Hlavní navigace

Hackerské útoky se nestávají jen ve filmech. Nepodceňujte bezpečnost webu

Jana Langerová

Webové stránky má téměř každá firma nebo podnikatel, ale mnozí z nich si neuvědomují, jak je důležitá jejich bezpečnost. Nedělejte chyby a dbejte na údržbu.

Doba čtení: 6 minut

Sdílet

Majitelé a výrobci stránek si musí připustit, že i jim se může stát, že jim mohou uniknout data nebo dojít k nějakému útoku. Jen tak začnou budovat ochranu včas a budou lépe reagovat na hlášení případných úniků a bezpečnostních chyb.

Škody nejsou jen finanční

Dopadů špatného zabezpečení může být celá řada, a to od toho, že vám web někdo mnohokrát „shodí“ DoS útokem, přes falešné prezentace skryté pod tou vaší (často používaná metoda pro ukrytí Darknetových e-shopů) až po krádež vašich firemních dat nebo osobních údajů vašich zákazníků. Zrovna ochranu osobních údajů doporučuji nepodceňovat – i bez ohledu na možné pokuty prostě nechcete, aby zrovna z vašeho webu unikl seznam zákazníků s čísly jejich kreditních karet, dodává Petr Stinka, jednatel společnosti Adineo

Může dojít také k úniku uživatelských hesel, což je nebezpečné vzhledem k tomu, že uživatelé často používají jedno heslo na více místech. Útočníci tak mohou uniklá hesla z jednoho webu použít pro přihlášení k jiným službám a e-shopům nebo e-mailovým schránkám. Pokud vám uniknou nějaká špatně uložená hesla, tak můžete pěkně zatopit konkurenci, ale když uniknou hesla vaší konkurenci…, doplňuje Michal Špaček, vývojář a školitel bezpečnosti a vývoje bezpečných webů. Ten zároveň důrazně doporučuje přestat mít jen jedno heslo a používat správce hesel.  

Také se může stát, že hacker pronikne do správcovského rozhraní webových stránek. Tam může v závislosti na povaze webu způsobit různé škody, například upravovat nebo mazat objednávky v případě e-shopů, měnit obsah stránek, získat přihlašovací údaje jiných uživatelů nebo také proniknout do vnitřní sítě společnosti. Všechny tyto důsledky špatného zabezpečení webových stránek mohou kromě finančních škod způsobit také poškození dobrého jména společnosti a tím ztrátu důvěry zákazníků, upozorňuje Marek Plevný, Technical security specialist z firmy MENZO.

Pokutám spojeným s osobními údaji jsme se věnovali v článku Mohou pokuty za porušení GDPR ohrozit vaši firmu?

Časté chyby

Webové stránky jsou provozovány na tzv. Content Management Systému (CMS), který umožňuje přístup k obsahu, jeho změny, vyhledávání apod. Pro většinu webových stránek se dnes používají tzv. otevřené CMS systémy – nejznámější jsou WordPress, Joomla, Drupal. Tyto systémy mají spoustu výhod – zrychlí (a zlevní) tvorbu webové prezentace, existují k nim moduly pro rozšiřování webu (např. e-shop, blog atd.) nebo vám nabídnou šablony webových prezentací, vysvětluje Petr Stinka. Tyto otevřené systémy jsou hodně oblíbené a tím pádem jsou také oblíbeným cílem hackerů. Pokud nějaký hacker zjistí chybu v takovém systému a začne ji zneužívat pro útoky, výrobce CMS naprogramuje opravu a uveřejní aktualizaci. Co je v tomto případě potřeba nepodcenit, je pravidelná instalace těchto bezpečnostních aktualizací, protože ty efektivně chrání web proti napadení, dodává dále. 

Společnost Nethemba se věnuje etickému hackování a hledání bezpečností zranitelnosti ve webových aplikacích. Její zaměstnanec Pavol Lupták popisuje, že z jejich zkušeností vyplývá, že nejčastějšími chybami jsou různé „injection“ zranitelnosti, různé chyby v byznys logice aplikace a v případě chyb webového serveru jde hlavně o různé problémy s SSL/TLS konfigurací. Podle Marka Plevného jde pak kromě výše popsané neaktualizované verze redakčních systémů o slabá heslo na uživatelských účtech s vyššími právy a špatně ošetřené vstupy na formulářích umožňující útoky typu Cross-Site Scripting či SQL Injection.

Nejdůležitější jsou aktualizace

Webová prezentace potřebuje údržbu, protože kybernetické prostředí se neustále mění a denně se objevují nové hrozby, na které musí váš web reagovat. Jedním z nejdůležitějších věcí je právě aktualizace CMS systémů, a to ideálně ihned po vydání nové verze. Zvlášť pokud obsahuje opravy bezpečnostních chyb. Ne, vážně nestačí počkat na příští týden, někdy i 15 hodin po vydání opravy vážné chyby může váš web být automaticky napaden. Je proto dobré sledovat vývojáře daných systémů, opravy podobně závažných chyb oznamují předem, aby se na ně provozovatelé mohli včas připravit, radí Michal Špaček. Kromě toho je vhodná také pravidelná aktualizace operačního systému a webového serveru a jeho modulů. 

