Hlavní navigace

Nebezpečné webhostingy

 Autor: 29
Martin Klubal 25. 8. 2008

V dnešní době více než kdy jindy zaměřujeme naši pozornost především na počítačovou bezpečnost, netiketu a nezřídka nákladnou prevenci. Co však drtivá většina internetových uživatelů přehlíží, je integrita samotných dat při využívání služeb webhostingových společností, které skýtají vedle lákavých výhod i nemalá úskalí.

Služeb hostingových serverů, ať už těch komerčních nebo zdarma, dnes využívá nemalý počet firem, živnostníků, jakož i soukromých osob. Důvody podporující tento trend jsou logické, zákazníkovi odpadají starosti s vlastním serverem, konfigurací, pravidelným záplatováním a v neposlední řadě konektivitou, a proto může svoji plnou pozornost věnovat výhradně webové prezentaci, která již sama o sobě stála nemalé peníze a je zároveň tím jediným, co návštěvníky zajímá.

Hostingové společnosti se ve své podstatě nikdy nepodílely na budování renomé firmy či majitele stránek, jejich hlavním a jediným úkolem je pouze otevřít dveře do světa Internetu a rozšířit tak okruh potencionálních zákazníků. Ani dnes tomu není jinak, přičemž zřetel je kladen především na nabízené služby v čele s co nejvyšší kapacitou, kterou běžná internetová prezentace beztak nikdy nevyužije ani z poloviny. O čem se však nemluví, je bezpečnost. Poněkud zvláštní, když si uvědomíme, že všude jinde je právě na ni kladen v posledních letech největší důraz.

Když jste se rozhodovali, kam umístíte vaši firemní prezentaci, zajímala vás zároveň bezpečnost vytipovaných serverů? A pokud ano, zajímali jste se o problematiku více než jen do té míry, zda je zapnutý safe_mode či nikoliv? V oblasti počítačové bezpečnosti se pohybuji již několik let a dosud se mi nepodařilo nalézt opravdu bezpečně nakonfigurovaný webhostingový server. Krutá realita, nebo neumím hledat? Při výběru vhodného webového prostoru zapomínáme na jeden důležitý fakt, a to ten, že pro útočníka je v mnoha případech několikanásobně snazší kompromitovat webovou prezentaci skrz benevolentně zabezpečený server, než se spoléhat na to, že programátor oné prezentace udělal někde chybu, natož pokud se jedná např. o některý z praxe ověřených publikačních systémů typu WordPress nebo Drupal.

Kdo již někdy konfiguroval webový server, jistě mi dá za pravdu, že ideální konfigurace neexistuje. Buď se musí vyhovět zákazníkům na úkor bezpečnosti, nebo mít striktní bezpečnostní politiku a počítat tak s množstvím nespokojených uživatelů, což se ale v dnešní době neodpouští. Střední cesta se tak zdá být nejschůdnějším řešením a je tudíž aplikována na drtivé většině dnešních serverů, free i komerčních. Ano, čtete správně. Pokud jste se domnívali, že komerční hostingy nabízejí oproti free serverům bezpečnější konfiguraci pro vaši prezentaci, pak se hluboce mýlíte. Za rozdíl mezi free a placenou variantou si samozřejmě platíme, jedná se však o rozdíl v podpoře, prostoru a trafficu, nikoliv však v konfiguraci. Přitom právě konfigurace je jedinou bezpečnostní bariérou, která odděluje všechna sdílená data a v případě, že ji útočník překoná, stává se jejich novým majitelem. Částečným řešením pak může být kompilace dynamických scriptů, což však ne každý hosting umožňuje, proto je výhodnější sáhnout po jistotě v podobě vlastního či hostovaného serveru, kde nám hrozí mnohem méně rizik, neboť je útočník omezen pouze na útoky zvenčí.

