Hlavní navigace

Nebezpečné webhostingy

 Autor: 29
Martin Klubal

V dnešní době více než kdy jindy zaměřujeme naši pozornost především na počítačovou bezpečnost, netiketu a nezřídka nákladnou prevenci. Co však drtivá většina internetových uživatelů přehlíží, je integrita samotných dat při využívání služeb webhostingových společností, které skýtají vedle lákavých výhod i nemalá úskalí.

Služeb hostingových serverů, ať už těch komerčních nebo zdarma, dnes využívá nemalý počet firem, živnostníků, jakož i soukromých osob. Důvody podporující tento trend jsou logické, zákazníkovi odpadají starosti s vlastním serverem, konfigurací, pravidelným záplatováním a v neposlední řadě konektivitou, a proto může svoji plnou pozornost věnovat výhradně webové prezentaci, která již sama o sobě stála nemalé peníze a je zároveň tím jediným, co návštěvníky zajímá.

Hostingové společnosti se ve své podstatě nikdy nepodílely na budování renomé firmy či majitele stránek, jejich hlavním a jediným úkolem je pouze otevřít dveře do světa Internetu a rozšířit tak okruh potencionálních zákazníků. Ani dnes tomu není jinak, přičemž zřetel je kladen především na nabízené služby v čele s co nejvyšší kapacitou, kterou běžná internetová prezentace beztak nikdy nevyužije ani z poloviny. O čem se však nemluví, je bezpečnost. Poněkud zvláštní, když si uvědomíme, že všude jinde je právě na ni kladen v posledních letech největší důraz.

Když jste se rozhodovali, kam umístíte vaši firemní prezentaci, zajímala vás zároveň bezpečnost vytipovaných serverů? A pokud ano, zajímali jste se o problematiku více než jen do té míry, zda je zapnutý safe_mode či nikoliv? V oblasti počítačové bezpečnosti se pohybuji již několik let a dosud se mi nepodařilo nalézt opravdu bezpečně nakonfigurovaný webhostingový server. Krutá realita, nebo neumím hledat? Při výběru vhodného webového prostoru zapomínáme na jeden důležitý fakt, a to ten, že pro útočníka je v mnoha případech několikanásobně snazší kompromitovat webovou prezentaci skrz benevolentně zabezpečený server, než se spoléhat na to, že programátor oné prezentace udělal někde chybu, natož pokud se jedná např. o některý z praxe ověřených publikačních systémů typu WordPress nebo Drupal.

Kdo již někdy konfiguroval webový server, jistě mi dá za pravdu, že ideální konfigurace neexistuje. Buď se musí vyhovět zákazníkům na úkor bezpečnosti, nebo mít striktní bezpečnostní politiku a počítat tak s množstvím nespokojených uživatelů, což se ale v dnešní době neodpouští. Střední cesta se tak zdá být nejschůdnějším řešením a je tudíž aplikována na drtivé většině dnešních serverů, free i komerčních. Ano, čtete správně. Pokud jste se domnívali, že komerční hostingy nabízejí oproti free serverům bezpečnější konfiguraci pro vaši prezentaci, pak se hluboce mýlíte. Za rozdíl mezi free a placenou variantou si samozřejmě platíme, jedná se však o rozdíl v podpoře, prostoru a trafficu, nikoliv však v konfiguraci. Přitom právě konfigurace je jedinou bezpečnostní bariérou, která odděluje všechna sdílená data a v případě, že ji útočník překoná, stává se jejich novým majitelem. Částečným řešením pak může být kompilace dynamických scriptů, což však ne každý hosting umožňuje, proto je výhodnější sáhnout po jistotě v podobě vlastního či hostovaného serveru, kde nám hrozí mnohem méně rizik, neboť je útočník omezen pouze na útoky zvenčí.

Není tomu tak dávno, co mě jeden dobrý kamarád požádal o to, abych mu nastínil, jakým způsobem dokáži při penetračních testech kompromitovat webový server. Nechal jsem ho tedy, ať vybere jednu libovolnou českou a jednu zahraniční hostingovou společnost, abych mu dokázal, že bezpečný sdílený server neexistuje. Kompromitovat vybraný tuzemský webhosting bylo více než snadné a tak jsem mu v teoretické rovině nastínil, jakých chyb se správce při konfiguraci onoho serveru dopustil. Na zahraničním freehostingu jsme si pak vyzkoušeli samotný průnik v praxi, a to tak, že jsme si každý založili vlastní konto a navzájem se napadali. Dostat se ke kamarádovu indexu a změnit jej netrvalo ani v tomto případě déle než několik málo minut. Opravdu stále věříte, že jsou vaše data v bezpečí a můj kamarád vybral shodou náhod dva mizerně zabezpečené servery? Možná…

