Jak a proč (ne)fungujeme

Dnešní poměrně uhnaná doba s sebou přináší mnoho usnadnění a zároveň mnoho komplikací.

To, že jste na telefonu minimálně v pracovní době bere každý jako základ a pokud někomu nevezmete telefon, první otázkou po půl dni bez telefonu je „Žiješ?“

Rád bych v tomto článku objasnil jak (ne)fungujeme.

1) Povětšinou nebereme telefony

Telefon je naprostý zabiják produktivity a přestože jsme se snažili najít cestu, jak fungovat i na telefonu, nenašli jsme ji. Telefon používáme většinou pouze pro „adhoc“ řešení věcí u aktuálně rozjížděného projektu, jinak ho sám povětšinou během dne ignoruju a volám zpět většinou při cestě z práce.
To, že nebereme telefon neznamená, že ležíme na pláži s koktejlem v ruce, ale naopak to, že pracujeme. Při vývoji se potřebujeme maximálně soustředit na danou problematiku a i 5ti minutový hovor znamená půlhodinové vyrušení koncentrace a tím i potenciální prostor pro chybovost.
To, že nebereme telefon by tak vlastně mělo být v zájmu všech klientů :)

2) Fungujeme přes projektové řízení ActiveCollab

Využíváme nástroj projektového řízení jménem ActiveCollab (AC). Tento nástroj je skvělý v tom, že máme oddělené projekty, klienty, a zároveň celý tým lidí na jedném místě s možností kdykoliv přidat či odebrat z projektu jak klienty, tak členy týmu.

Dost projektů se řeší přes emaily, ale pokud vstoupí někdo nový do rozjetého projektu, je nutné mu přeposlat veškerou komunikaci. To tím odpadá.

Hlavní, naprosto úžasná výhoda je, že úkoly, diskuse, poznámky, soubory můžete určovat libovolným lidem v týmu. Pokud by bylo třeba delegovat úkol, je nutné emaily přeposlat dále. V případě AC může klient zadat úkol napřímo např. grafikovi bez nutnosti tlumočení úkolu přes projekťáka a tím celé zadání brzdit.

Topologie firemní sítě

Po minulých tipech týkajících se bezpečnosti dat. Tentokrát rozebereme několik doporučení na topologii firemní sítě.

Příklad firemní topologie:

Stejně jako doporučujeme zálohovat, zálohovat a zase zálohovat data, doporučujeme mít zálohované i internetové připojení.

Záložní internetové připojení by mělo vykrývat případné výpadky toho hlavního a zajistit tak 100% konektivitu.

Ideální variantou je hlavní připojení optickou či wifi sítí s ohledem na maximální rychlost a nějaké levné ADSL, případně levné mobilní připojení 3G / 4G jako záložní. Tato varianta je otázkou pár stokorun měsíčně a eliminuje spoustu problémů.

Prvním síťovým prvkem této topologie je router či ještě lépe firewall se dvěma WAN vstupy a v našem případě 3 LAN výstupy. Do WAN jsou zapojen dva zdroje internetového připojení a do LAN jeden switch a dva Wi-Fi routery. Vhodnějším řešením co do bezpečnosti je využít router s firewallem. Cena klasického routeru je cca 1000 Kč, cena firewallu se pohybuje okolo 10 tisíc.

První síť je tvořena switchem, do kterého jsou zapojena všechna firemní zařízení – počítače, tiskárny, kamery, atp. Zařízení do této sítě jsou připojena pouze kabelem.

Druhou síť tvoří Wi-Fi router s WPA2 zabezpečením, silným heslem a třeba i skrytým SSID. Na tuto síť se mohou připojovat zaměstnanci.

Třetí síť tvoří též Wi-Fi router s WPA2 zabezpečením, silným heslem a SSID je pojmenovaná jasně. Např. „Vaše firma – HOST“. Tato síť je „veřejná“ dle potřeby pro zákazníky, obch. partnery, atp. K této síti se NESMÍ s ohledem na bezpečnost připojovat zaměstnanci.

