Webhosting scam?

Dobry den,

muze provozovatel webhostingu, u ktereho mam registrovanou domenu a zrizeny web, cist me maily? Diky

Pokud si je nešifruješ, nebo jinak nechráníš, tak ano

Mail je obecně něco jako korespondenční lístek nebo pohled, co posíláš klasickou poštou

Myslím, že může, ale je to dosti neslušné...

pravděpodobně to je porušení listovního tajemství, posledních 20 let se objevuje rozšířená interpretace ústavy (myslím čl. 13), která tohle vztahuje i na elektronickou komunikaci, v tom případě za to hrozí trestní stíhání.

Ve všech společnostech, kde pracuji k tomu tak přistupujeme a je interními předpisy a kontrolními mechanismy zakázáno přistupovat k poště uživatelů. Určitou vyjímku tvoří automatické nástroje pro analýzu obsahu (spam a jiné nepěknosti). Chovají se i tak hostingy, s kterými jsme spolupracoval.

Technicky vzato se na obsah emailů vztahuje i GDPR, protože není možné prokázat, že osobní identifikační údaje emaily neobsahují, naopak to lze předpokládat.

Původně odeslal ze_vsech_nejchytrejsi ↪

Dobry den,

muze provozovatel webhostingu, u ktereho mam registrovanou domenu a zrizeny web, cist me maily? Diky

Tvůj nick nějak nesedí hele.

Mám dotaz na TomášX - já osobně nevěřím hostingům a cloudům a to je právě ta bezpečnost. Ono se o tom moc nemluví a každý bude říkat to si nikdo nedovolí, ale např. mám eshop cca 2000 klientů a to je moje zlato a Gró obchodu. Pokud by někdo dokázal ukrást databázi např. Konkurence tak mi dokáže parádně zatopit. A to že mi někdo napíše to máme ošetřené je hezké, ale nikdo mi nezaručí že se to nestane. A nejsnadnější cesta je právě zevnitř. Tak to vidím já proste nevím kdo na 3 straně má přístup k serveru a datům a hodně pochybuji že klasické hostingy data šifrují - cloudy to tvrdí otázkou co je pravda. Dekuji za odpoved

Nikdy není nic v bezpečí, to je fakt. Nikdy, nic, nikde. A zároveň všechno, všude a vždycky. Dychotomie se tomu říká mám pocit. Vyber si.

Původně odeslal Hagen ↪

Mám dotaz na TomášX - já osobně nevěřím hostingům a cloudům a to je právě ta bezpečnost. Ono se o tom moc nemluví a každý bude říkat to si nikdo nedovolí, ale např. mám eshop cca 2000 klientů a to je moje zlato a Gró obchodu. Pokud by někdo dokázal ukrást databázi např. Konkurence tak mi dokáže parádně zatopit. A to že mi někdo napíše to máme ošetřené je hezké, ale nikdo mi nezaručí že se to nestane. A nejsnadnější cesta je právě zevnitř. Tak to vidím já proste nevím kdo na 3 straně má přístup k serveru a datům a hodně pochybuji že klasické hostingy data šifrují - cloudy to tvrdí otázkou co je pravda. Dekuji za odpoved

a kde je ta otázka? :)

Z mého pohledu se data nejčastěji odcizí z nedostatečně zabezpečené aplikace, kdy její zranitelnost dovolí vytěžit celou databázi, nebo z nechráněných záloh či excel dumpů posílaných do emailů.

Pokud chceš chránit data zákazníků (či svoje), musíš řešit celý řetězec, kde se data zpracovávají, zároveň musíš zvolit odpovídající zabezečení k určitému riziku. Bát se, že ti hosting odcizí data a zároveň používat třeba Wordpress se spoustu pluginů, je celkově nesmyslné. Nesouhlasím s tím, že nejsnadnější je cesta zevnitř, ta naopak bývá těžká a hlavně je dobře zpětně dohledatelná a útočník se vystavuje trestnímu stíhání.

