Kako izbeći opasnosti koje mogu da ubiju vaš sajt?

Šest opasnih stvari koje mogu da ubiju vaš sajt… i kako ih izbeći?

Web sajt je vir­tu­el­ni i­zlog, por­tfo­lio, deo bren­da i ne­za­men­ljiv mar­ke­tin­ški alat mo­der­nog pre­du­ze­ća. Mno­go tru­da, nov­ca i vre­me­na ula­že se u nje­go­vo prav­lje­nje, a is­to to­li­ko re­sur­sa u priv­la­če­nje po­se­ti­la­ca i op­ti­mi­za­ci­ju za pre­tra­ži­va­če, jer sajt ko­ji ne­ma po­se­te mo­že­mo pro­gla­si­ti mrtvim. Ka­da je­dnom do­ve­de­mo po­se­ti­oce na sajt, po­želj­no je da ih za­drži­mo, uve­ri­mo da su na pra­vom mes­tu i da­mo im po­vo­da da po­no­vo po­se­te naš stra­ni­cu. 

Osim le­pog di­zaj­na i kva­li­te­tnog sa­drža­ja, po­se­ti­ocu saj­ta va­žno je da se ose­ća be­zbe­dno. Ako je na na­šem saj­tu „po­ku­pio vi­ru­se“, ve­ro­va­tno se vi­še ne­će vra­ća­ti. Uko­li­ko se od nje­ga tra­ži da os­ta­vi li­čne po­dat­ke, po­se­ti­lac že­li da bu­de si­gu­ran da će ti podaci bi­ti za­šti­će­ni i da ne­će bi­ti zlo­upo­tre­blje­ni. Za­to bi be­zbe­dnost saj­ta i i­zgra­dnja po­ve­re­nja kod po­se­ti­la­ca tre­ba­lo da bu­du srž online mar­ke­ting stra­te­gi­je za­je­dno sa di­zaj­nom, hostingom i SEO.

Ipak, praksa pokazuje da se ne po­sve­ću­je do­volj­no pa­žnje bez­be­dnos­ti saj­ta, a za­ne­ma­ri­va­nje tog pi­ta­nja mo­že ima­ti po­sle­di­ca po re­pu­ta­ci­ju fir­me, što će se lo­še o­dra­zi­ti na uku­pno po­slo­va­nje. Ta­ko na saj­to­vi­ma ve­li­kog bro­ja do­ma­ćih online shop‑ova, osim i­zja­ve da se pro­da­vac „oba­ve­zu­je na pri­va­tnost va­ših li­čnih po­da­ta­ka ko­ji će bi­ti ko­ri­šće­ni is­klju­či­vo u svrhe ku­po­vi­ne na na­šem Web saj­tu“, ne mo­že­mo na­ći ga­ran­ci­je da je sajt be­zbe­dan. Za­to se po­se­ti­oci ne­ra­do re­gis­tru­ju, ne dov­rša­va­ju ku­po­vi­nu, a još ma­nje pla­ća­ju kre­di­tnim kar­ti­ca­ma.

Ka­ko do be­zbe­dnog saj­ta i ka­ko da uve­ri­mo po­se­ti­oce da su be­zbe­dni? Za po­če­tak, ta­ko što će­mo i­zbe­ći šest naj­če­šćih zam­ki ko­je mo­gu do­ves­ti do to­ga da naš sajt os­ta­ne sam i na­pu­šten u bes­pu­ću zva­nom In­ter­net

1. Web­si­te malware

malware ahead

Pazi malware!

