MENU

bezpieczeństwo danych
Tag Archive

4837

Google Chrome potrzebuje Twojego certyfikatu SSL – jakie zmiany czekają internautów w 2017 roku?

Inne

13 września 2016

Już od ponad 2 lat trwa dyskusja, w jaki sposób Google chce zwiększyć bezpieczeństwo użytkowników sieci. Najpierw mówiło się o dodaniu szyfrowanego połączenia dla własnej domeny, jako jednego z elementów pozycjonowania. Eksperci SEO przekonywali jednak, że czynników wpływających na pozycję strony w wyszukiwarce jest około 200 i protokół https ma marginalne znaczenie. Wszystko wskazuje jednak na to, że już tej jesieni Google rozpocznie proces „zwalczania” stron, które nie korzystają z certyfikatu SSL. Jak? (więcej…)

Przeczytaj artykuł

5440

Bezpieczeństwo i ochrona danych osobowych w e-biznesie

E-biznes

7 marca 2016

Ochrona danych osobowych jest istotnym elementem bezpieczeństwa i budowania wizerunku firmy w sieci. Nadchodzące zmiany przepisów w postaci rozporządzenia UE dodatkowo zaostrzą nie tylko same wymogi w tym obszarze ale i konsekwencje względem przedsiębiorców za niezgodne z prawem przetwarzanie danych. (więcej…)

Przeczytaj artykuł

2372

Jak zabezpieczyć stronę WWW przed atakiem? Poznaj SiteLocka, który chroni 5 milionów użytkowników.

home.pl

10 grudnia 2015

Według bieżących danych, ponad 25% stron internetowych na całym świecie działa w oparciu o CMS WordPress. To bardzo dużo, aczkolwiek samych aplikacji pełniących podobną funkcję jest znacznie więcej. Wniosek płynący z tego badania jest jednoznaczny – technologia staje się coraz bardziej powszechna, ludzie dostrzegają korzyści w budowaniu i uruchomieniu dynamicznej, estetycznej strony z ofertą, która jest na dodatek dostosowana do urządzeń mobilnych. Krok w przód? Zdecydowanie. Ale jest jeszcze druga strona medalu dla tej sytuacji.

Aplikacje WWW stają się coraz bardziej przejrzyste i łatwiejsze do opanowania, ale aby osiągnąć taki efekt – ich twórcy muszą je rozbudowywać o kolejne linie kodu. Bardzo często powodem aktualizacji oprogramowania jest konieczność zwiększenia bezpieczeństwa i usunięcia luk, które ułatwiają ataki na strony internetowe. Hakerzy działają dzisiaj bardzo szybko i nawet wtedy, gdy posiadamy najnowszą wersję aplikacji strony – potrafią znaleźć nowe obszary do dokonania ataku, przechwycenia danych lub zawirusowania witryny. A to wiąże się już z realnymi stratami, nie tylko finansowymi, ale wizerunkowymi. Firma, której strona WWW została zmodyfikowana przez hakera, jest w oczach klientów mało wiarygodna.

Dobre i skuteczne rozwiązanie, to także rozwiązanie bezpieczne. Aby sprostać wysokim oczekiwaniom naszych klientów już w kwietniu wprowadziliśmy funkcjonalność WAF. Więcej o tej opcji pisaliśmy TUTAJ. Bacznie obserwujemy rynek hostingu i cały czas sprawdzamy, jakie nowe typy ataków na serwery pojawiają się w różnych zakątkach kuli ziemskiej. Dlatego też nawiązaliśmy współpracę z liderem w dziedzinie zabezpieczeń, amerykańską firmą SiteLock LLC. Oferta home.pl została właśnie poszerzona o jedno z kluczowych rozwiązań do ochrony stron WWW, czyli SiteLock Website Scanning.

