Zabezpečte vaše weby pomocí HTTPS!

Ať již provozujete pouze školní webové stránky s administračním systémem, nebo školní informační systém či vzdělávací portál, nepodceňujte základní zásady bezpečnosti. Představte si následující případ:

Ve škole je nasazený systém Moodle do kterého se uživatelé přihlašují svými doménovými účty ze školní Active Directory. Web je dostupný jak z vnitřní sítě školy, tak i z širokého internetu, aby žáci mohli pracovat na úkolech z domova. Celé nasazení má však jednu drobnou chybu – komunikace s se serverem, na kterém Moodle běží probíhá skrze nezabezpečený protokol HTTP.

Situace, kterou jsem zde popsal, je v dnešní době stále velmi častá nejen na mnoha školách, ale i ve firmách. Nemusí se jednat o vzdělávací systém, ale třeba právě o informační systém, ve kterém jsou uložena osobní data studentů, zaměstnanců či zákazníků. Díky nezabezpečenému spojení se serverem má potenciální útočník možnost prohlížet veškerá data, která si uživatel se serverem vymění a nejen ta!

Jelikož pokud se uživatel autentizuje vůči cílové webové aplikaci, tak mu server, ve většině případů, do prohlížeče nastaví tzv. session cookie nebo autentizační cookie apod., díky které se následně může útočník vydávat za uživatele a se systémem pracovat jako autentizovaný uživatel, aniž by to bylo možné jednoduchým způsobem zjistit!

V horším případě, pokud máte webovou aplikaci napojenou přímo na Active Directory (typicky pomocí protokolu LDAP) má útočník možnost zmocnit se uživatelských přístupových údajů pomocí kterých může následně v mnoha případech přistupovat k dalším prostředkům nejen na webu, ale i v celé počítačové síti (nechci ani pomýšlet na to, co by se stalo, kdyby se zmocnil přístupových údajů správce Active Directory).

Základní řešení tohoto problému je velmi jednoduché – používejte a vynucujte zabezpečené připojení HTTPS všude, kde je to možné. Již dávno neplatí, že HTTPS bude zpomalovat načítání vašich webových stránek nebo váš server samotný. Díky zabezpečenému připojení bude připojení mezi uživatelem a vaším serverem šifrované a pro útočníka již nebude tak jednoduché se informací nebo přístupových údajů zmocnit. Díky zapnutí HTTPS získají vaše webové stránke (primárně ty veřejně dostupné) vyšší místo ve výsledcích výhledávání například na Google, a to vám umožní zacílit na více zákazníků nebo potenciálních studentů.

U použití HTTPS je také nutné zvolit správný certifikát – rozhodně byste pro veřejné či externě dostupné weby neměli využívat tzv. self-signed certifikát, tedy certifikát, který nedostal podpis od důvěryhodné certifikační autority – jde hlavně o to, že v prohlížeči se bude web hlásit jako nebezpečný a pro uživatele bude přístup k webu přívětivý (někteří budou třeba i zmatení nebo váš web vůbec nenavštíví). Ve spoustě případů, když organizace používá self-signed certifikát, uživatelé dostávají instrukce, aby si kořenový certifikát dané organizace nainstalovali. Po instalaci se web sice bude tvářit jako důvěryhodný, ale ohrozí to uživatele mnohem více než si myslíte! Jelikož váš privátní klíč k certifikační autoritě určitě není uložený v HSM a zacházení s ním nepodléhá přísnému dohledu a pravidlům jako u důvěryhodných certifikačních autorit vystavíte vaši síť a hlavně vaše uživatele mnohem většímu nebezpečí. Za pomoci certifikační autority, kterou má uživatel nainstalovanou jako důvěryhodnou, a privátního klíče je následně velmi jednoduché vystavit certifikát např. pro doménu www.google.com, www.seznam.cz apod., který se bude na uživatelském počítači tvářit jako důvěryhodný, přestože webový server bude podvržený (vzpomínáte na kauzu Superfish u Lenovo?). Tím pak umožníte útočníkovi získat veškerá uživatelská data, jelikož v této situaci je velmi těžké zpozorovat, zda se jedná o podvržený web či nikoli. Pamatujte, vaše síť je tak bezpečná, jako její nejslabší článek, tudíž uživatel – a pokud uživatele ohrozíte sami, dobrovolně se vystavujete nebezpečí.

Bezpečnost je sice náročná, ale neměla by být podceňována – proto nabízíme konzultace a implementaci bezpečnostních prvků, které dokáží podobným typům útoků zabránit. Ať už jste škola, firma, organizace či jednotlivec, kontaktujte nás!

 

Leave a Reply