Gdy piszemy o bezpieczeństwie w sieci najczęściej omawiane są zagadnienia związane z korzystaniem z poczty czy „nieodpowiednimi” dla nieletnich treściami. Często jednak pomijane jest bezpieczeństwo naszych danych takich jak: skrypty strony, poufne dokumenty czy zdjęcia przechowywane na serwerze FTP.

Zwiększająca się potrzeba umieszczania różnego rodzaju danych w bezpiecznym miejscu spowodowała, że część danych zamiast przechowywać na własnym komputerze domowym przechowujemy właśnie na koncie FTP. Zazwyczaj użytkownik sieci zakupuje, w jego przeświadczeniu, „bezpieczny” pakiet w renomowanej firmie hostingowej. Jednakże nawet najbardziej inteligentne rozwiązania z branży IT nie są w stanie zabezpieczyć danych osoby, która nie stosuje się do podstawowych zasad bezpieczeństwa.

Nasze dane w dalszym ciągu mogą być narażone na kradzież czy zniszczenie. Można by zapytać, w jaki sposób? Przecież obowiązkiem firmy hostingowej jest zapewnienie bezpieczeństwa. Odpowiedź brzmi: owszem, ale najczęstszą "luką", przez którą dochodzi do włamania jest zaniedbanie użytkowników/właścicieli kont.

Skupmy się więc na elementach, pozwalających na podniesienie w znacznym stopniu bezpieczeństwa danych z punktu widzenia użytkownika:

Pliki udostępnione a pliki poufne

W ramach każdego konta FTP zakupionego w Kei.pl tworzony jest automatycznie ogólnodostępny katalog /public_html służący między innymi do udostępniania plików w Internecie. Aby pliki były dostępne, należy skierować na powyższy katalog domenę lub subdomenę. Pakiety oferowane przez Kei.pl zawierają darmową subdomenę w ramach pakietu (np. mojastrona.kei.pl), która od razu po uruchomieniu pakietu kieruje na powyższy katalog.

Taka konfiguracja pakietu pozwala na przetestowanie strony, którą można bardzo szybko uruchomić wrzucając pliki do katalogu /public_html i wpisując w przeglądarce adres: mojastrona.kei.pl

W identyczny sposób jak udostępnienie strony działa udostępnienie plików np. dokumentu zawierającego ofertę firmy. Dokument taki umieszczony w katalogu /public_html/ będzie dostępny do ściągnięcia pod adresem: mojastrona.kei.pl/oferta.doc

Użytkownicy zakładając, że wszystko, co znajduje się na koncie FTP jest bezpieczne, wrzucają gdziekolwiek na konto FTP zdjęcia oraz poufne dokumenty nie wiedząc, że każdy może je w łatwy sposób odnaleźć. I tak na przykład samo udostępnienie pracy dyplomowej na koncie FTP może sprawić, że po pewnym czasie wyszukiwarki internetowe zindeksują dokument, który stanie się ogólnie dostępny.

Zatem, wszelkie dane niewymagające poufności powinniśmy udostępniać w /public_html, dane poufne powinniśmy przechowywać katalog wyżej na poziomie katalogu /public_html.

Udostępnianie FTP grafikom i firmom zewnętrznym (oddzielne hasło do panelu webas/FTP)

Dość często spotykamy się z sytuacją, w której klienci zlecają stworzenie lub modyfikację swojej strony internetowej firmie zewnętrznej. Aby firma ta miała możliwość przetestowania strony, bądź wprowadzonych zmian na serwerze, udostępniamy dostęp do konta FTP i panelu. W ten sposób poprzez panel firma może uzyskać dostęp do skrzynek pocztowych i innych poufnych danych. Ze względu na to, że takie działanie jest dość popularne, specjaliści Kei.pl wprowadzili dodatkową funkcjonalność w panelu administracyjnym pakietu. Pozwala ona na samodzielne ustawienie różnych haseł do konta FTP i do panelu administracyjnego pakietu.

Dzięki takiej konfiguracji oraz udostępnieniu wyłącznie hasła do konta FTP, unikniemy przekazywania firmie zewnętrznej dostępu do panelu administracyjnego. Konfiguracja ta pozwoli również zabezpieczyć się przez firmami-oszustami, którym sami przekazujemy dane dostępowe do wszystkich usług. Warto dodatkowo zadbać o bezpieczeństwo i na tym polu. Jak? Standardowo przy aktywacji pakietu ustawiane jest takie samo hasło FTP/Webas. Odrębne hasło do panelu należy aktywować samodzielnie. Opcję ustawienia odrębnego hasła FTP/panel można znaleźć w panelu Webas w zakładce:

Konto FTP/Zmień hasło "Hasło do panelu WebAs"

Ustawienie trudnego hasła, niezwiązanego z loginem (ataki słownikowe)

Dość popularną formą włamań są tzw. "ataki słownikowe". Jest to technika "siłowego" odgadywania haseł do różnego rodzaju systemów informatycznych w tym np. kont FTP. Skuteczność metody w dużym stopniu uzależniona jest od poziomu trudności hasła ustawionego przez użytkownika. W momencie, gdy hasło jest popularnie używane lub znajduje się w "bazie haseł" dochodzi do włamania.