Często mieliśmy do czynienia z klientami, którzy zgłaszali się do nas z zainfekowanymi stronami, a które nie były odpowiednio zabezpieczone lub stworzone były przez osoby nie przestrzegające podstawowych zasad bezpieczeństwa. Sitelock pozwala w nieinwazyjny sposób przeskanować stronę internetową na obecność luk programistycznych, które w przyszłości mogą być wykorzystane przez hakerów do wstrzyknięcia złośliwego oprogramowania. W zależności od wybranego pakietu SiteLock pozwala również na usunięcie złośliwego oprogramowania ze strony poprzez skanowanie i analizę plików strony znajdujących się na serwerze FTP. – Łukasz Daszkiewicz, Kierownik produktów bezpieczeństwa w home.pl

Działanie SiteLock jest bardzo skuteczne i udokumentowane statystykami, które w 2015 roku prezentują się następująco:

  • Ponad 5 milionów chronionych stron
  • 85 milionów podstron skanowanych codziennie w poszukiwaniu złośliwego oprogramowania
  • Ponad 100 milionów plików źródłowych skanowanych codziennie w poszukiwaniu luk
  • Ponad 10 tysięcy stron miesięcznie jest czyszczonych ze złośliwego oprogramowania
  • Ponad 5 tysięcy nowych luk bezpieczeństwa wykrywanych każdego dnia
Przykład raportu z przeskanowanej przez SiteLock witryny.

Przykład raportu z przeskanowanej przez SiteLock witryny.

W ofercie home.pl klienci znajdą 3 pakiety usługi, dostosowane do różnych rozmiarów stron WWW, a także zapotrzebowania. W pakiecie Basic SiteLock skanuje codziennie do 25 podstron, z kolei Professional umożliwi weryfikację nawet 100 podstron. Jeżeli posiadasz sklep internetowy, powinieneś zainteresować się pakietem Premium, w którym SiteLock kompleksowo sprawdzi nawet 500 podstron. Każdy z pakietów umożliwia również wgranie na stronę pieczęci zaufania „SiteLock Trust Seal”, co w znacznym stopniu zwiększy wiarygodność wśród użytkowników.

 

button-oferta

 

Przeczytaj artykuł

2112

Bezpieczeństwo strony www – dlaczego warto aktualizować swojego CMSa?

Hosting

4 listopada 2014

W jednym z  lipcowych wpisów na blogu opisaliśmy opcję instalacji aplikacji na 1 klik. Joomla oraz WordPress to 2 czołowe systemy zarządzania treścią strony www, spotykające się z coraz większym uznaniem, a co za tym idzie – popularnością. Sama instalacja oprogramowania to dopiero początek przygody nad uatrakcyjnianiem internetowej wizytówki. Oprócz samego wprowadzania treści oraz edycji grafiki należy zadbać o bezpieczeństwo danych. Jak tego dokonać?

Systemy CMS, podobnie jak każde oprogramowanie, mogą być obarczone pewnymi błędami trudnymi do zidentyfikowania przez samych programistów. Ujawniają się one dopiero po kilku tygodniach lub miesiącach. Niestety, najczęściej wiążą się one z lukami w zakresie bezpieczeństwa skryptów, a to skrzętnie wykorzystują hakerzy lub boty internetowe dokonując inteligentnej, zazwyczaj udanej próby włamania do samej aplikacji. Z punktu widzenia użytkownika zagrożenie jest trudne do zauważenia, w większości przypadków widzimy tylko efekt końcowy cyberprzestępstwa np. zmieniony wygląd strony internetowej.

12990927_m

Modyfikacje mogą objąć także zawartość serwera w postaci bazy danych MySQL. Bardzo popularnym rodzajem ataku jest tzw. SQL Injection . Ostatnią ofiarą takiego ataku została Giełda Papierów Wartościowych, a więc podmiot przechowujący bardzo cenne informacje finansowe. O całej sytuacji pisał portal niebezpiecznik.pl. Innym skutkiem ubocznym złamania zabezpieczeń jest wysyłka spamu z serwera. Może to wpłynąć nie tylko na wizerunek Twojej działalności, ale przede wszystkim uniemożliwi Ci korespondencję z klientami – serwer odbiorcy emaila może Cię potraktować jako spamera i odrzucić wysyłkę.

Co zrobić, aby uniknąć tego typu niespodzianek? Korzystając z takich aplikacji jak Joomla lub WordPress warto dokonywać częstych aktualizacji. Bardzo dużym błędem jest pozostawianie swojego oprogramowania w stanie nienaruszonym od dnia instalacji. Właściwe jest tutaj porównanie do drzwi od mieszkania – potencjalnego złodzieja może odstraszyć tylko odpowiednie zabezpieczenie np. w postaci dodatkowych zamków, w które zaopatrujemy się po kilku miesiącach. Tak samo działają aktualizacje CMS’ów. Nie tylko usuwają luki widoczne w poprzednich wersjach,  ale również starają się usprawnić twój serwis internetowy na przyszłość.

