Hat dolog, ami tönkreteheti weboldalainkat
2013. június 10.
Cégünk weboldala komoly vállalati érték, megmutatja arculatunkat a külvilágnak, valamint fontos kereskedelmi és marketing felület is egyben. Egy igényes honlap kialakítása sok pénzbe és időbe kerül, egy esetleges támadás pedig katasztrofális hatással lehet üzletmenetünkre. Egy ilyen biztonsági incidens során akár ügyfeleinket is támadások érhetik, amelynek következményeként a hírnevünk komoly csorbát szenvedhet, a látogatók elmaradnak oldalunkról, így honlapunk megfelelő biztonsága létfontosságú szempont kell, hogy legyen. A CDSYS segítségével áttekinthetjük a legfontosabb biztonsági kihívásokat és a javasolt védelmi megoldásokat, amelyek segítségével megfelelően gondoskodhatunk oldalaink biztonságáról.
Az emberek még mindig gyanakvóak az internetes kereskedések során, ezért a megbízhatóság és a biztonság alapvető építőeleme kell, hogy legyen weboldalunknak. Sajnos a vállalatok még mindig nem fordítanak elég figyelmet a biztonsági szempontoknak, amelyet alátámaszt a CDSYS tavalyi vizsgálata, amely a pénzintézetek tanúsítványait térképezte fel. A hatékony védekezés érdekében, most hat pontban összegezzük a legelterjedtebb fenyegetéseket, és a megelőzéshez szükséges teendőket.
1. Weboldalt támadó vírusok
A honlap szerverei ugyanúgy támadhatóak rosszindulatú programok használatával, mint egy átlagos PC. A weboldalak megfertőzése és a látogatók továbbfertőzése egyre népszerűbb módszer az internetes bűnözők körében. Manapság már fillérekért hozzáférhetőek az előre elkészített rosszindulatú programok, amelyeket megvásárolva a bűnözők megfertőzik weboldalunkat, azok pedig a látogatók gépeit vizsgálva kiválasztják a legsérülékenyebb konfigurációkat, majd megtámadják azokat. Ilyen például a Sakura toolkit is, de említhetnénk az SQL injection technikára használható LizaMoon vírust is. A legkellemetlenebb forgatókönyv szerint, mi magunk nem is tudunk oldalunk fertőzöttségéről, egészen addig, amíg a keresők feketelistára nem teszik honlapunkat, vagy amíg maguk a felhasználók zúdítanak ránk panaszáradatot. Ez komoly anyagi és erkölcsi károkat okozhat vállalatunk számára
Javasolt megoldások
Weboldalunk szervereinek szoftverei legyenek mindig naprakészek, telepítsük a legújabb verziókat és biztonsági frissítéseket. Szabályozzuk megfelelően a hozzáféréseket, használjunk erős jelszavakat és kétfaktoros azonosítást. Naponta vizsgáljuk át weboldalunkat az általunk használt biztonsági szoftverrel, amelyek felfedik az esetleges sérülékenységeket és semlegesítik a már bejutott vírusokat.
2. Malvertising
Az internetes bűnözők sokszor teljesen törvényes hirdetéseken keresztül juttatják be rosszindulatú programjaikat oldalainkra. Az Online Trust Alliace szerint, tavaly több mint 10 milliárd online hirdetési megjelenést veszélyeztettek ilyen módon. Ez a támadás azért alattomos, mert az oldal tulajdonosa sokszor nem, vagy csak kis mértékben tudja ellenőrizni, hogy milyen hirdetések jelennek meg oldalain és egy hagyományos biztonsági átvizsgálás nem mindig veszi észre ezeket a fertőzött hirdetéseket.
A bűnözők sokszor vásárolnak rendes hirdetési helyeket a reklámlehetőségeket biztosító ügynökségeknél, és ezeket használják programjaik bejuttatásához, de akár létező hirdetéseket is megfertőzhetnek. A weboldal látogatóinak nem is kell a fertőzött hirdetésre kattintaniuk, az is elég, ha felmennek a honlapra, és amennyiben nincs megfelelő vírusvédelem a számítógépükön, akkor tudtukon kívül futtatják a rosszindulatú programokat saját eszközükön. Ha mégis sikerül azonosítani és blokkolni a programot, akkor is valószínűleg a honlap mögött álló céget fogják hibáztatni a történtekért, ami komolyan árthat hírnevünknek.
Javasolt megoldások
Használjunk megbízható hirdetési ügynökségeket, és ahol csak lehetséges olyan hirdetéseket alkalmazzunk, amelyek nem futtatnak kódokat, tehát igyekezzünk statikus képes vagy szöveges hirdetéseket megjelentetni. Használjunk felhő alapú védelmi megoldásokat, amelyek valós idejű monitorozással figyelik hirdetéseinket és blokkolják a malvertising támadásokat. Ilyen lehet például a Symantec AdVantage megoldása is, amely képes lekövetni a behatolót a forrásig.
3. Keresőmotor feketelista
A keresőmotorok, mint a Google vagy a Bing, folyamatosan vizsgálják a weboldalakat, rosszindulatú programokat keresve, és ha találnak ilyen programokat honlapunkon, akkor feketelistára teszik azt. Ez azt jelenti, hogy a keresések között nem jelenik meg oldalunk, a kereső nem irányít hozzánk több forgalmat, és böngészőtől függően figyelmeztetést jelenít meg a felhasználó képernyőjén, még akkor is, ha a látogató maga írta be a weboldal címét és nem a keresőn keresztül jutott el hozzánk. A feketelistára való kerülés komoly negatív hatással lehet weboldalunk forgalmára, cégünk hírnevére, és alááshatja eddigi munkánkat, amelyet a keresőoptimalizálásra fordítottunk. Még ha gyorsan orvosoljuk is a problémát, akkor is eltart egy ideig, amíg lekerülünk a feketelistáról.
Ha a jobb megjelenései lehetőségek érdekében megpróbáljuk kijátszani a keresők idevonatkozó irányelveit, szintén feketelistára kerülhetünk.
A Google 6000 oldalt blokkol naponta, és olyan nagy nevek oldalait, mint a TechCrunch és a New York Times weboldalait is blokkolták már fertőzött hirdetések miatt, így a nagy név sem garancia a biztos megjelenésre.
Javasolt megoldások
Védjük meg oldalainkat a fertőzött hirdetésektől, az előző pontban leírtak szerint, illetve kerüljük a kétes kereső optimalizálás technikákat. Mindenképpen érdemes feliratkozni a Google és a Bing Webmaster Tools listájára, hogy azonnal e-mail figyelmeztetést kapjunk, ha a weboldalunk feketelistára kerül.
4. Biztonsági figyelmeztetések és a lejárt tanúsítványok
Képzeljük el, hogy szeretnénk egy online áruház termékét megvenni, és a fizetésnél felugrik egy figyelmeztetés, hogy az oldal SSL tanúsítványa lejárt. Valószínűleg nem fogjuk befejezni a vásárlást és kétszer is meggondoljuk a jövőben, hogy visszatérjünk-e az adott oldalra. Ugyan ez érvényes fordítva is. Ha a mi oldalunk SSL tanúsítványa járt le, akkor komoly zuhanás következik be vásárlóink bizalmában cégünk felé.
Azok a vállalatok, akik sokféle tanúsítvánnyal rendelkeznek, komoly menedzselési kihívásokkal szembesülhetnek. Ki a felelős egy bizonyos tanúsítvány megvételéért és megújításáért? Ki vezeti a dokumentációt? Hogyan előzzük meg a szélhámosoktól való hamis tanúsítványok vásárlását? Hogyan intézzük, hogy minden tanúsítvány a megfelelő időben kerüljön megújításra? Ez csak pár kérdés, amely felmerülhet abban az esetben, ha sokféle tanúsítványt használunk vállalatunknál.
A centralizált tanúsítványkezelés megfelelő eszköz ahhoz, hogy elkerüljük a tanúsítványaink váratlan lejárását, vagy az utolsó pillanatban, azonnal szükségessé váló meghosszabbítási bonyodalmakat.
Javasolt megoldások
Auditáljuk a vállalat összes tanúsítványát, így tudni fogjuk, hogy pontosan milyen tanúsítványokkal rendelkezünk, ki a felelős értük és mikor járnak le. Bízzuk a tanúsítványok kezelését egy egységes menedzsmentre és használjunk felhő alapú tanúsítványkezelő megoldásokat. Állítsunk be emlékeztetőket, hogy időben tudjunk a meghosszabbításról gondoskodni. A CDSYS, amely a Symantec Platinum partnereként kizárólagosan értékesíti a Symantec (korábban VeriSign), Thawte, Geotrust és RapidSSL tanúsítványokat Magyarországon, szakemberei segítségével időben jelzi ügyfeleinek a hamarosan lejáró tanúsítványok meghosszabbításának esedékességét.
5. Márkalopások (adathalászat)
A bűnözők jól ismert neveket és márkákat használnak ahhoz, hogy bizalmas információkat csaljanak ki gyanútlan felhasználóktól, illetve rosszindulatú programokat telepítsenek gépeikre. Sokszor hamis weboldalakat használnak a csalók, ennek egyik legismertebb formája az adathalászat, amelynek során az átvert felhasználó hitelkártya adatait, vagy az internetes bankoláshoz szükséges belépőkódokat, jelszavakat csalják ki egy megtévesztő, a bank hivatalos oldalának tűnő honlap segítségével.
