SR

Category Archives: Sigurnost


Mailovi vam se “vraćaju”? Šta činiti?

Stvar o čijoj se prevenciji nedovoljno govori, a može zadati dosta problema vašem poslovanju je takozvana blacklistovana IP adresa.

Šta to znači za vaš sajt?

Pored toga što dovodi do pada reputacije servera, u najgorem slučaju, IP adresa na crnoj listi može biti uzrok i blacklistovanja glavne IP adrese celog Shared Hosting servera.

Što, blago rečeno, nije dobro.

Podsetimo, na Shared Hosting serverima se ne nalazite sami.

Server “delite” sa par stotina drugih korisnika, čiji mailovi mogu biti direktno ugroženi vašom blacklistovanom IP adresom.

 

Kako izbeći blacklistovanje IP adrese?

Hajmo najpre u mini analizu.

U velikom broju slučajeva, ukoliko je vaša adresa na crnoj listi, najpre ćete primetiti da se emailovi koje šaljete vraćaju.

Sva odlazna pošta, u slučaju niske reputacije odlaznog servera, odbija se od strane prijemnog servera, a u slučaju blacklistovanja — jer se server nalazi na nekoj od “crnih lista” jednog ili više RBL servisa.

RBL je skraćenica od Real Time Black List (non-stop aktivna crna lista) i predstavlja skup globalnih IP adresa “onih koji su odbili da zaustave spam”.

RBL liste se najčešće koriste u fazi uspostavljanja SMTP (Simple Mail Transfer Protocol) veze, odnosno u trenutku kada vaš email server, započinje proces prijave radi slanja elektronske pošte ka primaocima.

Zatim prijemni SMTP server proverava postojanje IP adrese predajnog servera na nekoj od izabranih RBL listi.

Ukoliko je predajni server na crnoj listi, komunikacija se prekida pre nego prenos elektronske poruke počne.

Bez panike, svakome sa SMTP serverom dešava se da bude zapisan na nekoj od RBL listi.

U tom slučaju potrebno je pronaći uzrok dolaska na crnu listu, otkloniti grešku i prijaviti sistem na retestiranje i uklanjanje sa crne liste.

Rešavanje ovih problema može da bude zahtevno, prvenstveno jer RBL servisi najčešće na zahteve  za uklanjanje IP adrese sa crne liste, odgovaraju u proseku rasponu od 24-48 sati od podnetog zahteva.

Dakle, i nakon što je tim tehničke podrške otklonio grešku zbog koje se server našao na crnoj listi, u praksi je potrebno još par dana nakon toga, kako bi RBL servis reagovao i uklonio IP adresu sa liste.

U međuvremenu, loša vest može biti da, dok je server na blacklisti, vaše email poruke će odlaziti u SPAM folder primaoca maila. U nekim slučajevima, može se dešavati da pošta i ne stiže krajnjem primaocu.

Takođe, u zavisnosti od hosting provajdera, postoje slučajevi u kojima se radi i outgoing check, odnosno proaktivna provera primaoca takođe.

Tada se testira i postojanje IP adrese vaših primalaca na crnim listama, i ukoliko bude pozitivno, pogađate, pošta neće biti dostavljena.

Iz ovog razloga savetujemo našim korisnicima da vode računa o statusu njihovih IP adresa kako se slične situacije bile prisutne samo u teoriji.

 

Kako da proverite status vaše javne IP adrese?

 

Najpre pronađite svoju tačnu IP adresu preko https://ip.unlimited.rs/.

Zatim, adresu koja se ispisuje na ekranu kopirajte i proverite status na:

https://mxtoolbox.com/blacklists.aspx

 

Moja adresa je blacklistovana! Šta sad?

 

U slučaju da se Vaša javna IP adresa nalazi na nekoj od crnih lista, bez panike.

Kontaktirate svog internet provajdera u najkraćem mogućem roku i zamolite tehničku podršku da vam dodele novu IP adresu ili pokušaju da uklone postojeću IP adresu sa crnih lista.

Najsigurniji metod jeste da zakupite zasebnu (dedicated) IP adresu.

Preventivno, proverite kontakt forme na vašem sajtu i obezbedite ih.

 

Dokaži da si čovek?

 

Bilo bi dobro da postavite neki vid sigurnosne provere na stranice koje zahtevaju interakciju sa korisnicima, kako biste vrlo efikasno sprečili gomilanje masovnih spam poruka u vašem sandučetu.

Kao na unlimited.rs kontakt strani, primerom.

Kao najefikasnija metoda preventive spama pokazala se CAPTCHA. Ovaj sistem “potvrde čovečnosti” nastao je na Univerzitetu Carnegie Mellon 2000. godine. Akronim CAPTCHA bazira se na reči capture i izveden je iz pojma Complete Automated Public Turing test to tell Computers and Humans Apart.

Ideja koja stoji iza sistema je da se napravi automatski generisan izazov, lak za ljude, a nesavladiv za računare i softver. Najčešći CAPTCHA sastoji se od slike sa iskrivljenim slovima, uz moguće razlike u bojama, postojanje šarene pozadine ili uz prisustvo drugih elemenata koji imaju zadatak da softveru učine nemogućim rešavanje testa.

Ova tehnologija deluje štreberski i nezanimljivo, ali, verovali ili ne, svaki put kada ukucate slova i brojeve po zahtevu reCAPTCHA sistema vi pomažete digitalizaciju knjiga i drugih publikacija. Naime, reCAPTCHA ne prikazuje nasumične reči, brojeve i interpunkciju, već sadržaj iz arhive magazina The New York Times i mnogobrojnih knjiga iz projekta Google Books.

Sajtovi koji koriste sistem reCAPTCHA prikazuju slike skeniranih reči koje softver za optičko prepoznavanje karaktera nije mogao da pročita prilikom procesa digitalizacije knjiga i časopisa. Ideja je vrlo jednostavna, ali efektna. Pritom, veoma pametno sprovedena, jer se oslanja na globalnu “radnu snagu” svih korisnika interneta.

No, CAPTCHA sistemi, naravno, nisu savršeni. Sem što nerviraju korisnike, oni su pod konstantim napadom.

Iz tog razloga, reč je o samo jednom malom vidu zaštite vašeg sajta od napada spamera.

Ukoliko niste sigurni da ćete moži efikasno da postavite sve sigurnosne stavke na svoj sajt, poput SSL sertifikata ili dodeljivanja zasebne IP adrese, unlimited.rs tim vam može pomoći.

Kontaktirajte nas putem tiketa odnosno slanjem emaila na [email protected] i usluga će vam biti predstavljena, a problem rešen u vrlo kratkom roku.

Kako da se efikasno odbranite od spam mailova?

Sve znamo.

Kada je reč o internetu, čini se da svi imamo nekog bogatog rođaka plave krvi koji će baš nama ostaviti celo bogatstvo. Ili bar tako kaže njegov advokat koji nas je kontaktirao preko maila i sve što traži su naši podaci.

