Снова про безопасность, потому что ваш пароль всё ещё «qwerty»

Неважно, большое у вас приложение или крошечный магазин на Тильде. Налажать с безопасностью могут все, помните же скандалы с утечками данных? Рассказываем, где можно ошибиться и как это исправить. Да, это ещё-одна-статья-про-пароли (и не только про них), но если хоть один читатель последует нашим советам, то мы написали её не зря.

Снова про безопасность, потому что ваш пароль всё ещё «qwerty»

Когда речь идёт о цифровых взломах, в голове сразу кино про злоумышленников, которые ловко стучат по клавишам и говорят что-то вроде «дай мне 5 минут, и я проникну в их инфраструктуру». В 2022 году все происходит гораздо скучнее, а жертвами становятся не только корпоративные монстры, но и обычные предприниматели.

Размер бизнеса вообще не играет роли. У большой компании хотят похитить данные, компьютеры средней компании сделать частью ботнета, а с малого бизнеса — стрясти копеечку.

Это делают уже даже не люди-хакеры, а их боты. Они чем-то похожи на ботов поисковых систем, только эти ежеминутно проверяют известные уязвимости на сайтах и сервисах, а не SEO-параметры. На случай если «вдруг тут кто-то не подумал о безопасности?». Они не устают, не спят, не едят. Просто ищут дыры.

Мы это видим по логам наших клиентов. Наш DevOps-отдел постоянно улучшает защиту, но попыток взлома через уязвимости «из учебника» было много. И, как бы ни хотелось говорить про политику, но их стало больше за последние 2 месяца.

Почему меня вообще должны взломать, я же просто продаю крафтовые блокноты?

Кроме денег, у вас могут быть ещё 2 ценные штуки: данные пользователей и вычислительные мощности (ваш сервер).

Данные можно наворовать из разных источников, скомпоновать в таблицу, а потом продавать файл «база 2022 Москва» за криптокоины. С серверами поинтереснее. Злоумышленник может вообще не знать, кто вы, чем занимаетесь и что продаёте. Ему нужны машины, которые будут ддос-ить какой-то другой крупный ресурс. Он объединит их в сеть, чтобы усилить атаку, а вы этого можете даже не заметить.

Угроза реальна, так что давайте разбираться, что можно сделать. Сначала пробежимся по социальным угрозам, которые вы можете предотвратить сами, без специальных знаний, а потом коротко расскажем, с чем идти к специалисту по безопасности.

Проблема 1: ничего не обновлять.

В больших продуктах разработчики иногда возвращаются к старым задачам — например, обновлению версий инструментов. Это называется «работа с техническим долгом». Новые версии инструментов работают лучше, в них закрыты дыры, найденные за последнее время.

То же самое должны делать и обычные люди. Обновления приходят на наши телефоны, компьютеры, телевизоры и даже наушники.

Так вот, на систему управления вашим сайтом тоже приходят обновления. Если вы их не поставите, то те самые боты просто проверят, нет ли на вашем сайте уязвимостей, которые и были закрыты свежим обновлением (напоминаем, в этой гипотетической ситуации вы его не установили).

Представим типичный сценарий: вы заказали сайт у фрилансера, он вам его нарисовал на каком-нибудь WordPress, всё волшебно. Вот только вы не обновляете CMS в страхе, что всё сломается. Дизайн и верстка ведь важнее безопасности, во всяком случае на короткой дистанции?

Что делать?

Если вы делали сайт на конструкторе, то все в порядке. Там своя техническая команда, она узнаёт о новых дырах и оперативно их закрывает.

Если у вас есть минимальные технические знания, например, вы пользуетесь админкой, управляете пользователями, то вы точно заметите уведомления в духе «пора обновиться». Не игнорируйте их. Обратитесь к тому, кто делал сайт и попросите помочь. Да, заплатите немного денег, но убережёте себя от потенциальных проблем.

Если вы только думаете про запуск своего сервиса, сразу обсудите с разработчиками вопросы будущих обновлений.

Проблема 2: слабые пароли

Уже и рейтинги убогих паролей составляли, и мемы делали, но никто так и не научился делать правильные пароли. Особенно для админок.

Стоит отметить, что если кто-то решил подобрать ваш пароль — то это, скорее всего, заказ. Вас хотят шантажировать или просто украсть деньги. Строить для этого бота неразумно — не напасёшься техноресурсов. Брутфорс (перебор пароля) — задача трудоёмкая.

Хотя и боты, бывают, проверяют авторизации на дурачка. Гоняют по админкам, серверам и роутерам, и пробуют логин-пароль «admin-admin». У вас же не такой пароль, правда? Пусть будет не такой, пожалуйста.

Заметить подбор пароля особенно легко, если у вас мало пользователей в системе. Допустим, их всего 100 и один пытается залогиниться 1000 раз подряд — время звонить в колокол.

Друзья, можем вас понять. «12345» гораздо легче запомнить, чем длинную парольную фразу, но это большая дыра, которую вы создаёте сами. Это как жить в доме с открытой дверью.

К счастью, у нас уже есть новые варианты типа FaceID, TouchID или флешек (помните старый банкинг для юрлиц?), но они пока используются не везде.

Что делать?

  • Придумайте пароль посложнее. Нет, ПРИДУМАЙТЕ ПАРОЛЬ ПОСЛОЖНЕЕ!Родители тратят время, чтобы придумать классное имя ребенку, потому что ему с этим жить. Вот и вам с паролем тоже жить. Ну 5 минуточек хотя б попридумывайте. Нет, «qwerty» — это то же самое, что и «12345». Нет, «q1w2e3r4t5y» тоже не подходит.
  • Старайтесь менять пароль хотя бы раз в полгода. Он мог утечь в какую-нибудь базу, а вы и не заметили. Вообще это такая же хорошая привычка, как раз в полгода посещать стоматолога.
  • Чтобы не запоминать, используйте менеджер паролей. Да, пишите в комментах, что их тоже взламывают или они останавливают работу. Но это все ещё лучше, чем «qwerty» или дата вашего рождения с восклицательным знаком в конце.
  • Если не доверяете облачным сервисам, установите локальное хранилище. Пусть ваши пароли хранятся у вас в зашифрованном виде. Попробуйте, например, KeePass или Enpass (офлайновые), Bitwarden или Kaspersky Password Manager (заявляют о возможности офлайн-хранения, но тут уже вопрос личного доверия).
  • Если у вас тревожная паранойя, и вы вообще не хотите пользоваться сервисом, то используйте парольные фразы. Придумайте фразу, которую точно не потеряете и вместо пробелов используйте дефисы. Что-то вроде «i-love-evrone» или «my-password-is-strong».
  • Дополнительной степенью защиты станет подстановка символов вместо букв. A можно заменить на @, s — на 5, а o — на 0 (это нолик, а не большая буква О). И вот у вас уже парольная фраза, взломать которую непросто.

Проблема 3: один и тот же пароль везде и авторизация через соцсети

Взломы сервисов стали происходить так часто, что скорее всего ваш пароль уже куда-то уплыл. Просто вам повезло, что никто ещё не залогинился с ним.

Просто представьте: ваш пароль уплыл после взлома местной кафешки с доставкой и кривым мобильным приложением. Теперь бот тыкает его во все популярные соцсети — и он подходит! А у вас ещё и авторизация через соцсети подключена. Это ещё +Х взломанных учёток.

Совсем плохо, если это не ваши личные учётки, а корпоративные, или вы вообще всё давно перемешали и запутались.

Что делать?

В идеале — новый сервис, новый пароль. Чтобы не путаться, добавляйте названия сервисов к парольным фразам. «i-l0ve-evr0ne-telegram» или «my-p@55w0rd-i5-5tr0ng-wordpress».

Опять же, совет про менеджеры паролей актуален.

Пользуйтесь авторизацией через соцсети и почтовые аккаунты осторожно. Периодически проверяйте, какие сервисы имеют доступ к вашему аккаунту. Это можно сделать хоть в VK, хоть в почте: в настройках безопасности или конфиденциальности.

Проблема 4: социальный взлом

Как бы служба безопасности ни старалась — человеческого фактора не избежать. Сотрудник откроет письмо со ссылкой на «фотки с корпоратива» или бухгалтер в спешке скачает файл «Требование от налоговой №42».

Злоумышленники будут маскироваться качественно: отправят письмо как будто с официальной почты, сделают фальшивый сайт, который очень трудно отличить от оригинала, даже позвонят и представятся «службой безопасности».

Что делать?

Примерно то же самое, что пытаются сделать учителя английского языка, заставляя учеников запомнить все времена. Повторять, повторять, повторять.

Устраивайте встречи безопасников с сотрудниками, пишите внутренние статьи, отправляйте известные кейсы взломов во внутренние чаты. Воспитывайте внимательность в себе и сотрудниках: чем больше они будут знать об уже имеющихся способах мошенничества, тем более осторожными будут.

Проблема 5: отсутствие двухфакторной аутентификации

Это даже не проблема, а недосмотр. Придумали классную технологию, а вы ей не пользуетесь. Конечно, ведь непонятно, кто за этим стоит. Может, сам Билл Гейтс придумал двойную аутентификацию, чтобы элиты захватили мир. Шутка.

Двухфакторка не защищает ваш пароль от кражи, но сильно её усложняет. Дополнительный барьер не помешает.

Что делать?

  • Подключайте двухфакторную авторизацию сразу же, как только сервис это предлагает. В виде СМС, звонка или уведомления. Как угодно.
  • Используйте более сложные методы, если это возможно. Например, Яндекс предлагает заменить авторизацию по номеру телефона на специальное приложение Яндекс.Ключ, которое генерирует одноразовые пароли. Через это приложение даже SmartTV подключается к онлайн-кинотеатру Кинопоиска.
    Удобно — навёл камеру на сгенерированный QR-код и готово. Безопасно — срок жизни этого QR-кода обычно не больше минуты.

Сложные проблемы, с которыми стоит отправиться к специалисту

Теперь коротко поговорим о тех вещах, которые вы сами починить или предупредить не сможете. Зато будете знать, с какими ключевыми запросами идти к безопасникам.

DDoS — перегрузка вашего сервиса бесполезными запросами

Самая популярная атака, мы её и выделили, потому что цель злоумышленников сразу ясна — им интересны конкретно вы. DDoS используется, чтобы шантажировать или остановить бизнес на какое-то время (может даже навсегда).

Ваш сайт или сервис перегружают пустыми автоматическими запросами, а реальные пользователи видят ошибку и зайти не могут.

Что делать?

Если атака началась, защититься от неё уже невозможно. Только предупредить. Мы с таким сталкивались — почитайте нашу статью про оборону онлайн-магазина ТопТоп (на нашем сайте можно почитать, чем мы ещё занимались на проекте). Там же найдете и практические советы. Они сугубо технические, поэтому сюда их не выносим. Верим, что прочитаете, если для вас это актуально.

Серьёзные взломы ваших веб-сервисов через любые программистские дырки

Например, sql-инъекции — попытка несанкционированно получить данные из базы, загрузив специальную sql-команду через формы на сайте. А они сейчас есть везде, ведь каждый хочет получить почту своего покупателя.

Что делать?

Главное тут — спросить у своего разработчика или внешнего специалиста, всё ли ок в том месте, где внешняя часть вашего сервиса обменивается данными с сервером. