Jak se vypořádává s bezpečnostními hrozbami největší hostingová firma v ČR WEDOS

15. 5. 2013

Jako hostingová společnost s více jak 5.000 virtuálními servery a takřka 35.000 webhostingy se s bezpečnostními hrozbami potýkáme prakticky pořád.

Naše zákaznická i techniká podpora řeší každý den desítky problémů našich zákazníků, kteří podcenili bezpečnostní rizika. Co jsou nejčastější příčiny? K čemu jsou nejvíce využívány napadené služby? Jak bránit svá data online i offline? 

Náš systém

Základem webhostingu je dobře připravený systém. Ten náš, na který jsme patřičně hrdí, byl vybudován na více jak 15 letech zkušeností. Už od základu byl navržen tak, aby byla většina bezpečnostních hrozeb minimalizována. Důraz byl kladen zvláště na prevenci. Když děláte něco tak velkého jako je webhosting nemůžete se spokojit s improvizací, nedokonalostmi anebo se přizpůsobit stávajícím řešením. Je nutné vše upravit a v případě, že nějaká služba toto neumožňuje, tak si vybrat jinou, či vytvořit vlastní. Díky tomu jsme za 32 měsíců našeho provozu neměli žádný bezpečnostní incident, i když nejen z logů vidíme, jak to každý den někdo zkouší.

Ovšem nehodláme do budoucna nic podcenit. Připravujeme několik výzev pro firmy zabývající se bezpečností a hackery na volné noze, kteří pokud je pokoří a pomohou nám odstranit problém, získají nehynoucí slávu a finanční odměnu.

Zavirované internetové stránky našich zákazníků

Převážná část zavirovaných stránek jsou masově používané redakční systémy – CMS. Přitom jednoduchou a nejúčinnější obranou je pravidelná aktualizace. To platí nejen o samotném CMS ale i různých doplňcích, které si k němu zákazníci instalují. Spousta lidí používá zrovna ty, které už jejich tvůrci nevyvíjí a neopravují bezpečnostní chyby.

Dalším oblíbeným nešvárem je stahování doplňků z různých neoficiálních stránek. Lákadlem je dobře vypadající „vylepšená verze“ ovšem často se zadními vrátky.

Poslední rok se také šíří trend zpoplatňovat doplňky formou prémiových služeb. Lidé co chtějí ušetřit, si tak často stáhnou doplněk se škodlivým kódem z nějakého warez webu.

Jen pro zajímavost většinu bezpečnostních chyb v známých CMS zneužívají roboti k tomu naprogramování. Ti prochází doslova internet a hledají neaktualizované verze.

Zcizené FTP údaje

Nějčastěji dochází ke zcizení hesla k FTP prostřednictvím virů, které si je dokáží vytáhnout z oblíbených FTP klientů jako je například Total Commander či FileZilla. Nejjednoduší je si do nich hesla neukládat. Ovšem trendem dnešních dnů jsou i viry, které prochází emailové zprávy uložené v poštovním klientovi přímo u zákazníka v počítači. Hledají v nich specifické řetězce či odesilatele. Schválně kolik z Vás si z Outlooku či Thunderbirdu smazalo email s vygenerovaným heslem k FTP?

Právě zkušenosti našich zákazníků nás vedli k myšlence zavést zablokování a povolení FTP přístupu z administrace v zákaznickém rozhraní WEDOS. Je to jednoduchý úkon, který Vám může ušetřit spoustu starostí a hodně zákazníků jej i využívá.

Samotné viry pak zákazník nejčastěji chytne ze zavirovaného emailu. Pak jsou to statisticky internetové stránky s falešným antivirem, dále neaktualizovaný Adobe Acrobat Reader a Java.

Napadené servery a webhostingy

A co se děje s napadanými servery a webhostingy, jakmile k nim získá útočník přístup? Nejčastěji z nich odchází ven phisingové emaily, na druhém místě je to pak klasický spam. Třetí místo u nás mají DoS útoky.

Jak se bráníme proti rozesílání emailů

Tento trend trvá více méně už řadu let, proto jsme také při návrhu webhostingu zvolili omezení 500 odeslaných emailů na den. Za 32 měsíců provozu na tento limit většina zákazníků nikdy nedosáhla. Ti co potřebují posílat větší množství si buď emaily rozloží na více dní, anebo po dohodě jim limit můžeme navýšit. Samozřejmě nás musí ujistit, že mají vše patřičně zabezpečené. Víme, že to je pro těch několik procent lidí nepříjemné, ale díky tomuto limitu mail servery WEDOS nekončí v různých black listech.

V momentě kdy je napadený webhosting, řešíme to zakázáním PHP funkce mail. U VPS je situace složitější. Snažíme se vše urychleně řešit s majitelem, ovšem v momentě kdy ven proudí miliony emailů je nutné sáhnout v krajním případě i k odpojení. O všem je samozřejmě zákazník informován emailem, popřípadě SMS.

DoS a DDoS útoky

Po emailech jsou to pak s velkým odstupem DoS útoky. Ty ovšem nenapáchají oproti emailům takové škody. Můžeme zasáhnout rychle a vše se vyřeší během pár minut.

WEDOS je známý, hlášením pravidelných DDoS útoků, které na nás cílí. Spousta lidí se nás ptá jak takový DDoS útok vlastně probíhá. Lidé si představují naše techniky jak sedí u počítačů vedle velké interaktivní mapy světa s říkají: Detekován útok zřejmě z Ruska! Síla 2 Gigabity za vteřinu a roste! Pokuste se jej lépe zaměřit. Snažím se, ale je přesměrován přes několik proxy serverů. Přesměruj všechnu energii do obranného firewallu! Snažím se, jsme na 50%! Počkat … zdroj útoku zaměřen. Připravují se k protiútoku… Takhle to ve skutečnosti ani zdaleka není. Vlastně je to nudná záležitost. V kancelářích máme velký monitor, kde se vypisují problémy, včetně přetížení jednotlivých tras a úseků, routerů, prostě taková tabule s chybovými hlášeními. DDoS útoky začínají jako oranžové hlášení a většina i tak skončí. Jen výjimečně se zobrazují červené. Kapacita jednotlivých tras to v pohodě utáhne. Uvnitř datacentra máme zase 10 Gigabitové propojení mezi routery. Technik se podíva, co se děje a zareaguje podle situace. Většinou jde jen o DoS útok cílený na jednu IP adresu, přes nějaký port. Technik zakáže port a tím to končí. Když se jedná o rozsáhlejší DDoS útok a cílem je nějaká kritická část infrastruktury, postupuje většinou postupným vypínáním útočících IP adres. Takže si jej představte nad počítačem jak myší ukazuje na tabulku IP adres a postupně je klikem zabíjí. Opravdu nic zábavného natož adrenalinového.

Hrozba číhá i mimo internet

Bezpečnost dat na internetu je jedna věc. Ovšem spousta lidí si neuvědomuje, že hrozby číhají i pro data mimo něj. Často se na Vašem serveru nachází informace, o které by mohla mít zájem konkurence anebo dokonce nějaký podvratný živel. Osobní informace, čísla kreditních karet, přístupová hesla, marketingová data, dokonce i celé účetnictví se často nachází na serverech. Provozovatel webhostingu je musí chránit nejen online ale i offline.

Například u nás dostáváme 3 – 5 oficiálních žádostí ohledně webů přes datovou stránku za týden. To nejsou takové ty naštvané výhrůžky soudem emailem, kde se autor odvolává na velké zvíře v rodině. Ty dostáváme samozřejmě také, ovšem co nejde oficiální cestou jako by nebylo. V tomto ohledu musíme postupovat samozřejmě podle zákona. Převážná část žádostí se týká provozovatele a jeho aktivit. Výjimečně se setkáváme i s žádosti o vypnutí webu, ovšem zamezení provozu jde spíše přes CZ NIC, který může zablokovat rovnou doménu.

V každém případě si neumíme představit, že by jsme zákazníkovi vypnuli web, protože se někomu nelíbí jeho obsah a zaplatil si dopis sepsaný právníkem. Takovéto případy se dějí poměrně často. Ovšem k tomu je třeba soudní rozhodnutí, nikoliv jen papír s kulatým razítkem. Bohužel se u nás najdou provozovatelé webhostingu, kteří takovému „nátlaku“ podlehnou. Na druhou stranu WEDOS využívá poradenství známé právní kanceláře BBH, takže jsme si i v složitějších případech celkem jisti. Navíc už jsme si nejednou právní šarvátkou prošli.

Právě otázka bezpečnosti byla jedním z kritérií proč jsme v našem datacentru upustili od myšlenky serverhousingu. Nechtěli jsme, aby se nám zde motali cizí lidé. Do serverovny tak mají přístup pouze zaměstnanci WEDOS, k samotným serverům jen oprávněný personál. Vše je navíc monitorováno bezpečnostními kamerami, jejichž obsah se ukládá.

Ovšem i tak získání certifikátu ISO 27001 – Bezpečnost dat pro kompletně celý WEDOS nám dalo celkem zabrat. Museli jsme si nechat vypracovat bezpečnostní audit, změnit některá zaběhnutá pravidla a popravdě nejvíce starostí bylo s revizemi naprosto všeho. Každá samostatná elektronika v budově ať je to UPSka, monitor anebo prodlužovačka má svou vlastní kartičku se záznamem kdo jí používá, kdo je správcem, kdo má oprávnění jí používat. Například někdo má přístup do systému ze své pracovní stanice, ale nemá oprávnění používat tiskárnu, aby nedošlo k úniku informaci. Dále jsou například pevně stanovená pravidla jakou formu musí mít firemní hesla a spousta a spousta dalších věcí.

Závěr

Věříme, že jste se z tohoto reklamního článku dozvěděli něco zajímavého. Na Root.cz už stejně všichni z vás vědí, že jsme největším provozovatelem webhostingu v České Republice, se super nadupanými ekologickými stroji Fujitsu, značkovými routery, ve vlastním datacentru, které je připojené třemi trasami o rychlosti 10 Gb/s navíc se serverovnou v protileteckém krytu civilní obrany. Takže tentokrát místo reklamy jsme se rozhodli se s Vámi podělit o pár zkušeností.

A abychom nezapomněli. Máme pro Vás slevový kupón SAFETYFIRST (SLEVA 33%) s platností do 31. května 2013. Platí pro nově registrované webhostingy a VPS.

WEDOS.cz »

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: RRTV: frekvence pro Country Radio

RRTV: frekvence pro Country Radio

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Lupa.cz: Jak udělat formulář, aby ho vyplnil i negramotný?

Jak udělat formulář, aby ho vyplnil i negramotný?

Vitalia.cz: Výživový poradce: Tyhle fešáky jedu celoročně

Výživový poradce: Tyhle fešáky jedu celoročně

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

Podnikatel.cz: Tyto pojmy k #EET byste měli znát

Tyto pojmy k #EET byste měli znát

Vitalia.cz: Nová vakcína proti chřipce se aplikuje nosem

Nová vakcína proti chřipce se aplikuje nosem

DigiZone.cz: Budoucnost TV vysílání ve Visegrádu

Budoucnost TV vysílání ve Visegrádu

Vitalia.cz: Tohle všechno se dá usušit

Tohle všechno se dá usušit

DigiZone.cz: Regionální tele­vize CZ vysílá "Mapu úspěchu"

Regionální tele­vize CZ vysílá "Mapu úspěchu"

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

DigiZone.cz: Sat novinky: NASA Ultra HD (4K)

Sat novinky: NASA Ultra HD (4K)

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?