Unatoč svim znanjima, vještinama i naporima bilo koje web hosting tvrtke, sigurnost web servera uvijek je na neki način ugrožena. Razlog tome leži u činjenici da je sigurnost zajednički posao u kojem sudjeluju vlasnik korisničkog računa, web hosting tvrtka koja omogućuje prostor na serveru kao i datacentar u kojem se serveri nalaze.
Ovu podjelu možemo isključiti jedino ako “hostate” na svojem serveru koji je u vašem uredu ili vašem datacentru, no to je iznimna rijetkost. U svakom drugom slučaju, uz sav napor webmastera i neovisno o tome koju količinu kontrole imate pojedini elementi sigurnosti moraju biti povjereni trećim stranama.
Kako je u praksi najveći broj onih korisnika koji se nalaze na shared hosting serverima i kako većina hosting tvrtki kod nas nema vlastiti datacentar, takvo hosting okruženje ima osam osnovnih slojeva sigurnosti. Kako bi vama, kao korisniku, rad bio lakši i bezbolniji bitno je da razumijete na koje od ovih slojeva/razina možete utjecati i koje su vaše odgovornosti.
Osnovna sigurnost počinje fizičkom sigurnošću. Ako zlonamjerna neovlaštena osoba ima fizički pristup do servera na kojem se nalaze vaš stranice, ista može napraviti praktički što god poželi. Može jednostavno izvući mrežni kabel, može kopirati vaše podatke ili ih jednostavno može uništiti. Ovo i jeste jedan od najvećih razloga zašto ozbiljni datacentri fizičku sigurnost smatraju jako važnom i ključnom u uslugama koje nude.
Odgovornost: Ovaj nivo sigurnosti leži na leđima samog datacentra u kojem se nalaze serveri i jako rijetko se događaju sigurnosni propusti na ovom nivou. Fizičke mjere zaštite kod ozbiljnih datacentara su na jako velikoj razini, tako da je veća vjerojatnost da se na ovoj razini dogodi sigurnosni propust od strane zlonamjerne ovlaštene osobe, nego neovlaštene. U praksi se nikad nismo susreli sa ovakvim problemom i smatramo ga malo vjerojatnim.
- Lokalna mreža u datacentru
Drugi nivo sigurnosti o kojem treba voditi računa je lokalna mreža koja fizički okružuje server. Usmjerivači, preklopnici,vatrozidi i ostala mrežna oprema su također ranjive točke. Ukoliko neovlaštene osobe imaju pristup tim uređajima, mogu bez nekih veći problema napraviti nered i štetu, postaviti maliciozni softver koji prati i snima promet, skuplja povjerljive podatke i slično.
Odgovornost: Također, i ova odgovornost je na datacentru, pošto korisnici a niti hosting tvrtke uglavnom nemaju pristup bilo kojoj do gore navedene opreme ne mogu biti niti odgovorni za zlouporabu.
Svako računalo mora imati neki od operativnih sustava, pa kao što najobičnija kućna računala imaju neki od operativnih sustava kao što su Linux, Windows ili Mac OS, niti web serveri se ne razlikuju od njih. Naravno, serverski operativni sustavi su malo drugačiji a napad na ovoj razini utjecat će ne samo na jedan korisnički račun već na sve korisnike koji se nalaze na fizičkom serveru.
Odgovornost: Ova odgovornost je isključivo na hosting tvrtki. Hoster koji vam je isporučio dedicated server, instalirao OS i druge servise dužan je za njegovo održavanje, osiguravanje i nadogradnju. Jedino ako ste uzeli unmanaged server te imate root ili full admin prava i administraciju radite sami, tada je ova odgovornost na vama. Korisnici koji su smješteni na klasičnim shared serverima i imaju shared hosting pakete niti nemaju pristup do ovog nivoa, dakle nemaju niti odgovornost.
- Virtualizacijski sloj (ako postoji VPS)
Virtualizacijski sloj je softverski sloj koji se nalazi između OS-a i korisnika. Virtualizacijski sloj dijeli fizički server na više virtualnih servera, od kojih se svaki ponaša kao zaseban server koristeći dodijeljene resurse fizičkog servera. Neki od najčešće korištenih virtualizacijskih platformi su VMware, Xen, Hyper-V i drugi, pa iako su svi dosta pouzdani, napad na ovoj razini može ugroziti cijelu virtualizaciju kao i napad na sam OS fizičkog servera.
Odgovornost: Hosting tvrtka je jedina koja je odgovorna za napad na ovoj razini, ukoliko ista postoji.
Grafički prikaz 8 osnovnih razina sigurnosti u hostingu
- Operativni sustav 2 (OS na VPS-u)
Ukoliko postoji virtualizacija servera, svaki virtualni server ima neki operativni sustav. Slično kao i kod primarnog OS-a postoje opasnosti od napada, iako napad na ovoj razini najčešće utječe samo na jedan virtualni server (VPS) dok korisnici na drugim susjednim VPS serverima nisu ugroženi.
