Autor Zpráva
Matěj Kloubek
Hosting cesky-hosting.cz
Profil
Zdravím,

protože se za posledních pár týdnů masově rozšířily problémy se zavirovanými stránkami, rozhodli jsme se, na Českém hostingu, o základních chybách zabezpečení a postupu práce s webem sepsat článek. Nejde o odborný ani vyčerpávající popis. Chceme o této problematice informovat neznalé provozovatele webů a majitele počítačů.

Článek najdete na adrese http://www.cesky-hosting.cz/pro-zakazniky/hostingove-zpravy/bezpecnost-prace-s-webovymi-aplikacemi.html.

Budu rád, když se k článku vyjádřite přímo v komentářich pod ním nebo v této diskusi.
Václav Martinovský
Profil
Pěkný článek pane kolego. Jen bych dodal, že ani s těmi SSH klíči to taky není nejlepší nápad - dnešní viry jsou zaměřené na to, že vytahnou hesla z total commanderu a jiných. Viry zítra můžou udělat to samé s klíči od puttyny/winscp. Takže skutečně nic nikam neukládat, volit jedinečná a zapamatovatelná hesla a přežít to :)

A hlavně - nespoléhat na antivir! Z praxe vidím, že i přes plně aktualizované antiviry se povede zavirovat počítač tak, že to vyřeší až reinstall. Tzn. neotvírat neznámé soubory (nemá smysl si něco nalhávat, nejvíc toho šlo a stále jde přes porno/warez).
armin
Hosting armin.sk
Profil
Ono stačí si položit otázku - jak se mi dostane do PC virus? Toto ať si zodpoví každý uživatel sám. Osobně na vlastních PC nepoužívám žádný antivirus, firewall a nikdy mi nic nebylo odcizeno ani zavirováno. Jak na to? Nespouštět a neinstalovat neznámé aplikace (obdržené mailem od neznámého odesílatele, ******, keygeny, patche a podobné svinstvo), nelozit na erotické weby, neinstalovat žádný software pro stahování / sledování erotického obsahu. Je to skutečně jednoduché. Kdo se s takovýmto přístupem a využitím sítě nestotožňuje, jeho věc, určitě ať si přečte linkovaný článek.
Bubák
Profil
armin
Zas tak jednoduché to není. Pokud máš třeba "starý" Firefox 3.0.9, tak stačí zneužít (zvežejněnou) vysoce kritickou zranitelnost a je po ptákách.
Matěj Kloubek
Hosting cesky-hosting.cz
Profil
To co zmiňujete je pravda, proto také uvádíme, cituji: Ve výsledku jsou služby tak bezpečné, jak bezpečně s nimi pracují uživatelé a co umožní jejich aplikace.
Petr Benešovský
Profil
Ahoj Matěji,

je to bohužel tak, v posledních týdnech se webové viry značně rozmohly, proto jsme i my začátkem dubna zanesli informace o této problematice do znalostní báze, viz.:
Jak odhalím stránky napadené virem?
Jak chránit FTP před zneužitím?

Dále jsme přistoupili k nové bezpečnostní politice v zabezpečení klientských FTP účtů. FTP účty klientů jsou defaultně zamknuty a klient si může nadefinovat vlastní IP adresy/rozsahy pro přístup k účtu. Pokud tedy útočník získá přihlašovací údaje k účtu z napadeného počítače, jsou mu k ničemu, provede-li útok z jiné IP adresy, než kterou klient povolil.

Samozřejmě souhlasím s tím, že každý uživatel internetu by se měl řídit alespoň základními bezpečnostními pravidly.


S přáním hezkého dne

Petr Benešovský
ONEbit.cz
Matěj Kloubek
Hosting cesky-hosting.cz
Profil
Ahoj,

filtrovat IP je fajn, ale neřeší to problém, pokud nakažený je právě majitel dané IP adresy, řeší to jen část problému s přepsáním souborů odjinud. Stejně tak se nevyřeší nic pokud používam všechno jak mám, ale heslo posílám mailem na všechny strany :(

Cesta nevede ve vynalézání opatření, ale v osvětě uživatelů.
Petr Benešovský
Profil
Určitě souhlasím s osvětou, zároveň si však myslím, že jakýkoliv nástroj pro zvýšení bezpečnosti klientských účtů je žádoucí.

V drtivé většině se přepis souborů na FTP děje ze zahraničních IP adres s odcizenými přístupovými údaji a zde právě útočník naráží na firewall, který ho k účtu nepřipustí.


Petr Benešovský
ONEbit.cz
armin
Hosting armin.sk
Profil
Pánové, víte co se říká odjakživa? V jednoduchosti je sila. A pokud tuto pravdu aplikujeme na total commander, tak řešení je naprosto triviální, uvedu v pár bodech:
1) dejme tomu že mám v total commanderu uložen ftp přístup s heslem třeba "MojeFTPheslo2009" (bez uvozovek)
2) víme, že vir nemá problém dešifrovat uložené ftp přístupy, tedy má login(-y) jak na dlani
3) uložím si ftp přístup resp. jen heslo tak, aby mi scházel buď jeden znak, nebo přebýval, třeba "MojeFTPheslo2009abc"
4) připojím se s tímto nesprávným heslem, ftp server mi hodí odezvu že nesedí login, klepnu na "Re-enter":

Poté mi vyskočí okénko s předepsaným uživatelským jménem:

to pouze potvrdím, nakolik sedí a pak mi vyskočí okénko s mým uloženým heslem (špatným), kde vím že mi buď chybí pár znaků, nebo přebejvá, tedy v tomto ukázkovém příkladě umažu tři poslední znaky:

zmáčknu enter a jsem na ftp. Je to rozhodně mnohem pohodlnější než pokaždé ručně zadávat celé heslo. Případný vir s neúplným, nebo až moc úplným heslem nic nezmůže, podle logů ftp serveru se jedná vždy pouze o jedno připojení, pokud je platné, tak postup asi zná většina lidí, pokud se nepovede dostat na ftp, tak se proste toto připojování neopakuje.

Je to jednoduché, triviální, šikovné. Každopádně tuto problematiku vyřeší verze 7.50, kdy všechny hesla budou šifrované a chraněné na lepší úrovni než x let doposud.
srigi
Profil
armin
Toto je naozaj dobry napad.
Matěj Kloubek
Hosting cesky-hosting.cz
Profil
armin
Tleskám chytrému jednoduchému řešení :)
Petr Benešovský
Profil
armin
Výborný nápad - teď už zbývá jen proškolit ty miliony uživatelů Total Commanderu :-)