I tako zilion puta.

Da li ste i vi dobijali ponude od kompanije za koje nikad niste čuli da postoje i za proizvode koje nikad niste istraživali, niti ste tražili ponudu za njih?

Ili, da li ste i vi, kao i mi, bezbroj puta osvojili milione dolara na različitim takmičenjima i igrama na sreću za koje ste nikad niste prijavili?

Savršeno.

Ako vam ove situacije zvuče poznato, po svemu sudeći, bili ste nevina i nasumična žrtva neželjene pošte, odnosno spama,  čak i ukoliko imate svoj poslovni mail, a ne Gmail ili Hotmail.

Dobrodošli u klub.

Iako se GDPR zahuktava, svi građani interneta se dalje bore sa pošasti spam mailova na koje se nikada nisu prijavili.

Statistika kaže sledeće.

SPAM pošta je činila čak 85.32% ukupnog email saobraćaja u septembru 2018. godine, dok je na dnevnom nivou poslato oko neverovatnih 301.95 milijardi spam poruka.

Pošto znamo da zna da bude ponekad veoma dosadno čistiti svoj inbox od neželjene pošte, naročito u slučaju kad je u pitanju veliki broj spam mailova, na unlimited.rs serverima će vas čuvati strah i trepet svakoj spam poruci: SpamAssasin! 💪🏼

Kako bi smo zaštitili korisnike od neželjene pošte na našim serverima svaki korisnik ima mogućnost da aktivira SpamAssasin kroz opciju SPAM FILTERS za svoj account kroz Cpanel I podesiti stepen zaštite koji mu odgovara.

Ono što je potrebno da uradite kako bi vaš account bio zaštićen, je da kliknete na opciju Spam Filters u Vašem Cpanelu.

Nakon toga, prikazaće vam se sledeći meni:

Aktiviranjem opcije Process New Emails and Mark them as Spam aktivirate SpamAssasin za vaš nalog i sve poruke koje se detektuju kao SPAM biće tako i markirane. Ta-da!

A sa opcijom Automatically Delete New Spam (Auto-Delete) aktivirate automatsko brisanje poruka koje SpamAssasin prepozna kao neželjenu poštu.

Za SpamAssasin možete podesiti stepen detekcije spama (Spam Threshold) i tako podesiti koliko “agresivno” će SpamAssasin markirati neželjenu poštu.

Osnovna vrednost je 5.

10 važi za najslabiji stepen zaštite i markiraće samo najočigledniju neželjenu poštu kao SPAM, dok 1 označava najagresivniji vid pregleda vaše pošte i primenjivanja algoritama koje SpamAssasin koristi za detekciju spama i zagarantovano će otkloniti svaki mogući SPAM koji stigne u vaše email sanduče.

Napomena: Na ovaj način, može se desiti i da neka legitimna poruka bude detektovana kao spam (recimo poruka bez naslova, odnosno subjecta).

Kako bi izbegli ovakav scenario, naša preporuka je da koristite osnovnu vrednost 5.

I to bi bilo to! Nakon ovih koraka vaš account je uspešno zaštićen od spama!

Bilo je lako, zar ne?

25 dana do Google penala svim sajtovima bez SSL sertifikata

Približava nam se još jedan događaj do čijeg početka primene korisnici interneta (ne)voljno odbrojavaju dane i doslovno sekunde.

Najpre je to bio GDPR, a sada — takozvano “Not Secure” obeležavanje sajtova na Google Chrome pretraživaču.

Za manje od mesec dana, tačnije 23. jula, Google će započeti etiketiranje i “davanje penala” sajtovima koji nemaju SSL sertifikat (odnosno i HTTPS i zeleni katanac ispred www) sa Ova stranica nije bezbedna, odnosno Not Secure.

Kada je Google najavio ovu regulativu u februaru ove godine, procenat sajtova koji koriste HTTPS porastao je na 69,7.

Samo godinu dana pre toga, svega 52,5% svih sajtova sveta koristio je SSL/TLS — protokol za enkripciju iza HTTPS-a.

Dakle, nade ima, progres je očigledan.

Ipak, i dalje postoji veliki broj, čak i velikih igrača na webu koji ne podržavaju HTTPS (ili naprosto fejluju da ga implementiraju i redirektuju neproverene, sumnjive i nesigurne zahteve).

Oni i njima slični, uskoro će biti penalizovani od strane Google. Šta to tačno znači?

Em će dobiti etiketu nesigurnosti, em će biti zakucani na stranama Google pretrage na koje niko ne zalazi.

Poprilično plemenita namera ovog najkorišćenijeg pretraživača koja zapravo demonstrira svu silu Googla, odnosno kompanije Alphabet. Koliko god plemenito, toliko je i zastrašujuće.

Stavljajući tu realnost na kratko u stranu, skenirajući najposećenije sajtove (njih 946.039) i njihove SSL profile, zapazili smo sledeće:

Na pitanje zašto, oni bez ikakve verzije SSL-a, ne štite svoje sajtove, ali i posetioce, sa prostom implementacijom HTTPS-a, odgovore bismo ugrubo mogli da stavimo u tri grupe:

1. “Ma, to nam ne treba”,

2. “To nam je dosta teško da uradimo sada”,

3. “Sajt će nam biti neviđeno spor sa njim”.

I da, ni jedan od tih argumenata nije legitiman, ali u isto vreme oni predstavljaju veoma česte zablude među stanovnicima našeg divljeg, divljeg weba.

Pa, pređimo svaki od njih i demistifikujmo ih u par rečenica.

 

Mit #1: “HTTPS je komplikovan za implementaciju”

Za pojedince i njihove sajtove, ovo je moglo da pije vodu… ali u devedesitima. Međutim, ovaj iskaz je sve osim tačan u 2018. godini. Tada, iako ste imali zahtev za SSL-om, niste imali ni najmanju ideju kako da ga “nabavite”. Proces je mogao da se iskomplikuje i traje mesecima — tačno.

Ali to zaista više nije slučaj.

Hvala kosmosu, očekivano, dosta smo napredovali od tada. Danas možemo da zaštitimo svoje sajtove SSL-om za svega par sekundi, čak i za 0 dinara, ukoliko nam nije potrebna zahtevna zaštita. Recimo, putem Let’s Encrypt-a kojeg i mi nudimo u web hosting paketima sasvim besplatno. Sigurnost i privatnost na interrnetu (nam) je važna.

 

Mit #2: “HTTPS mi nije potreban”

Ovaj argument je, dozvolićete, čista nelogičnost, pogotovo za ljude koji bi, realno, trebalo da znaju bolje, plus — prikupljaju vaše lične podatke i operišu sa njima. Čak i ako takve igrače performanse ne zanimaju u tolikoj meri (pogledajte mit #3) mora im biti stalo do online bezbednosti, ali i privatnosti korisnika koji posećuju njihove sajove.