Ser­ve­ri na ko­ji­ma se na­la­ze saj­to­vi mo­gu bi­ti me­ta na­pa­da baš kao i vaš PC. Kom­pro­mi­to­va­nje le­gi­tim­nih saj­to­va i ko­ri­šće­nje tih saj­to­va za ši­re­nje malware‑a sve je po­pu­lar­ni­ja tak­ti­ka me­đu online kri­mi­nal­ci­ma.
Naj­go­re od sve­ga jes­te to što vla­sni­ci čes­to i ne zna­ju da je nji­hov sajt kom­pro­mi­to­van sve dok sajt ne dos­pe na crne lis­te ko­je pra­ve pre­tra­ži­va­či ili dok ko­ri­sni­ci ne po­čnu da se ža­le da su na nji­ho­vom saj­tu po­ku­pi­li vi­ru­se i druge štetne programe.
Da­nas se go­tov mal­ver ku­pu­je na crnom trži­štu, ta­ko da zlo­na­mer­nik ne mo­ra da bu­de ha­ker­ski ge­ni­je da bi na­udio va­šem saj­tu. Saj­ber­kri­mi­nal­ci obi­čno ko­ris­te ala­te i skrip­te, ko­ji se la­ko mo­gu na­ći na In­ter­ne­tu, po­mo­ću ko­jih pro­na­la­ze sla­be tač­ke i ra­nji­va mes­ta na saj­tu i ko­ris­te ih za ši­re­nje malware‑a. Na pri­mer,  LizaMoon alat ko­ris­tio je te­hni­ku SQL injection i na taj na­čin in­fi­ci­rao mi­li­one saj­to­va. Dru­ge te­hni­ke ši­re­nja mal­ve­ra ko­ris­te uočene ra­nji­vos­ti sis­te­ma za u­prav­lja­nje sa­drža­jem, Web sajt hosting so­ftve­ra ili ope­ra­tiv­nog sis­te­ma ser­ve­ra.

 

Pre­po­ru­ke
• Po­bri­ni­te se da so­ftver ser­ve­ra na kom se vaš sajt na­la­zi bu­de ak­tu­elan i da ima sve naj­­novi­je „za­krpe“ i objavljena be­zbe­d­no­sna ažu­ri­ra­nja.
• Kon­tro­li­ši­te pris­tup klju­čnim sis­te­mi­ma i ko­ris­ti­te ja­ke lo­zin­ke ili dvo­fak­tor­sku auten­ti­fi­ka­ci­ju.
• Obe­zbe­di­te sva­ko­dnev­no an­ti­mal­ver ske­ni­ra­nje saj­ta i pro­ce­nu sla­bos­ti. To mo­že­te pos­ti­ći po­mo­ću ne­kih SSL ser­ti­fi­ka­ta, kao što su Symantec Secure Site Pro, Secure Site EV i Secure Site Pro EV SSL ser­ti­fi­ka­ta.

2. Be­zbe­dno­sna upo­zo­re­nja i is­te­kli ser­ti­fi­ka­ti

Extended Validation

Istekli sertifikati

Za­mi­sli­te da ste vi ko­ri­snik i ho­će­te da ku­pi­te ne­što, ali ta­man što ste kre­nu­li da kli­kne­te na tas­ter „ku­pi“, browser vas upo­zo­ri da je SSL ser­ti­fi­kat saj­ta is­te­kao. Šan­se da će­te nas­ta­vi­ti sa kupovinom su posle toa minimalne, a si­gur­no će­te do­bro ra­zmi­sli­ti da li će­te ikada po­no­vo do­ći na taj sajt. Sli­čno, ako ko­ris­ti­te SSL ser­ti­fi­ka­te da za­šti­ti­te online a­pli­ka­ci­je i ser­vi­se a ser­ti­fi­ka­ti is­te­knu, po­ve­re­nje ko­ri­sni­ka u vaš ser­vis strmo­gla­vo će opas­ti.

Kom­pa­ni­je s vi­še ser­ti­fi­ka­ta i ser­ve­ra su­oča­va­ju se sa o­zbilj­nim iza­zo­vi­ma u­prav­lja­nja nji­ma. Ko je od­go­vo­ran za ku­po­vi­nu i o­bno­vu ser­ti­fi­ka­ta? Ka­ko se vo­di evi­den­ci­ja? Ka­ko osi­gu­ra­ti da se ser­ti­fi­ka­ti o­bnav­lja­ju na vre­me?
Cen­tra­li­zo­va­no u­prav­lja­nje ser­ti­fi­ka­ti­ma ni­je sa­mo do­bra prak­sa ne­go i ne­op­ho­dnost ako že­li­te da i­zbe­gne­te is­ti­ca­nje ser­ti­fi­ka­ta ili probleme sa o­bno­vom u po­sle­dnjem tre­nut­ku.

