Varnost spletnih mest

8/17/2019 Varnost spletnih mest

1/26

ABC VARNOSTI

ZA LASTNIKE

SPLETNIH STRANI


2/26

V primeru težav se lahko obrnete na:

SI-CERT - www.cert.si

Varni na internetu - www.varninainternetu.si

ABC VARNOSTI ZA LASTNIKE

SPLETNIH STRANI


3/26

2

8

12

15

18

PREDSTAVITEV NA SPLETUNekaj koristnih informacij, če spletno predstavitev žeimate ali svoje spletno mesto šele načrtujete.

ZAKONODAJASplet ureja tudi slovenska zakonodaja.

MOŽNE ZLORABETegobe in težave, ki se vam lahko pripetijona vašem spletnem mestu.

PRIPOROČENI UKREPITveganja lahko zmanjšate že z nekaj preprostimi koraki.

DOMENADomena je naslov vaše spletne predstavitve.

VSEBINA


4/26

ABC VARNOSTI ZA LASTNIKE SPLETNIH STRANI

PREDSTAVITEV NA SPLETU2

PREDSTAVITEV NA SPLETUInternet je del našega vsakdana. Meja med realnim invirtualnim svetom je vse bolj zabrisana. Večina podjetijse predstavlja na spletu, mnoga omogočajo tudi spletnonakupovanje. Različna društ va splet izkoriščajo za

komunikacijo in sodelovanje s svojimi člani, kot posameznikipa lahko svoje vtise in mnenja hitro predstavimo svetu vsvojem spletnem dnevniku (blogu). Ob vseh prednostihspleta pa ne smemo pozabiti tudi na pasti in nevarnosti.

Na kaj vse moramo biti pozorni in kako se težavam naspletu izognemo? Spletno mesto vam običajno postavijozunanji partnerji, vi pa ste odgovorni za njegovo delovanje,

zato morate ohraniti nad njim nadzor in skrbeti za njegovovzdrževanje.

Vodič podaja nekaj koristnih informacij, če spletnopredstavitev že imate ali svoje spletno mesto šelenačrtujete. Nastal je v sodelovanju s programomozaveščanja Varni na internetu nacionalnega odzivnegacentra za omrežne incidente SI-CERT in nacionalnega

registra slovenskih domen Register.si, ki skrbi zainfrastrukturo delovanja slovenskega spleta.

Spletno mesto vam postavijo drugi,vi morate ohraniti nadzor in nositiodgovornost.

https://www.varninainternetu.si/http://www.register.si/http://www.register.si/http://www.register.si/http://www.register.si/http://www.register.si/https://www.cert.si/https://www.varninainternetu.si/


5/26



IZBIRA PONUDNIKA GOSTOVANJAIN IZVAJALCA

Zanesljiv partner

Izberite zanesljivega in odzivnega ponudnika. Na vašo

odločitev naj ne vpliva zgolj cena paketa, ampak razmislite,kaj vam bo res pomembno. Morda to, da je ponudnik samonekaj ulic stran? Vas zanima samo velikost strežnika inpovezave ali tudi dodatne storitve, ki jih ponuja?

Faze postavitve spletnega mesta:

1 NAČRTOVANJE SPLETNEGA MESTA

Kaj želite predstaviti? Zgolj kontaktne podatke ali

bogato spletno mesto s katalogom in morda celo spletnotrgovino? Od tega je odvisna odločitev o spletnemsistemu za upravljanje z vsebinami. Manjše kot so vašezahteve, enostavnejši sistem lahko izberete. Bolj ko je ta kompleksen, več vzdrževanja bo zahteval. Mednajpogostejše sisteme za upravljanje z vsebinami oz.Content Management System (CMS) spadajo: Wordpress,

Joomla in Drupal. Osnovno predstavitev lahko izvajalecnaredi že v samem HTML-jeziku.