Marek Plevný doporučuje také pravidelně kontrolovat a vyhodnocovat záznamy o aktivitách (logy). Ty vás mohou upozornit na možné útoky hackerů, například pokud se někdo neustále snaží přihlásit na neexistující uživatele či se špatnými hesly. Tyto logy mohou být dostupné v rámci samotných redakčních systémů nebo na samotných serverech, pokud si webové stránky hostujete sami v rámci firmy. 

Hesla jsou důležitá také na mobilních zařízeních, jak jsme psali v článku Používáte mobilní zařízení k práci? A máte je správně zabezpečené?

Mezi další důležitou složku ochrany webu patří nastavení přístupů – je vhodné mít nastavené účty pro jednotlivé role, které s webem pracují, a ty mají mít přidělená nejnižší potřebná práva. Například pracovník marketingu potřebuje upravovat obsah prezentace, ale rozhodně nemusí být admin webu, uvádí na příkladu Petr Stinka. S tím souvisí také heslová politika v podobě používání silných hesel, případně certifikátů nebo klíčů. Dvojfaktorová autentizace (využitím OTP – one time password) je v dnešní době standard, protože SMS zprávám se nedá vůbec věřit, dodává Pavol Lupták.

Jestliže máte podezření, že vaše webové stránky nejsou plně zabezpečené, nebo pokud se jen chcete ujistit o jejich bezpečnosti, můžete se obrátit na společnosti provádějící tzv. penetrační testování. Pomocí něj se na webových stránkách hledají zranitelnosti, kterých by mohli hackeři využít k napadení webových stránek, popisuje Marek Plevný. Penetrační testy se dají kombinovat s takzvanými bug bounty programy – ty se vkládají na web a jednotlivci díky nim mohou získat odměnu za nahlášení zjištěných bezpečnostních zranitelností. Do jisté míry si mohou nastavení bezpečnosti prověřit lidé i sami, a to pomocí nástrojů jako Observatory, Security Headers nebo SSL Server Test. Tyto nástroje projdou veřejně dostupné nastavení stránek a ty pak dostanou známku jako ve škole – A je nejlepší, F potom značí „fail“, nejhorší možnost, popisuje Michal Špaček.

Web od externí firmy? I tu si pohlídejte

I v případě, že tvorbu webu zadáváte externí firmě, trvejte podle Marka Plevného na aktuálních verzích redakčních systémů, skriptovacích jazyků (PHP, Javascript, a jiné), databází (MySQL, MS SQL, PostgreSQL, a jiné), a pokud je to možné, tak i na aktuální verzi serverového softwaru hostujícího dané webové stránky (Apache, Nginx, IIS, a další). Dále je důležité, aby si zadavatel opravdu vyhradil čas, který je potřeba věnovat tvorbě webu z jeho strany. Často se využívá tzv. agilní způsob vývoje, který vyžaduje zapojení zadavatele v průběhu a umožňuje tak postupné ladění prezentace podle jeho potřeb. Je to časově i finančně náročnější způsob tvorby prezentace, ale má pro zadavatele skvělé výsledky a osobně bych jiný nevolil, radí Petr Stinka.

O outsourcingu najdete více v článku Jaké jsou pro podnikatele výhody a nevýhody outsourcingu? Tady je přehled

PR Summit tip Ondracek

Ten dále doporučuje věnovat se referencím uvažovaného dodavatele a následně si ohlídat smluvní podmínky. Podle Pavola Luptáka je ideální situace taková, kdy vývojářská firma nese finanční zodpovědnost za všechny kritické zranitelnosti na webu, který vytvoří. Ta na takovou smlouvu však ne vždy přistoupí. Pak je vhodné od dodavatele zjistit, jaké používá „best security practices nebo bezpečnostní metodologii při tvorbě webových aplikací. Pokud používá vlastní CMS framework, tak zda ho pravidelně testuje hloubkovými bezpečnostními audity, vykonává penetrační testy a podobně, dodává.

Michal Špaček se při hlášení závažných bezpečnostních chyb setkává s tím, že nejtěžší je najít místo nebo osobu, které problém nahlásit. Ta musí být dostatečně osvícená, aby zprávu nezahodila jako spam a musí pochopit závažnost situace a umět navrhnout řešení. Jednoduše řečeno, většinou takové důvěrné informace nechci posílat na adresu info@ nebo na zákaznickou podporu. Jedna z možností je použít soubor se speciálním názvem na speciální předvídatelné adrese. Takovým souborem je security.txt, popisuje závěrem.