Usput, evo jedne zanimljive činjenice:

Bez HTTPS-a, svako ko se nađe između posetioca na vašem websajtu ili API-ju, može da pogleda, pa čak i modifikuje sadržaj bez vaše saglasnosti.

Ovo može da ima najviše efekta na vladine institucije, poslodavce, pa čak i internet provajdere.

Ne sviđa vam se šta čujete? Čitajte dalje šta imamo da vam kažemo.

Ukoliko vam je stalo do vaših korisnika i želite da dobijaju vaš sadržaj u nepromenjenom obliku i ostanu bezbedni, bez uticaja zlonamernih online oglašavanja ili malware-a, potrebno je da obratite pažnju na integrisanje HTTPS-a.

Osim sigurnosti, koja je svakako jedna od najvažnijih stavki, postoje i dodatne koristi, kao što su bolji SEO i pristup novim web funkcijama.

Naročito interesantno jeste da sve više velikih kompanija poput Apple, Googla, Mozille i Microsofta, ograničavaju funkcionalnosti, tako da rad bude u potpunosto omogućen samo putem HTTPS-a.

Kada je reč o mobilnim apikacijama, Google će, takođe, uskoro blokirati otvorene (nešifrovane) konekcije, a ove promene se očekuju u predstojećoj verziji Androida.

Slične inovacije nisu strane ni Apple kompaniji, koja je najavila da će uskoro sve aplikacije u MacOS i iOS operativnim sistemima morati da koriste HTTPS.

Mit #3: “HTTPS me usporava”

Ovu rečenicu čujemo dosta često.

“HTTPS usporava naše onlajn iskustvo.”

A, takvo uverenje datira od trenutka kada je SSL/TLS zapravo i mogao da ima negativan efekat na websajt.

Ipak, stvari su se promenile i to više nije slučaj danas.

Dežurni internet kritizeri obično misle da ih HTTPS usporava iz dva razloga:

1) potrebno je malo više CPU snage za šifrovanje i dešifrovanje podataka i

2) uspostavljanje TLS sesije traje dva mrežna kružna putovanja koja se obavljaju između pretraživača i servera.

Ipak, prema mišljenju Adama Langlija, čak i sa malo starijim hardverom, SSL/TLS dodaje manje od 1% opterećenja na CPU. Isto tako, današnji procesori dolaze sa detaljnim uputstvima kao što su AES-NI, koji pomažu kod povećanja performansi. U budućnosti se očekuje da napredna tehnologija znatno umanji TLS 1.2 i TLS 1.3, ili potpuno eliminiše kružna putovanja.

Kada se pošaje HTTPS sadržaj, obično je potrebno 10-20 milisekunde kako bi on sa websajta došao do vaših korisnika.

Zaključujemo: sajtovi sa SSL/TLS tehnologijom su veoma brzi. Performanse se ne umanjuju, čak ni kada se HTTPS ne postavlja “sa ivice”.

Kako da izbegnem da mi sajt bude obeležen kao nebezbedan?

Ukoliko želite da vas Google ne etiketira kao “Not Secure” u Chrome pretraživaču, sve što vam je potrebno je SSL sertifikat sa kojim ćete svom sajtu “dodati” HTTPS redirekciju.

Svi unlimited.rs korisnici su obezbeđeni sa besplatnim SSL-om, i to na svim našim cPanel Web hosting paketima.

A ukoliko Vaš trenutni hosting provajder ne pruža besplatan SSL, kod nas ćete dobiti 20% popusta za prvu godinu korišćenja, na bilo koji izabrani hosting paket.

Toliko je prosto.

Ukoliko vam je potrebna pomoć u implementaciji, tu smo za vas.

Pišite nam na chatu u dnu ove strane ili putem maila [email protected].

Čekamo vas i pre 23. jula.

Pre toga, proverite da li vaš sajt podržava HTTPS.

Život bez WHOIS

Zamislite situaciju – pokrećete svoj biznis.

Imate sjajan poslovni plan i naravno, već ste odabrali ime svoje kompanije.

Sledeći korak: online prisustvo.

Domen i hosting.

Pokušavate da registrujete baš taj željeni domen, međutim, avaj, dobijate informaciju da je on već zauzet.

Šta vam je sada činiti?

Odustati od imena? Ukoliko je izbor sužen, a ime dobro, pretpostavljamo da ne.

Sledi brza WHOIS pretraga domena, kroz koju saznajete ime trenutnog registranta, kao i njegove/njene javno dostupne kontakt podatke.

Ovo bi vam pomoglo da pokušate sa eventualnim otkupom naziva.

Korisno, zar ne?

Kako iz ovog, tako i iz drugih razloga, najjednostavniji i najbrži način za proveru osnovnih informacija je pretraga kroz WHOIS sistem, koji sadrži javno dostupne podatke o registraciji domena i time zasigurno predstavlja neprocenjivo istraživačko sredstvo za sve vlasnike trgovačkih marki, kao i njihovih zakonskih savetnika.

Poznato je da brendovi zakupljuju cele porodice domena, kako bi se zaštitili od narušavanja svog korporativnog identiteta. Tako je, na primer, poznati glumac Ašton Kučer, samo par dana nakon rođenja svoje ćerke Vajat Izobele, zakupio svaki mogući domen sa njenim imenom, a istom prilikom, kreirao joj i email nalog, kao i profile na društvenim mrežama Facebook i Instagram. Poznati glumac je svoju, naizgled, iracionalnu odluku, odbranio rekavši da želi da izbegne da njegova naslednica bude u konotaciji sa pogrdnim sajtovima i time zaštiti njenu privatnost.

Ipak, sistem kakav mi poznajemo je pred, naizgled, nepovratnom promenom.

 

Kako to sada odjednom?

S obzirom na to da je pre par dana Evropska Unija usvojila propis o zaštiti podataka o ličnim podacima, Internet korporacija za dodeljene nazive i brojeve (Internet Corporation for Assigned Names and Numbers – ICANN), pokušava da finalizuje privremeni model koji će omogućiti registrima domena da se pridržavaju obaveza vezanih za privatnost podataka, a u isto vreme, sačuvaju što više WHOIS podataka što je moguće. U slučaju da ICANN ne uspe da to učini u bliskoj budućnosti, svima nam preti višemesečni period bez WHOIS pretrage tokom kog informacije o registraciji domena neće biti javno dostupne.

GDPR i WHOIS

Opšta uredba o zaštiti podataka o ličnosti (GDPR) je predložena od strane Evropskog parlamenta u aprilu 2016. a stupila na snagu 25. maja 2018. Ova nova regulativa je sa sobom donela mnoštvo promena u načinu na koji se privatni podaci građana Evropske unije prikupljaju i koriste, a, za razilku od ranijih uredbi, GDPR je donet da primeni nova pravila koji će sigurno imati uticaja širom sveta. O tome kako GDPR može da promeni web, pisali smo ranije.