Sítě jsou rozděleny záměrně a to proto, aby se do první sítě nedalo dostat nijak jinak, než fyzickým připojením kabelem. Fyzický přístup je vždy bezpečnější než bezdrátová síť. Wi-Fi síť pro zaměstnance je vytvořena proto, aby se mohli připojit svými mobilními zařízeními na bezpečnou síť. Chuť Wi-Fi sítě je velká a pokud byste tuto vrstvu neměli, zaměstnanci by se zcela jistě připojovali na Wi-Fi pro hosty. Tomu je třeba zcela zabránit, sdílení jedné sítě s potenciálním útočníkem je velmi riskantní.

Dalším tipem je do maximální možné míry zakázat sdílení dat mezi počítači v síti. Pro sdílení použijte například Mega.nz s 50GB dat zdarma, které si namapujete do složky v každém PC a máte rozumný a bezpečný firemní cloud. Mega.nz je aktuálně nejbezpečnější cloudové úložiště dat. Windows se tuším stále ještě ptají po připojení do sítě, zda jste v důvěryhodné síti či ve veřejné síti. Nebojte se vybrat vždy veřejnou síť. Můžete tím vždy jen získat na bezpečnosti, ikdyž jste v domácí či firemní síti. Potřeba sdílet data dnes opravdu není, naopak můžete napomoci sdílení virů.

Tyto změny s sebou samozřejmě nesou jisté náklady, ale nemusí být vůbec vysoké. Router s 2x WAN a 3x LAN lze pořídit za 1000 Kč bez DPH (např. TP-LINK TL-R470T+), dobrý Wi-Fi routery za podobnou cenu (ty levné se dají pořídit prakticky za polovinu), switch je otázkou i několika stokorun, záleží na rychlosti a poštu portů.
ADSL připojení , které je sice pomalé (2 / 20 Mbps), ale dá se považovat za jedno z nejstabilnějších připojení pořídíte za cca 300 kč / měsíčně.

Těchto pár stokorun nákladů měsíčně vám ušetří mnoho problémů, které mohou s výpadky systému nastat. Ať již s vystavováním dokladů EET, tak s expedicí zásilek, komunikací se zákazníky, atp.

Bezpečnost firemní sítě

Přestože je Česká republika sedmou nejbezpečnější zemí z pohledu rizika kyberútoků (dle statistik Kaspersky Lab pro rok 2016), tak alespoň jednou ročně se s útokem setká 16% obyvatel.

Řešíme s klienty zabezpečení dat ruku v ruce s topologií firemních sítí a obecně prevencí před možnými druhy „blackouts“, které mohou v provozu nastat.

Dovolím si menší shrnutí, které by za nás mělo být jakýmsi „minimem“ firemní sítě s ohledem na prevenci, i ochranu firemních a osobních dat.

1. Mějte vždy aktuální operační systém

Systém je spolu s důvěřivým (nezkušeným) uživatelem nejzranitelnějším místem ve firemní síti. Na systém je vedeno velké množství útoků, které uživatel může i nemůže ovlivnit svým chováním. Některé vyžadují spuštění souboru uživatelem a snaží se tak působit co nejdůvěryhodněji, jiné cílí na chyby operačního systému a uživatel o nich prakticky neví. Jednou z posledních velkých hrozeb je ransomware WannaCry, který zašifruje disky počítače a požaduje „výpalné“ ve výši 300 dolarů za odemčení dat. WannaCry se nejlépe šířil právě v sítích s neaktuálním operačním systémem jako např. Windows XP.

Mějte ideálně nejnovější operační systém. Pokud používáte Windows, aktualizujte na Windows 10 (update z Windows 7 je zdarma).

Operační systém pravidelně aktualizujte. Pro správné fungování aktualizací je nutné mít dostatek místa na disku! Pro správnou funkci automatických aktualizací systému je třeba pravidelně vypínat počítač. Nespoléhejte pouze na automatické aktualizace, ale nabídku aktualizací občas zkontrolujte i ručně.