Není tomu tak dávno, co mě jeden dobrý kamarád požádal o to, abych mu nastínil, jakým způsobem dokáži při penetračních testech kompromitovat webový server. Nechal jsem ho tedy, ať vybere jednu libovolnou českou a jednu zahraniční hostingovou společnost, abych mu dokázal, že bezpečný sdílený server neexistuje. Kompromitovat vybraný tuzemský webhosting bylo více než snadné a tak jsem mu v teoretické rovině nastínil, jakých chyb se správce při konfiguraci onoho serveru dopustil. Na zahraničním freehostingu jsme si pak vyzkoušeli samotný průnik v praxi, a to tak, že jsme si každý založili vlastní konto a navzájem se napadali. Dostat se ke kamarádovu indexu a změnit jej netrvalo ani v tomto případě déle než několik málo minut. Opravdu stále věříte, že jsou vaše data v bezpečí a můj kamarád vybral shodou náhod dva mizerně zabezpečené servery? Možná…

Webhosting

Bezpečnost webového hostingu netkví jen v konfiguračních direktivách samotného serveru nebo dynamického jazyka, v safe_mode nebo v open_basedir (první jmenovaná se dokonce v nové verzi PHP 6 již vůbec nevyskytuje), důležité jsou rovněž pravidelné záplaty a v neposlední řadě upgrady, které ale především pro větší hostingové společnosti nemusejí být zrovna nejsnazší záležitostí. Na což však doplácejí v první řadě sami uživatelé. Jen těžko se pak můžeme divit, že je na současných sdílených serverech stále možné procházet systémové adresáře, číst obsah souboru /etc/passwd nebo kompromitovat a měnit data cizích uživatelů. Stejně jako v jiných oblastech, a to nejen internetového světa, ani u hostingových společností není vždy velký kapitál a počet „ulovených“ zákazníků garancí kvality, důkazem mohou být naši největší poskytovatelé freehostingových služeb, jejichž konfigurace má se zabezpečením společného pouze pramálo a umístění webové prezentace na takový server se rovná internetové sebevraždě. Přesto se po krátké návštěvě katalogu můžete sami přesvědčit, jaké množství firem, ba dokonce e-shopů svěřilo svoji webovou prezentaci právě takovým společnostem. Zlevněným objednávkám se pak lze jen stěží divit.

KL_HLASOVANI

Je až absurdní, kolik společností investuje nemalý kapitál do rozvoje dobrého jména firmy, reklamy a vizí, přičemž hrozby, které by mohly tyto cíle ohrozit, bezostyšně přehlížejí. Pro zodpovědné společnosti, kterým není bezpečnost a integrita jejich dat lhostejná a myslí to s e-komercí vážně, by měl být nesdílený server samozřejmostí a webhostingové společnosti tabu, navíc při dnešních nabídkách serverhousingů a serverhostingů není k těmto službám nikterak daleko. Berte proto investice do zabezpečení a penetračních testů jako investice do budoucna a nebojte se udělat krok od web- k serverhostingu, neboť bezpečí si koupit můžete, renomé nikoliv.

Málo kdo asi přehlédl, že v tomto článku zvítězila teorie nad praxí, v pokračování se proto zaměříme již jen na nebezpečnou konfiguraci sdílených serverů, jednotlivé direktivy a úskalí dostupných modulů, přičemž se naučíme vybírat z množství nabízených webhostingů právě ty bezpečnější.

Anketa

Zamýšlíte se při volbě webhostingu nad jeho zabezpečením?

Našli jste v článku chybu?
Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Podnikatel.cz: Poslanci chtějí sebrat majetek Bakalovi

Poslanci chtějí sebrat majetek Bakalovi

Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

Vitalia.cz: 7 příčin neplodnosti u žen: pravda a mýty

7 příčin neplodnosti u žen: pravda a mýty

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Root.cz: Prvních 700 routerů Omnia je hotových

Prvních 700 routerů Omnia je hotových

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: ČT začne vysílat z Hradce Králové

ČT začne vysílat z Hradce Králové

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu