Jak zabezpieczyć stronę przed katastrofą?
Monitoring witryny WWW
W dzisiejszych czasach, kiedy światem rządzi Internet, strona WWW wydaje się być bardzo ważnym kanałem komunikacji między firmą a klientem. W wielu przypadkach jest to pierwsza, a często jedyna droga do komunikacji, a zatem w razie problemów technicznych, kiedy strona internetowa nie odpowiada lub nie wyświetla poprawnie treści – może generować poważne straty. O ile straty finansowe można z biegiem czasu odrobić, to straty wizerunkowe i rozczarowanie klientów będzie dużo trudniej naprawić.
Wydaje Ci się, że Twoja strona działa bez przerwy?
Witryna internetowego sklepu czy banku, na której codziennie dochodzi do kilkudziesięciu tysięcy transakcji bezgotówkowych, powinna działać przez całą dobę, a dostęp do niej nie powinien być w żaden sposób ograniczony. Zasada ta dotyczy zarówno wymienionych serwisów, ale też prostych witryn WWW i portali informacyjnych.
Jednak to całodobowy dostęp do możliwości robienia zakupów w sieci wydaje się być najbardziej pożądany przez dzisiejszych konsumentów. Potwierdzają to dane z badania e-Commerce 2011, w którym przeważająca liczba klientów biorących udział w badaniu zadeklarowała, że główną zaletą w przypadku e-sklepów jest dostępność przez całą dobę (62 proc. respondentów), a dopiero w dalszej kolejności niższe ceny towarów (48 proc.) i większa dostępność (43 proc.). Wyniki te jasno wskazują, że klienci wymagają od e-sklepu stałego, nieprzerwanego dostępu do oferty. Oznacza to zatem, że każda przerwa w dostępności do asortymentu sklepu internetowego może oznaczać straty finansowe i wizerunkowe, które mogą doprowadzić do zamknięcia witryny. Niestety na polskim rynku e-commerce jest wiele takich przypadków.
Kiedy nie działa witryna, liczy się czas
Przerwy w dostępności serwera to najczęstszy problem trapiący internautów nie tylko w Polsce, ale i na całym świecie. Zdarzają się one na tyle często, że administrator serwisu może nie być nawet tego świadomy. Takie niekontrolowane przestoje w działaniu serwera nie występują bez powodu – mogą mieć kilka przyczyn, które powinny być jak najszybciej zauważone i wyeliminowane, gdyż pozostawione same sobie będą powtarzać się bez przerwy.
Najczęściej strona WWW nie odpowiada z powodu błędów technicznych samego serwera, problemów z oprogramowaniem, chochlików w kodowaniu, przestojów w dostawie prądu i wielu innych czynników.
Niestety niektórych błędów nie da się wychwycić, gdyż często pojawiają się o różnej porze, a także przy różnym obciążeniu serwera. Aby to sprawdzić należałoby czuwać przy witrynie przez okrągłą dobę, a z punktu widzenia przeciętnego webmastera jest to prawie niemożliwe. Dlatego dobrym sposobem jest zewnętrzny system monitorujący, który na bieżąco sprawdza prawidłowe funkcjonowanie strony. W momencie gdy natrafi na jakiekolwiek błędy, informuje o tym uprawnioną osobę. Ma ona wówczas możliwość szybkiej reakcji i zminimalizowania strat. W razie niepoprawnego działania strony czas działa na niekorzyść właściciela witryny WWW. Jeśli jest to sklep internetowy, którego koszyk zaczyna niepoprawnie działać i źle oblicza ceny produktów, wiele klientów może zakupić towary po niższych cenach, a późniejszy kontakt z nimi i wyjaśnianie sprawy może okazać się bardzo trudne.
Hacker czuwa przez całą dobę, a Ty?
Wraz z rozwojem Internetu i rozpowszechnieniem się e-sklepów oszustwa internetowe stały się zjawiskiem codziennym w wirtualnej rzeczywistości. Na świecie już 65 proc. internautów padło ofiarą e-przestępców. Skala zjawiska w Polsce jest niewiele mniejsza, bo poszkodowanych jest dwóch na pięciu użytkowników sklepów internetowych, a tendencja ta wciąż wzrasta, co potwierdzają oficjalne dane wskazujące na stały wzrost liczby zgłoszonych oszustw popełnianych za pośrednictwem Internetu. W 2008 roku zarejestrowano 4 241 ataków oszustów internetowych, a dwa lata później policja otrzymała niemal dwa razy tyle zgłoszeń.