2. Používejte antivirový program, resp. nějaký nástroj pro komplexní „Internet Security“.

Chraňte se nejen antivirem, ale ideálně komplexním řešením „Internet security“ (např. od AVG, Avast či Bitdefender). Do jisté míry tím omezíte možný útok přes již zmíněného důvěřivého uživatele. Nástroj internet security jej mj. upozorní na podvodné stránky, např. podstrčené internetové bankovnictví, které není produktem banky, ale podstrčené útočníkem.

3. Omezte práv uživatele

Ideálně mějte jednoho administrátora na každém PC a poté omezené uživatelské účty pro každého ze zaměstnanců.

Administrátorský účet mějte pod kontrolou a heslo k němu mějte unikátní a silné (viz bod 5). Pokud máte ve firmě např. 5 počítačů, mějte vždy 5 různých admin uživatelů a 5 různých hesel.
Vždy a všude se vyvarujte uživatelského jména „admin“. Jde o výchozí uživatelské jméno velké spousty služeb a výrazně tím snížíte šanci na prolomení hesla.

4. Vzdělávejte své zaměstnance

Abyste snížili riziko lidského faktoru, vzdělávejte své zaměstnance v internetové gramotnosti, bezpečnosti a prevenci možných rizik.

5. Používejte silná hesla

Silným heslem je takové, které má alespoň 15 znaků kombinující malá a velká písmena, číslice, speciální znaky. Můžete využít nejrůznějších nástrojů.
Zaměstnance pro takové heslo budete přemlouvat velmi těžko s ohledem na zapamatovatelnost a denní používání, trvejte však na kombinaci malých a velkých písmen a délce alespoň 10ti znaků. Silným heslem však nemusí být vždy nesmysl. Např. věta „Narodil jsem se 1.1.“ je velmi silné heslo a obsahuje všechny výše uvedené požadavky na heslo.

6. Pravidelně měňte hesla

Hesla pravidelně měňte. Čím častěji, tím lépe. Minimálně však jednou ročně.

7. Nepoužívejte jedno heslo do všech systémů a služeb!

Jedno heslo pro všechny služby je stejná chyba jako univerzální klíč v domácnosti. Pokud jej ztratíte, riskujete velké škody. Nemusí jít o vaší chybu, ale heslo může být odcizeno z některé ze služeb, kam jste jej zadali.

8. Nastavte si bezpečně firemní síť

Pokud již máte aktuální systém, omezená práva uživatelů, silná hesla, je na čase dobře nastavit firemní síť. Doporučujeme topologii na základě 3 sítí.

První sítí je firemní síť bez wifi. Je tvořena klasickým routerem s jedním či více WAN porty. Doporučujeme mít alespoň 2 WAN porty a 2 nezávislé poskytovatele internetu – např. rychlý hlavní internet a nejlevnější ADSL jako spolehlivé, ale záložní řešení. Do této sítě jsou zapojeny firemní počítače síťovým kabelem.

Druhou síť tvoří Wi-Fi router a je určena pouze pro zaměstnance. Předpokladem je WPA2 zabezpečení se silným heslem a ideálně skrytým SSID (aby nebyla vůbec vidět). Do této sítě se mohou přihlašovat zaměstnanci svými mobily, notebooky, atp.

Třetí síť tvoří též Wi-Fi router a je určena pro „hosty“. Ať již zákazníky, obchodní partnery, kohokoliv. Do této sítě by se neměl přihlašovat s ohledem na bezpečnost nikdo, kdo má možnost se přihlásit do 2. sítě. Síť pro hosty by měla být jasně pojmenovaná, např. „Restaurace ABC – guest“ a měla by být vždy zaheslovaná alespoň průměrně silným heslem.

U všech zařízení v síti (routery, kamery, atp.) platí vše již zmíněné – nepoužívat výchozí loginy, nepoužívat uživatele „admin“ (pokud lze změnit), používat silné heslo pro přihlášení do administrace zařízení, používat silné heslo do Wi-Fi sítí. Všechna hesla pravidelně měnit.

