Menu

5 mýtů o on-line bezpečnosti, které potopí váš web

Nezabezpečené webové aplikace jsou pomyslnými otevřenými vrátky k osobním údajům vás i vašich uživatelů. Na kterých 5 bezpečnostních mýtu hodně majitelů webů stále bláhově věří?

Ze zabezpečných webových aplikací vám osobní údaje nikdo neukradne
Ze zabezpečných webových aplikací vám osobní údaje nikdo neukradne

1) HTTPS dokonale zabezpečí web

Mýtus: „Mé stránky mají HTTPS, takže jsou uplně bezpečné a nikdo je nehackne.”

Realita: HTTPS zabezpečuje pouze komunikaci mezi webovými stránkami a počítačem uživatele. Princip je podobný, jako když se bavíte s kamarádem uprostřed rušného náměstí – kdokoliv vás může odposlouchávat (ačkoliv nejspíš nebudete předpokládat, že by to někdo opravdu dělal). Zabezpečení HTTPS v podstatě umožňuje šeptat kamarádovi do ucha tak, aby to nikdo jiný neslyšel. Kromě komunikace ale nic jiného neochrání. Nevyřeší vám případné bezpečnostní chyby nebo slabá hesla, tedy problémy, které k hacknutí webu a následnému úniku osobních a přihlašovacích údajů běžně vedou.

2) Hacknutí účtu okamžitě poznám

Mýtus: „Můj účet ještě nikdo nehacknul. Jinak bych o tom přece dávno věděl.”

Realita: Ačkoliv může útočník na hacknutém webu jednoduše změnit heslo, výhodnější pro něj je pravidelně získávat informace z účtu bez vědomí majitele. Ať už nějaký web vlastníte nebo ne, na stránkách Have I Been Pwned si sami snadno zjistíte, jestli někdo neprolomil přístup na některý z vašich e-mailů. Možná budete dost nemile překvapeni.

Méně dokonalé útoky lze odhalit v operačním systému, kde dojde k výrazné změně funkčnosti, zpomalení nebo občasnému vyskočení chybové hlášky, která nedává smysl. Typická je také změna nastavení webového prohlížeče (viry s oblibou přenastavují domovskou stránku nebo vyhledávač a doinstalovávají rozšíření). Obvykle pomůže dobrý antivirový software. Ten by se měl spouštět pravidelně a měl by být neustále zapnutý. Osobně jsem se setkal i s virem, který mi znemožnil nainstalovat jakýkoliv antivir.

3) Hackery zajímají pouze velké weby

Mýtus: „Moje firma je příliš malá na to, aby se dostala do pozornosti hackerů.”

Realita: U méně navštěvovaného webu se opravdu snižuje šance na to, že bude někým narušen cíleně. To ale rozhodně není definitivní zárukou bezpečnosti. Stejně jako webové stránky procházejí indexovací roboti vyhledávačů, nevyhnou se ani pravidelným návštěvám robotů hackerů, kteří weby automatizovaně testují na různé bezpečnostní slabiny. Útočník téměř nemusí hnout prstem, a pokud jeho robot najde nějakou chybu, okamžitě toho využije.

A k čemu hacknutí vašeho webu takovému zločincovi bude? Třeba k dalšímu scanování internetu, těžbě kryptoměny v počítačích vašich návštěvníků nebo rozesílání nevyžádané pošty – zkušený hacker si něco „hodnotného” vždy s potěšením najde.

4) Pokud nic nestahuji, neriskuji nakažení

Mýtus: „Můj počítač nemůže být nijak nakažen, pokud na nic nekliknu nebo nestáhnu soubor. To jsou hlavní zdroje nebezpečí.”

Realita: Hackeři si více než kdokoliv jiný uvědomují, že si mnoho uživatelů dává pozor na stahování podezřelých souborů. Rafinované útočné stránky dnes využívají hlavně chyb ve starších prohlížečích. Stačí v nich takovou stránku zobrazit a ona už umožní stažení a spuštění kódu na vašem počítači bez jakékoliv vaší interakce. Zdrojem nebezpečí může být třeba vyskakovací okno před zahájením vašeho oblíbeného videa. K nakažení virem může dojít dokonce i v případě, kdy vůbec nejste připojeni k internetu – například USB zařízení údajně stojí za každým osmým počítačovým kyberútokem.

Zatímco zablokovat soubor po stažení do počítače zvládají antiviry, „úplnou” ochranu před napadením by měl být takzvaný „webový štít”, který kontroluje přímo procházené weby a útočným stránkám nedovolí ani zobrazení. Webové štíty bývají součástí některých antivirů, často vyžadují instalaci rozšíření přímo do webového prohlížeče.

5) Web od vývojářské firmy je zaručeně bezpečný

Mýtus: „Pojistil jsem se a nechal jsem si web naprogramovat od profíků. Za ty peníze se o bezpečnost určitě postarali.”

Realita: Ani jakkoliv kvalitní vývojář zpravidla nebývá odborníkem „na všechno”. A právě odhalení některých nenápadných bezpečnostních problémů je parketa bezpečnostního experta. Zvláštní kontrolu třetím okem vyžaduje dokončený web v každém případě; vývojáři po sobě mohou zanechat bezpečnostní škvíry nejen z neznalosti, ale třeba jen proto, že slabá místa v celkovém objemu prací přehlédli.

Odborníka na zabezpečení dokáží zajistit přímo některá vývojářská studia, ještě hlubší znalosti nabízí někteří freelanceři. Ti se však nejdříve musí s webem seznámit a celý proces pak zabere více času. Alternativou je, že freelancer chyby pouze nahlásí a opravy provedou vývojáři. Dobrou metodou dlouhodobého zabezpečení webu je registrace webu na serveru Hackerone. Testery se pak stávají samotní hackeři, kteří za finanční odměnu zkontrolují stránky jako málokdo jiný.