Zwiększa się nie tylko liczba ataków, ale też ich skutki, a oszuści internetowi aktywni są przez całą dobę. Jak pokazują badania, przeważająca liczba ataków dokonywana jest pod osłoną nocy. Nocą najłatwiej ukryć nieprawidłowe działanie witryny, a oszust w ciszy i spokoju pracuje po godzinach, korzystając z szybkiej przepustowości łącz nieobciążonych dużym ruchem sklepu internetowego. To właśnie wtedy oszust może włamać się na stronę i przykładowo przekierować aktywnych użytkowników na własny formularz rejestracyjny, który będzie wyświetlany jako fragment strony e-sklepu. Skutki takiego działania mogą być bardzo niebezpieczne – począwszy od kradzieży danych, poprzez przywłaszczenie gotówki, a nawet towaru. Pamiętajmy, że to właściciel sklepu jest oczywiście odpowiedzialny za bezpieczeństwo przeprowadzanych zakupów, a konsekwencje prawne z powodu niedopilnowania i braku zabezpieczeń mogą być bardzo dotkliwe.
Groźne ataki DDoS
Ataki typu DDoS to częsta forma zaszkodzenia witrynie WWW, którą na przestrzeni ostatnich kilkunastu miesięcy coraz chętniej stosują hakerzy. To prosta metoda przeciążenia systemu, najczęściej za pomocą odpowiedniego botnetu, czyli zainfekowanej sieci komputerowej. Niestety często to co proste, bywa bardzo uciążliwie i ataki DdoS wciąż zapewniają wysoką skuteczność w razie wywoływania awarii funkcjonowania serwisów internetowych.
Obecna skala zjawiska ataków DDoS powoduje, że nawet zwyczajna strona bloga czy wizytówka firmowa może zostać pośrednią ofiarą poważniejszego przedsięwzięcia cyberprzestępców. Przeciążające zasoby połączenia pochodzą z najróżniejszych zakątków świata. Niestety z tego typu działaniami trudno sobie radzić. W tej kwestii można jednak realizować szereg działań, które pozwalają na minimalizowanie strat. Pomijając pierwszą i najważniejszą kwestię optymalizacji zasobów, do dobrych praktyk ochrony należy też odpowiednie testowanie infrastruktury i system wczesnego ostrzegania. Niemniej, póki co nie ma w tej kwestii rozwiązania gwarantującego ochronę i często jedyne, co mogą zrobić administratorzy, to przeczekać atak DDoS.
Zabezpiecz się przed atakiem
Wiele osób, które strony internetowe znają tylko z ich „fizycznego” wyglądu, nie zdaje sobie sprawy, jak wiele informacji ukrytych jest w ich kodzie. To właśnie podczas tworzenia witryny popełnia się najwięcej błędów, a jednym z nich jest przechowywanie haseł w czystej, niezakodowanej postaci. Gdyby ktoś włamał się do niezabezpieczonej bazy danych, jak na tacy miałby podane wszystkie dane użytkowników, a przecież to właściciel strony odpowiedzialny jest za bezpieczeństwo danych.
Dobrym sposobem na zabezpieczenie danych jest kryptografia, a zatem wykorzystanie funkcji jednokierunkowych, które każdemu hasłu przyporządkowują pewien ciąg znaków, np. zamiast nazwiska „Kowalski” otrzymamy zaszyfrowany zapis „a50b679a808”. Odszyfrowanie takiego hasła jest czasochłonne, zatem jeśli ktoś już włamie się do bazy danych, jest szansa, że jej nie odszyfruje i nie wykorzysta. Jeśli hasła w bazie danych są zaszyfrowane, warto też zadbać o to, aby transmisja danych również była zaszyfrowana. Wymagane jest to szczególnie wówczas, gdy strona zawiera formularz rejestracyjny, a zatem dane, które przekazują użytkownicy, mogą mieć dla nich kluczowe znaczenie. Dotyczy to konta e-mail, hasła i danych personalnych. Szyfrowanie danych za pomocą SSL to wydatek kilkuset złotych rocznie, ale warto w niego zainwestować, gdyż dane, które przesyłają użytkownicy, będą zaszyfrowane, czyli utrudnione będzie ich przechwycenie między użytkownikiem a serwerem.