9. Hesla si ukládejte pouze na zabezpečená místa

Pamatování si silných hesel není v silách nikoho z nás. Pro ukládání hesel můžete využít tužku a papír nebo vhodný program. Vhodným a velmi bezpečným programem zdarma je KeePassX. Prakticky doporučujeme používat pouze KeePassX nebo 1Password, nic jiného.

10. Předvídejte a buďte racionální

Jedním z hlavních triků mallware je vyvolat v uživateli pokušení. Pokušení výhrou, neodolatelnou nabídkou, atp. Snažte se být ale racionální. Má cenu otevírat nabídku na něco, co vás v danou chvíli vůbec nezajímá? Např. nabídka na investiční fondy. Až budete chtít investovat, uděláte si přeci vlastní rešerši. Posílá vám někdo skutečně výhru? Jak můžete vyhrát, když jste u odesílatele nikdy nesoutěžili?

 

Na závěr doporučuji shlédnout záznam diskusí na téma „Týdne datové bezpečnosti„.

Symfony Bundle pro snadnou editaci obsahu

Zhruba od roku 2007 vyvíjíme weby pouze v Symfony. Svého času jsme u některých klientů obhajovali, proč tomu tak je a proč neděláme v českém Nette. Poslední dobou se situlace obrací a máme pocit, že je k obhajobě naopak pokud někdo dělá v Nette :)
Symfony komunita se stále rozrůstá a je oproti té Nette aktivní. O tom svědčí i fakt, že Symfony oslavilo 26. září 2016 milník 500 milionů instalací!

Protože rádi využíváme mnohé bundly do Symfony, rozhodli jsme se také přispět komunitě a uvolňovat některé námi vytvořené bundly. Bundly budeme zveřejňovat na profilu Tom Atom na GitHubu.

Prvním bundlem, který zveřejňujeme je Atom Bundle.

AtomBundle je jednoduchý nástroj na frontend editing webu. Jednotlivé bloky obalíte ve twigu značkami ATOM, resp. ATOMLINE a uživatel s příslušnými právy může v produkčním prostředí upravovat obsah webu. Značka atom je určena pro WYSIWYG editor a může jím být obalen běžný HTML kód, atomline je určen pro inline prvky jako tlačítka, atp. Úprava atomline probíhá v klasickém textovém inputu.

Více o Atom Bundle vč. informace jak jej nastavit a používat najdete v readme github repozitáře. Atom Bundle je určen pro Symfony 2.8 a Symfony 3, vyžaduje Doctrine + jQuery a je k instalaci přes composer v packagist.

Budeme rádi, pokud jej využijete, dáte nám zpětnou vazbu k dalšímu vývoji nebo své podněty rovnou zapracujete v rámci změn v repozitáři :)

Jak správně na hromadné rozesílání emailů

Velmi často s klienty řešíme jakým stylem nejlépe posílat hromadné e-maily (newslettery). Bohužel to mnohdy přijde po nějakém problému a výchozí situace pro rozesílky je mírně zhoršená.

Nejčastějšími chybami, se kterými se setkáváme, jsou:

Nerozesílejte hromadně z emailového klienta (Outlook, Thunderbird, atp.)

Velkou chybou, která bohužel napadne mnoho lidí jako první, je rozesílka z vlastní poštovní schránky přes Outlook, resp. jiného emailového klienta. Maily jsou zpravidla rozesílány po desítkách / stovkách příjemcích ve skryté kopii.

Takové rozesílky patří mezi ty nejhorší možné a mají bohužel fatální důsledky. Výsledkem bývá zablokování adresy odesílatele na spamlistech, což má negativní dopad na doručitelnost běžné emailové korespondence z téže adresy.

Proč je tato metoda chybnou? Obecně lze říci, že každý email, kde adresa příjemce není shodná s adresou emailové schránky je podezřelá. Zde je to navíc umocněno tím, že bývá zpravidla dosaženo limitního počtu odeslaných email na cílový server z jedné adresy za určité časové období.