ICANN ima ugovore sa više hiljada operatora domena i registara koji zahtevaju besplatan javni pristup podacima o registrovanim imenima domena, tj. WHOIS podacima, za koje postojih veliki broj besplatnih WHOIS alatki za pretraživanje. S obzirom na to da WHOIS sistem sadrži informacije o nazivima, adresi, email-u, broju telefona, kao i administrativne i tehničke kontakt podatke registranta jednog domena, postoje slučajevi gde ICANN, pak, nema zakonsku osnovu za takvu obradu, a davanje tih informacija može doneti visoke kazne zbog kršenja uredbi koje je GDRP doneo.

 

Kakvu budućnost čekaju WHOIS podaci?

Konflikt između novonastalih promena koje je doneo GDPR i dugogodišnje misije ICANN za pružanje dostupnih i tačnih WHOIS podataka, pokazao se kao veoma teškim za usklađivanje. Iako je ICANN do skoro zahtevao od registara domena da učine dostupnim lične podatke registranata, GDPR ih sada praktično poptpuno skriva. Sve od trenutka kada je GDPR usvojen, ICANN pokušava da predloži privremeni model koji omogućava registrima da istovremeno ispunjavaju svoje obaveze prema ICANN-u i GDPR-u.

Prošlog meseca, članovi ICANN zajednice, sastali su se u San Huanu, u Portoriku, gde se glavna diskusija vodila oko razvoja privremenog modela koji će biti u skladu sa GDPR-om. Ipak, ova tema je proizvela salve kritika sa dve strane — registara domena, ali i vlasnika brendova. Jedni veruju da zahtevi u novom modelu, kao što je predloženo objavljivanje informacija o registracionoj organizaciji, ne podležu GDPR uredbama zato što te informacije mogu da sadrže privatne podatke, dok su, sa druge strane, predstavnici vladinog sektora, sajber-bezbednosti i onih koji se bave intelektualnom svojinom, izrazili svoju zabrinutost da bi objavljivanje imena ili email adresa registranata trebalo da bude obavezno, kako je to neophodno da bi se nastavio put ka potpunoj transaprentnosti.

Život bez WHOIS.

ICANN je planirao da usaglasi kreiranje konačne verzije sa 25. majom kada je GDPR stupio na snagu, međutim, i na početku novog meseca, ne vidimo da je rešenje na pomolu. Sve dok ICANN ne primeni svoj mehanizam akreditacija kako bi se trećim licima omogućio pristup ovim, veoma čuvanim podacima, nećemo biti u mogućnosti da koristimo WHOIS pretragu, a ovaj period će, prema procenama stručnjaka, trajati par meseci.

Sumnja se da će sve ovo imati značajne posledice za vlasnike intelektualne svoje koji se redovno oslanjaju na korišćenje WHOIS pretrage zarad pronalaska krivičnih prekršaja te svojine. Preporuka je da svi oni zainteresovani koji se zalažu za opstanak WHOIS pretrage, kontaktiraju članove odbora ICANN-a, kako bi osigurali postojanje ovog mehanizma i mogućnost pristupa podataka.

Što se naših nacionalnih domena tiče, WHOIS zaštitu i nije potrebno zakupljivati kao dodatnu uslugu ukoliko ste fizičko lice, kako će po novim “pravilima”, vaši podaci biti potpuno sakriveni. Bar za sada.

Šta dalje?

WHOIS sistem kakvim ga mi poznajemo danas, nikada više neće biti isti, iako ICANN radi na tome da kreira održivi model koji je u skladu sa novodonesenim zakonom. Ipak, šta god da se desi,  gotovo je sigurno da svi moramo da se pripremimo za život u svetu gde ne zavisimo od WHOIS sistema.

I, da… Možda ćemo i dalje imati neke korisne javne podatke, kao što su datumi kreiranja i isteka domena, imena servera i zemlja registracije, ali veći deo informacija koje danas koristimo za sprovođenje istraga u vezi sa intelektualnom svojinom, slanje pristanka i odustajanje od pisama koje šalju kompanije, kao i drugi načini komunikacije, biće verovatni sakriveni iza vrata. A, ključ do otključavanja, sistem akreditacije i modifikacije prethodnog, verovatno neće biti u našim rukama još barem šest meseci, ako ne i duže.

Kako GDPR može promeniti web?

GDPR.

U prethodnih par nedelja samo srećnici (prim. aut) odsečeni od sveta nisu, makar usputno, načuli ponešto o GDPR-u, odnosno o Opštoj uredbi o zaštiti podataka o ličnosti (General Data Protection Regulation). S obzirom da nas od početka primene ovog zakona deli svega dva dana, znamo da je nama, a verovatno i vama, inboks bilo preplavljen mailovima od raznih kompanija na čije ste newslettere pretplaćeni u vezi sa ovom regulativom.

Pre nego što pokušamo da vam na što bolji način objasnimo šta tačno ova uredba zakazana za 25. maj podrazumeva, postavite sebi par pitanja:

Da li ljudi, naročito vaši klijenti, veruju vašoj kompaniji?
Da li znaju ko ste vi?
Imaju li informacija na koji način kontrolišete podatke svojih korisnika?
Da li ste dovoljno transparentni?
Ili su se, ipak, korisnici okrenuli protiv vas?

Verovatno se ova situacija nije desila baš vama ili vašoj kompaniiji, međutim, nedavno, nekoliko svetskih kompanija, doživele su velike javne incidente zbog deljenja podataka korisnika sa trećim licima. Jedna od kompanija je upravo Facebook, koja je bila uključena u skandal sa proneverom podataka više od 50 miliona naloga svojih korisnika. Sve je započelo 2014. godine kada je istraživač sa Kembridž univerziteta, Aleksandar Kogan, kreirao aplikaciju za Facebook koja je služila za određivanje tipa ličnosti. Ovo je omogućilo Koganu da, nakon pristanka za prikupljanje podataka, u svoju privatnu bazu podataka sačuva informacije, ne samo korisnika koji su instalirali aplikaciju, već i njihovih prijatelja. U susret Američkim izborima, Kogan je obezbedio podatke kompaniji Kembridž analitika koji su kasnije iskorišćeni za kreiranje izbornog tela. Iako Kogan tvrdi da su svi podaci prikupljeni kako bi se sačinio model ljudskog ponašanja na društvenim mrežama, Facebook ipak kaže da su time prekršili politiku te kompanije. U tim trenucima, velika većina ljudi počela je da gubi “poverenje” u kompanije koje se bave online poslovanjem (ali i internet u celini u ekstremnim slučajevima) i način na koji se privatni podaci skladište i obrađuju.

Skora istraživanja pokazuju da korisnici najmanje veruju kompanijama koje posluju na polju društvenih mreža, pa čak 58% ispitanika kaže da predstavljaju najveći rizik i pretnju njihovim privatnim podacima. Isto tako, jedan od pet anketiranih, boji se sajtova putem kojih se rezervišu putovanja, dok jedan od desetoro ispitanika veruje da ne postoji sajt koji zapravo predstavlja rizik. Kao odgovor na ova i mnoga druga istraživanja u vezi sa strahom korisnika u vezi sa privatnim podacima i njihovim korišćenjem u komercijalne svrhe, kreiran je GDPR.

