, kde se vypisují problémy, včetně přetížení jednotlivých tras a úseků, routerů, prostě taková tabule s chybovými hlášeními. DDoS útoky začínají jako oranžové hlášení a většina i tak skončí. Jen výjimečně se zobrazují červené. Kapacita jednotlivých tras to v pohodě utáhne. Uvnitř datacentra máme zase 1Gigabitové propojení mezi routery. Technik se podíva, co se děje a zareaguje podle situace. Většinou jde jen o DoS útok cílený na jednu IP adresu, přes nějaký port. Technik zakáže port a tím to končí. Když se jedná o rozsáhlejší DDoS útok a cílem je nějaká kritická část infrastruktury, postupuje většinou postupným vypínáním útočících IP adres. Takže si jej představte nad počítačem jak myší ukazuje na tabulku IP adres a postupně je klikem zabíjí. Opravdu nic zábavného natož adrenalinového.
Bezpečnost dat na internetu je jedna věc. Ovšem spousta lidí si neuvědomuje, že hrozby číhají i pro data mimo něj. Často se na vašem serveru nachází informace, o které by mohla mít zájem konkurence anebo dokonce nějaký podvratný živel. Osobní informace, čísla kreditních karet, přístupová hesla, marketingová data, dokonce i celé účetnictví se často nachází na serverech. Provozovatel webhostingu je musí chránit nejen online ale i offline.
Například u nás dostáváme 3 – 5 oficiálních žádostí ohledně webů přes datovou schránku za týden. To nejsou takové ty naštvané výhrůžky soudem emailem, kde se autor odvolává na velké zvíře v rodině. Ty dostáváme samozřejmě také, ovšem co nejde oficiální cestou jako by nebylo. V tomto ohledu musíme postupovat samozřejmě podle zákona. Převážná část žádostí se týká provozovatele a jeho aktivit. Výjimečně se setkáváme i s žádosti o vypnutí webu, ovšem zamezení provozu jde spíše přes CZ NIC, který může zablokovat rovnou doménu.
V každém případě si neumíme představit, že bychom zákazníkovi vypnuli web, protože se někomu nelíbí jeho obsah a zaplatil si dopis sepsaný právníkem. Takovéto případy se dějí poměrně často. Ovšem k tomu je třeba soudní rozhodnutí, nikoliv jen papír s kulatým razítkem. Bohužel se u nás najdou „provozovatelé webhostingu“, kteří takovému „nátlaku“ podlehnou. Na druhou stranu WEDOS využívá poradenství známé právní kanceláře BBH, takže jsme si i v složitějších případech celkem jisti. Navíc už jsme si nejednou právní šarvátkou prošli.
Právě otázka bezpečnosti byla jedním z kritérií, proč jsme v našem datacentru upustili od myšlenky serverhousingu. Nechtěli jsme, aby se nám zde motali cizí lidé. Do serverovny tak mají přístup pouze zaměstnanci WEDOS, k samotným serverům jen oprávněný personál. Vše je navíc monitorováno bezpečnostními kamerami, jejichž obsah se ukládá.
Ovšem i tak získání certifikátu ISO 27001 – Bezpečnost dat pro kompletně celý WEDOS nám dalo celkem zabrat. Museli jsme si nechat vypracovat bezpečnostní audit, změnit některá zaběhnutá pravidla a popravdě nejvíce starostí bylo s revizemi naprosto všeho. Každá samostatná elektronika v budově, ať je to UPSka, monitor anebo prodlužovačka, má svou vlastní kartičku se záznamem, kdo jí používá, kdo je správcem, kdo má oprávnění jí používat. Například někdo má přístup do systému ze své pracovní stanice, ale nemá oprávnění používat tiskárnu, aby nedošlo k úniku informaci. Dále jsou například pevně stanovená pravidla jakou formu musí mít firemní hesla a spousta a spousta dalších věcí.
Věříme, že jste se z tohoto reklamního článku dozvěděli něco zajímavého. Na BusinessIT.cz už stejně všichni z vás vědí, že jsme největším provozovatelem webhostingu v České Republice, se super nadupanými ekologickými stroji Fujitsu, značkovými routery, ve vlastním datacentru, které je připojené třemi trasami o rychlosti 10 Gb/s navíc se serverovnou v protileteckém krytu civilní obrany. Takže tentokrát místo reklamy jsme se rozhodli se s vámi podělit o pár zkušeností.
A abychom nezapomněli. Máme pro vás slevový kupón SAFETYFIRST (SLEVA 33%) s platností do 31. května 2013. Platí pro nově registrované webhostingy a VPS.
(Tento text je partnerským příspěvkem.)
Na jedné straně stojí externí útočníci, kteří mají na svědomí mimo jiné rostoucí počet útoků typu DoS a DDoS nebo...