Pre­po­ru­ke:

• Pro­ve­ri­te ser­ti­fi­ka­te u ce­loj or­ga­ni­za­ci­ji ta­ko da zna­te ko­je ima­te, ko vam je snab­de­vač i ka­da is­ti­ču.
• Kon­so­li­duj­te ser­ti­fi­ka­te i u­prav­ljaj­te nji­ma s je­dnog mes­ta.
• Na­pra­vi­te pod­se­tni­ke ka­ko vam se ne bi de­si­lo da za­bo­ra­vi­te da o­bno­vi­te ser­ti­fi­ka­te.

3. Malware­ti­sing (malware + a­dver­ti­sing)

oglas za malware toolkit

Oglas za malware toolkit

Kri­mi­nal­ci se čes­to in­fil­tri­ra­ju na le­gi­tim­ne saj­to­ve na ko­ji­ma pos­to­ji pros­tor za re­kla­me, gde pos­tav­lja­ju ba­ne­re, o­gla­se i sli­čno.
Po­dmu­klost ovih na­pa­da o­gle­da se u to­me što vla­sni­ci saj­to­va čes­to ne mo­gu da kon­tro­li­šu ko­je re­kla­me će se po­ja­vi­ti na nji­ho­vom saj­tu ili oda­kle do­la­ze, a pri­li­kom obi­čnog ske­ni­ra­nja saj­ta re­kla­ma ko­ja sa­drži mal­ver ne mo­ra bi­ti ot­kri­ve­na jer se mo­žda u tom tre­nut­ku ne pri­ka­zu­je. Kri­mi­nal­ci mo­gu da za­ku­pe re­klam­no mes­to ko­ris­te­ći re­klam­ne mre­že ili čak da ha­ku­ju pos­to­je­će re­kla­me i za­ra­ze ih.
Ri­zi­čna je već sa­ma po­se­ta saj­tu na ko­me pos­to­ji ova­kav za­ra­že­ni o­glas; lju­di čak ne mo­ra­ju ni da kli­knu na re­kla­mu ka­ko bi ak­ti­vi­ra­li ne­že­lje­nu ak­ci­ju. Bez do­bre an­ti­mal­ver za­šti­te na svom ra­ču­na­ru, po­se­ti­lac se i­zla­že ri­zi­ku pri­ta­je­ne in­fek­ci­je. Ako je ot­kri­je, vrlo je ve­ro­va­tno da će po­mi­sli­ti da je sajt s kog je po­ku­pio taj mal­ver opa­san i ima­će lo­ši­je mi­šlje­nje o kom­pa­ni­ji ko­ja sto­ji iza tog saj­ta.

Pre­po­ru­ke:
• Ko­ris­ti­te pro­ve­re­ne mre­že o­gla­ša­va­nja.
• Ta­mo gde je to mo­gu­će, o­gra­ni­či­te o­gla­ši­va­či­ma mo­gu­ćnost ko­ri­š­će­nja ko­da (npr. ko­ris­ti­te sta­tič­ke sli­ke ili obi­čan tekst).