GDPR je nova uredba o zaštiti podataka o ličnosti u Evropskoj uniji, a cilj uvođenja je da svojim stanovnicima da veću kontrolu nad svojim podacima i promeni pristup koje organizacije širom sveta imaju ka zaštiti i privatnosti podataka.

 

Dobro, ali mi se nalazimo u Srbiji. Zašto bi me zanimao GDPR?

Tu grešite, jer se GDPR primenjuje na sve podatke koji se prikupljaju o državljanima EU. Dakle, ukoliko vaša kompanija prodaje proizvode i nudi usluge i na tržištu EU, ili vaš sajt posećuju državljani EU, GDPR važi za vas i može da se primeni. Zato je veoma bitno da se razume da, iako politički ne pripadamo EU, ukoliko poslujemo na ovom tržištu, moramo da se prilagodimo novoj uredbi i primenjujemo sve ono što ona nalaže.

Na Međunarodnoj konferenciji na temu “Opšta uredba EU o zaštiti podataka o ličnosti (GDPR)” koja je održana 17. i 18. aprila 2018. u Beogradu, iz kancelarije Poverenika za za informacije od javnog značaja i zaštitu podataka o ličnosti, to objašnjavaju detaljno:

“Uredba se primenjuje i na obradu podataka o ličnosti lica koja se nalaze u Evropskoj uniji, a koju obavlja rukovalac ili obrađivač podataka koji nema poslovno sedište u Evropskoj uniji ako su aktivnosti povezane s nuđenjem roba i usluga licima u Evropskoj uniji (bez obzira na to da li to lice treba da izvrši plaćanje) ili praćenjem njihovog ponašanja dokle god se njihovo ponašanje odvija unutar Unije, To praktično znači da i privredna društva koja imaju poslovno sedište u Srbiji moraju da poštuju pravila Uredbe ako obrađuju podatke o ličnosti lica u Evropskoj uniji pod napred navedenim uslovima.”

Zašto je to bitno?

Prvenstveno, Srbija kao kandidat za članstvo u Evropskoj uniji ima obavezu da svoje zakone prilagodi sa ovom uredbom. Potom, iz perspektive kompanija, GDPR će nas sve sigurno naterati da primenimo staru izreku “tri puta meri, jednom seci”, s obzirom na to da nepoštovanje i kršenje članova uredbe mogu doneti astronomske kazne. GDPR omogućava i dozvoljava nadležnim organima da primeni kazne do 20 miliona eura ili 4% ukupnog godišnjeg obrta (šta god da je veće od ta dva). Isto tako, za sve komunikacione sektore u okviru jedne kompanije, ovo će takođe predstavljati i  znatno smanjenje mejling liste – čak do 60% preko noći.

 

Šta GDPR znači za pojedince?

– Pravo na pristup – svako će imati pravo na pristup nad svojim podacima i informacijama i načinu na koji se koristi;

– Pravo na digitalni zaborav – svako će imati pravo da zatraži da njegovi podaci budu izbrisani;

– Pravo na premeštanje podataka – svako će imati pravo da prenese svoje podatke sa jednog elektronskog sistema na drugi, bez ograničenja;

– Pravo na podrazumevanu zaštitu podataka – biće očekivano da se podaci čuvaju na najvišem mogućem nivou, kako bi bili u skladu sa uredbom o zaštiti ličnih podataka;

– Pravo na ograničenu obradu podataka – dokazi o obradi podataka moraju biti dostupni, kao i razlozi za pristup.

Ovo je deo uredbe, kao i kratko objašnjenje šta predstavlja. Predlažemo da sve detalje proverite putem zvaničnog sajta EU o GDPR.

Kako bismo bolje razumeli šta ovo znači u praksi, pogledaćemo uticaj GDPR-a iz perspektive programera i vlasnika sajta.

Perspektiva: Programeri.

GDPR se ne primenjuje samo na vlasnike sajtova, već i na one koji procesuiraju podatke. Zato, programeri takođe imaju odgovornost da su njihovi kodovi u skladu sa propisanim standardima. Ovo ne uključuje samo programere kojii kreiraju sajtove za svoje klijente, već  i one koji pišu kod u vidu dodataka i tema za širu distribuciju.

GDPR može imati uticaja u sledećim situacijama:

1. Pri korišćenju tema i dodataka tokom kreiranja sajtova za klijente;

2. Kada teme i dodaci uključuju formu koja zahteva unos ličnih podataka

3. Tokom povezivanja na third-party API za procesuiranje i prikupljanje podataka

4. Prilikom kodiranja analitičke funkcionalnosti ili bilo čega drugog što može identifikovati korisnike putem IP adrese, lokacije ili nekih drugih sredstava.

Perspektiva: Vlasnici sajtova.

Kada je reč o vlasnicima sajtova, postoji šest glavnih načina na koji odredbe GDPR-a mogu da ih se tiču:

1. Način na koji se prikupljaju podaci (kontakt forme, prijava na newsletter, itd.) – svi lični podaci koji se prikupe nakon popunjavanja formi je već pokrivena zakonodavstvom o zaštiti podataka, ali GDPR donosi nove uredbe koje kažu da je potrebno modifikovati način na koji se to radi;

2. Način na koji se prikupljaju podaci za analitiku – svaka kompanija koja ima razrađenu SEO strategiju prikuplja podatke kako bi mogla da meri performans svog sajta. GDPR pokriva i ovaj sektor, tako da podaci nikako ne mogu biti povezani sa jednom individuom;

3. Gde se prikupljeni podaci čuvaju;

4. Kako se prikupljeni podaci koriste;

5. Na koji način se komunicira sa korisnicima;

6. Određeni kod koji se koristi – dodaci i teme.

Put ka transparentnosti

GDPR zvuči veoma zbunjujuće i kao nešto što će oduzeti puno vremena. Moramo da priznamo da ovo jeste veliki zadatak za koji je potrebno izdvojiti određeno vreme… Ipak, verujemo da će se dugoročno isplatiti i da ima mnoge benefite kao što su:

– Čistiji podaci;

– Veće angažovanje od strane korisnika;

– Kvalitetniji odnos korisnika i kompanija.

Dakle, vaša email lista će se možda smanjiti, ali verujemo da će, ipak, oni koji ostanu biti aktivniji i dinamičniji korisnici, kao i da će pokazati određenu dozu veće angažovanosti. Sve u svemu, GDPR regulativa je pravi korak ka putu transparentnosti korišćenja podataka.

Pripremite se za GDPR na vreme!

Šta je SSL i zašto je važan za sigurno surfovanje webom?

