A weboldalakra leselkedő leggyakoribb veszélyek

A weboldalak biztonságának megteremtése és fenntartása manapság összetett feladat. Most az öt leggyakoribb veszélyforrást tekintjük át.
 

Weboldalakat támadó vírusok

A weboldalak megfertőzése és a látogatók számítógépeinek továbbfertőzése egyre népszerűbb módszer az internetes bűnözők körében. Manapság már fillérekért hozzáférhetőek azok az előre elkészített rosszindulatú programok, amelyek megvásárlásával a bűnözők könnyedén megfertőzhetik a nem megfelelő védelemmel rendelkező weboldalakat, és egyben kiszolgáltatottá tehetik a látogatók számítógépeit. Ilyen alvilági eszköz például a Sakura toolkit, de említhetnénk az SQL injection alapú károkozásokra használható LizaMoon vírust is. A legkellemetlenebb forgatókönyv az, amikor az oldal üzemeltetője, tulajdonosa nem szerez időben tudomást a fertőzés tényéről, egészen addig, amíg a keresők feketelistára nem teszik a honlapot, vagy amíg maguk a felhasználók nem kezdenek panaszkodni.

A CDSYS azt javasolja, hogy a weboldalakat kiszolgáló szervereken futó alkalmazások legyenek mindig naprakészek, telepítsük a legújabb szoftververziókat és biztonsági frissítéseket. Szabályozzuk megfelelően a hozzáféréseket, használjunk erős jelszavakat és lehetőségek szerint kétfaktoros azonosítást. Naponta vizsgáljuk át a weboldalunkat biztonsági szoftverrel, amely felfedheti az esetleges sérülékenységeket és semlegesítheti a már bejutott vírusokat.

Malvertising

Az internetes bűnözők sokszor legális hirdetéseken keresztül juttatják fel rosszindulatú programjaikat a weboldalakra. Az Online Trust Alliace szerint tavaly megközelítőleg 10 milliárd online reklámmegjelenést veszélyeztettek ilyen módon. Ezek a támadások azért alattomosak, mert az oldal tulajdonosa sokszor csak korlátozott mértékben tudja ellenőrizni, befolyásolni, hogy milyen hirdetések jelenjenek meg. A csalók gyakran vásárolnak hirdetési helyeket a reklámlehetőségeket biztosító ügynökségeknél. Ezeket használják programjaik terjesztéséhez, de akár létező hirdetéseket is megfertőzhetnek.

A CDSYS szerint mindig megbízható reklámügynökségek szolgáltatásait célszerű igénybe venni, és amikor csak lehetséges olyan hirdetéseket érdemes engedélyezni, amelyek nem futtatnak kódokat, tehát statikus képes vagy szöveges reklámok.

A webes keresők feketelistái

A keresőmotorok, mint a Google vagy a Bing, folyamatosan vizsgálják a weboldalakat rosszindulatú programokat után kutatva. Amennyiben találnak ilyen programokat, akkor feketelistára teszik a webhelyet. Ez azt jelenti, hogy a keresések között nem jelenik meg a károsnak minősített oldal vagy a linkjére való kattintást követően - böngészőtől függően - figyelmeztetés jelenik meg a felhasználó képernyőjén. A feketelistára való kerülés negatív hatással lehet a weboldal forgalmára, hírnevére. Még ha sikerül is gyorsan orvosolni a problémát, a feketelistáról való végleges lekerüléshez napokra lehet szükség.

A CDSYS úgy látja, hogy mindenképpen érdemes feliratkozni a Google és a Bing Webmaster Tools szolgáltatására, hogy azonnal e-mail figyelmeztetést kapjunk, ha a weboldalunk feketelistára kerül.

Biztonsági figyelmeztetések és lejárt tanúsítványok

Képzeljük el, hogy szeretnénk egy online áruház termékét megvásárolni, és a fizetésnél felugrik egy figyelmeztetés, hogy az oldal SSL-tanúsítványa lejárt. Valószínűleg nem fogjuk befejezni a vásárlást, és kétszer is meggondoljuk a jövőben, hogy visszatérjünk-e az adott oldalra.

Azok a vállalatok, akik sokféle tanúsítvánnyal rendelkeznek, komoly menedzselési kihívásokkal szembesülhetnek. Ki a felelős egy bizonyos tanúsítvány megvételéért és megújításáért? Ki vezeti a dokumentációt? Miként gondoskodjunk róla, hogy minden tanúsítvány a megfelelő időben kerüljön megújításra? Ez csak pár kérdés, amely felmerülhet abban az esetben, ha sok tanúsítványra kell figyelni.

A centralizált tanúsítványkezelés megfelelő eszköz ahhoz, hogy elkerülhetővé váljanak a tanúsítványok lejáratából származó problémák. Emellett azonban célszerű auditálni a vállalat összes tanúsítványát. A CDSYS szerint a felhőalapú tanúsítványkezelő megoldások használatát is érdemes fontolóra venni.

Adathalászat

A bűnözők jól ismert neveket és márkákat használnak ahhoz, hogy bizalmas információkat csaljanak ki a gyanútlan felhasználóktól. Sokszor hamis weboldalakat vetnek be, és a megtévesztett látogatóktól felhasználónevekhez, jelszavakhoz, pénzügyi adatokhoz, hitelkártyaszámokhoz próbálnak hozzájutni. A csalók már a közösségi hálókat sem mellőzik a hamis weboldalakra való átirányítások érdekében.

Az adathalászat elleni fontos védelmi eszköznek számít az Extended Validation (EV) SSL tanúsítványok használata, amik az adott weboldal hitelességét, valódiságát igazolják a látogatók számára. A CDSYS szerint megfontolandó az Always-on SSL alkalmazása is.