Witryna internetowego sklepu czy banku, na której codziennie dochodzi do kilkudziesięciu tysięcy transakcji bezgotówkowych, powinna działać przez całą dobę, a dostęp do niej nie powinien być w żaden sposób ograniczony. Zasada ta dotyczy zarówno wymienionych serwisów, ale też prostych witryn WWW i portali informacyjnych.
Jednak to całodobowy dostęp do możliwości robienia zakupów w sieci wydaje się być najbardziej pożądany przez dzisiejszych konsumentów. Potwierdzają to dane z badania e-Commerce 2011, w którym przeważająca liczba klientów biorących udział w badaniu zadeklarowała, że główną zaletą w przypadku e-sklepów jest dostępność przez całą dobę (62 proc. respondentów), a dopiero w dalszej kolejności niższe ceny towarów (48 proc.) i większa dostępność (43 proc.). Wyniki te jasno wskazują, że klienci wymagają od e-sklepu stałego, nieprzerwanego dostępu do oferty. Oznacza to zatem, że każda przerwa w dostępności do asortymentu sklepu internetowego może oznaczać straty finansowe i wizerunkowe, które mogą doprowadzić do zamknięcia witryny. Niestety na polskim rynku e-commerce jest wiele takich przypadków.
Kiedy nie działa witryna, liczy się czas
Przerwy w dostępności serwera to najczęstszy problem trapiący internautów nie tylko w Polsce, ale i na całym świecie. Zdarzają się one na tyle często, że administrator serwisu może nie być nawet tego świadomy. Takie niekontrolowane przestoje w działaniu serwera nie występują bez powodu – mogą mieć kilka przyczyn, które powinny być jak najszybciej zauważone i wyeliminowane, gdyż pozostawione same sobie będą powtarzać się bez przerwy.
Najczęściej strona WWW nie odpowiada z powodu błędów technicznych samego serwera, problemów z oprogramowaniem, chochlików w kodowaniu, przestojów w dostawie prądu i wielu innych czynników.
Niestety niektórych błędów nie da się wychwycić, gdyż często pojawiają się o różnej porze, a także przy różnym obciążeniu serwera. Aby to sprawdzić należałoby czuwać przy witrynie przez okrągłą dobę, a z punktu widzenia przeciętnego webmastera jest to prawie niemożliwe. Dlatego dobrym sposobem jest zewnętrzny system monitorujący, który na bieżąco sprawdza prawidłowe funkcjonowanie strony. W momencie gdy natrafi na jakiekolwiek błędy, informuje o tym uprawnioną osobę. Ma ona wówczas możliwość szybkiej reakcji i zminimalizowania strat. W razie niepoprawnego działania strony czas działa na niekorzyść właściciela witryny WWW. Jeśli jest to sklep internetowy, którego koszyk zaczyna niepoprawnie działać i źle oblicza ceny produktów, wiele klientów może zakupić towary po niższych cenach, a późniejszy kontakt z nimi i wyjaśnianie sprawy może okazać się bardzo trudne.
Hacker czuwa przez całą dobę, a Ty?
Wraz z rozwojem Internetu i rozpowszechnieniem się e-sklepów oszustwa internetowe stały się zjawiskiem codziennym w wirtualnej rzeczywistości. Na świecie już 65 proc. internautów padło ofiarą e-przestępców. Skala zjawiska w Polsce jest niewiele mniejsza, bo poszkodowanych jest dwóch na pięciu użytkowników sklepów internetowych, a tendencja ta wciąż wzrasta, co potwierdzają oficjalne dane wskazujące na stały wzrost liczby zgłoszonych oszustw popełnianych za pośrednictwem Internetu. W 2008 roku zarejestrowano 4 241 ataków oszustów internetowych, a dwa lata później policja otrzymała niemal dwa razy tyle zgłoszeń.
