16 öryggisatriði sem vefstjórar verða að vita

17.05.2014

Í þessum pistli fjöllum við um helstu atriði sem vefstjórar ættu að vita um netöryggi.

Öryggi vefsvæðis þíns er ekki bara spurning um hvort einhver nær að brjótast inn á vefinn og setja mynd af hauskúpu á forsíðuna á honum. Á fagmáli er slíkt kallað veggjakrot, enda snýst það mest um að brjóta eitthvert svæði á bak aftur og merkja sér það, svipað og hefðbundið veggjakrot — „Siggi was here“.

Í nýlegum dæmum hérlendis hafa vefsvæði verið hökkuð og gögnum lekið af þeim að auki, gögnum eins og notendanöfnum, lykilorðum og sértækum gögnum eins og SMS skilaboðum. Þó má benda á að þeir sem þar voru að verki tóku vefinn niður og tilkynntu um innbrotið. Algengt er þó að menn sem ná yfirtökum á vefþjóni láti bara alls ekki vita af því, heldur safni gögnum, nýti sér holur í kerfinu, dreifi óværum og nái á endanum yfirtökum á t.d. tölvum notenda vefsvæðisins, kortaupplýsingum eða sæki sér hvaða aðrar upplýsingar sem viðkomandi hakkari telur sér fært að nota eða selja til áframhaldandi afbrota. Allt þetta án þess að nokkur taki eftir því fyrr en peninga er farið að vanta inn á bankareikninginn. Þá liggur vefsvæðið ekki einu sinni undir grun og viðkomandi hakkari getur verið búinn að fela slóð sína og koma sér út — oft án þess að það sé rekjanlegt.

Til að verjast árásum má hafa eftirfarandi í huga:

Hakkarar geta hakkað næstum hvað sem er

  • Hakkarar hafa ótrúlegt vopnasafn til að komast yfir notendanöfn og lykilorð og ýmsar aðrar upplýsingar.
  • Öll gögn sem sett hafa verið á vefþjón geta hakkarar nýtt sér, t.d. innsend form, umsóknir eða hvað annað.
  • Öll kerfi sem vefurinn hefur aðgang að, hefur hakkari líka aðgang að ef honum tekst vel til með vefinn, t.d. Active directory (sem geymir auðkenningar) eða Sharepoint (sem getur geymt ýmis gögn), póstþjónar, o.fl. og o.fl.

Árásir (tilraunir til að hakka) eru ótrúlega algengar

  • Hjá Hugsmiðjunni sjáum við hundruð þúsund tilrauna í hverjum mánuði.

Virkt eftirlit er mjög mikilvægt

  • Hjá Hugsmiðjunni myndum ekki vita af árásunum nema af því að við erum stöðugt að leita að þeim og efla okkar aðferðir til leitar.
  • Með því að stunda kraftmikið eftirlit getur maður fundið út hvenær og hvernig vefsvæði hefur verið hakkað, og lagað það, en einnig getur maður lært margt af þeim tilraunum sem gerðar eru.

Nýjar aðferðir hakkara koma stöðugt fram

  • Allir verða að vera á tánum til að tryggja öryggi vefsvæða.
  • Allir verða að vera með uppfærðar útgáfur af:
  • Vöfrum (ekki nota t.d. gamlan Internet Explorer heldur nýjasta Chrome)
  • Vefumsjónarkerfi (eða öðrum þeim forritum sem notuð eru til að viðhalda vefsvæðum)
  • Hýsingarumhverfi (vefþjónum, gagnagrunnum o.þ.h.).
  • Stýrikerfum (MacOS, Windows, Linux)

Allir verða að vera vakandi

  • Ekki gefa lykilorð, kortanúmer eða aðrar slíkar upplýsingar upp í síma eða tölvupósti og ekki á netinu nema á vefsvæðum sem maður treystir.
  • Ekki nota hugbúnað sem kemur frá óáreiðanlegum stöðum (t.d. crackaður hugbúnað, oft úr torrent söfnum).
  • Ekki nota viðbætur við vafra (plugins) sem við erum ekki örugg um að séu í lagi (notið sem minnst af slíkum viðbótum).
  • Ekki nota sama lykilorð á mörgum stöðum (nema kannski þar sem um er að ræða gögn/upplýsingar sem skipta þig engu máli).

Hver er sinnar gæfu smiður í þessu sem öðru. Það er mjög erfitt að vera alveg öruggur, en það er léttara að vera ekki auðvelt skotmark.

Reynum að vera ekki auðvelt skotmark.