Internet można porównać do układu krwionośnego, natomiast sygnał przesyłania danych to krew. Biegnie ona w górę do serca gdzie zostaje oczyszczona a następnie w dół by zasilić nasz cały organizm. Tak samo działa Internet. Przesyła on sygnały z jednego miejsca do drugiego i odwrotnie. Należy, zatem pamiętać, że logując się np. na swoje konto internetowe wysyłamy sygnał sieci do bazy danych, która znajduje się gdzieś daleko poza naszym komputerem i może on być narażony na różnorakie ataki.
Korzystając z Internetu za pomocą wi-fi, sygnały, które wysyłamy (czyli w zasadzie każde kliknięcie, logowanie etc.) są dostępne dla każdej osoby, która jest w zasięgu Twojej sieci. Co za tym idzie każda taka osoba ma teoretyczną możliwość odebrania tych danych (w praktyce nie każdy na szczęście posiada potrzebne umiejętności i jest świadomym tego typu spraw). Dzieje się tak ponieważ karty sieciowe zamontowane w naszych komputerach odbierają wszystkie informacje na danej częstotliwości. Oznacza to, że pakiety danych wszystkich użytkowników Internetu odbierane są wstępnie przez Twoją kartę sieciową a Ty nawet o tym nie wiesz. Dlatego już dzieci w gimnazjum, które fascynują się technologią IT i informatyką potrafią dokonać prostych ataków hackerskich.
Dlatego tak ważne jest, aby pamiętać o zapewnieniu bezpieczeństwa zarówno stronom internetowym, e-sklepom jak i aplikacjom dedykowanym. Powinieneś przede wszystkim zadbać o bezpieczeństwo:
a) klienta – po jego stronie tak, aby mógł on bezpiecznie logować się na swoje konto i z niego swobodnie korzystać. Jak tego dokonać? Po pierwsze zadbaj o szyfrowanie danych (certyfikaty SSL) – zabezpieczenie bardzo trudne do obejścia. Dzięki szyfrowaniu połączeń dane Twoich klientów będą trudniejsze do odczytania z powodu braku kodów śledzących. Warto sprawdzać certyfikaty już w momencie wejścia na stronę internetową gdzie będziemy musieli zostawić nasze dane.
b) serwer – zapewnij bezpieczeństwo także po swojej stronie, zadbaj o swój serwer, zabezpiecz dane, które się na nim znajdują. Ważną informacją jest fakt, iż zabezpieczenie od strony serwera są trudniejsze do zdobycia przez hackerów. Co można zrobić w tej kwestii?
c) postawić firewall’e czyli zapory sieciowe
d) przy projektowaniu dedykowanego serwisu należy zadbać o to, aby nie pozostawić otwartych dziur na standardowe ataki hackerskie takie jak np.: php injection, sql injection, etc. Kluczowe jest zadbanie o brak dziur już od samego początku. Dlatego tak ważnym, przy każdej dedykowanym rozwiązaniu, jest stworzenie specyfikacji wymagań, w której powinien zawierać się również rozdział o zabezpieczeniach.
e) aktualizować serwer
f) ważne jest również, aby dobrać odpowiednie zabezpieczenia do branży, w której działamy. Nie ma sensu przecież przepłacać za stworzenie rozwiązań stosowanych w zabezpieczaniu transakcji bankowych do prostego sklepu internetowego takiego jak np. księgarnia.
Mamy nadzieję, że dzięki tym informacjom przyswoiłeś, drogi czytelniku, podstawy bezpieczeństwa w sieci. Poniżej znajdziesz kilka punktów opisujących jak my dbamy o to, aby nasi klienci mogli czuć się bezpieczni w sieci i spać spokojnie. To tylko najistotniejsze z naszych zabezpieczeń. W trosce o bezpieczeństwo naszych klientów nie możemy zdradzić większej ilości informacji w tym temacie na forum publicznym.
