Több biztonsági cég is arra lett figyelmes, hogy egyre több az olyan károkozó, amely nem közvetlenül a felhasználókat, hanem a weboldalakat támadja.
Ez azért is lehetséges, mert mi, akik a weboldalakat üzemeltetjük, gyakran hisszük azt, hogy ha minden biztonsági beállítást elvégeztünk, akkor nyugodtak lehetünk.
Pedig dehogy!
Egyrészt feltörhetetlen rendszer nincs.
Soha nem az a kérdés, hogy feltörnek-e egy weboldalt, hanem az, hogy mikor, és hogyan.
Ha cseppet sem ügyelünk a biztonságra, vagy nem értünk hozzá, akkor hamar, és könnyedén. Ha igyekszünk mindenre odafigyelni, akkor soká, és nehezen.
De meg fog történni.
Ennek többek között az is az oka, hogy a feltört szerverek zöme úgynevezett botnet hálózat tagja, és a behatoló a háttérben a szerver erőforrásait arra használja, hogy más, nagyobb haszonnal kecsegtető helyre jusson be.
Ezt a következő példán keresztül lehet megérteni:
Van pl. egy olyan rendszer, ahová XY Béla be akar törni, de a rendszert jól védik, és ahhoz, hogy rést tudjon ütni a pajzson, nagyon sok erőforrásra lenne szüksége. Sokkal nagyobb internetes sávszélességre és processzor erőforrásra, mint amivel ő rendelkezni képes. Ahhoz, hogy ezt megszerezze, olyan helyekre hatol be, amelyek kevés erőforrással, könnyen feltörhetők. Ezeken a helyeken a számára nincs fontos információ, mert neki a gép erőforrásai kellenek, nem az adatai. A több ilyen feltört gép rendelkezésre álló számítási teljesítménye és hálózati sávszélessége immár összeadódik, és minél több ilyen gépet tud Béla hadrendbe állítani, annál közelebb kerül az áhított céljához: bejutni a nagy helyre.
És sikerülni is fog neki. Ezért is fontos, hogy azokat a szervereket is védjük, ahol nem találhatóak kiemelkedően fontos információk.
Különösen annak fényében érdemes elgondolkodni ezen, hogy kis hazánkban (is) egyre többen szolgáltatnak internetes tárhelyet, csillivilli adminfelülettel, amin a T felhasználó kénye-kedve szerint beállíthat mindenféle földi jót a saját weblap üzemeltetéséhez.
Tudni kell ezen oldalak zömének a hátterét:
Azért a csillivilli adminfelület, mert az üzemeltető nem tud, és nem is akar foglalkozni a beállításokkal, vagy ideje, vagy szakértelme nincs hozzá (vagy egyik sem). Csupán befektetésnek tekinti a dolgot, ügyes srácokkal beállíttat magának egy gépet valami szolgáltató szervertermébe, aztán majd jönnek az ügyfelek, és dől a pénz - sok kicsi sokra megy alapon.
A szerverek biztonsági beállításai olyanok amilyenek, az azon futó szoftverek többségében nem napra készek, a gyártó által már rég kijavított biztonsági hibák évekig megtalálhatóak a rendszereken.
És, hogy így Karácsony előtt elkeserítsem a kedves olvasót: a webáruházak zöme is ilyen helyen található. Attól ugyan nem kell tartani, hogy a kártyás vásárlás esetén ellopják pénzünket, mert az a bankok sokkal biztonságosabb felületén keresztül történik, viszont attól igen, hogy hozzá férnek a személyes adatainkhoz.
Kérdezhetné az egyszeri olvasó, hogy: és, akkor mi van?
Röviden: baj.
Bővebben: ha az email címünk, a nevünk, lakcímünk és esetleg az oldalra való belépéshez szükséges jelszavunk is a behatoló kezébe kerül, akkor nagyon nagy a baj.
Az emberek zöme ugyanis ugyanazt az email címet használja sok helyre a regisztrációhoz, és sok esetben ugyanazt a jelszót is. Ha pedig az adott email cím egy webes, ingyenes levelezőrendszer része (GMail, Freemail, CitroMail, stb.), akkor a tolvaj beléphet a postafiókunkba, és ezen keresztül olyan helyekre is, ahol más jelszót használunk, mert pl. a weboldalak elfelejtett jelszó szolgáltatása emailben küld nekünk új jelszót, vagy olyan linket, amin keresztül megváltoztathatjuk a jelszavunkat.
Honnan tudhatjuk, hogy egy tartalomszolgáltató biztonságos felületet ad?
Meg kell kérdeznünk, hogy milyen környezetben fog futni a weboldalunk. Mi a webkiszolgáló alkalmazás, a webscripting, az adatbázis neve, típusa, verziószáma, milyen operációs rendszeren futnak a szolgáltatások (a verziószám itt is fontos), és hogy milyen szolgáltatásokat ad az ügyfeleknek. Nem utolsó sorban, meneküljünk az olcsó szolgáltatásoktól. Mérjük fel, hogy mennyit ér nekünk az, ha a weboldalunk biztonsága magas, és aszerint válasszunk.
Ha csak évi párezer forintot szánunk rá, inkább ne is legyen weboldalunk.
Nézzünk néhány példát, miről állapíthatjuk meg, hogy egy szolgáltató frissíti-e a rendszerét, és megfelelő biztonságot képes nyújtani:
Webkiszolgáló
Apache 1-es verzió ősrégi. A 2.4-es csomagból a 2.4.7-es, a 2.2-es csomagból a 2.2.26-os a legújabb. A legfrissebbet sehol nem használják (erre is megvan a magyarázat), de 5-6 alverzióval korábbi már megfelelő védelmet nyújt.
Scripting motor
A PHP esetén más a helyzet, ott nagyobb eltérések is lehetnek. Az 5.3.10-es verziótól felfelé már nem kell komoly veszélyektől tartanunk.
SQL szerver
Az 5.5.30 fölötti verziók megléte azt jelenti, hogy a rendszert rendszeresen frissítik.
Operációs rendszer
Többnyire Linuxokon üzemeltetnek, és azokból nagyon sok féle létezik. Az biztos, hogy pl. Ubuntu esetén a 12.04-es hosszú támogatású, ami azt jelenti, hogy a gyártó 2017-ig fog hozzá frissítéseket kiadni, de ez csak akkor ér valamit, ha az üzemeltető él is a lehetőséggel. A legfrissebb verzió a 13.10-es, viszont a 12.10 és kis túlzással, de a 13.04 is már elavultnak számít!
Szolgáltatások
Ha a tárhelyszolgáltató tud adni HTTPS-t, esetleg ez alatt még webdav-ot is a fájljaink feltöltéséhez, az mindenképpen megnyugtató. Ha van adminfelület, de az csak HTTPS alatt érhető el, az is pozitív hozzáállásról tanúskodik - feltéve, ha ezek nem önaláírt, hanem harmadik fél által hitelesített tanúsítványokkal védettek, amelyekre nem panaszkodik egyetlen böngésző sem.
Ellenben, ha a HTTPS lehetősége egyáltalán nincs meg, vagy a fájljainkat FTP-n, titkosítás nélkül tudjuk csak feltölteni, esetleg még az adminfelület sem nyújt semmilyen védelmet, akkor készüljünk fel arra, hogy előbb-utóbb egy behatoló megszerezheti a hozzáférésünket az oldalhoz, és vagy ellopja és felhasználja mindazt, amit ott talál, vagy a szerver erőforrásait illegális célra fogja használni.