NAČRTOVANJE POSTAVITEV VZDRŽEVANJE


6/26


7/26



Z zakupom spletnega strežnika ste najeli poslovneprostore na internetu. Način poslovanja in skrb za varnostdokumentacije v njih je vaša naloga. Vašo pisarno rednočistite, urejate dokumentacijo v njej, zamenjate pregoreležarnice in jo zaklepate. Podobne vzdrževalne naloge vasčakajo na spletu. Ni nujno, da vse opravljate sami, zeloverjetno se boste za večino nalog dogovorili z zunanjimizvajalcem. Le-ta mora imeti ustrezna znanja in izkušnje.Mnoge težave spletnega poslovanja so posledica tega, dase udeleženci ne zavedajo, za kaj vse morajo poskrbeti.

Doma ali na tujem?

Internet je zabrisal meje, zakaj ne bi gostovanja najelina tujem? Predvsem dobro razmislite, kaj za določeno

ceno dobite. Brezplačnih gostovanj se izogibajte, sajne nudijo podpore v primeru težav (pa čeprav greza Google). Kako boste reševali zaplete med vami inponudnikom v Nemčiji ali ZDA? Pri domačem ponudnikugre to praviloma gladko in hitro. Strežniki izven EU solahko problematični tudi z zakonskega stališča, če nanjih hranite osebne podatke.

Glede na zahteve svojega spletnega mesta izberite priponudniku gostovanja najprimernejši paket.


8/26



3 VZDRŽEVANJE SPLETNEGA MESTA

Najpogostejši vzrok za težave na spletnem mestu je slaboali neobstoječe vzdrževanje. Če zanj ne poskrbite, je samovprašanje časa, kdaj bo prišlo do takšnega ali drugačnegazapleta. Odpravljanje posledic zlorabe spletnega mesta boterjalo določen čas in denar, nedostopnost vaše strani ali

spletne trgovine pa povzroči tudi izgubo strank, poslovnoškodo in prav gotovo ne prispeva k vaši dobri podobi. Splet je dinamično okolje in njegovemu razvoju boste moralislediti tudi s svojim spletnim mestom.

Če imate v podjetju svoje IT-osebje, se seveda oni seznanijos sistemom za upravljanje z vsebinami in prevzamejo skrbza vzdrževanje. Sicer se morate dogovoriti bodisi s svojim

izdelovalcem spletne strani, ponudnikom gostovanja bodisis tretjim partnerjem. Vsekakor naj za redno vzdrževanjespletnega mesta skrbi zanesljiv in strokoven izvajalec.

200 pohekanih na mesec

Med decembrom 2012 in majem 2013 je SI-CERTobravnaval 1300 primerov slovenskih spletnih mestpodjetij, ki so doživela “razobličenje” spletne strani:tujec jim je vdrl v strežnik in zamenjal vstopno strans svojim sporočilom. V nekaterih primerih je vdiralecstrežnik tudi izkoriščal v svoje kriminalne namene.Vsi ti primeri so posledica nevzdrževanja sistema zaurejanje vsebin.


9/26


10/26


DOMENA8

DOMENADomena je naslov vaše spletne predstavitve, lahko bi rekli,da je pomemben inventar vašega podjetja ali društva. Tudipravilno ravnanje z domeno pripomore k varnosti na spletu.

Najprej nekaj osnovnih pojmov:Register je organizacija, ki je skrbnik vrhnje domene.Skrbi za bazo registriranih domen, za delovanje vrhnjihdomenskih strežnikov, razvija in vzdržuje sistem zaregistracijo domen in opravlja druge storitve, vezanena vrhnjo domeno. Za vsako vrhnjo domeno obstaja enregister.

Registrar ima dostop do sistema za registracijo domen inopravlja registracijo, podaljšanje in druge storitve, vezanena domeno, v imenu svojih strank. Registrarji lahko svojimstrankam ponujajo domene pod različnimi končnicami, vsakregister ima lahko več registrarjev.

Nosilec je tisti, ki je domeno registriral in za določenoobdobje pridobil pravico, da z njo razpolaga in jo uporabljakot spletni in/ali elektronski naslov.

Domeno lahko registrirate tudi pod katero drugo vrhnjodomeno. Navodila za registracijo boste našli na spletu.Priporočila in navodila v nadaljevanju sicer veljajo zaslovenske domene, vendar so splošno uporabna tudi zadomene pod drugimi končnicami.