Webhosting

Bezpečnost webového hostingu netkví jen v konfiguračních direktivách samotného serveru nebo dynamického jazyka, v safe_mode nebo v open_basedir (první jmenovaná se dokonce v nové verzi PHP 6 již vůbec nevyskytuje), důležité jsou rovněž pravidelné záplaty a v neposlední řadě upgrady, které ale především pro větší hostingové společnosti nemusejí být zrovna nejsnazší záležitostí. Na což však doplácejí v první řadě sami uživatelé. Jen těžko se pak můžeme divit, že je na současných sdílených serverech stále možné procházet systémové adresáře, číst obsah souboru /etc/passwd nebo kompromitovat a měnit data cizích uživatelů. Stejně jako v jiných oblastech, a to nejen internetového světa, ani u hostingových společností není vždy velký kapitál a počet „ulovených“ zákazníků garancí kvality, důkazem mohou být naši největší poskytovatelé freehostingových služeb, jejichž konfigurace má se zabezpečením společného pouze pramálo a umístění webové prezentace na takový server se rovná internetové sebevraždě. Přesto se po krátké návštěvě katalogu můžete sami přesvědčit, jaké množství firem, ba dokonce e-shopů svěřilo svoji webovou prezentaci právě takovým společnostem. Zlevněným objednávkám se pak lze jen stěží divit.

Je až absurdní, kolik společností investuje nemalý kapitál do rozvoje dobrého jména firmy, reklamy a vizí, přičemž hrozby, které by mohly tyto cíle ohrozit, bezostyšně přehlížejí. Pro zodpovědné společnosti, kterým není bezpečnost a integrita jejich dat lhostejná a myslí to s e-komercí vážně, by měl být nesdílený server samozřejmostí a webhostingové společnosti tabu, navíc při dnešních nabídkách serverhousingů a serverhostingů není k těmto službám nikterak daleko. Berte proto investice do zabezpečení a penetračních testů jako investice do budoucna a nebojte se udělat krok od web- k serverhostingu, neboť bezpečí si koupit můžete, renomé nikoliv.

Málo kdo asi přehlédl, že v tomto článku zvítězila teorie nad praxí, v pokračování se proto zaměříme již jen na nebezpečnou konfiguraci sdílených serverů, jednotlivé direktivy a úskalí dostupných modulů, přičemž se naučíme vybírat z množství nabízených webhostingů právě ty bezpečnější.

Anketa

Zamýšlíte se při volbě webhostingu nad jeho zabezpečením?

Našli jste v článku chybu?

25. 8. 2008 23:04

mn (neregistrovaný)
Vase projekty jsou i Vasi vizitkou. Kdyz napisete clanek, ktery nestoji za nic, rekne Vam to tu v diskusi dalsich 20 lidi, nezvladate kritiku a jeste za sebou nemate zadny seriozni projekt, nemuzete cekat pozitivni odezvy.

Vas clanek vyslovene podnecuje k neprilis pozitivnim reakcim. Vas pristup v diskusi jeste vic.

Sice me tesi, ze jste me jmenoval, ale myslim, ze to Vam moc nepomuze...

Cele by to slo zvladnout s chladnou hlavou, stacilo by kdybyste se udrzel nad veci, nekterym commentum se …





25. 8. 2008 12:45

Dobrý den,

VELMI bych ocenil, kdyby autor doplnil podrobný popisek k obrázku (terminálu Putty), který je v článku obsažen. Protože článek je o dírách v konfiguraci webhostingových serverů a tvrdí, že prolomit český i zahraniční webhosting bylo snadné, ale
a) "kecat umí každý - ukaž mi kód" (L.Torvalds), takže bych očekával, že se dočtu, jakým způsobem byl web prolomen
b) obrázek, aniž by byl označen za ilustrační, se nezdá souviset s tématem webhostingů a jeho obsah nic nedokazuje (…



Podnikatel.cz: Změny v cestovních náhradách 2017

Změny v cestovních náhradách 2017

Podnikatel.cz: Daňové úlevy s EET nestačí. Budou zdražovat

Daňové úlevy s EET nestačí. Budou zdražovat

DigiZone.cz: Placené VoD a obsah zdarma

Placené VoD a obsah zdarma

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

DigiZone.cz: Perspektivy TV v roce 1939 podle časopisu Life

Perspektivy TV v roce 1939 podle časopisu Life

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...