Server dedicati: sicurezza, rischi, e come contenerli

Server dedicati: sicurezza, rischi, e come contenerli

Introduzione

La sicurezza informatica è un aspetto spesso sottovalutato: in fondo, dicono alcuni, è solo un sito web semplice semplice, che cosa vuoi che succeda? Anche quest’app, poi, me l’ha fatta un mio amico e l’ho pagata pochissimo, cosa vuoi che succeda? Cosa vuoi che facciano? Metterla su questo piano è molto comune quanto, in fin dei conto, profondamente sbagliato: e per capire basta considerare che i problemi di sicurezza informatica, a qualsiasi livello (sito, app, ecc.) sembra sempre che non succedano mai: salvo che poi ci ritroviamo col sito a terra, o con l’app che ha subito un furto di dati, e lì non si torna più indietro in molti casi.

Sicurezza informatica su web server: come si fa

In questo articolo vedremo come gestire la sicurezza di un hosting dedicato, e perchè preferire i servizi managed (gestiti da un tecnico, e quindi più costosi) a quelli unmanaged (più economici ma senza alcun tecnico a gestirveli). Le operazioni che spesso si effettuano di base, per quanto riguarda la sicurezza di un server dedicato, sono le seguenti:

  1. anzitutto vi è la scelta di una password di sistema robusta;
  2. in secondo luogo, e non potrebbe essere altrimenti, si va a delinare una pianificazione costante degli aggiornamenti.

Questi primi requisiti potrebbero quindi essere discussi a lungo per quanto, come vedremo tra un attimo, siano solo condizioni necessarie ma non sufficenti per garantire un servizio di hosting qualitativamente elevato.

Come proteggere un server dagli attacchi informatico

Come si protegge un server dedicato su cui avete messo un sito? I modi sono molto numerosi e variegati, e richiedono di solito la consulenza di un tecnico informatico o sistemista: ad esempio per evitare problemi come l’exploit o-day (che interessò Plesk nel febbraio 2012) andrebbe anzitutto evitato di trascurare completamente la sicurezza, cosa che in almeno un caso documentato è la causa dei maggiori problemi. La sottovalutazione del problema in questi casi è un’arma a doppio taglio perchè impone, di fatto, una serie di difficoltà che possono ripercuotersi sui clienti ma anche sui singoli visitatori del sito (diffusione di malware e backdoor). Di seguito riassumo i tre principali attacchi a cui è potenzialmente soggetta una macchina server:

  1. bruteforce: un attaccante prova in automatico più password sul sistema, basandosi sulle suddette liste pubbliche e finchè il sistema glielo permette.
  2. SQL-injection: un attaccante riesce, mediante manipolazione di stringhe, ad aggirare la sicurezza del sistema (ad esempio in PHP) ed in particolare eseguendo query arbitrarie sul sistema.
  3. remote file inclusion: un attaccante, tipicamente mediante manipolazione di form o di URL, riesce ad inviare in remoto un proprio file che poi potrà eseguire da remoto (ad esempio faiquellochevoglio.php).

Sicurezza su server Ubuntu

Di fatto, è importante comunque tenere presente che:

  1. password condivise tra più account differenti (se venisse pubblica e scoperta, ci sarebbero discrete possibilità di propagare il problema su più account);
  2. la scelta di password banali o facili da indovinare (vedi le indicazioni complete, a riguardo,  sulle password da evitare) è una delle causa più comuni, ed al tempo stesso micidiali, legate alla mancata sicurezza di un sistema di hosting;
  3. d’altro canto, non aggiornare il sistema per molto tempo è un rischio che espone la macchina in maniera piuttosto variegata a seconda della versione del server presente. Per cui è certamente fondamentale effettuare degli upgrade, cosa che in Linux solitamente effettuiamo da sistema con:

sudo aptget update

Conclusioni

Chiaramente non finisce qui: i possibili attacchi possono essere di varia natura ed è proprio da qui che bisogna partire. Un attacco bruteforce, SQL-injection, remote file inclusion, exploit o-day, script kiddies e insider sono soltanto alcuni dei principali pericoli con cui gli hacker potrebbero minacciare il nostro dedicato, che andrebbe quindi in quest’ottica gestito in maniera rigorosamente managed.

Non pensate mai che utilizzare un hosting dedicato non richieda la presenza di un sistemista preparato per la sicurezza, e non fatevi illudere da chi racconta che “non serve alcuna manutenzione” o che, peggio, un dedicato sia come “stare a casa propria” e dove si possa fare quello che si vuole indiscriminatamente: se compromettete per incompetenza o inconsapevolezza una qualsiasi macchina server, l’hosting dovrà prendere provvedimenti arrivando a volte, a ragione, ad oscurare il vostro sito.

A tale riguardo segnaliamo come Keliweb, famosa azienda di hosting italiana, offra un server dedicato unmanaged con la possibilità di disporre di assistenza “ad ore”, in modo tale da essere seguiti, quantomeno nella prima parte di configurazione del servizio web o del sito, da un sistemista specializzato.

Photo credit: © maxkabakov – Fotolia.com

0 voti


Informazioni sull'autore

Redazione

Articolo scritto in collaborazione con Trovalost.it