Zašto pišemo o sopstvenoj bezbednosti?

Portal koji svakog dana izveštava o hakovanjima, curenjima podataka i ranjivostima ima jednu očiglednu obavezu: da i sam bude bezbedan. Bilo bi licemerno da vas upozoravamo na opasnosti na internetu, a da pritom ne primenjujemo iste principe na sopstveni sajt. Zato smo odlučili da otvoreno objasnimo kako je Sajber Radar zaštićen - ne tehničkim žargonom i ne otkrivajući detalje koji bi nekome olakšali napad, već kroz principe koje i vi možete primeniti na svoje naloge i uređaje.

Ovaj tekst je istovremeno i mali vodič kroz osnove veb bezbednosti. Sve o čemu pišemo su standardne, dobro poznate prakse - ono što razdvaja bezbedan sajt od ranjivog nije tajna formula, nego doslednost u primeni osnova.

Šifrovana veza za svakog posetioca

Prva i osnovna mera je da sav saobraćaj između vašeg uređaja i našeg sajta ide preko šifrovane veze. To je ono što vidite kao katanac u adresnoj traci pregledača. Bez toga, bilo ko na istoj mreži - na primer na javnom Wi-Fi-ju u kafiću - mogao bi da prisluškuje šta čitate ili šaljete.

Mi idemo korak dalje i pregledačima izričito govorimo da sa našim sajtom komuniciraju isključivo preko šifrovane veze, čime se sprečavaju pokušaji da se veza nasilno spusti na nezaštićenu. Ovo je nešto što biste i sami trebalo da očekujete od svakog sajta na koji unosite bilo kakav podatak - ako nema katanca, ne unosite ništa osetljivo.

Kako se branimo od ubacivanja zlonamernog koda

Dve najčešće vrste napada na veb sajtove zovu se XSS i SQL injekcija. Zvuče komplikovano, ali ideja je jednostavna: napadač pokušava da kroz polje za unos - recimo pretragu ili kontakt formu - ubaci komandu umesto običnog teksta, nadajući se da će je sajt naivno izvršiti.

Na Sajber Radaru svaki tekst koji unesete tretira se isključivo kao tekst, nikada kao komanda. Ako biste u pretragu ukucali nešto što liči na kod, sajt će to prikazati kao bezopasan niz slova, a ne pokušati da to pokrene. Slično, kada sajt pretražuje bazu podataka, vaš unos i sama komanda za bazu drže se strogo odvojeno, tako da nema načina da se unos „prošvercuje" kao naredba. Ovo su temeljne odbrane, ali iznenađujuće veliki broj probijenih sajtova padne baš zato što ih nisu dosledno primenili.

Stroga pravila o tome šta sme da se učita

Moderni sajtovi učitavaju delove sadržaja sa različitih mesta - fontove, skripte, slike. Svaki od tih spoljnih izvora je potencijalna ulazna tačka za napad ako mu se slepo veruje. Zato smo postavili stroga pravila koja tačno određuju sa kojih adresa pregledač sme bilo šta da učita, a sve ostalo se automatski blokira.

U praksi to znači da čak i kada bi napadač nekako uspeo da ubaci zlonameran kod u stranicu, pregledač bi odbio da ga izvrši jer ne dolazi sa odobrene liste. To je još jedan sloj koji stoji nezavisno od ostalih - i odličan primer principa o kome govorimo u nastavku.

Slojevi koji rade u pozadini

Pored navedenog, sajt ima i niz mera koje retko primetite, a koje stalno rade. Postoje pravila koja ograničavaju koliko brzo neko može da šalje zahteve ili zatrpava forme, što obeshrabruje automatizovane napade. Kontakt forma je zaštićena od robota koji šalju neželjenu poštu. Pristup uredničkom delu sajta, odakle se objavljuju članci, strogo je zaštićen i dostupan samo nama. A serveru se redovno prave sigurnosne kopije, tako da i u slučaju kvara ništa ne bi bilo trajno izgubljeno.

Ovo je princip koji se zove „odbrana u dubinu": ne oslanjate se na jednu jedinu bravu, nego slažete više nezavisnih slojeva. Ako jedan zakaže, sledeći i dalje stoji. Isti princip važi i za vaše lične naloge - lozinka je jedan sloj, dvofaktorska autentifikacija drugi, a oprez prema sumnjivim mejlovima treći.

Poštujemo vašu privatnost

Sajber Radar ne traži od vas da pravite nalog niti da ostavljate lične podatke da biste čitali vesti. Za praćenje posećenosti koristimo rešenje koje ne koristi kolačiće za praćenje i ne prikuplja podatke kojima bi se neko lično identifikovao - zanima nas koje teme su čitaocima korisne, ne ko ste vi. Verujemo da portal o privatnosti i bezbednosti mora i sam da poštuje privatnost svojih čitalaca, a ne da je narušava.

Iskreno o granicama

Nijedan sistem na svetu nije savršeno bezbedan, i svako ko vam tvrdi suprotno ili ne razume materiju ili nije iskren. Bezbednost nije stanje koje se jednom postigne, nego proces koji se stalno održava - nove ranjivosti se otkrivaju svakog dana, baš o čemu i izveštavamo na ovom portalu.

Naš pristup je zato kontinuiran: redovno proveravamo sopstvene postavke, pratimo novootkrivene pretnje i prilagođavamo se. Verujemo da je transparentnost o tome deo onoga što nas čini verodostojnim izvorom. Ako primetite nešto što bi moglo biti bezbednosni propust na našem sajtu, javite nam se - odgovoran prijavljen propust je nešto što cenimo, a ne kažnjavamo.

Šta vi možete da naučite iz ovoga

Ako iz ovog teksta ponesete samo tri stvari, neka budu ove. Prvo, koristite jedinstvenu i dugačku lozinku za svaki važan nalog - menadžer lozinki vam to drastično olakšava. Drugo, gde god je moguće, uključite dvofaktorsku autentifikaciju; ona zaustavlja napadača čak i ako mu lozinka dospe u ruke. I treće, budite skeptični prema porukama koje stvaraju osećaj hitnosti i traže da odmah kliknete ili unesete podatke - to je najčešći ulaz za napade, i nijedna tehnička odbrana ne pomaže ako vas neko uspešno prevari.

Bezbednost na internetu nije rezervisana za stručnjake. Najveći deo zaštite svodi se na nekoliko doslednih navika - istih onih koje i mi primenjujemo na ovaj portal.