Witam!
Od dłuższego czasu tworzę, a także prowadzę strony internetowe szkoły. Jestem nauczycielem informatyki, osobą, która raczej z zamiłowania tworzy stronę umieszczając ją na darmowym serwerze, gdyż, jak wiadomo, szkoły są biedne.
Uważam, że obecna strona (tu nie podam adresu, aby nie kusić losu) jest całkiem niezła, ale ja, gdyby ktoś się na nią wkradł, miałabym kłopoty. Ostatnio w naszym mieście nastolatek zablokował stronę internetową Domu Kultury. Nie chciałabym, aby w swoich poczynaniach poszedł dalej, nawet jeśli nie on, bo mu to uniemożliwią, to ktoś inny. Potem zdarzają się przypadki, że nauczyciele mają na zdjęciu dorysowane wąsy.
Jednak do rzeczy. Chciałabym ustrzec moją stronę przed tego typu wtargnięciami. Napomknę jedynie, że jest napisana w języku HTML, a do przesyłu plików na stronę wykorzystuję program WS_FTP, gdzie wystarczy wpisać małe hasło, aby się na nią dostać. Uważam, że to żadne zabezpieczenie, takie hasła przecież można łatwo złamać. Proszę o poradę jak chronić jej zawartość, a także dostęp.
MarzenaSprawa jest złożona, postaram się jednak wyjaśnić ją konkretnie i jak najkrócej, bez wdawania się w techniczne szczegóły.
Istnieje wiele różnych rodzajów ataków internetowych. Pani jako webmaster nie jest w stanie im zapobiec, ponieważ większość z nich odbywa się na poziomie powłoki systemu serwera (zwykle jest to UNIX, Linux i systemy pokrewne, tzw. uniksowe), a nie na poziomie stron WWW, czyli programu serwera WWW (np. Apache\’a) bądź kont poszczególnych użytkowników.
A więc całość zagadnienia można sprowadzić do następujących punktów:
1) zabezpieczenie na poziomie systemu – czyli serwera i systemu operacyjnego tegoż serwera w firmie hostingowej,
2) zabezpieczenie na poziomie Pani konta (jako webmastera),
3) zabezpieczenie na poziomie samej strony internetowej.
Ad. 1. Tu sprawa jest prosta: my, użytkownicy, nie mamy wpływu na bezpieczeństwo serwerów, o to dbają firmy, u których wykupujemy hosting. Dlatego przede wszystkim należy wybierać tylko renomowane firmy hostingowe, takie które mają pieniądze i wyszkolonych pracowników (administratorów sieci) czuwających nad bezpieczeństwem serwerów.
Pisze Pani, że stronę umieściła na darmowym koncie WWW z powodu braku funduszy. Nie muszę tłumaczyć, że darmowe konta są najgorzej chronione przed ewentualnymi atakami i traktowane zwykle po macoszemu przez administratorów po prostu dlatego, że są… darmowe.
Lista najlepszych firm hostingowych jest dostępna pod adresem http://top100.pl. Warto, a nawet trzeba zdecydować się na hosting u jednej z firm z pierwszej dziesiątki/piętnastki z tej listy. Szkoła powinna wysupłać jakieś pieniądze na ten cel, w przeciwnym razie rzeczywiście ktoś może komuś dorysować wąsy… 🙂 Nie bardzo mi się chce wierzyć, aby obecnie, gdy mamy podobno znakomitego ministra edukacji, państwo opiekuńcze stawiające m.in. na oświatę i edukację oraz mnóstwo różnych funduszy z Unii Europejskiej, szkoła nie była w stanie zdobyć kilkuset złotych rocznie na hosting.
Ad. 2. Sama Pani pisze, że używa tylko krótkiego hasła do przesyłania plików na serwer. W związku z tym natychmiast powinna Pani zmienić hasło na trudniejsze i dłuższe (najlepiej kilkanaście znaków, w tym duże i małe litery, cyfry, ewentualnie inne znaki dopuszczalne przez system, np. znak podkreślenia: \”_\”). To właśnie krótkie i łatwe do odgadnięcia hasła są najczęstszą przyczyną wtargnięcia hakerów na konta użytkowników.
Wystarczy wyobrazić sobie jak działa haker: skanuje serwer pod kątem występowania na nim różnych nazw użytkowników (to jest bardzo proste, właściwie każdy może to zrobić np. próbując założyć nowe konto), wybiera z nich jakąś pulę i zaczyna próbować rozmaite hasła. Zwykle pracuje ze zmodyfikowanym programem słownikowym, który podpasowuje najczęściej używane słowa, zwroty, połączenia słów i cyfr itp. pod każde upatrzone konto. Program działa na ślepo, ale wystarczy przecież moc obliczeniowa dzisiejszych pecetów, aby w krótkim czasie sprawdzić setki tysięcy możliwości.
Im krótsze hasło, tym większa szansa na jego odgadnięcie. Dopiero hasła o długości 16 znaków i dłuższe, ale pisane z użyciem dużych i małych liter oraz cyfr, sprawiają już bardzo dużą trudność nawet zaawansowanym systemom komputerowym i po prostu nie opłaca się ich łamać, jeśli celem jest tylko dorysowanie wąsów komuś na stronie internetowej (złamanie takiego hasła trwałoby np. tysiąc lat, więc kompletnie się nie kalkuluje).
Jeśli zapamiętanie długiego i skomplikowanego hasła nastręcza trudności, można wykorzystać jeden z wielu programów do zarządzania hasłami (tzw. menedżer haseł). W programach tego rodzaju wpisuje się swoje hasła, po czym są one szyfrowane i przechowywane w bezpiecznym pliku, który z kolei jest zabezpieczony innym hasłem. Listy menedżerów haseł można znaleźć pod adresami:
– http://www.snapfiles.com/Freeware/security/fwpass.html (programy darmowe),
– http://www.snapfiles.com/Shareware/security/swpass.html (programy płatne).
Warto też pamiętać o częstym zmienianiu haseł, np. raz w miesiącu. Taka strategia też znacznie utrudnia życie hakerom.
Ad. 3. Można zwiększyć bezpieczeństwo strony internetowej poprzez jej konwersję ze statycznego HTML-a na dynamiczny HTML + PHP + baza danych, np. MySQL. Wówczas haker ma dodatkową barierę do złamania, ponieważ bazy danych są na serwerach szczególnie pieczołowicie chronione i zabezpieczone dodatkowo hasłem. Naturalnie wymaga to odpowiednich umiejętności webmasterskich – programowanie w PHP z wykorzystaniem baz danych nie jest łatwe.
Nie da się całkowicie wyeliminować możliwości ataku, ale na pewno można się zbliżyć do ideału i osiągnąć wysoki poziom ochrony. Pani z pewnością powinna zacząć od zmiany hasła.
W Magazynie INTERNET stale publikujemy artykuły, które poruszają kwestie bezpieczeństwa w internecie w różnych aspektach. (JB)
