Istnieje kilka metod, które w pewnym stopniu mogą zmniejszyć ryzyko takiego ataku. Warto zadbać o to już na etapie budowania strony, gdyż bezpieczeństwo naszych danych oraz danych naszych klientów jest najważniejsze.
Szyfrowanie haseł
Wiele osób, które strony internetowe znają tylko z ich „fizycznego” wyglądu, nie zdaje sobie sprawy, jak wiele informacji ukrytych jest w ich kodzie. To właśnie podczas tworzenia witryny WWW popełnia się najwięcej błędów, a jednym z nich jest przechowywanie haseł w czystej, niezakodowanej postaci. Gdyby ktoś włamał się do niezabezpieczonej bazy danych, jak na tacy miałby podane wszystkie dane użytkowników, a przecież to właściciel strony odpowiedzialny jest za bezpieczeństwo danych. Dobrym sposobem na zabezpieczenie danych jest kryptografia, a więc wykorzystanie funkcji jednokierunkowych, które każdemu hasłu przyporządkowują pewien ciąg znaków np.: zamiast nazwiska „Kowalski” otrzymamy zaszyfrowany zapis „b78b6b578a568d890b679a808”. Odszyfrowanie takiego hasła jest bardzo czasochłonne, a więc, jeśli ktoś już włamie się do bazy danych, jest szansa, że jej nie odszyfruje i nie wykorzysta.
SSL
Jeśli hasła w bazie danych są zaszyfrowane, warto także zadbać o to, aby transmisja danych również była zaszyfrowana. Wymagane jest to szczególnie wtedy, kiedy strona zawiera formularz rejestracyjny, a więc dane, które przekazują użytkownicy, mogą mieć dla nich kluczowe znaczenie. Dotyczy to konta e-mail, hasła oraz danych personalnych. Szyfrowanie danych za pomocą SSL to wydatek kilkuset złotych rocznie, ale warto w niego zainwestować, ponieważ dane, które przesyłają użytkownicy będą zaszyfrowane, a więc utrudnione będzie ich przechwycenie pomiędzy użytkownikiem, a serwerem.
Niebezpieczne przekierowania
Jeśli ktoś nie zna się na bezpieczeństwie stron internetowych, powinien zwrócić uwagę na filtrowanie adresów wyświetlanych stron. Dość często widać brak filtrowania, aplikacja adresuje domenę na zasadzie {stala}http://nazwadomeny.pl?strona=podstrona.html{/stala}, to istnieje ogromne ryzyko, że zamiast „index.html” będzie można podstawić np.: {stala}http://wirus.pl?strona=robak.exe{/stala}, w takim wypadku zawartość podejrzanej aplikacji wyświetli się na stronie domowej. Jest to bardzo niebezpieczna sytuacja, ponieważ w takim przypadku, cyberprzestępca, może wysłać link podobny do tego, który wykorzystywany jest przez stronę „domową” i przekierować zaatakowanych użytkowników na własny formularz rejestracyjny, który będzie wyświetlany, jako fragment strony „domowej”. Skutki takiego działania mogą być bardzo niebezpieczne, wystarczy, więc zadbać o to, aby strona posiadała filtrowania wyświetlanego adresu, a skutecznie uchroni to witrynę przed tego typu sytuacją.
Aktualne oprogramowanie i odpowiednia konfiguracja
Zawsze należy pamiętać o tym, aby mieć aktualną wersję oprogramowania i dotyczy to zarówno serwera WWW jak i działających na nim skryptów jak np.: WordPress czy Joomla. Niektórzy dostawcy usług hostingowych osobiście aktualizują wersje oprogramowania do tej najbardziej aktualnej, ale najlepiej zrobić to we własnym zakresie. Luka w oprogramowaniu to bardzo często zachęta do ataku, szczególnie, kiedy usługodawca udostępnił informację w internecie, w której publikuje, że poprzednia wersja zawierała lukę w kodzie i zaleca aktualizację do jej najnowszej odsłony. Osoba, która w porę nie dokona aktualizacji, narażona jest na duże ryzyko. Po aktualizacji, warto zadbać o odpowiednią konfigurację, a więc ustalić silne hasło oraz login, a także zablokować dostęp do bazy danych z różnych komputerów. Szczególnie często popełniany błąd to ustalenie loginu „admin” oraz hasła „admin”. Takie działanie wydaje się być zaproszeniem dla niepowołanego gościa w panelu administracyjnym. Warto ustalić hasło, które składa się zarówno z wielkich jak i małych liter, liczb oraz znaków specjalnych.
Przedstawione działania dla zaawansowanych użytkowników wydają się być może banalne, jednak wdrożenie ich wszystkich, to dobry pierwszy krok do zwiększenia bezpieczeństwa serwisu. Należy zawsze pamiętać o tym, że bezpieczeństwo naszych danych oraz danych naszych klientów jest najważniejsze – mówi Tomasz Kuźniar, prezes Monit24.pl.
autor: eRKa