Nie zostawiaj kluczy w drzwiach
Podobno okazja czyni złodzieja - dlatego nie warto bagatelizować podstawowych zaleceń jakie użytkownikom Quick.Cms i Quick.Cart sugerują autorzy skryptów w ramach akcji informacyjnej, której główne hasło brzmi "Zabezpiecz swoją stronę przed włamywaczami!". Pozwolę sobie na drobne porównanie gdyz w mojej opinii z zabezpieczeniem stron jest podobnie jak z zabezpieczeniem domu.
Czy faktycznie tak jest i jakie są konsekwencje dla obu stron?
Nigdy nie zostawiaj kluczy w drzwiach na zewnątrz.
Czyli nie ułatwiaj zadania włamywaczowi. Pozostawienie domyślnej ścieżki i danych dostępowych do panelu administracyjnego może skutkować tym, że nie hacker ale nawet ktoś, kto po prostu ma wiedzę na temat skryptów OpenSolution, może - choć nie powinien - wejść do panelu administracyjnego i narobić szkód.
W przypadku wtargnięcia do domu prawo jest jednoznaczne: Zgodnie z art. 193 kk - kto wdziera się do cudzego domu, mieszkania, lokalu, pomieszczenia alboogrodzonego terenu albo wbrew żądaniu osoby uprawnionej miejsca takiego nie opuszcza, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
W przypadku włamania lub wtargnięcia do serwisu bez zgody właściciela, który nie zmienił fabrycznych ustawień dostępu do panelu administracyjnego też nie ma wątpliwości: Art.287.*§1.*Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.§2. W wypadku mniejszej wagi, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Zasięgnąłem informacji u przyjaciów z legalniewsieci.pl i czego się dowiedziałem?Polski ustawodawca czuwa nad tym aby nasz domowy komputer był także należycie chroniony przez prawo. Ochronę prawno karną zapewnia wprowadzony do kodeksu karnego w 2008r. art. 267 którego treść brzmi:
§1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.
§ 3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem.
§ 4. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1-3 ujawnia innej osobie.
Jak zapewnił Daniel Gatner, warto zapoznać z jego brzmieniem a także treścią pozostałych przepisów dotyczących przestępstw przeciwko ochronie informacji opisanych w rozdziale XXXIII polskiej ustawy karnej. Ich lektura uzmysławia, że powszechny użytkownik komputera – korzystający z szeregu paneli administracyjnych każdego dnia narażonych na atak z zewnątrz nie pozostaje bezbronny, a zjawisko tzw. hackingu znalazło już swoje miejsce i regulację w polskim ustroju prawnym. Na marginesie jedynie można wskazać, że już samo oddziaływanie na dostęp do systemu informatycznego w celu zniwelowania jego funkcji ochronnej nawet bez zniszczenia go jest przestępstwem.
Uff. No dobrze. Co to oznacza? W każdym z powyższych przytoczonych przykładów łamane jest prawo i bez względu na to, czy sprawca wie co robi czy nie, popełniane jest przestępstwo. Formalnie jeżeli istnieje panel logowania i uwierzytelnienie jest wymagane to możemy spać spokojnie. Każdy kto wejdzie do panelu administracyjnego bez naszej zgody popełnia przestępstwo, tak jak ten kto bez naszej zgody przekroczy próg naszego domu. Ale czy to gwarantuje nam bezpieczeństwo? Czy warto zatem nie zmieniać loginu i hasła do panelu administracyjnego? Czy warto we własnym domu nie zamykać drzwi od środka na klucz? Może w Państwie, w którym obowiązywałby kodeks Hammurabiego miało by to sens. W realnym świecie każdy kto ceni sobie prywatność, własne bezpieczeństwo i nie ma oddziału komandosów, zamyka się na klucz.Nigdy nie zostawiaj kluczy pod wycieraczką
Domyślna ścieżka do panelu administracyjnego jest znana każdemu, kto chociaż raz miał do czynienia z Quick.Cms lub Quick.Cart. Autorzy sugerują jej zmianę przed uruchomieniem serwisu internetowego by nie ułatwiać sprawy potencjalnym włamywaczom. Minimalizuje to szansę na włamanie do serwisu i to bardziej niż sama zmiana loginu i hasła.
Tak jak po wyjściu z domu bierzemy klucz ze sobą i nie zostawiamy go w ogólnie znanym miejscu z karteczką - "klucze są pod wycieraczką", tak we własnym serwisie nie pokazujemy ścieżki dostępu do panelu administracyjnego. Ba, ścieżka powinna być zmieniona i przechowywana w głowie a nie na żółtej karteczce przyklejonej do monitora.
Na głupotę użytkownika nie ma żadnego artykułu w kodeksie karnym i prawnik nic nie poradzi. Jednak warto przypomnieć, że bez względu na to czy włamywacz użyje klucza spod wycieraczki czy też łomu, wtargnięcie to jest nadal wtargnięciem. Brak szkód po takim wtargnięciu nie spowoduje zmiany klasyfikacji takiego czynu. Jednak może stanowić okoliczność łagodzącą przy decyzji o wysokości kary dla sprawcy.Nigdy nie bagatelizuj ostrzeżeń
Jeżeli alarm w twoim domu jakimś cudem wzbudza się lub następuje jakas anomalia to zwykle wyświetlają się komunikaty o ewentualnych błędach. Wtedy dzwonisz do specjalisty i pytasz o co chodzi. Podobnie nowe wersje Quick.Cms EXT i Quick.Cart EXT zawierają funkcje komunikatów ostrzegawczych lub informacyjnych, które po zalogowaniu do panelu administracyjnego wyświetlają:
- w sytuacji, w której nie zmienione zostało domyślne login i hasło: Zmień login i hasło w konfiguracji!
- Ostatnie logowanie: ... pokazuje datę ostatniego zalogowania - dobra informacja jeśli pamiętamy kiedy logowaliśmy się ostatnio.
- Ostatnia kopia zapasowa ma więcej niż ... dni. Stwórz kopię zapasową » - to przypomnienie o konieczności zrobienia kopii zapasowej na wypadek ingerencji włamywacza.
- Zwiększ bezpieczeństwo strony. Dowiedz się więcej w zaleceniach. - to co prawda slogan, ale dzieki linkowi możemy zawsze skorzystać z materiałów pomocniczych zawartych w dokumentacji na opensolution.org.
Komunikaty i w domu i w panelu administracyjnym nie wyświetlają się dla dekoracji. Autorzy mają spore doświadczenie z klientami, którzy mieli sporo kłopotów, bo nie zastosowali się do zaleceń. Dlatego od roku firma OpenSolution prowadzi dla Partnerów cykliczne szkolenia z bezpieczeństwa skryptów i akcje informacyjne skierowane do użytkowników Quick.Cart i Quick.Cms. Być może podobne akcje informacyjne powinny uskuteczniać firmy ochroniarskie, by właściciel domu mógł czuć się pewniej a dom był lepjej, bo świadomie zabezpieczony.
Wniosek
Przestrzeganie powyższych zasad w dużym stopniu ochroni właścicieli serwisów, tak jak i właścicieli domów, przed wizytami nieproszonych gości. Co ważne są to środki prewencyjne, które nie kosztują nic oprócz chwili czasu i odrobiny wyobraźni.
Jeżeli chcesz dowiedzieć sie więcej o tym jak zabezpieczyć swoją stronę,
zapraszam do zapoznania się z artykułem w poradniku opracowanym przez OpenSolution
Aspekty prawne poruszane w artykule zostały skonsultowane
z prawnikami z serwisu legalniewsieci.pl