Zwiększa się nie tylko liczba ataków, ale też ich skutki, a oszuści internetowi aktywni są przez całą dobę. Jak pokazują badania, przeważająca liczba ataków dokonywana jest pod osłoną nocy. Nocą najłatwiej ukryć nieprawidłowe działanie witryny, a oszust w ciszy i spokoju pracuje po godzinach, korzystając z szybkiej przepustowości łącz nieobciążonych dużym ruchem sklepu internetowego. To właśnie wtedy oszust może włamać się na stronę i przykładowo przekierować aktywnych użytkowników na własny formularz rejestracyjny, który będzie wyświetlany jako fragment strony e-sklepu. Skutki takiego działania mogą być bardzo niebezpieczne – począwszy od kradzieży danych, poprzez przywłaszczenie gotówki, a nawet towaru. Pamiętajmy, że to właściciel sklepu jest oczywiście odpowiedzialny za bezpieczeństwo przeprowadzanych zakupów, a konsekwencje prawne z powodu niedopilnowania i braku zabezpieczeń mogą być bardzo dotkliwe.
Groźne ataki DDoS
Ataki typu DDoS to częsta forma zaszkodzenia witrynie WWW, którą na przestrzeni ostatnich kilkunastu miesięcy coraz chętniej stosują hakerzy. To prosta metoda przeciążenia systemu, najczęściej za pomocą odpowiedniego botnetu, czyli zainfekowanej sieci komputerowej. Niestety często to co proste, bywa bardzo uciążliwie i ataki DdoS wciąż zapewniają wysoką skuteczność w razie wywoływania awarii funkcjonowania serwisów internetowych.
Obecna skala zjawiska ataków DDoS powoduje, że nawet zwyczajna strona bloga czy wizytówka firmowa może zostać pośrednią ofiarą poważniejszego przedsięwzięcia cyberprzestępców. Przeciążające zasoby połączenia pochodzą z najróżniejszych zakątków świata. Niestety z tego typu działaniami trudno sobie radzić. W tej kwestii można jednak realizować szereg działań, które pozwalają na minimalizowanie strat. Pomijając pierwszą i najważniejszą kwestię optymalizacji zasobów, do dobrych praktyk ochrony należy też odpowiednie testowanie infrastruktury i system wczesnego ostrzegania. Niemniej, póki co nie ma w tej kwestii rozwiązania gwarantującego ochronę i często jedyne, co mogą zrobić administratorzy, to przeczekać atak DDoS.
Zabezpiecz się przed atakiem
Wiele osób, które strony internetowe znają tylko z ich „fizycznego” wyglądu, nie zdaje sobie sprawy, jak wiele informacji ukrytych jest w ich kodzie. To właśnie podczas tworzenia witryny popełnia się najwięcej błędów, a jednym z nich jest przechowywanie haseł w czystej, niezakodowanej postaci. Gdyby ktoś włamał się do niezabezpieczonej bazy danych, jak na tacy miałby podane wszystkie dane użytkowników, a przecież to właściciel strony odpowiedzialny jest za bezpieczeństwo danych.
Dobrym sposobem na zabezpieczenie danych jest kryptografia, a zatem wykorzystanie funkcji jednokierunkowych, które każdemu hasłu przyporządkowują pewien ciąg znaków, np. zamiast nazwiska „Kowalski” otrzymamy zaszyfrowany zapis „a50b679a808”. Odszyfrowanie takiego hasła jest czasochłonne, zatem jeśli ktoś już włamie się do bazy danych, jest szansa, że jej nie odszyfruje i nie wykorzysta. Jeśli hasła w bazie danych są zaszyfrowane, warto też zadbać o to, aby transmisja danych również była zaszyfrowana. Wymagane jest to szczególnie wówczas, gdy strona zawiera formularz rejestracyjny, a zatem dane, które przekazują użytkownicy, mogą mieć dla nich kluczowe znaczenie. Dotyczy to konta e-mail, hasła i danych personalnych. Szyfrowanie danych za pomocą SSL to wydatek kilkuset złotych rocznie, ale warto w niego zainwestować, gdyż dane, które przesyłają użytkownicy, będą zaszyfrowane, czyli utrudnione będzie ich przechwycenie między użytkownikiem a serwerem.