Odgovornost: Ovdje odgovornost ovisi o usluzi koju ste zakupili. U managed usluzi ova odgovornost leži na hosting tvrtki, a ukoliko ste uzeli unmanaged uslugu ova odgovornost je na vama. Ovisno o ugovoru zadatak nadogradnje, osiguranja i održavanja sustava leži ili na hosting tvrtki ili na korisniku.
- Sustav za upravljanje serverom (Control Panel)
Naučili smo da svaki server ima instaliran neki OS, ali to nije sve. Svaki server najčešće ima instaliran i neki softver za upravljanje korisničkim računom koji omogućava korisniku samostalno održavanje svog računa, podešavanje parametara, kreiranje e-mail adresa, baza podataka i slično. Neki od najpoznatijih softvera za upravljanje serverima su Cpanel, WebsitePanel, Helm, Plesk i drugi. Napad na ovoj razini imat će sličan učinak kao i napad na “Operativni sustav 2” jer sam softver može manipulirati resursima servera, može kreirati nove korisničke račune, brisati podatke i još puno toga.
Odgovornost: Također ovisi o usluzi koju ste zakupili. U shared hosting okruženju ovo je posao hosting tvrtke, dok na VPS ili dedicated serveru ovisi da li ste zakupili managed ili unmanaged uslugu. Ali, SVI KORISNICI imaju odgovornost čuvanja svojih pristupnih podataka za kontrolni panel i druge servise.
- Sustav za upravljanje web stranicama (CMS sustavi)
Najčešće neki CMS sustav, forum i slično. Neki od najrašireniji CMS sustava danas su WordPress, Joomla i Drupal a od foruma tu su phpBB, SMF, itd. – ima ih koliko želite. Napad na ovoj razini najčešće utječe samo na jedan web site, ali ovisno o napadu isti može praktički sve što i sam softver ima ovlasti raditi, može izbrisati sadržaj stranica, može dodavati sadržaj, pristupati i mijenjati bazu podataka, itd.
Odgovornost: Održavanja i zaštita ove razine je na samom korisniku što posebno uključuje pravovremene nadogradnje sustava i čuvanje pristupnih podataka na sigurnim lokacijama.
Zadnja razina je samo korisničko računalo. Iako se čini da nema nikakve veze s kompletnom pričom ova razina ima veliki utjecaj na sigurnost. Računala pomoću kojih webmasteri održavaju web stranice također su točka napada. Maliciozni softver može vam ukrasti pristupne podatke i omogućiti napadaču pristup sigurnim dijelovima servera. Napad na ovoj razini opasan je i napadač ima sve ovlasti koje imate i sami na svojem korisničkom računu.
Odgovornost: Očito, ovo pada na korisnika. Hosting tvrtka nema mogućnosti niti obvezu osiguravati da li je vaše osobno računalo zaštićeno na dovoljno dobar način, i ukoliko se netko dokopa vaših pristupnih podataka nitko ga više ne može spriječiti da se prijavi pod vašim imenom i napravi što god želi. Ovakve napade je nemoguće preventivno spriječiti jer se čini kao da se radi o legitimnom pristupu u vlastiti korisnički račun.
Zaključak
Iako imate zadnju verziju WordPressa, sve žive security politike implementirane, to ne vrijedi puno ukoliko postoji sigurnosni problem/propust na samom operativnom sustavu servera. Također, ako hosting tvrtka vrti sve zadnje up2date verzije kontrolnog panela i ostalog softvera, isto ništa ne vrijedi ukoliko netko ima pristup vašim podacima sa vašeg lokalnog računala.
Dakle, sigurnosti je jaka jednako onoliko koliko i najslabija karika. U hosting okruženju sigurnost je partnerstvo, i bitno je da svi znaju koje su im odgovornosti i što mogu napraviti da zaštite jedni druge. Vi kao korisnici najčešće imate pristup dvjema razinama i vaš posao je dosta lagan, ali to ne znači da je vaš posao manje važan i bilo koji propust na bilo kojoj razini sigurnosti može bez većih problema uzrokovati pad stranica i gubitak podataka.
Zaštite vaše računalo antivirusnim i antispyware programima, kriptirajte važne lozinke i ostale povjerljive podatke. Ne zapisujte važne stvari na papiriće koje lijepite po zidu ili ostavljate na stolu, i razmislite o fizičkoj sigurnosti vašeg računala. Osigurajte se da, čak ako vam računalo, laptop ili mobitel netko i ukrade, ne može lako doći do povjerljivih podataka. Lozinke često mijenjajte, neka budu komplicirane i ne dijelite ih s drugima ni u kojem slučaju!