· 24 miesięczna gwarancja, podczas której czuwamy nad Twoim serwisem, monitorujemy jego stan i osobiście chronimy go przed atakami hakerskimi
o Korzystanie ze środowiska Ubuntu w wersji LTS (długoterminowe wsparcie producenta) umożliwia nam również zapewnienie długoterminowego wsparcia naszym klientom, poprzez ciągły dostęp do aktualizacji oprogramowania
· Automatyczne, codzienne tworzenie i szyfrowania przyrostowych kopii zapasowych serwisu – co oznacza, że w każdej chwili nasi klienci mogą odzyskać utracone dane
· Backupy i archiwizacja – dbamy o to by dane ze stron naszych klientów nie zaginęły, z tego względu na naszych serwerach tworzymy backupy oraz archiwizujemy dane na dwóch fizycznie oddzielnych maszynach. Jeżeli strona z nieprzewidzianych względów przestanie działać bez problemu przywrócimy ją do sprawnej postacie właśnie dzięki kopiom zapasowym i archiwizacji danych!
o Regularne i poprawne tworzenie kopii zapasowych to podstawowa zasada bezpieczeństwa. W celu zmniejszenia ryzyka utraty danych w nieprzewidzianych przypadkach, kopii bezpieczeństwa podlegają zarówno baza danych systemu jak i pliki danego serwisu. Aby maksymalnie zabezpieczyć dane przed awariami, wypadkami, kradzieżami i innymi przypadkami utraty danych (takie jak pożary, powodzie itp.) wykonywana jest kopia zapasowa online.
o Posiadamy wyznaczone miejsce na oddzielnej fizycznej maszynie, gdzie za pomocą łącza internetowego wysłyłamy dane kopii zapasowej. Po wykonaniu pierwszej w danym miesiącu kopii plików aplikacji, tworzone są tylko kopie przyrostowe. Taki sposób tworzenia zapewnia możliwość odtworzenia danych z konkretnego dnia. Kopia zapasowa bazy danych jest przechowywana bez wykorzystania kopii przyrostowych, co pozwala na łatwiejszy dostęp do archiwizowanych danych. Wykonanie kopii zapasowej odbywa się zgodnie z harmonogramem (ustalony czas startu backupu) lub na żądanie (w dowolnym czasie). Ponadto, kopie zapasowe są szyfrowane w celu zabezpieczenia danych oraz przechowywane dodatkowo na maszynie wykonującej kopię, aby przyśpieszyć proces odzyskiwania danych podczas awarii. Kopie zapasowe wykonywane są automatycznie codziennie i przechowujemy je przez co najmniej 7 dni.
· Dostęp do administracji serwera posiadają tylko przeszkolone i autoryzowane osoby
· Zwiększone bezpieczeństwo serwisu poprzez używanie tylko szyfrowanych połączeń – nie korzystamy z nieszyfrowanego połączenia FTP, które jest bardzo łatwo do przechwycenia i złamania
· Tworząc nasze serwisy korzystamy z jednego z najbezpieczniejszych frameworków Symfony2, w którym ochrona dostępu do serwisu jest dwuetapowym procesem, którego celem jest uniemożliwienie użytkownikowi dostępu do zasobów, do których nie powinien mieć dostępu. W pierwszym etapie tego procesu system bezpieczeństwa identyfikuje, kto jest użytkownikiem poprzez żądanie od użytkownika przesłania jakiegoś rodzaju identyfikacji. Jest to nazwane uwierzytelnieniem, a to oznacza, że system próbuje się dowiedzieć, kim jest osoba starająca się uzyskać dostęp do zasobów. Gdy system już dowie się kim jest osoba starająca się uzyskać dostęp do zasobów to następnym etapem jest ustalenie, czy Mozę mieć ona dostęp do danych zasobu. Ta część procesu nosi nazwę autoryzacji co oznacza, że system sprawdza, czy ta osoba ma uprawnienia do wykonania określonej czynności. Więcej informacji na temat zabezpieczeń Framework’u Symfony znajduje się stronie: http://symfony-docs.pl/book/security.html
o Symfony2 wymusza poprawne programowanie i wprowadza wiele zabezpieczeń jeszcze przed podjęciem przez nas działań
· Korzystamy z najnowszych systemów, które oferują wysoki poziom bezpieczeństwa:
o Serwer NGINX
o Bazy danych MySQL
o Szyfrowanie połączenia SSL – możliwość dostępu do FTP tylko za pomocą szyfrowanego połączenia SSL
§ Tworzone przez nas serwisy wymuszają logowanie i obsługę serwisu po zalogowaniu z użyciem certyfikatów SSL.
o Firewall – serwer jest zabezpieczony programem typu firewall, który bloku dostęp do serwera i jednocześnie umożliwia dostęp tylko do wybranych usług, np. serwera WWW.