Založte email pouze pro newslettery

Nikdy neposílejte hromadnou korespondenci jménem obecné schránky, kterou používáte pro každodenní komunikaci se zákazníky. Docílíte jediného výsledku – Vaše korespondence bude padat do složky hromadné pošty. Pro účely newsletteru založte novou emailovou schránku. Případně alias. Důležité je, aby schránka existovala a nevracela „mailer daemon“, pokud na zprávu příjemce odpoví.

Nerozesílejte jménem třetí osoby.

Poměrně často se setkáváme i s případy rozesílek jménem třetí osoby. Takové rozesílky mají dvě zásadní negativa. Prvním je skutečnost, že i kdyby příjemce znal odesílatele obsahové části, nemusí znát odesílatele emailu a zablokuje jej. Druhým negativem je spam skóre, kdy automatizované rozesílky s odkazy pouze mimo doménu odesílatele získávají mírně negativní hodnocení.

Naposledy jsme zaznamenali snahu jednoho zákazníka očistit svou emailovou databázi na základě zablokování mailchimp účtu. Databáze by se dala ozdravit několika korektními způsoby, avšak oni oslovili člověka, který jim historicky pomáhal s nějakým webem, aby to vyřešil. Ten svým jménem a bohužel i z poštovního klienta přes skryté kopie rozeslal emaily, kde žádal zájemce o potvrzení svého odběru zadáním mailu do dynamického google docs formuláře.

Tento případ nesl od začátku všechna negativa. Odesílatelem byl člověk, kterého žádný z příjemců neznal, proto mohla reagovat skutečně jen hrstka respondentů. Na ty pak nemusel působit Google dokument pro manuální opt-in příliš důvěryhodně. Několik lidí email bezesporu označilo jako spam, na což následně při druhé rozesílce reagovali i roboti a email díky skrytým kopiím a cizím externím odkazům končil ve spamu automaticky.

Držte databázi příjemců v kondici

U eshopů velmi častá situlace. Na začátku si přečtete poučky, co byste měli dělat. Emailing přeskočíte, protože ho nemáte komu posílat. Pak děláte jiné aktivity, eshop se rozjede a na emaily zapomenete. Po čase si vzpomenete, že byste mohli pracovat s již získanými zákazníky, ale databáze může být i několik let stará.

Jednou tedy první rozesílka musí přijít. Se starší databází je třeba pracovat s velkou opatrností a zvolit vhodnou strategii rozeslání tak, aby nedošlo k zablokování odesílatele na spamlistech, popř. účtu u služby rozesílající newslettery (mailchimp, atp.). Každou databázi je třeba držet zdravou, tzn. odebírat odběratele, kteří si nepřejí rozesílku ať již ručním odhlášením či označením jako spam (pokud máte zpětnou vazbu od rozesílacího serveru). Stejně tak odebírat neaktivní schránky či kontakty, které vaše emaily dlouhodobě nečtou.

Ověřujte identity (SPF, DKIM)

Podepisujte nejen automatizované zprávy pomocí DKIM a mějte u domény správně nastavené SPF záznamy v DNS.

SPF záznamy vám mohou přinést kladné body u antispam filtrů, pokud daný příchozí server podporuje SPF.

DKIM proti tomu zabraňuje falšování adresy odesílatele a umožňuje příchozímu serveru ověřit, že jste odesílatelem zprávy skutečně vy, resp. vámi definovaný zdroj jako důvěryhodný.

DKIM může do značné míry zamezit i cizímu zablokování vaší adresy. Pokud by někdo (zpravidla spambot) posílal maily vašim jménem (emailem), může se vaše adresa dostat nevědomky na blacklist. V případě existence DKIM by daný server neměl penalizovat adresu odesílatele, ale měl by ji zahodit jako falešnou bez penalizace, popř. s penalizací odchozího SMTP.