Ukoliko se svi razumno pridržavamo svojih odgovornosti, web stranice mogu bez problema biti vrlo sigurne i svi možemo mirno spavati.
Kakva su vaša iskustva s čuvanjem lozinki i ostalih povjerljivih podataka na računalu? Jeste li kad bili žrtva krađe podataka i zlouporabe korisničkog računa i kako ste to riješili?
super post! puno korisnih informacija 🙂
Edukativni članak, pogotovo ovaj dio koji je vezan uz odgovornost krajnjeg korisnika.
Moram ubaciti reinček na čitanje članka kojem nema kraja 🙂 ali svakako površnim skenom vidim da je koristan i poučan.
Na ovo potonje pitanje moram odgovoriti potvrdno. Žalosna činjenica koje sam i sam svjestan jest da sve lozinke imam pohranjene na internetu, na jednom svima nama poznatom servisu dokumenata. Isto tako jedan sam od onih (veliko mnoštvo) korisnika koji ima 2-3 zaporke koje onda godinu dvije rotira i koristi.
Lijepo, no ne bi bilo loše dublje razviti priču pod točkom 8, tj. izravno educirati korisnike.
Ne ostavljati upaljeno računalo, pogotovo ne ulogirano, ne spremati passworde u browseru, ne ostavljati password managere upaljene. Ovo se pogotovo odnosi na slučajeve kad korisnik pristupa svom računalu na poslu sa udaljenih lokacija VNCom, teamvieverom i sličnim alatima. Sigurnosti nikad dosta!
U zadnje vrijeme sve češće se događa Facebook social engineering i na to treba jako paziti. Svi smo na fejsu, i uopće ne razmišljamo o tome da iza poznatog imena i slike može biti netko treći, zlonamjeran.
Krađe identiteta se događaju svaki dan, a ako nam je lozinka za facebook jednaka onoj za gmail, što je jednako onoj za gdocs.. 😀
@Hrvoje thx 😉
@Višnja da taj zadnji dio je često zanemaren, a mi svako malo imamo takve slučajeve.
@Buzz Svi manje više imaju passworde sejvane u browseru ili nekom sličnom alatu, uf da i recimo korištenje iste lozinke na više mjesta,..
Dobar članak i puno razina sigurnosti. Nisam do sada imao sigurnosnih problema. Što se tiče mene kao krajnjeg korisnika, Kaspersky odrađuje svoj dio posla, ja ne ostavljam pristupne podatke okolo, a pogotovo ne na disku…
Nadam se da će se ta praksa nastaviti 🙂
Tihomire, dobra ideja za jedan novi blog post. 😉
@Tihomir hvala, da nebi bilo loše napraviti edukaciju za korisnike, jedino što nemamo toliko stolica ;). Sve su to stvari koje svi zanemarujemo recimo ako vam netko hakne Facebook lozinku u velikoj većini ljudi koriste iste lozinke i za mail, i tko zna za koje još servise. Evo zanimljiv video koji isto potvrđuje 😉 http://www.youtube.com/watch?v=U4oB28ksiIo
Najbolje za sve imati razlicite lozinke i stalno ih mijenjati.
za par mjeseci ni vi ni napadac necete znato koje su vam lozinke.
ono sto je bitno je – koje webstranice posjecujete, gdje ostavljata traga, s kim se na “fejsu” i ostalim sranjima druzhite… a jeste li nabili 5 antispaywarea i 3 antivirusa koji se medjusobno tuku nema nikakve veze.
loodilo od savjeta
No.9 – LAN (ili još gore Wireless LAN) i općenito cjelokupna mrežna veza do web servera. Badava vam sva sigurnost svijeta ako je susjedstvo preplavljeno vašom komunikacijom sa serverom (Wireless) ili ste stali nekom na žulj tko ima pristup ili vašem fizičkom vodu na internet / provideru ili pak cijeloj mreži (zvuči malo paranoično ali kinom se nekako često počeo rutati cjelokupni internet promet, zar ne?).
Upotrebljavati uvijek, osim stvarno anonimnog surfanja, neki oblik enkripcije od računala do servera – https, ssh, sftp/scp, vpn…
Od 1993. godine sam korisnik računala a od 1994. godine intenzivni sam korisnik interneta. Svih ovih godina nisam imao niti jedan sigurnosni problem. Za ovu činjenicu najveći dio zasluge pripisujem Apple računalima koja jedino koristim.
odličan video Tomislave 🙂
U svakom slucaju koristan clanak za pocetnike i one koji jos uvijek nisu upoznati sa nacinom rada na serveru i ostalim servisima. U svakom slucaju hvala AVALON – u na korisnim informacijama i dobroj volji da upozori i jos jednom podsjeti sve nas kako da se najbolje pripazimo i naucimo cuvati svoje podatke i ostale bitne stvari!!!