Niedawne, nagłośnione w mediach, dwukrotne wyłączenie na kilka godzin serwisu aukcyjnego Allegro sprawiło, że zadajecie nam dużo pytań odnośnie zabezpieczenia stron www przed rozmaitymi atakami z sieci. Zabezpieczenia systemów teleinformatycznych przed niepożądaną ingerencją to temat na tyle szeroki, że powstają o nim dziesiątki prac naukowych, niemniej jednak postaramy się w – bardzo uproszczonych – zarysach przedstawić istotę problemu. W skrócie – naiwnością jest sądzić, że sprawa wyłączenia Allegro to jakiś jednostkowy, nadzwyczajny przypadek. Po prostu hakerom udało się tym razem zablokować ten serwis dość prymitywną metodą zmasowanego ataku DDOS, a że platforma jest popularna, media nagłośniły temat, popełniając przy okazji – jak to media – całą gamę błędów merytorycznych. Z Facebooka, czy Allegro korzystamy wszyscy, jednak mało kto zdaje sobie sprawę z milionów inwestowanych przez duże spółki IT w zabezpieczenia i z nieustannej walki z nieproszonymi gośćmi odbywającej się na zapleczu takich serwisów. Z dozą prawdopodobieństwa graniczącą z pewnością możemy stwierdzić, że do ataków na każdy duży serwis, taki jak Allegro, dochodzi… kilka razy dziennie.
Biorąc pod uwagę ten dość pesymistyczny wstęp, a także fakt, że przed atakami hakerów nie uchronili się nawet tacy giganci jak Googgle, Facebook, Twitter, czy Apple, można sobie zadać pytanie, czy w ogóle warto mieć stronę www? Równie dobrze można by zapytać, czy warto mieć dom? Warto, jednak każdy chroni swój dom przed włamywaczami. W gruncie rzeczy zasady ochrony strony www przed hakerami są zbliżone. Dom chronią przynajmniej dwa zamki w drzwiach, alarm i odpowiednie zachowanie domowników (nie zostawiamy na oścież otwartych drzwi, bo wszystkie zabezpieczenia zdadzą się na nic). Podobnie jest ze stroną internetową – nie zostawiamy na oścież otwartych drzwi. Czy warto jednak popadać w paranoję? Wprawdzie dom można tak zabezpieczyć, że nawet właściciel będzie miał problem z wejściem do niego, stronę internetową również, jednak to mija się raczej z celem i wygodą użytkowania. Jak w każdej innej dziedzinie życia – nic nie zastąpi zdrowego rozsądku. Odwieczna zasada informatyki mówi, że co da się zabezpieczyć, da się i odbezpieczyć. Jest to tylko kwestia czasu i środków poświęconych na złamanie zabezpieczeń.
Wbrew pozorom problem nie dotyczy domorosłych, zazwyczaj niepełnoletnich, „hakerów” obchodzących „dla chwały i sportu” podstawowe zabezpieczenia tysięcy firmowych i prywatnych stron www opartych o popularne rozwiązania CMS, czy spambotach rozsyłających masowo maile lub zostawiających niechciane wpisy w komentarzach – ich działalność każdy może łatwo wykryć i się przed nią zabezpieczyć (nie potrzeba do tego specjalistycznej wiedzy, wystarczy tzw. zdrowy rozsądek administratora, czy właściciela strony i chwila lektury w Internecie) – a w rozwijającej się w błyskawicznym tempie cyberprzestępczości. O ile wizytówkowa strona www małej firmy zupełnie nie leży w kręgu zainteresowań cyberprzestępców, o tyle duży sklep internetowy, portal aukcyjny, czy każda inna strona przetwarzająca dane osobowe i finansowe musi się liczyć z tym, że wcześniej, czy później stanie się obiektem ataku, gdyż przechowuje dane, które mogą zostać zamienione w gotówkę – dane osobowe użytkowników, numery ich kont i kart kredytowych. Jak myślicie ile może być warta pełna baza danych zweryfikowanych użytkowników Allegro, z historią ich transakcji, zainteresowań, korespondencji? Starczyłoby na wykupienie kilku firm takich, jak Entera i jeszcze zostałoby na prywatną, tropikalną wyspę.
Wracając do wspomnianych, domorosłych „hakerów” i spambotów – aby nie mieć z nimi większych kłopotów wystarczy monitorować swoją stronę www i dbać o minimalny poziom jej zabezpieczeń: ukrycie panelu administratora, niestandardowe przedrostki w bazie danych, silne, regularnie zmieniane hasła, niezapisywanie haseł w programach do FTP itp. Oprócz tych podstawowych działań, praktycznie każdy popularny CMS posiada też sporą gamę wtyczek chroniącą przed rozmaitymi, prostymi atakami – ich używanie jest zazwyczaj bezpłatne. Warto pamiętać, że wszelkie zabezpieczenia nie zastąpią najważniejszej czynności odpowiedzialnego administratora – regularnego wykonywania kopii bezpieczeństwa plików strony i bazy danych. Nawet jeśli strona www padnie wówczas ofiarą ataku, szkody będą minimalne – zawsze można przywrócić ją do stanu sprzed ataku, wprowadzając dodatkowe zabezpieczenia. I warto o tym pamiętać.