W Kei.pl zdarzało się, że hasło do konta FTP użytkownika pokrywało się z jego loginem. Taki stan rzeczy doprowadził do wprowadzenia w Kei.pl dodatkowego zabezpieczenia, które nie zezwala na ustawienie hasła identycznego z loginem. Zabezpieczenie to znacznie podnosi poziom bezpieczeństwa.

Bezpieczeństwo wrzucania plików (klient ftp, przechowywanie hasła, sFTP)

Gdy jesteśmy poza biurem lub miejscem zamieszkania i potrzebujemy pilnie zmodyfikować treść znajdującą się na stronie, najczęściej korzystamy z kafejek internetowych. Miejsca te mogą okazać się niebezpieczne dla naszych danych, jeśli w nieodpowiedni sposób będziemy z nich korzystać. Zanim połączymy się z serwerem (czy ma to miejsce w kafejce, czy w domu) należy pamiętać o odpowiednim konfigurowaniu klienta FTP oraz zabezpieczeniu komputera.

Koniecznie należy sprawdzić, czy na komputerze, z którego zamierzamy skorzystać zainstalowany jest program antywirusowy. Do celów prywatnych można zainstalować bezpłatnie program antywirusowy, np. avast.com. Program antywirusowy, o ile jest na bieżąco aktualizowany, zabezpieczy nas przed wrzuceniem na konto FTP zainfekowanych plików oraz da pewność, że stacja, z której korzystamy, jest wolna od różnego rodzaju "trojanów" przechwytujących hasła do konta FTP.

Konfigurując klienta FTP, którym podmienimy pliki na serwerze, pamiętajmy aby nie pozostawić zapamiętanych haseł. Ważne jest również, aby korzystać z połączeń szyfrowanych sFTP, SCP lub FTP+TLS (więcej informacji na kei.pl) Korzystanie z połączeń szyfrowanych zabezpieczy nas przed dość powszechną metodą kradzieży haseł do konta FTP z komputera użytkownika.

Specjaliści Kei.pl spotykają się z ogromną ilością włamań na konta FTP użytkowników, których komputer został zainfekowany trojanem, którego celem jest kradzież danych. Dane serwera FTP (login, hasło, host) są w dalszej kolejności wykorzystywane przez skrypt, który automatycznie łączy się z kontem nadpisując znajdujące się tam strony o kod twórcy trojana.

Z zasady kafejki internetowe są miejscami, w których poziom bezpieczeństwa jest niewielki. Do konfiguracji komputera, z którego chcemy skorzystać mieli wcześniej dostęp różni użytkownicy, mogący odpowiednio przygotować system do różnych celów. Dlatego powinniśmy unikać, jeśli to możliwe, korzystania z niepewnych stacji roboczych.

Przechowywanie lokalnie kopii strony/serwera FTP

Z reguły większość usługodawców hostingowych w ramach swoich usług gwarantuje przechowywanie kopii bezpieczeństwa danych (backup). W przypadku ogromnej ilości danych przechowywanych na serwerach dużych usługodawców nie jest możliwe przechowywanie danych przez dłuższy okres czasu. Nagromadzone dane, codziennie powielane, zajmowałyby ogromne ilości nośników danych. Dlatego gwarantowany okres, z jakiego dostępny jest backup danych, jest relatywnie niedługi. W przypadku Kei.pl gwarantujemy dostępność kopii całego serwera z trzech ostatnich dni.

Aby dodatkowo zabezpieczyć nasze dane powinniśmy przechowywać lokalnie na komputerze lub zewnętrznym nośniku kopię ostatniej poprawnej zawartości serwera. Pozwoli to zapobiec przypadkom, w którym nasze pliki zostają podmienione/zniszczone np. na skutek włamania i zauważamy taką sytuację za późno, a backup serwera nie jest już dostępny. Pozostaje ręczna modyfikacja plików lub podmiana na wersję przechowywaną "awaryjnie".

Warto zastanowić się, czy często powtarzane przestrogi nie są tylko moralizatorskim przesłaniem specjalistów IT, i czy nie warto włożyć trochę wysiłku w zabezpieczenie swoich danych przechowywanych na kontach FTP. Ich utrata jest nieporównywalnie bardziej bolesna niż wypracowanie paru użytecznych nawyków i stosowanie się do reguł opisanych w powyższym artykule.

Poradę dla Czytelników Dziennika Internautów przygotowała firma Kei.pl dostawca usług hostingowych.