Veebimajutuse turvalisus päevakorral

Riigi Infosüsteemide Arenduskeskuse infoturbeintsidentide käsitlemise osakond ehk CERT-EE saatis täna (05.01.2010) laiali hoiatuse, mis peaks panema kõiki veebimeistreid, kodulehekülgede omanikke ja veebimajutajaid kõrvu kikitama. Nimelt hoiatab CERT-EE kõiki IT professionaale üha suuremat hulka Eesti internetikasutajaid ähvardava ohu – veebiserverite vahendusel levitatav pahavara eest.

Omalt poolt oleme klientide ja avalikkuse tähelepanu sellele teemale juhtinud korduvalt, näiteks artiklites “Kodulehekülje turvalisus algab kodust”, “Veebi vahendusel levivate viiruste levik Eestis hoogustumas” ja “Ristiretk veebilehti rüüstavate viiruste vastu”.

Samuti oleme astunud mitmeid samme selleks, et pakkuda oma klientidele võimalust sellise ohu vastu võitlemisel, sealhulgas lisanud veebiserveritele viirusetõrje (“Viirusetõrje nüüd ka veebiserverites”) ja propageerinud turvalisemat FTP kasutust (“Turvalisem FTP”) ning loonud omalt poolt selleks ka võimalused.

Nüüd tutvustame täiendavat võimalust, mis loodetavasti aitab omakorda Eesti internetti turvalisemaks muuta. Selleks lisasime Zone teenustele funktsionaalsuse, mis võimaldab veebiservereid kaitsta ka lekkinud FTP paroolide eest – just need võimaldavadki enamasti veebilehekülje ärakasutamist kurjategijate poolt.

2009. aasta lõpust alates on igal Zone virtuaalserveriteenuse ja hallatud privaatserveriteenuse kasutajal võimalik oma FTP kasutajakontodele määrata piiranguid, mis märgatavalt vähendavad nende ärakasutamise ohtu.

Piirangud, mida FTP kontole on võimalik seada, on järgmised:

• Turvatud ühenduse (TLS/SSL) kasutamise nõue. Turvatud ühendus kaitseb kasutajakontot täna kahel moel. Esiteks kasutatakse kasutajanime ja salasõnaga autentimisel krüpteeritud ühendusi, mis vähendab ühenduse pealtkuulamise riski ning seega kasutajaandmete lekkimist. Teiseks ei oska enamus täna levinud pahavarast turvatud ühendusi kasutada – kui turvatud ühenduste kasutamine on nõutud ja pahavara seda ei oska, siis jäävad kurjategijad “ukse taha”.
• Kasutajale on FTP ühenduse algatamine lubatud vaid teatud geograafilisest piirkonnast või riigist, nn “valge nimekirja” alusel. Sidudes FTP kasutajanime ära sobiva regiooni, riigi või riikidega, vähendatakse riski, et kasutajanime lekke korral on võimalik mõnel pahatahtlikul kasutajal või botnetil serveriga ühendust luua ja sinna pahavara või selle levitamiseks vajalikku koodi “istutada”. Paratamatult on nii, et mõnedes geograafilistes piirkondades on ründajate kontsentratsioon suurem kui teistes. Kui reaalselt peaks FTP kontol kasutajaid olema ainult Eestist, siis tasub kasutaja seadistustes nii määratagi.
• Kasutajale on FTP ühenduste algatamine lubatud vaid varem kindlaks määratud IP aadressidelt lubatud IP-de nimekirja alusel. Vaieldamatult on selle piirangu näol tegemist kõige turvalisema lahendusega. Määrates lubatud IP-de nimekirjas kindlaks hostid, millelt on võimalik FTP kontoga ühendust võtta, on kasutaja ohuallikate ringi korralikult koomale tõmmanud. Kõikide FTP kasutajate puhul seda loomulikult rakendada ei saa, kuna paljudel kasutajatel pole staatilisi IP aadresse, kuid kasutajatele, kelle turvanõuded on karmimad ja staatilise IP aadressi kasutamise võimalus olemas, on see funktsioon teretulnud.

Meie soovitame kindlasti eelpool loetletud võimalusi kasutada ja leida oma FTP kasutajatele sobiv kombinatsioon piirangutest.

Lähiajal loodame uue funktsionaalsuse tutvustamiseks ka screencasti või tutoriali teha.

Loodame siinkohal olla ka eeskujuks teistele veebilehekülgede majutajatele ja kutsume neid üles looma sarnaseid võimalusi, et muuta Eesti veebikasutajate jaoks Internet tervikuna turvalisemaks.

Üks teema, mis kindlasti tahab paikapanemist ja läbiarutamist, on vaikereeglid. Kas näiteks peaks FTP ühendusi vaikimisi piirama teenuse tellija asukohariigiga? Kindlasti konsulteerime sel teemal CERT-EE’ga. Milline on teie arvamus?