11/26


DOMENA9

Na kaj morate biti pozorni pri registraciji domene:

1. Vi ste nosilec domene. Ker nosilec domene lahko ediniupravlja z domeno, poskrbite, da bodo podatki o nosilcupravi. Ne dovolite, da se kot nosilec vpiše izdelovalec vašespletne strani. Če že, naj se vpiše le kot tehnični kontakt. Kajhitro se lahko zgodi, da boste po nekaj letih ugotovili, da jevaša spletna identiteta, na kateri temelji npr. celotnoposlovanje podjetja, v rokah nekoga, s katerim ste žezdavnaj prekinili poslovne stike. Poleg naziva in naslovanosilca je bistveno, da je ob registraciji naveden delujočelektronski naslov, po možnosti takšen, do katerega nedostopajo vsi zaposleni. Prek elektronskega naslova nosilca

namreč poteka vsa uradna komunikacija med registromin nosilcem domene. Kdor ima dostop do tega naslova,lahko potrdi izbris domene, zamenjavo registrarja alipa celo prenos domene na nekoga drugega.

2. Tehnični kontakt ve, kako stvari delujejo. Tehničnikontakt za domeno naj bo nekdo, ki zna postaviti vašespletno mesto, urejati vpise v DNS-strežnike in se bo znal

odzvati na sporočila o tehničnih težavah in o morebitnihzlorabah vašega spletnega mesta.

3. Izbira registrarja. Registrarjev za domeno .si je veliko.Pri izbiri pravega premislite, kaj želite: osebni kontakt,svetovanje, pomoč ali morda enostavno, avtomatiziranoregistracijo; paleto dodatnih storitev ali telefonski klic, česte domeno pozabili podaljšati. Vsa opravila z domenami

(npr. podaljšanje, spremembo podatkov, vpis domenskihstrežnikov ...) boste opravljali izključno prek registrarja,zato preverite, kako ti postopki pri izbranem registrarjupotekajo in kakšna je registrarjeva odzivnost.


12/26


DOMENA10

Domeno registrirate za obdobje od enega do petih let,odvisno od dogovora z registrarjem. Po poteku tega

obdobja jo je treba podaljšati, kar bo v vašem imenu uredilregistrar. V nasprotnem primeru bodo vaša spletna stranin vsi elektronski naslovi pod poteklo domeno prenehalidelovati. Domena vas bo “čakala” še 30 dni, nato pa jo bolahko registriral kdo drug. Če ste pozabili, do kdaj je vašadomena registrirana ali celo to kdo je vaš registrar, lahkovse podatke preverite prek spleta na “WHOIS” spletni straniregistra: register.si/whois. Bodite pozorni tudi na podatke onosilcu domene, ki jih izpiše WHOIS. Če niso pravilni, o temtakoj obvestite svojega registrarja. Posledica netočnihpodatkov je lahko izbris domene!

Ko domeno imate, nanjo ne smete povsem pozabiti.

http://register.si/whoishttp://register.si/whoishttp://register.si/whoishttp://register.si/whois


13/26


DOMENA11

Zakaj domena pod nacionalno končnico .si?

Prednost .si domene s stališča varnosti je gotovota, da registrar posluje v slovenskem jeziku in istemčasovnem pasu, kar olajša komunikacijo in omogočahitro odzivnost pri zapletih in težavah, za vse vpletenepa velja slovenska zakonodaja.

Nosilci se morate zavedati, da ste tudi vi odgovorni,

da z izbrano domeno ne kršite zakonov in pravicdrugih oseb.