4. Za­bri­nu­tost ko­ri­sni­ka

S ob­zi­rom na ko­li­či­nu kri­mi­nal­nih ak­tiv­nos­ti na In­ter­ne­tu o ko­joj sva­ki dan slu­ša­mo, ne ču­di što su lju­di o­pre­zni ka­da po­se­ću­ju saj­to­ve i što tra­že do­kaz da su ti saj­to­vi be­zbe­dni. Ta­ko­đe, kon­ku­ren­ti mo­gu o­dvu­ći pa­žnju va­ših po­se­ti­la­ca. Ako po­se­ti­lac oce­ni da je sajt va­šeg kon­ku­ren­ta be­z­be­dni­ji od va­šeg, mo­že­te pret­pos­ta­vi­ti gde će ku­po­va­ti. Pos­to­ji vi­še od mi­li­jar­de Web saj­to­va pa lju­di brzo i la­ko mo­gu da na­đu za­me­nu za vaš sajt ako oce­ne da ni­je be­zbe­dan. Pro­se­čna po­se­ta saj­tu tra­je kra­će od je­dnog mi­nu­ta a kri­ti­čno je prvih 10 se­kun­di. Da­kle, ve­oma je va­žno da ih u prvih ne­ko­li­ko se­kun­di posete uve­ri­te ka­ko je sajt be­zbe­dan.

which seal do you trust
Ži­go­vi po­ve­re­nja (Trust mark), kao na pri­mer Norton Secured Seal ili Thawte Site Seal i GeoTrust Secured Seal, je­su di­na­mič­ka, ani­mi­ra­na gra­fi­ka ko­ja se pri­ka­zu­je na Web stra­na­ma ko­je su za­šti­će­ne SSL ser­ti­fi­ka­tom i na saj­to­vi­ma či­ju auten­ti­čnost ga­ran­tu­je ne­ko ser­ti­fi­ka­ci­ono te­lo. Ka­da po­se­ti­lac kli­kne na žig, o­tvo­ri se ve­ri­fi­ka­ci­ona stra­na ko­ja sa­drži in­for­ma­ci­je o or­ga­ni­za­ci­ji, de­ta­lje o SSL ser­ti­fi­ka­tu, a na Norton‑ovim ži­go­vi­ma i sta­tus ske­ni­ra­nja mal­ve­ra. Ži­go­vi po­ka­zu­ju lju­di­ma da vam je sta­lo do be­zbe­dnos­ti. Pos­to­je i ži­go­vi (kao npr. Symantec Seal‑in‑Search) ko­ji se pri­ka­zu­ju još u re­zul­ta­ti­ma pre­tra­ge po­red lin­ka ka saj­tu, ta­ko da se po­se­ti­lac za­bri­nut za be­zbe­dnost ne­će dvo­umi­ti da li da po­se­ti vaš sajt. Ži­go­ve obi­čno do­bi­ja­te uz SSL ser­ti­fi­ka­te.

Pre­po­ru­ke:
• Pri­ka­ži­te vi­dlji­ve zna­ke da je vaš sajt be­zbe­dan, ske­ni­ran i od po­ve­re­nja, ka­ko na sa­mom saj­tu, ta­ko i u pre­tra­ži­va­ču.

5. La­žno pred­stav­lja­nje (phis­hing)

Saj­ber­kri­mi­nal­ci ko­ris­te do­bro po­zna­ta ime­na i bren­do­ve ka­ko bi na­ve­li lju­de da im os­ta­ve po­ver­lji­ve in­for­ma­ci­je ili da in­sta­li­ra­ju mal­ver. Čes­to pra­ve la­žne Web saj­to­ve ko­ji i­zgle­da­ju is­to kao le­gi­tim­ni saj­to­vi i na taj na­čin us­pe­va­ju da za­va­ra­ju lju­de. Naj­po­zna­ti­ji pri­mer ove vrste na­pa­da, po­zna­tih kao phishing, jes­te ko­ri­šće­nje la­žnog saj­ta ban­ke na kom ko­ri­sni­ci os­tav­lja­ju broj ban­kov­nog ra­ču­na ili broj kre­di­tne kar­ti­ce i ši­fru.
U no­vi­je vre­me pri­me­tno je sve če­šće ko­ri­šće­nje dru­štve­nih mre­ža za pos­tav­lja­nje ma­ma­ca pre­ko ko­jih lju­de na­vo­de da na la­žnim saj­to­vi­ma os­tav­lja­ju po­dat­ke, kao što su ši­fre na­lo­ga na dru­štve­nim mre­ža­ma, u na­di da će do­bi­ti ne­ku na­gra­du.