Pokud bych vzal tvůj případ, začnu definicí rizik a poté zvolím odpovídající zabezpečení, na které mám rozpočet:

a) odcizení dat od provozovatele

Mohu zvolit provozovatele, kterýmu dostatečně věřím, jedná se o zažitou společnost, mohu zjistit její historii, vím s kým je majetkově provázaná atd. V oblasti bezpečnosti dat se mohu opřít třeba o certifikaci ISO 27001:2006 (či jinou) a vybrat provozovatele, který jí splňuje.

Pokud moji důvěru nebudí ani jeden provozovatel, mohu si pořídit vlastní servery, pronajmout si klec v datacentru a sám si je provozovat. Proti hosting ale musím řešit administraci, sledovat bezpečností rizika, pravidelně aktualizovat, mít monitoring přístupů. Většinou nejsi schopný si servery administrovat sám, takže musí zase hledat dodavatele/administrátora, který ti to zabezpečí, takže znovu řešíš to stejné. Ty jako objednatel zároveň nemáš potřebnou kvalifikaci posoudit kvalitu administrace serveru a jeho nastavení. Za mě to je nejhorší možnost, jakou můžeš zvolit pokud ti jde o bezpečnost a zároveň tomu nerozumíš.

Tvoje aplikace může data šifrovat a klíč jí můžeš poskytnout z venku bez toho, abys ho uložil na disk, tím můžeš riziko dostatečně minimalizovat, ale tvoje aplikace to musí podporovat. Stejně tak můžeš zvolit dostatečně velký hosting, u kterého riziko úplacení administrátora je nížší než u home made hostingu jako banan. Klasické hostingy data většinou nešifrují a tahle technologie zatím k nám doráží pomalu, avšak šifrování brání pouze úniku dat např. odcizením disků či přímém přistupu k HW, pro fungování aplikace musí být data stejně připojena dešifrovaná a pokud někdo z administrátorů má přístup k živým serverům, může data číst.


b) únik dat špatnou konfigurací nebo únikem hesel:

Přístupová hesla jsou kruciálně důležitá, z velké části hostingů ti vygenerované heslo chodí do emailu, sám ho máš různě ukládané, často sdílené mezi kolegy, pravidelně ho určitě neměníš. Stejně tak otevřený přístup na administraci eshopu z jakékoliv IP vede k pokusům o brute force průnik, u slabých nebo slovníkových (či uniklých) hesel se to může podařit a dojde k úniku dat. Tohle je za mě nejčastější příčina, kterou řeším a která vede k incidentům a vážným problémům. Občas vidím databázové exporty nahrané na ftp, kam je přístup z webu, stačí málo a pokud někdo tohle objeví, odcizil ti data.

Nejsnažší zabezpečení je si všechna hesla přegenerovat, mít je uložená bezpečně, nesdílet a každému spolupracovníkovi dát vlastní heslo, v administraci mít ACL a dostatečně omezená oprávnění. Přístup na administraci a FTP mít chráněn přes IP filtr a notifikovat při opakovaných neúspěšných a úspěšných pokusech o přihlášení. Některé hostingy umí takové notifikace posílat. Pravidelně chce kontrolovat, kdo a odkud přistupoval a hledat nesrovnalosti. Kontrolovat obsah na ftp a integritu aplikace.


c) zranitelnost v CRM/pluginu/aplikace:

Drtivá většina open source CRM pro eshopy jsou zranitelné a nevhodně navržené. Různé šablony, pluginy a vše je nutné udržovat aktualizovane, zabezpečené a snižovat vektor případného útoku.

Obranou je udržovat aktualizované všechny součásti, sledovat bezpečnostní hlášení, logovat jednotlivé transakce (kroky aplikace) a logy vyhodnocovat. Opět je to jeden z nejčastějších problémů u aplikací a důvod k úniku dat.

----

Takhle bych mohl ještě pár bodů rozepsat, bezpečnost tvých dat v eshopu není určena jen tím, že hosting šifruje nebo ne, ale poměrně dlouhým seznamem kroků, které musíš absolvovat a pravidelně vyhodnocovat.