Kaj storiti, če ste ugotovili, da je “vašo” domeno pod .siregistriral nekdo drug? Če lahko pokažete,

1. da je domena enaka ali zelo podobna vaši blagovni znamkiali nazivu podjetja,

2. da nosilec nima pravno priznanega interesa glederegistrirane domene in

3. da je domena registrirana ali se uporablja v slabi veri,

lahko pri registru sprožite domenski spor s pomočjo postopkaalternativnega reševanja domenskih sporov (ARDS).

http://www.register.si/ards.htmlhttp://www.register.si/ards.htmlhttp://www.register.si/ards.html


14/26


15/26


16/26


ZAKONODAJA14

OBRAVNAVA OSEBNIH PODATKOVČe na strežniku hranite ali obdelujete osebne podatke, morate vskladu z Zakonom o varstvu osebnih podatkov zbirke osebnihpodatkov prijaviti Informacijskemu pooblaščencu. Čeboste najeli strežnik v tujini, preverite, ali je izvoz osebnihpodatkov v tisto državo dovoljen (v EU-članice je izvoz podatkov

dovoljen, v ZDA pa le v podjetja, ki so podpisala ustrezensporazum). Pri Informacijskem pooblaščencu se pozanimajte otem, prav tako preverite, ali je treba s ponudnikom gostovanjapodpisati pogodbo o obdelavi osebnih podatkov.


17/26


MOŽNE ZLORABE 15

MOŽNE ZLORABEPosledice vdora:

1. moteno delovanje ali izpad spletnega mesta,

2. izguba, sprememba ali kraja podatkov,

3. ogrožanje obiskovalcev vašega spletnega mesta,

4. blokada vaše elektronske pošte,

5. blokada vašega spletnega mesta na internetu.

KAKO DO VDORA PRIDE?Najpogosteje vdiralec najde varnostno luknjo v nevzdrževanemsistemu za upravljanje vsebin ali strežnika. Dostop lahko pridobitudi s krajo vašega gesla ali ugibanjem, če je geslo enostavno.Nekaj najpogostejših vrst vdorov in zlorab naštevamo vnadaljevanju.

RAZOBLIČENJEPodoba spletnega mesta je spremenjena.Razobličenje oziroma defacement je“grafitiranje” vašega spletnega mesta, prekkaterega želi napadalec izraziti svoje mnenje,bodisi osebno bodisi politično, ali pa le pustitisvoj podpis. Obiskovalec vašega spletnegamesta bo namesto predstavitve vašegapodjetja videl napis: “Hacked by Hmei7” ali pa

proglase o svobodni Palestini.


18/26


MOŽNE ZLORABE16

PHISHING KRAJA GESELNapadalec izkoristi vaše spletno mestoza postavitev lažne kopije npr. spletnestrani banke in prek vašega strežnikaskuša ukrasti gesla ter nato tudi denarnjenih komitentov. Napadalci uporabljajo

phishing tehniko tudi za krajo drugihpodatkov: gesel elektronske pošte, številk kreditnih kartic,uporabniških računov ipd. Končne žrtve napada napadalecna phishing spletno stran v večini zvabi prek prirejenegaelektronskega sporočila, v katerem jih obvešča, da morajo zaradirazličnih razlogov ponovno vnesti svoje podatke, povezava pa

vodi na podtaknjeno phishing spletno stran na vašem strežniku.

NAPAD S ŠKODLJIVO KODOVaše spletno mesto napadalciizkoristijo za širjenje zlonamernekode: virusov, trojanskih konjev inračunalniških črvov. Napadalec na vašospletno mesto odloži programsko kodo, kiposkuša izrabiti ranljivosti v brskalniku obiskovalca oziroma vdodatkih (vtičnikih, angl. “plug-in”) brskalnika. V tem primeruste pravzaprav soudeleženi pri okužbi računalnikov vašihspletnih obiskovalcev. Okužbe imajo lahko za posledico krajopodatkov z okuženega sistema ali finančno oškodovanje. Zatomorate ukrepati takoj, ko ugotovite, da se vaš spletnistrežnik uporablja za širjenje škodljive kode.

