Audyt bezpieczeństwa sklepu internetowego
PO CO MI TO ….
Na czym polega audyt ?
PROBLEM ...
To są sytuacje z którymi spotkaliśmy się nie jeden raz na przestrzeni ostatnich 20 lat w pracy z naszymi klientami, Klientami po przejściach z nierzetelną /lub mało profesjonalną firmą która budowała im sklep, z informatykiem który z lekceważeniem podchodził do tematu backupów i polityki zmiany haseł, oraz niezliczoną liczbą innych przypadków gdzie trzeba było w niektórych sytuacjach odbudowywać klientom sklep niemal od zera …. Możesz tego uniknąć podejmując odpowiednie kroki TERAZ
Analiza stanu zastanego
Raport
Plan naprawczy
Ile to kosztuje ?
Dziesiątki, steki tysięcy zł, a może miliony ?
Sam wiesz jak duża baza klientów znajduje się w Twoim sklepie internetowym i czym grozić może niewłaściwe podejście do spraw związanych z bezpieczeństwem.
Koszt audytu oraz raportu i wdrożenia działań naprawczych jest niczym w porównaniu do skutków wycieku danych.
Czy mogę zabezpieczyć swój sklep sam ?
W pewnym zakresie być może przy odrobinie cierpliwości pozyskasz odpowiednią więdzę i metodą prób i błędów „coś zrobisz sam” ale czy np. naprawiając układ ABS/ESP samodzielnie posadziłbyś w takim samochodzie swoje dzieci ?
Nie sądzę …
Nie inaczej jest ze sprawami informatycznymi, ile razy w życiu będziesz zabezpieczał sklep internetowy, będziesz się tym chciał zajmować zawodowo ?
No właśnie …
Rób to co potrafisz najlepiej – zajmij się własnym biznesem a sprawy informatyczne zostaw informatykowi (:
SSL
Nie, nie dlatego że straszy wszystkich komunikatem jego brak (strona jest niebezpieczna itd …), jest ważny dlatego że nieszyfrowaną transmisję łatwo jest „podsłuchać” i uzyskać dostęp do newralgicznych danych które są przesyłane podczas takiej transmisji. Dziś jest to już obowiązek, każdy sklep internetowy musi mieć certyfikat SSL ale czasami zapominamy o jego odnowieniu, nie wiemy po co to, to coś co się samo doinstalowało przy zakupie hostingu itd. Pamiętajmy o tym że zakupiony certyfikat SSL odnawia się co roku (kupuje) ale hostingi coraz częściej oferują darmowy certyfikat SSL o nazwie Let’s Encrypt, jest on odnawiany automatycznie i jest bezpłatny (w ramach niektórych hostingów). To kolejna cegiełka na drodze do budowy firewall-a który będzie chronił dane twojego sklepu internetowego (:
Mały TIP gratis (:
Z uśmiechem na ustach czytam maile Klientów w których podają mi hasła do swoich systemów (((: już pomijam fakt że są one wysyłane tą samą drogą co login (choć niektórzy wysyłają hasło np. smsem a login mailem), to czasami są one tak proste że mogłoby je odgadnąć 5 letnie dziecko. Czym jest BRUTE FORCE ?
W dużym uproszczeniu
„Brute Force” odnosi się do ataku, w którym atakujący próbuje uzyskać nieautoryzowany dostęp do konta poprzez wielokrotne, automatyczne próby odgadnięcia hasła. Metoda ta opiera się na bezwzględnym przetestowaniu wszystkich możliwych kombinacji znaków, aż do znalezienia poprawnego hasła lub wyczerpania wszystkich opcji, i nie … nie robi tego człowiek tylko wysoko wyspecjalizowany automat (:
No to wyobraź sobie jakie szanse w starciu z taką bestią ma hasło: Kasia2001
(:
Po pierwsze, dzisiejsze hasła dostępowe powinny mieć minimum 12-15 znaków, i to nie byle jakich, w haśle muszą znaleźć się dużę i małe litery, liczby, znaki specjalne typu !@#$%^&*():”?>< im więcej ich tym lepiej. Co równie istotne niestety wiem że Ci się to nie spodoba ale hasła powinny być cyklicznie zmieniane minimum raz na 3 miesiące. Co równie istotne nie powinny być zapisywane w sposób jawny na żadnych nośnikach elektronicznych które są podłączane do komputera który ma dostęp do sieci/ w telefonie bez odpowiedniego algorytmu szyfrowania biometrią. Zapisywanie haseł na karteczkach przy komputerze to też fatalny pomysł szczególnie jeśli nie pracujemy w warunkach home-office ….
Staraj się też nie zapisywać haseł w pamięci przeglądarki/ systemu operacyjnego bo to w przyapdku systemu tj. Windows może skończyć się katastrofą, jeśłi już musisz to robić to kup sobie Maka (Macbook lub iMAC) one mają system unixowy, dodatkowe możliwości szyfrowania biometrią ,nie są tak dziurawe jak Windows i podatne na prymitywne ataki. Prosty przykład dojrzałości „systemu” z mojego podwórka. Ja zagorzały pecetowiec od początku lat 90tych wychowany na blaszakach , MS-DOS (kto dziś jescze pamieta cóż to było …) no i wszystkich wersjach Windows od 3.1 począwszy, maszyny z Windą reinstalowane były średnio raz na 2-3 miesiące, nie, nie z nudów, z konieczności ….. odkąd używam Macbooków pierwszą instalację systemu robię w dniu otwarcia pudełka z laptopem, a drugą i ostatnią w chwili jego resetu przed sprzedażą – tyle mam do powiedzenia na temat jakości systemu operacyjnego (:
To co opisałem to warunek brzegowy ochrony przed atakami typu BruteForce, nie jedyny, absolutne minimum ponieważ zaraz za tym powinno pójść wdrożenie systemu który tego typu ataki wyłapuje i blokuje.