U poslednje vreme, sve češće čujemo glasine o nebrojenim krađama identiteta putem interneta, curenju lozinki, “ubacivanja” virusa, i za brojne laike nižu se novi pojmove i reči — poput ransomware.

Sve te sigurnosno-bezbednosne falinke imaju bar jednog zajedničkog imenioca — takozvani socijalni inženjering (social engineering), situacija u koju ste doslovno prevareni i “naterani” da kliknete na sadržaj ili link koji, u najmanju ruku, neće biti dobar za vas i vaše podatke. Nakon klika, otvara se pandorina kutija trikova, virusa i crva koji imaju samo jedan cilj — da naude žrtvi krađom podataka.

Međutim, suprotno uvreženom mišljenju, ovakve se greške mogu desiti svima i to vrlo lako. Website izgleda okej, čak i vrlo sličan recimo e-bankingu vaše banke, ali je naravno upitanju prevara koju je lako uočiti na vreme — ukoliko znate šta je SSL.O tome pišemo u ovom blogu. Opuštenim tonom prikazaćemo šta je to SSL, koja mu je validna vrednost i zašto bi svi trebalo da koriste neku njegovu verziju u svakodnevnom surfovanju, životom i poslovanju na netu.

 

Šta je to SSL uopšte i kako to funkcioniše?

Najpre, počnimo sa osnovama: SSL je skraćenica od Secure Sockets Layer i predstavlja parče koda na vašem web serveru koje omogućava bezbednu online komunikaciju. Kada pretraživač uspostavi vezu sa bezbednim sajtom, SSL sertifikat omogućava kriptovanu vezu. To je kao kada zapečatite koverat pre nego što ga ubacite u poštansko sanduče.

SSL sertifikati takođe ulivaju poverenje jer svaki SSL sertifikat sadrži podatke za identifikaciju. Kada pošaljete zahtev za izdavanje SSL sertifikata, treća strana verifikuje podatke o vašoj organizaciji i izdaje vam jedinstveni sertifikat koji sadrži te podatke. Ovaj proces naziva se autentifikacija.

SSL se od “običnog sigurnosnog omotača” vremenom nadogradio na SSL/TLS (Secure Sockets Layer/Transport Layer Security), ali je i dalje poznat po svom originalnom skraćenom nazivu SSL. Ovaj sertifikat je takođe osnova za siguran HTTP ili HTTPS — što znači da je praktično website transportovan kroz protokol za transfer hiperteksta koji prolazi kroz bezbednu, kriptovanu konekciju.

Uh, previše IT žargona u par rečenica? Hajde da pojednostavimo stvari kroz par analogija.

Recimo da želite da otvorite račun u banci. Dođete na šalter, upitate službenicu da vam pomogne, međutim ona ne želi da vam otvori račun jer joj niste predali nikakva lična dokumenta i prosto, nema osnova da vam veruje da ste vi —vi. Šta dalje činiti? Jedna opcija je da službenica pozove lokalne insitucije (MUP, recimo) kako one sigurno imaju vaše lične podatke. Ali to je i u teoriji i u praksi vrlo naporna i nepotrebna opcija, što nas dovodi do zaključka da će službenica najpre da vas pita da joj date neki važeći lični dokument.

I vi joj date ličnu kartu, u kojoj se nalazi vaše ime i prezime i JMBG koji služi za proveru vašeg identiteta u ovom slučaju. Međutim, dokument sam po sebi ne radi ništa drugo do vašeg jednostavnog identifikovanja. Ne možete, recimo, sa ličnom kartom ili pasošem da podignete novac sa bankomata. Ali možete da bilo koji validan lični dokument, upotrebite za otvaranje računa u banci na osnovu kojeg ćete dobiti debitnu karticu za bankomate.

Vrlo sličan scenario dešava se i kada želite da pristupite bezbednom sajtu. Po dolasku na datu web adresu, vašem klijentu se dostavljaju autentifikacija i identifikacija od web servera i to putem SSL sertifikata. Vaš website ne može samo da kaže “Ja sam Narodna Banka Srbije” —potreban je validan sertifikat da potvrdi taj identitet. Ovo je “SSL rukovanje” koje je zapravo forma kontinuirane dvosmerne komunikacije koja za cilj ima da uspostavi vezu i jasnu identifikaciju pre nego li pretraživač zapravo zatraži potrebne informacije.

 

Znači tako je jednostavno? Mogu li onda da uzmem sertifikat kod bilo kog provajdera?

Pa, ne baš. Nisu svi SSL sertifikati i provajderi isti.

Sertifikati se razlikuju po nivou sigurnosti kao i po uslovima po kojima se izdaju. U ponudi tako možete pronaći sertifikate koji koštaju nekoliko hiljada dolara godišnje, pa i besplatne sertifikate, kao što je Comodo SSL koji mi nudimo besplatno uz sve Unlimited shared hosting pakete.

Kako bismo pojednostavili i razjasnili, možemo SSL uporediti sa pasošem. Pasoš je dokument koji je jasan i siguran dokaz vašeg identiteta i državljanstva, a koristi se kako biste mogli da putujete u druge zemlje. Mada, nisu svi pasoši isti, neki su “moćniji” od drugih. Na primer, nekome je potrebna viza za odlazak u određenu zemlju, potrebno je da dodatno potvrdi svoj identitet drugim dokumentima, a nekima nije.

Na isti način se razlikuju i SSL sertifikati. Postoje sertifikati kao što je ovaj koji mi koristimo za naš sajt, gde je prikazan naziv firme u samom pretraživaču pored domena. Ovaj sertifikat se zove EV (Extended Validation) sertifikat, on pruža viši nivo zaštite. Drugi sertifikati, sa nižim nivoom sigurnosti, uglavnom imaju samo oznaku Secure, ali ime vlasnika sertifikata nije prikazano.

Ne brinite se, nije potrebno da svi sajtovi imaju najviši nivo sigurnosti. Ukoliko vodite blog, sigurnost u vidu SSL sertifikata je poželjna, ali nije neophodna. Sa druge strane, neki od naprednijih SSL sertifikata je neophodan ako imate online prodavnicu ili neki drugi sajt gde se od korisnika zahteva da ostavljaju osetljive podatke, kao što su brojevi platnih i kreditnih kartica, adresa, i sl.

Razmislite koji SSL bi bio najbolji za vas, a ukoliko vam je potreban dodatni savet, slobodno nas kontaktirajte. Uz sve naše shared hosting pakete se dobija besplatan Comodo SSL, ali pored toga imamo i naprednije SSL sertifikate za korisnike kojima je to potrebno.

Dakle, SSL sertifikat vas ne može zaštititi od potencijalnih opasnosti kao što su napadi socijalnog inženjeringa, spoofing napadi i slično.

Ipak, SSL je zaista minimum sigurnosti koji obezbeđuje sigurne transakcije i komunikaciju između klijenta i servera. Svaki web sajt ili aplikacija bi trebalo da poseduje neku vrstu SSL sertifikata, a vi kao korisnici bi trebalo da pazite da ne ostavljate svoje podatke na nesigurnim sajtovima.