Lazna nagradna anketa

Lažna nagradna anketa

 

Zbog la­žnih saj­to­va i „ki­dna­po­va­nja“ bren­da ve­oma je va­žno da kom­pa­ni­je, zbog oču­va­nja do­bre re­pu­ta­ci­je, za­šti­te svo­je saj­to­ve i is­ta­knu auten­ti­čnost pra­vih saj­to­va. SSL ser­ti­fi­ka­ti s pro­ši­re­nom va­li­da­ci­jom (Extended Validation) na vi­zu­el­no efek­tan na­čin po­tvrđu­ju iden­ti­tet saj­ta ta­ko što po­za­di­na i ime kom­pa­ni­je u browser‑u pos­ta­ju ze­le­ni. EV ser­ti­fi­ka­ti pri­ka­zu­ju de­ta­lje o vla­sni­ku saj­ta, či­me se ote­ža­va va­ra­nje po­se­ti­la­ca. Pro­ce­du­ra za i­zda­va­nje EV ser­ti­fi­ka­ta ve­oma je de­talj­na i ri­go­ro­zna, pa se ne mo­že de­si­ti da ne­pos­to­je­ća kom­pa­ni­ja ili kom­pa­ni­ja s lo­šom re­pu­ta­ci­jom do­bi­je ser­ti­fi­kat ili da do­bi­je SSL ser­ti­fi­kat za ime ili do­men ko­ji ne­ma pra­vo da ko­ris­ti.
Mno­ge vo­de­će kom­pa­ni­je, u­klju­ču­ju­ći Twitter i Facebook, do­ka­zu­ju da su nji­ho­vi saj­to­vi be­zbe­dni ta­ko što im­ple­men­ti­ra­ju SSL od login‑a do logoff‑a (tzv. Always‑on SSL). To zna­či da je sva­ka stra­na na saj­tu krip­to­va­na, a ne sa­mo one za ku­po­vi­nu i gde lju­di os­tav­lja­ju ose­tlji­ve in­for­ma­ci­je. Pre­dnost Always‑on SSL‑a jes­te u to­me što po­se­ti­oci saj­ta već od prvog kli­ka ima­ju ose­ćaj si­gur­nos­ti jer je znak be­zbe­dnos­ti vi­dljiv na sva­koj stra­ni.

Pre­po­ru­ke
• Ko­ris­ti­te ser­ti­fi­ka­te s pro­ši­re­nom va­li­da­ci­jom za auten­ti­fi­ka­ci­ju va­šeg saj­ta i uve­ri­te ko­ri­sni­ke da ni­su na phis­hing saj­tu.
• Ra­zmi­sli­te o im­ple­men­ta­ci­ji Always‑on SSL ser­ti­fi­ka­ta ko­ji na vi­dljiv na­čin uve­ra­va­ju ko­ri­sni­ke da su nji­ho­ve ak­tiv­nos­ti na saj­tu krip­to­va­ne.

 