U s e r

P a s s


19/26


MOŽNE ZLORABE 17

ONEMOGOČANJE SPLETNIH MESTVaše spletno mesto je nedosegljivo zaradi porazdeljeneganapada (DDoS, Distributed Denial-of-Service, tudi “dosanje”).Loti se vas lahko izsiljevalec iz oddaljene države, jezna strankaali bivši zaposleni, celo konkurenca. Če je bil napad najavljen,shranite kopijo vse komunikacije in shranite čim več podatkov o

prometu, ki ga je bil vaš strežnik deležen.Lahko se znajdete tudi na drugi strani, ko napadalec vdre vvaš strežnik in ga nato uporablja za napade na druga spletnamesta. Decembra 2012 je bilo nekaj deset slovenskih spletnihstrežnikov z nevzdrževanim sistemom za upravljanje vsebin Joomla zlorabljenih s strani napadalcev iz tujine. Ti so po vdoruna strežnike nanje namestili svoje programe, s katerimi soizvajali napade na banke v ZDA.


20/26


21/26


PRIPOROČENI UKREPI 19

Kaj storiti ob napadu ali vdoru v spletno mesto?

Ko opazite, da s spletnim mestom nekaj ni v redu, in sumitena nepooblaščen dostop ali vdor v spletno mesto, opravitenaslednje korake:

1. Kontaktirajte s skrbnikom strežnika ali svojim ponudnikomgostovanja, pri katerem imate najet spletni strežnik; poskrbite

za zavarovanje dokazov o vdoru: predvsem storilčevih datotekin sprememb na sistemu in dnevniških datotek. Pri tem boditezelo pozorni, da navedenih datotek ne spreminjate in seohranijo v celoti skupaj z ustreznimi časovnimi oznakami (časkreiranja, spreminjanja in dostopa do datoteke).

2. Vdor sporočite na SI-CERT prek elektronske pošte:[email protected]. V sporočilu opišite znake vdora in vam znane

okoliščine vdora. SI-CERT vam bo nudil nadaljnjo pomoč pri pre-iskovanju vdora, dodatni zaščiti strežnika in bo opravil potrebnokomunikacijo z drugimi vpletenimi (to so lahko ponudniki intern-eta, CERT-centri v tujini in po potrebi tudi organi pregona).

Napadalci ne izbirajo žrtev načrtno. Večino najdejo prekspletnih iskalnikov ali z naključnim preizkušanjem. Šele kopridejo v vaše spletno mesto, se odločijo, na kakšen načinga bodo najbolj dobičkonosno uporabili: za širjenje škodljivekode, napade na druge, morda pa imate na njem celodoločene podatke, ki jih lahko neposredno unovčijo.

Večina zlorab izvira ravno iz znanih ranljivostisistemov za upravljanje z vsebinami. Zato je redno

vzdrževanje najpomembnejše. S posodabljanjemzakrpate varnostne luknje. To delo naj opravljanekdo, ki se tehnično spozna na vzdrževanje strežnikovin sistemov za urejanje vsebine.


22/26


PRIPOROČENI UKREPI20

RAZDELITEV VLOG

LASTNIK SPLETNEGA MESTA

• je nosilec domene in skrbi zapodaljševanje

• je odgovoren za delovanje in

vsebino spletnega mesta• izbere izdelovalca oz.

skrbnika spletnega mesta inponudnika gostovanja

IZDELOVALEC OZ. VZDRŽEVALEC SPLETNEGA MESTA

• je tehnični kontak t pri domeni

• oblikuje in izdela spletnomesto

• skrbi za v pise v DNS-strežnik

• odpravlja napake

• spremlja obvestila in rednonamešča popravke sistema zaurejanje vsebin

PONUDNIK GOSTOVANJA• zagotavlja delovanje

strežnika

• zagotavlja internetnopovezljivost do strežnika

• po dogovoru lahko prevzameskrb za DNS

•

prevzame vzdrževanjestrežnika, če to storitevponuja v ustreznem paketu


23/26



SEZNAM KONTAKTOVNa koga se lahko obrnete v primeru težav?

1. Napaka na spletni strani

Najprej se obrnite na izvajalca, ki je spletno mesto postavil invam ga vzdržuje. Če je potrebno, se bo ta obrnil na gostitelja inpreveril, zakaj je do težave prišlo.

2. Nedostopnost spletnega mesta

Obrnite se na vzdrževalca spletnega mesta, ta bo preveril, zakaj je strežnik nedostopen. Če gre za porazdeljen napad na vašstrežnik, se obrnite na ponudnika gostovanja in kontaktirajte zodzivnim centrom za omrežne incidente SI-CERT: [email protected].