A legfrissebb trendek szerint a csalók már a közösségi oldalakat is használják a hamis weboldalakra való átirányításhoz, ahol megszerezhetik oldalunk belépőkódját valamilyen kupon, vagy ingyenes telefonálási lehetőség fejében. Ne dőljünk be ezeknek a jól hangzó, de hamis ígéreteknek!
A hamis weboldalak és a márkalopások elengedhetetlenné teszik a jó hírű vállalatok számára, hogy megfelelően megvédjék weboldalaikat. Az Extended Validation (EV) SSL zöld csíkjának jelenléte megerősíti a weboldal hitelességét, ezen kívül már a legnagyobb közösségi oldalak is SSL tanúsítvánnyal védik felhasználóikat a belépéstől a kilépésig (Always-on SSL).
Javasolt megoldások
Használjunk Extended Validation (EV) SSL tanúsítványt oldalunkon, amely honlapunk hitelességét bizonyítja ügyfeleink számára. Fontoljuk meg az Always-on SSL használatát, hogy oldalunk látogatói biztonságban érezhessék magunkat a böngészés, vásárlás és a közösségi kapcsolattartás teljes időtartama alatt.
6. Ügyfélbiztonsági megfontolások
A médiában megjelenő sok bűneset és az ezekkel kapcsolatos biztonsági aggályok fényében nem meglepő, ha a weben böngésző felhasználók félnek és megnyugtató biztosítékokat keresnek arra, hogy biztonságos helyen járnak. Világszerte 643 millió weboldal verseng a látogatók figyeleméért, és a felhasználók nagyon gyorsan értékelik ki a honlapokat – egy átlagos weboldal látogatása alig egy percig tart, így az első benyomás kritikus lehet, ezért nagyon fontos egy jól látható biztonsági jel megléte. A bizalmi jelek, mint a Norton™ Secured Seal azt mutatja ügyfeleinknek, hogy komolyan vesszük a biztonságot, illetve biztosak lehetnek benne, hogy az oldalunkat napi szinte átvizsgáljuk rosszindulatú programokat keresve. Egy nemrégiben készült felmérés szerint, ilyen jelet látva a látogatók 94%-a folytatja internetes vásárlását.
Javasolt megoldások
Használjunk olyan megoldásokat, amelyek jól láthatóan megmutatják weboldalunk biztonságosságát akár már a keresés folyamán a találati listában, vagy honlapunkon az odalátogató felhasználók számára.
Olvasson rendszeresen frissített híreket, tanulmányokat az adatszivárgás témaköréről a Facebookon is: http://www.facebook.com/adatszivargas
Az adatszivárgásról
Szükséges-e az adatszivárgás elleni védelem? Nem is lehet kérdés, hisz ma az információ a legnagyobb érték. Hogyan védekezzünk? Ahhoz, hogy erre a kérdésre válaszolni tudjunk, további kérdéseket kell feltennünk magunknak.
- Tudjuk, hogy hol tároljuk a bizalmas adatainkat? Azt is, hogy hol vannak róluk másolatok? Laptopok, fájlmegosztások, közös mappák, adatbázisok – kockázatelemzések során kiderült, hogy minden tíz fájlból egyet rossz helyen tárolunk.
- Tudjuk, hogy hogyan és kik használják az adatokat? Mit másoltak USB-re vagy küldtek el e-mailben, csevegőprogramon, webmail-en vagy FTP-n? – kockázatelemzések kimutatták, hogy minden négyszázadik e-mail tartalmaz titkos adatot.
- Hogyan akadályozzuk meg titkos adataink elvesztését? Felmérések alapján kiderült, hogy a dolgozók 59% vitt el adatot a munkahelyéről. Hogyan tudjuk ezt megakadályozni és kikényszeríteni az adatvédelmet?
Az adatszivárgás elleni védelmet biztosító technológiák (Data Loss Prevention - DLP) megfelelő használata és a biztonsági tudatosság növelése jelentik a megoldást.
További áttekintést a DLP-ről a Wikipedián
Kapcsolódó cikkek
- Iparági kémhálózatot leplezett le a Kaspersky Lab
- Peking rengeteg adattal tudja bizonyítani az amerikai hackertámadásokat
- Washington és Peking magas szinten tárgyal egymással az internetes kalózkodásról
- Kiberhadviseléssel kombinált hadgyakorlatra készül a kínai hadsereg
- Szemléletváltásra van szükség az adatvédelemben
- Kína vezeti a kibertámadás-központok ranglistáját
- 50 millió felhasználó adatait lopták el hackerek
- Symantec: rohamosan terjed a kiberbűnözés
- Ismerkedés az etikus hacker szakma alapjaival
- Pánikot keltett az AP Twitter-hírszolgáltatása elleni hackertámadás