Безопасность и Аудит сайтов, ежедневно страдает более 2.5 тысяч сайтов...
Любите попкорн-истории о том, как кого-то взломали и что из этого вышло? Все еще считаете, что именно ваш сайт - не того масштаба для таких проблем? А ведь времена немного изменились – и именно об этом, с цифрами и практическими рекомендациями, мы и поговорим.
На связи Михаил TutMee, и сегодня у нас весьма трепетные темы: безопасность веб-ресурсов, актуальные проблемы и средства их решения. У всех и так на слуху? Да. Но до сих пор в малом бизнесе царит практически тотальная уверенность, что все это их никак не коснется.
Как это происходит в реальной жизни
Для начала просто немного статистики от Центра информационной безопасности ФСБ. Каждый день фиксируется более 2.5 тысяч инцидентов, причем порядка 170 из них приходятся на крупные ресурсы с посещаемостью от пятисот человек - вполне живые площадки, завязанные на чувствительные для своих владельцев бизнес-процессы
Отдельная история - государственные и информационные порталы. Да, за их безопасностью следят больше, но и абсолютная защита невозможна просто из-за человеческого фактора.
Есть несколько основных типов:
- Появление вредоносного баннера - в последние полтора года тренды задают политические мотивы, но и старая добрая реклама площадок с запрещенными веществами тоже никуда не исчезла.
- Драматическое изменение контента - начиная от заглушки с требованием денег и заканчивая более изощренными махинациями, когда одна из страниц сайта начинает использоваться для мошеннических схем под прикрытием общего "доверия" к домену.
- Нарушение целостности кода - последствия вандализма после взлома сайта или результат неудачной интеграции чего-то более злонамеренного.
- Ошибки 500, 502, 503, 504 - выход сайта из строя в результате атаки на серверную часть.
- Заражение сайта - аналог привычных вирусов, интегрированных в код веб-ресурса. Помимо прочего, сайт быстро отправляется в черный список поисковых машин, и каждый посетитель получает соответствующее уведомление.
- Полное удаление контента - крайний и весьма неприятный случай, если долгое время никто не заботился о бэкапах.
Мины замедленного действия
Атака на сайт или, в общем случае, веб-ресурс в массовом сознании воспринимается как некий единичный акт с явным конечным результатом. Это не всегда так. В некоторых случаях злоумышленник может получить необходимые доступы и намеренно скрывать свой успех, не предпринимая явных действий. Зачем? Например, так можно мониторить или даже корректировать работу организации, связанной с данным веб-ресурсом. Можно эксплуатировать доступ к постоянно обновляющейся клиентской базе (особенно если речь идет о сотнях тысяч записей). А можно не спеша, с толком и расстановкой организовывать саботаж, который произойдет в точно заданное время.
Еще один неприятный момент в том, что многие CMS, вполне популярные и массовые, сами по себе имеют уязвимости.
Все это, на самом деле, тоже весьма обширный пласт проблем, и мы затронули только вершину айсберга. Бороться с ними можно, но для этого либо необходимы отдельные специалисты, постоянно мониторящие работу сайта, либо, как программа минимум - регулярный профильный аудит.
Как действуют "хакеры"
По уровню творческого разнообразия атаки на сайты вполне могут претендовать на отдельное направление искусства. Но наиболее распространенные подходы, опять же, вполне поддаются систематизации:
- DDOS - перегрузка сайта посредством лавины ложных запросов. Обычно длится лишь ограниченный промежуток времени, т.к. банально требует денег на поддержание активности.
- Brute Force Attack - попытка получить доступ к админке сайта посредством софта для грубого перебора паролей. К слову, пароль из 6 символов (цифры + латиница) брутфорсится за 3 (!) секунды.
- SQL-инъекция - внедрение злонамеренного кода в запрос к БД сайта в попытке их изменения или просто получения полного доступа.
- XSS-attack - внедрение злонамеренного кода для последующего его исполнения в браузере посетителя. Как правило, используется для воровства данных пользователя.
Особняком стоит человеческий фактор, и тут уже количество возможных сценариев социальной инженерии поражает воображение. Просто для понимания: в практике был случай, когда доступ к админке крупного проекта был получен посредством имитации с помощью нейросети голосового сообщения от одного из топ-менеджеров.
Как бороться?
Прежде всего, действовать нужно превентивно. Как гром грянет - поздно будет. При этом правило 20/80 прекрасно работает и здесь, поэтому для относительно небольшого коммерческого проекта соблюдение ряда простых правил позволит избежать значительной части угроз:
- Логин к админке - не cтоковый.
- Пароль - минимум 10 символов, не использовался ранее и, если это возможно, содержит спецсимволы.
- Резервное копирование сайта и его БД хотя бы раз в месяц.
- Сторонние модули (плагины, библиотеки, CMS и т.п.) - проверенные и всегда последней версии.
- SSL-сертификат
- Подключение к админке - только со 100% безопасных устройств.
Банально, но важно не просто все это знать, а соблюдать на практике. Сейчас, когда к чисто коммерческим мотивам прибавились и политические, причем зачастую крайне неочевидные - тем более.
Профессиональная защита сайтов
Особняком стоит безопасность крупных или просто более важных в социальном/финансовом плане ресурсов. Здесь уже важна направленная работа специалистов, и абсолютно универсального алгоритма, к сожалению, нет. Мы в TutMee в общем случае выполняем следующее:
- Устраняем баги CMS и других установленных пакетов. Зачастую они известны специалистам годами, но так и остаются висеть "на горизонте",
- Проводим комплексный стресс-тест для поиска неочевидных уязвимостей и устраняем найденное.
- Налаживаем систему "моментального реагирования", когда в случае любых происшествий на сайте ответные меры начинают приниматься уже буквально через минуту.
- Обеспечиваем серверную безопасность и при необходимости организовываем миграцию в подходящий дата-центр.
В остальном же поиск подводных камней – процесс творческий и очень индивидуальный, и если интересна конкретика именно по вашему сайту - напишите нам, проверим проект на устойчивость и дадим конкретный перечень уязвимостей. А еще будет крайне интересно узнать ваш опыт в сфере безопасности сайтов, делитесь в комментариях!