6. Crne liste

Pre­tra­ži­va­či po­put Google-a i Bing-a ske­ni­ra­ju saj­to­ve tra­že­ći mal­ver i ako ga na­đu na va­šem saj­tu, on će odmah dos­pe­ti na crnu lis­tu. To zna­či da sajt vi­še ne­će i­zla­zi­ti u re­zul­ta­ti­ma pre­tra­ge, na nje­ga ne­će sti­za­ti sa­o­bra­ćaj s pre­tra­ži­va­ča i, u za­vi­snos­ti od Web browser‑a, mo­že se pri­ka­zi­va­ti upo­zo­re­nje o in­fek­ci­ji pre ne­go što po­se­ti­lac ode na sajt, čak i ako di­rek­tno une­se a­dre­su.
Dolazak na crnu lis­tu ima­­ po­gu­ban uti­caj na po­se­će­nost saj­ta i re­pu­ta­ci­ju va­šeg bren­da, bez ob­zi­ra na to što ste pu­no ulo­ži­li u op­ti­mi­za­ci­ju saj­ta za pre­tra­ži­va­če (SEO). Čak i kad ot­klo­ni­te pro­blem, mo­že pro­ći dos­ta vre­me­na dok pre­tra­ži­va­či po­no­vo uv­rste vaš sajt u lis­tu pre­tra­ge.
Dru­gi ra­zlog za stav­lja­nje na crnu lis­tu mo­že bi­ti ne­po­što­va­nje smer­ni­ca ko­je pre­tra­ži­va­či da­ju. Google o­bjav­lju­je ko­ri­sne smer­ni­ce o do­brim i lo­šim pri­me­ri­ma iz prak­se, u­klju­ču­ju­ći de­ta­lje o po­na­ša­nju zbog kog će­te dos­pe­ti na crnu lis­tu.
Google je o­bja­vio da dnev­no blo­ki­ra 6.000 saj­to­va. Čak i zvu­čna ime­na kao što su TechCrunch i New York Times na­šli su se na crnoj lis­ti jer je ot­kri­ve­no da pri­ka­zu­ju (ne­na­mer­no) za­ra­že­ne o­gla­se.

Pre­po­ru­ke
• Za­šti­ti­te sajt od malwaretising‑a i malware‑a.
• I­zbe­ga­vaj­te sum­nji­ve SEO te­hni­ke.
• Ko­ris­ti­te Google i Bing ala­te za webmaster‑e i pri­ma­će­te e‑ma­il upo­zo­re­nja ako se vaš sajt na­đe na crnoj lis­ti.

Izbor pravog partnera

Ra­zvoj sves­ti o opa­s­nos­ti­ma i upo­zna­va­nje s ri­zi­ci­ma prvi je ko­rak ka be­zbe­dnom saj­tu. Dru­gi ko­rak tre­ba­lo bi da bu­de i­zbor par­tne­ra ko­me će­mo ovaj od­go­vo­ran po­sao po­ve­ri­ti. Kao i u svim dru­gim sfe­ra­ma ži­vo­ta i po­slo­va­nja, i ov­de tre­ba iza­bra­ti po­u­zda­nog par­tne­ra sa i­zgra­đe­nom re­pu­ta­ci­jom.
Ka­da su SSL ser­ti­fi­ka­ti u pi­ta­nju, na trži­štu pos­to­ji ve­li­ki broj ser­ti­fi­ka­ci­onih te­la (CA) ko­je nu­de ovu vrstu u­slu­ge. Ni­su sva ser­ti­fi­ka­ci­ona te­la je­dna­ko po­u­zda­na, pa ta­ko ni nji­ho­vi ser­ti­fi­ka­ti i ži­go­vi ne­ma­ju je­dnak kre­di­bi­li­tet.
Me­đu li­de­re na trži­štu SSL ser­ti­fi­ka­ta spa­da­ju Symantec, Thawte i GeoTrust. Symantec (koji je kupio ne­ka­da­šnji VeriSign) nu­di ne­ko­li­ko vrsta SSL ser­ti­fi­ka­ta ko­ji, osim vrhun­ske en­krip­ci­je, nu­de i ne­što vi­še: pro­ce­nu ra­nji­vos­ti i ske­ni­ra­nje mal­ve­ra na saj­tu. Zbog ovih ka­rak­te­ris­ti­ka i pre­po­zna­tlji­vos­ti Symantec‑a kao bren­da u ko­ji lju­di ima­ju po­ve­re­nja, saj­to­vi ko­ji­ma je po­ve­re­nje po­se­ti­la­ca od klju­čnog zna­ča­ja bi­ra­ju Symantec SSL ser­ti­fi­ka­te. Thawte i GeoTrust nu­de je­fti­ni­je ser­ti­fi­ka­te ko­ji ne­ma­ju do­da­tne ka­rak­te­ris­ti­ke, ali obe­zbe­đu­ju ja­ku en­krip­ci­ju i po­u­zda­nu auten­ti­fi­ka­ci­ju.

Autor teksta: Anja Kiš

Objavljeno u PC#218