Do niedawna proces aktualizacji w Joomli oraz WordPressie był czasochłonny i skomplikowany dla przeciętnego użytkownika. Od pewnego czasu autorzy obu aplikacji dbają, aby operacja wgrywania tzw. łatek była uproszczona. Panele administracyjne wzbogacono o zakładkę dotyczącą automatycznych aktualizacji za pomocą zaledwie kilku kliknięć myszą. Co ważne, identyczne operacje można wykonać na ewentualnych dodatkach (pluginach). To zresztą kolejny wrażliwy element systemów CMS, gdyż autorskie skrypty są często podatne na ataki zewnętrzne. Koniecznie zadbaj o to, aby na Twojej stronie działały zawsze najnowsze wersje danego oprogramowania.

Instrukcję instalacji aktualizacji WordPressa znajdziecie pod adresem:

http://codex.wordpress.org/Updating_WordPress

W przypadku aplikacji Joomla pomocne będzie skorzystanie z instrukcji (dla wersji 2.5):

http://docs.joomla.org/J2.5:Upgrading_from_an_existing_version

WAŻNE – Jeżeli korzystasz z innych rozwiązań i nie wiesz jak zaktualizować CMS, koniecznie zapoznaj się z dokumentacją techniczną lub skontaktuj się z autorem oprogramowania.

Przeczytaj artykuł

1213

Ultranowoczesne, niezawodne, bezpieczne – nasze centrum danych

home.pl

2 czerwca 2014

Serwery home.pl utrzymujemy w trzech lokalizacjach w Polsce. W grudniu 2012 r. w Data Center GTS Poland uruchomiliśmy kolejne, a zarazem jedno z najnowocześniejszych centrów danych w Europie.

Usługi naszych Klientów utrzymujemy w klastrze złożonym z ponad 1200 platform serwerowych firm HP, Tyan, Chenbro oraz Supermicro. Serwery posiadają do 4 procesorów, macierze dyskowe o wielkości do 32 TB i do 64 GB pamięci operacyjnej.

Wewnętrzny szkielet sieci jest spięty w 10 Gpbs sieć Ethernet o zdublowanej architekturze, obsługiwaną przez przełączniki Brocade i routery firmy Cisco. Praca wszystkich elementów sieci oraz serwerów jest monitorowana 24 godziny na dobę, a system monitoringu na bieżąco informuje obsługę techniczną o najdrobniejszej nawet anomalii pracy systemów.

klaster-serwerow-homepl

Posiadane przez home.pl rezerwy technologiczne i skalowalność platformy umożliwiają bieżącą obsługę liniowego rozwoju, jak i nagłych skoków popularności setek tysięcy projektów internetowych naszych Klientów.

Niezawodne łącza

Centra danych zapewniają nam łączność z największymi sieciami w Polsce, Europie i na świecie. Z siecią szkieletową GTS Poland połączeni jesteśmy dwoma niezależnymi łączami o przepustowości 10Gbps każde. Posiadamy również 10Gbps do punktu PLIX, w ramach którego wymieniamy ruch z takimi sieciami jak: Netia, Multimedia Polska, UPC Polska, ATM, Polkomtel, Polska Telefonia Cyfrowa, Crowley Data Poland, Cyfrowy Polsat, NASK i wielu innych.

siec-szkieletowa-homepl

Posiadamy również dodatkowe łącze do firmy Level3 – jednego z największych operatorów telekomunikacyjnych na świecie. Łącze o przepustowości 10 Gbps obsługuje ruch z zagranicą i zapewnia najkrótszą dostępną ścieżkę dla danych z serwerów home.pl. Sumaryczna przepustowość naszych łącz do sieci Internet to 40Gbps

Dzięki stałym inwestycjom możemy zagwarantować Klientom, że ich serwisy internetowe działają niezawodnie i są dostępne z każdego miejsca w Polsce i na świecie z maksymalną dostępną prędkością.

Infrastruktura sieciowa

W celu zapewnienia ciągłości działania sieci, wszystkie urządzenia sieciowe są zdublowane. W razie awarii cała obsługa może być przekazywana do bliźniaczego urządzenia zapasowego. Czasy przełączeń dla przełączników wynoszą kilka sekund, a dla routerów do 30 sekund.

Podstawowymi elementami sieciowymi są dwa routery brzegowe Cisco 6506 oraz switche Brocade z serii VDX i FCX. Dodatkowo, wszystkie urządzenia są podłączone do systemu zdalnego zarządzania firm Avocent i APC.