 

Da sumiramo: Zašto mi treba SSL?

SSL sertifikati čuvaju privatnost online interakcija čak i kada putuju preko javnog interneta, i ulivaju kupcima poverenje da je vaš sajt bezbedan za obavljanje transakcija. Ako od korisnika vašeg web sajta tražite da se prijave, ako unose lične podatke kao što su brojevi kreditnih kartica, ili na vašem sajtu mogu da vide neke poverljive podatke, onda morate da zaštitite privatnost tih podataka. Takođe morate da ih uverite da je vaš sajt autentičan.

SSL se takođe koristi za email servere, web aplikacije, server-to-server komunikaciju i još mnogo toga.

Kome treba SSL?

Svakome kome je potreban bezbedan prenos informacija preko interneta. Koristite SSL da zaštitite: 

1. Online transakcije kreditnim karticama, web forme i login podatke korisnika

2. Email i webmail aplikacije

3. Korporativne komunikacije na intranetu, ekstranetu, internim mrežama, file sharing i Microsoft SharePoint

4. Komunikacije na cloud platformama i virtualizovanim aplikacijama

 

Šta je enkripcija i zašto postoje različiti nivoi?

Enkripcija je matematički proces kodiranja i dekodiranja informacija. Broj bitova (40-bit, 56-bit, 128-bit, 256-bit) govori o veličini ključa. Kao i duža lozinka, veći ključ ima više mogućih kombinacija. Štaviše, 128-bitna enkripcija je jedan trilion puta jača od 40-bitne enkripcije. Kada se uspostavi kriptovana sesija, jačina se određuje na osnovu kapaciteta web browsera, SSL sertifikata, web servera i operativnog sistema na kompjuteru koji pristupa sajtu.

Kako SSL čini sajt pouzdanim?

SSL sertifikat sadrži verifikovane informacije o sajtu koji štiti, s ciljem da uveri korisnike da je sajt na kome su zaista vaš (tj. da nisu na phishing sajtu). Proširena validacija je najviši standard verifikacije i na upadljiv način uverava korisnike u autentičnost i bezbednost sajta: tako što adresna traka browsera postaje zelena.

Osim adrese, korisnike sajta u autentičnost uverava i pečat, odnosno žig poverenja (Trust mark, trust seal), koju dobijate sa sertifikatom i koju možete da instalirate na sajt. Kada korisnik klikne na pečat može da vidi inofrmacije o vlasniku sajta, nezavisnom telu koje je sertifikat izdalo i datum isteka SSL sertifikata. U novijim browserima, informaciju o sajtu mogu da se pojave kadda korisnik pređe mišem preko adresne trake. Takođe, informacije se vide i kada kliknu na ikonicu katanaca ispred adrese.

Da li mislite dovoljno na cyber bezbednost?

Pitanje: Da li vas brine cyber bezbednost?

Možda ćete reći “Pa, ne baš”, ali razmislite ponovo.

Koliko su vaši podaci sigurni?

Da li je vaša kompanija ikada bila hakovana na neki način?

Da li koristite javne Wi-Fi?

Koliko često radite backup podataka?

Da li vam je poznat termin enkripcije?

A koliko zapravo vrednujete sopstvene podatke, a na kraju — svoj biznis?

Odlučili smo da na jednom mestu skupimo odgovore na sva goruća pitanja o sajber bezbednosti.

Hakovani smo! Ko je kriv?

U svetu u kojem smo sve više međusobno povezani, svi delimo odgovornost za bezbednost zajedničkog sajber prostora. Newton Lee

Zašto su ransomware napadi, poput Wannacry, toliko jaki i efektivni?

Ransomware traži i napada ranjivosti u ljudskoj psihologiji pre nego samu tehnologiju, software ili hardver. Ransomware tako predstavlja zaseban deo sajberkriminala jer, da bi napad bio uspešno obavljen, na neki način, od žrtve pravi efikasnog saučesnika u sopstvenom uništenju. James Scott

Potrebno je dve decenije da se biznis reputacija izgradi i samo dva minuta jednog sajber incidenta da je u potpunosti uništi. Stephane Nappo

Zašto firewall nikada nije dovoljan da osigura bezbednost?

Kao što smo nebrojeno puta do sada apsolvirali, ideja u kojoj ICT bezbednost počinje i završava se isključivo implementacijom firewalla — naprosto više nije relevantna.  Art Witnann

Kompanije troše na milione dolara na firewallove, enkripciju i sigurnosne uređaje, a činjenica je da je taj novac protraćen iz jednog razloga: nijedna od tih mera ne adresira najslabiju kariku u bezbednosnom lancu.  Kevin Mitnick, haker

Kakve mete hakeri preferiraju?

Većina hakera će pre odabrati one kompanije u kojima su zaposleni potcenjeni i malo plaćeni, a pritom se onesvešćuju od posla. Razmišljajmo ovako: Zašto bi bilo koji od zaposlenih u takvim organizacijama dva puta razmislio pre nego li otvori neki sumnjivi (phishing) email?  James Scott

Ljudi. Najlakša hakerska meta. Ukoliko ih dovoljno pažljivo slušate i gledate, njihove ranjive strane prikazaće se poput neonskih znakova na njihovim glavama.  Elliot Alderson (Mr. Robot)

Zašto su podaci u konstantnom riziku od “curenja”?

Hardver je lako zaštiti: zaključate ga u sobu, stavite katanac na sto ili prosto kupite rezervni deo ili ceo uređaj. Sa podacima je to nešto problematičnije kako se najčešće čuvaju na više lokacija, prebacuju se online sa jednog na drugo mesto u roku od par sekudi bilo gde na svetu, i mogu biti ukradeni a da mi to i ne primetimo Bruce Schneier

Sajber bezbednost je mnogo više od brige samo IT sektora. Sveobuhvatna prevencija je iluzija. Ne možemo osigurati, niti preventirati ljudske greške, kontrolisati bivšeg radnika, eksterne saradnike, rupe u konfiguracijama, takozvani IT iz senke, … Fokusirajte se na ono što možete kontrolisati i što je zaista najvažnije — budite spremni da reagujete pravovremeno. Stephane Nappo

Potrebna nam je renesansa sajber bezbednosti. Renesansa koja će promovisati redovno održavanje sajber higijene i kulturu u kojoj će bezbednost biti jedna od ključnih stavki, primenjivana od malih nogu. James Scott

Radnici svih nivoa, maltene svakodnevno, rade stvari koje direktno utiču na bezbednost biznisa i kompanije za koju rade. U tom smislu, zaposleni moraju da imaju neku vrstu “online ulične pameti”. Međutim, velika većina kompanija (čak  i u IT industriji), posmatra ovaj problem kao brigu odeljenja za ljudske resurse koje će to “rešiti” jednim treningom ili kratkom prezentacijom. A znamo da neće. I to je kontinuirani kulturološki problem. Wolfgang Goerlich

Zašto uopšte postoje virusi i ransomware napadi?