3. Motnja pri dosegljivosti vaše domene

Če pozabite podaljšati domeno ali pride do napak pri vpisule-te v DNS-sistem, bo vaš strežnik nedosegljiv. Obrnite seneposredno na registrarja domene ali na svojega vzdrževalca, kiskrbi za vašo domeno.

4. Vdor ali zloraba na spletnem mestu

Kontaktirajte z odzivnim centrom za omrežne incidente

SI-CERT: [email protected].

mailto:cert%40cert.si?subject=mailto:cert%40cert.si?subject=mailto:cert%40cert.si?subject=mailto:cert%40cert.si?subject=mailto:cert%40cert.si?subject=


24/26


PRIPOROČENI UKREPI22

TOP 5 TVEGANJ

1. Razobličenje spletnega mesta

Vaše spletno mesto prikazuje sporočilo, kjerse vdiralec hvali, da vas je “pohekal”. To ste muomogočili vi zaradi slabo vzdrževanega spletne-ga strežnika.

2. Spletno mesto izkoriščajo kriminalci

Po vdoru v vaš spletni strežnik kriminalci na-mestijo viruse, ki bodo okužili računalnike vašihobiskovalcev. Naložijo lahko svoje programe zaizvajanje spletnih napadov na tuje strežnike alina vaš strežnik namestijo lažne spletne strani za

tujo banko (phishing) in prek njih kradejo denar.3. Kraja osebnih podatkov ali gesel

Z vdorom lahko storilec pridobi dostop do zbirkpodatkov, morda tudi osebnih podatkov vašihstrank. S phishing napadom lahko kradejo geslatujim uporabnikom.

4. Izbrisani podatki

Vdiralec vam izbriše podatke na spletnem mestu.Morda to stori konkurenca, odpuščeni delavec,izsiljevalec, ki mu niste želeli plačati “odkupnine”,ali nekdo, ki je vdiral prek vašega strežnika naprejin sedaj briše sledi za seboj.

5. Izguba domene

Ker ste na svojo domeno pozabili, je potekla inne deluje več. Če kontaktni podatki niso ažurni,boste imeli nekaj težav, da jo spet “aktivirate”. Vnajslabšem primeru lahko domeno celo izgubitein jo prevzame nekdo drug.

U s e r

P a s s


25/26



TOP 5 NASVETOV

1. Poiščite vzdrževalca

Ko postavite spletno mesto, mora nekdo zanjredno skrbeti. Če sami nimate dovolj znanja,morate nalogo vzdrževanja podeliti strokovnemuizvajalcu in zanjo tudi plačati primerno ceno.

2. Cena ni vse

Pri izbiri gostitelja ne glejte samo na najnižjoceno, ampak tudi na to, kaj gostitelj ponuja, ka-kšne izkušnje z njim imajo drugi ter ali bostetežave lahko hitro rešili. Če je gostitelj v tujiniali ste izbrali brezplačno gostovanje, bo lahko

reševanje problemov trajalo dlje časa.3. Zaščita spletnega mesta

Dostop do spletnega mesta omejite na znanelokacije, redno nameščajte posodobitve za pro-gramsko opremo na strežniku in izberite dovoljmočna gesla. Pozanimajte se, ali gostitelj ponujadodatne pakete za zaščito.

4. Varnostne kopijeRedno izdelujte varnostne kopije vsebin vašegastrežnika. Poskrbite za beleženje dostopov innapak v dnevniške datoteke. Oboje bo pomembnoob vdoru v vaš strežnik in izgubi ali spremembipodatkov na njem.

5. Ohranite nadzorSami ste odgovorni za delovanje strežnika in koste obveščeni o zlorabi ali vdoru, se morate ustre-zno odzvati. Vi morate biti navedeni kot nosilecdomene, da lahko potrjujete spremembe na njej.


26/26

ABC VARNOSTI ZA LASTNIKE

SPLETNIH STRANI

Documents

Varnost spletnih mest