Korzystamy z wielu komponentów systemu sieciowego. Są to m.in.:

  • routery główne – 4x Cisco 6506,
  • switche szkieletowe – 2x Brocade VDX 6720 – 40 portów 10 Gbps,
  • switche dostępowe – Brocade FCX, ICX oraz Cisco Catalyst 2960G,
  • loadbalancery sprzętowe – Brocade ADX.

Systemy bezpieczeństwa danych

Dzięki pełnej redundancji serwerów (każde urządzenie ma własną „bliźniaczą” kopię online utrzymywaną w drugim centrum danych), zapewniamy najwyższą niezawodność, która przekłada się na ciągłość działania serwisów Klientów.

Dodatkową ochronę danych zapewnia 30 serwerów kopii zapasowych, pracujących w redundancji, rozmieszczonych w dwóch różnych punktach Polski. Łączna pojemność tych serwerów wynosi ponad 400 TB. Pozwala to na równoległe utrzymanie kopii zapasowych danych z kont naszych Klientów przez okres trzech dni.

Data Center zapewnia niezależne linie zasilające, generatory prądu oraz UPS w celu zagwarantowania ciągłego dopływu energii elektrycznej do wszystkich naszych urządzeń. Ważną częścią Data Center jest także system klimatyzacji, który zapewnia optymalne warunki pracy serwerów.

bezpieczenstwo-danych-homepl

Infrastruktura techniczna chroniona jest również najnowocześniejszymi systemami przeciwpożarowymi – w tym systemem gaszenia gazem, który jest całkowicie bezpieczny dla urządzeń.

bezpieczenstwo-homepl

Czy firmy hostingowe są w stanie zapewnić lepszą ochronę danych użytkowników niż rozwiązania stosowane w serwerach „własnych” (należących do firm)?

Jednym z podstawowych zadań firm hostingowych jest zagwarantowanie bezpieczeństwa danych klientów. Z tego względu inwestycje w systemy zapewniające ochronę informacji są priorytetem dla firm oferujących hosting. Jednym ze sposobów zapewnienia bezpieczeństwa danych jest pełna redundancja serwerów która oznacza, że każde urządzenie ma własną „bliźniaczą” kopię online utrzymywaną w drugim centrum danych. W home.pl poza redundancją wszystkie dane chronione są poprzez codzienny backup danych. Utrzymywane są one na serwerach kopii zapasowych które także pracują w redundancji i umieszczone są w dwóch punktach Polski.

Należy dodać, że Data Center, w którym utrzymywane są dane klientów mają niezależne linie zasilające, generatory prądu oraz UPS. Wszystkie powyższe elementy są praktycznie niemożliwe do zastosowania dla firm posiadających własne serwery. Profesjonalne rozwiązania z zakresu bezpieczeństwa danych w serwerowni wymagają ogromnych nakładów finansowych zarówno na etapie wdrożenia jak i utrzymania.

Poza bezpieczeństwem danych, home.pl oferuje także niezawodne łącza zapewniające łączność z największymi sieciami w Polsce, Europie i na świecie. Firmy korzystające z własnych serwerów często cierpią z powodu zawodnych i mało wydajnych łącz do Sieci, co może spowodować niedostępność firmowej poczty, czy strony WWW w Sieci.

Jak wyglądają kwestie bezpieczeństwa w home.pl w kontekście rozwiązań chmurowych?

Potwierdzeniem bezpieczeństwa danych klientów jest certyfikat normy ISO 27001:2005, który home.pl otrzymał jako pierwsza firma hostingowa w Polsce. Wszystkie hasła klientów przechowywane są w formie szyfrowanej. Połączenia do serwera i poczty oferowane są z wykorzystaniem protokołu SSL: szyfrowane są takie protokoły jak HTTPS, SSH, FTPS, IMAP, POP3, SMTP.

Posiadamy własną implementację SSL niepodatną na niesławną ostatnio lukę w zabezpieczeniach – Heartbleed w bibliotece OpenSSL. Poczta naszych klientów skanowana jest programem antywirusowym, który na bieżąco aktualizujemy. Ponadto oferujemy jednorodność platformy hostingowej, która aktualizowana jest na bieżąco zwłaszcza w kwestii poprawek bezpieczeństwa.

Przeczytaj artykuł