Posmatrajmo kompjuterske viruse kao živa bića.
Tako gledano, otkriva nam se po koja stvar i o ljudskoj prirodi — jedina forma života koju smo do sada uspeli da stvorimo je čisto destruktivna. Izgleda da smo stvorili viruse po uzoru na nas same. Stephen Hawking

Ukoliko trošite više na organic kafu ili craft pivo u svojoj kompaniji, nego na IT bezbednost, bićete meta hakerskog napada. Štaviše, i zaslužujete da budete. Richard Clarke

Provalio sam komšiji šifru za Wi-Fi? Da li sam ja sada haker?

Znati da provalite bezbednosne sisteme neće vas učiniti hakerom više no što vas mogućnost da upalite vozilo na žicu čini inženjerom automobila. Eric Raymond

Zašto sam hakovan? Pa, imam antivirus!

Na prvom mestu, ukoliko mislite da će tehnologija rešiti baš sve vaše sigurnosne probleme, ona ne razumete ni probleme, a ni tehnologiju. Bruce Schneier

Svi napadi prosto traže slabosti i ranjivosti u ljudskom ponašanju. Drugim rečima, napadi love “Ljudski operativni sistem”. Stewart Kirkpatrick

Iz kog razloga jesajber bezbednost (prevencija i sanacija) postala tako uspešna biznis grana?

Bankrotiraćemo u nepreglednoj, nezaustavljivoj i taštoj potrazi za apsolutnom bezbednošću. Dwight D. Eisenhower

Paranoja” jedne osobe je redundantnostdruge Marcus J. Ranum

Da li imate stručni bezbednosni savet za kompanije?

Moja kratka poruka za kompanije koje misle da nikada nisu napadnute: Ne tražite dovoljno. James Snook

Uvek znajte koje i kakve podatke posedujete, kako ih koristite i postarajte se da imate redovnu i kvalitetnu “sigurnosnu higijenu”. U veoma bliskoj budućnosti, redovne kontole sajber bezbednosti će biti obavezne u svim kompanijama i ne samo to, one će biti zahtevane od strane regulatora.  Michael Vatis

Jedan od glavnih sajber rizika je mišljenje da oni zapravo ne postoje i da se neće desiti baš nama. Drugi je pokušaj da se lociraju i uklone svi potencijalni rizici. Pokrijte najpre osnove, zaštitite ono što je najvažnije za vaš biznis i budite spremni da na vreme reagujete ukoliko problem nastane. Mislite u pravcu zašite podataka, usluga, kao i o korisničkoj podršci, reputaciji i korisničkom iskustvu. Stephane Nappo

Udarna vest: U toku je najmasovniji napad na WordPress sajtove u istoriji. Kako se zaštititi?

Što bismo rekli, ovo je ne samo udarna vest, nego i masovni poziv na pozornost i obzir.

Snažni brute force attack je u poslednjih 24 sata krenuo na sve WordPress podržane sajtove širom planete. Napad je krenuo juče, oko 11 časova po našem vremenu, napadajući sa velikog broja zasebnih IP adresa koje, samim tim, generišu neverovatan broj napada u kratkom periodu.

Ovo je verovatno jedan od najjačih i najagresivnijih napada kojem smo do sada svedočili, beležeći preko 14 miliona napada u toku jednog sata.

Za ovih 24 časa, pa čak i za vreme dok pišemo ovu vest, napad nastavlja sa brzim rastom u količini napada i beleženih padova sajtova širom sveta. U grafikonu ispod nalazi se trenutni prikaz kolličine napada i broj IP adresa sa kojih se napadi vrše svakog sata.

Šta do sada znamo o samom, za sada neimenovanom napadu:

– Napad je dostigao 14.1 milion napada po satu

– Ukupan broj IP adresa uključenih u proces napadanja u ovom trenutku je preko 10 hiljada

– Primećeno je do čak 190 hiljada napadnutih WordPress sajtova u toku samo jednog sata

– Ovo je najagresivniji brute force napad u istoriji.

 

Zašto se napad dešava (još uvek) i koji je razlog ovih masivnih brute force napada?

Pre svega 15 dana, 5. decembra, “likovana” je baza od 1.4 milijardi hakovanih naloga i podataka vezanih za njih (šifre i korisnička imena).

Oko 14% te baze, sadrži podatke koji su tačni, provereni i veoma lako pretraživi kroz samu listu. To i nije samo lista, kako se radi o jasnom svedočenju našim ranijim pisanjima i istraživanjima koja kažu da ljudi uglavnom ne vode mnogo računa o svojoj online bezbednosti. Većina šifri, tačnije skoro 10 miliona hakovanih naloga iz baze, ima šifru 1234, a skoro dva miliona qwerty.

Istorijski gledano, brute force napadi na WordPress sajtove do sada nisu imali mnogo uspeha. Međutim, nova baza pruža nesmetan i veoma lak uvid u kredencijale koje, kada se poklope sa WordPress login podacima, mogu da omoguće višu stopu uspeha ovog poslednjeg napada na sajtove koji nemaju mnogo zaštite.

Osim toga, sigurnost nije jedini razlog za brigu. Ovaj napad može itekako zagušiti tj. usporiti i čak onemogućiti pristup sajtu na određeni vremenski period, jer lako može “pojesti” sve dodeljene resurse na hostingu.

Ipak, ovaj vid napada, u današnjem vrlom novom svetu, zaista ne predstavalja naročitu novost. Ovog puta, samo je još jedan podsetnik za veću obazrivost i viši stepen zaštite.

Evo malih i brzih saveta.

 

Da biste ovaj napad lako izbegli, predlažemo instalaciju sledećih WordPress sigurnosnih plugina.

1. Obavezna izmena linka za WP login kao što su uglavnom WP-LOGIN/WP-ADMIN url-ova koristeći plugin Rename WP login.

2. Instalacija i aktivacija plugina koji onemogućuje XML-RPC.

3. Instalacija i aktivacija Wordfence plugina.

4. Dodatno, ali i opciono, možete onemogućiti i JSON API pristup tako što ćete instalirati istoimeni plugin.

Svakako, promena default korisničkog imena (admin) i lozinke je i ovog puta veoma poželjna.

Bonus savet:

Ne koristite istu šifru na više različitih platformi. Znamo, pamćenje tolikih šifri sigurno zna da bude neverovatno zamorno, ali spašava nas neprijatnih i pogubnih situacija. Da biste sebi olakšali, možete koristiti neke od programa za čuvanje, generisanje i upravljanje ličnim šiframa 1Password ili Keepass Password Safe.

 

Želite da stupite u kontakt sa nama?

KONTAKTIRAJTE NAS
+381 11 428 08 08
[email protected]
Pokreni odmah