· Nasze serwery automatycznie blokują dostęp do portów TCP i UDP z wyjątkiem tych portów, które są niezbędne do prawidłowego działania aplikacji, jej zarządzania i utrzymania.
· Tworzone przez nas serwisy są zabezpieczone przed atakami XSS oraz XSRF
o XSRF (Cross Site Request Forgery) - Atak XSRF polega na zmuszeniu osoby zalogowanej w pewnej aplikacji internetowej do wykonania jakiejś akcji w obrębie danej aplikacji.
o XSS (Cross Site Scripting) - Atak XSS stosuje się najczęściej do wstrzyknięcia kodu HTML przez niefiltrowanie danych, które przesyłane są metodą GET lub POST.
o Zabezpieczenia przed atakiem typu XSS dotyczą Niezalogowanych Użytkowników, Zalogowanych Użytkowników. Aby aplikacja nie ograniczała Administratorom zarządzanie serwisem dopuszcza się techniczną możliwość przeprowadzenia ataku XSS przez Administratorów. Administrator nie będzie mógł przeprowadzać ataków na stronę z racji swojego stanowiska i ograniczonej ilości Administratorów.
· Tworzone przez nas serwisy zabezpieczamy również przed atakami SQL Injection oraz PHP Injection
o SQL Injection - Atak polega na wstrzykiwaniu wywołań SQL za pośrednictwem danych wejściowych danej aplikacji. Mnóstwo stron jest podatnych na atak SQL Injection.
o PHP Injection - Atak polega na zmianie parametrów, które przekazywane są do aplikacji internetowej, w celu uruchomienia złośliwego kodu PHP.
· Hasła Użytkowników będą przechowywane w formie "skrótu" z hasła i utajnionej wartości "sól"
o Zapisywanie hasła za pomocą jednokierunkowej funkcji skrótu - nie da się odszyfrować hasło - sprawdzanie polega na zakodowaniu wpisanego hasła i sprawdzeniu czy taki sam skrót jest w bazie danych
o Nasze serwisy bez wcześniejszego uwierzytelnienia użytkownika nie udostępni mu jakichkolwiek informacji lub funkcjonalności które nie powinny być dostępne dla nieuprawnionych użytkowników
· Sposób w jaki tworzymy serwisy internetowe sprawia, że z poziomu strony internetowej użytkownicy (również hakerzy) mają dostęp tylko do plików statycznych (czyli obrazków, plików szablonów, stylów i plików JS, czcionek itp.) i plików startowych serwisu w których znajduje się tylko kilkanaście linijek kodu. Cała reszta serwisu (cześć, która faktycznie wykonuje całą pracę) jest nie osiągalną z poziomu przeglądarki (oznacza to, że w celu zdobycia wrażliwych danych ktoś musiałby się włamywać na cały serwer)
· Tworzone przez nas serwisy zapewniają mechanizm umożliwiający aktualizację oprogramowania, co w dłuższej perspektywie pozwala nam szybko reagować na powstające nowe luki w systemach bezpieczeństwa i uaktualniać je do najnowszych i bezpieczniejszych wersji
· Wszystkie zdarzenia w naszych serwisach są rejestrowane z precyzją czasu nie mniejszą niż 1 sekunda – oznacza to, że każda nieautoryzowana próba wejścia do serwisu zostanie zarejestrowana co do sekundy.
· Nasze serwer składa się z dwóch dysków przechowujących dane, tzw. matryca RAID – w ten sposób zabezpieczamy klientów przed awarią, ponieważ w przypadku zepsucia się jednego dysku zostanie on wymieniony online i bez utraty danych
Jeżeli zainteresował Cie ten temat i chciałbyś uzyskać więcej informacji o ochronie naszych serwisów w Internecie napisz do nas. Chętnie zajmiemy się Twoją stroną internetową i zapewnimy maksimum bezpieczeństwa zarówno Tobie jak i Twoim klientom.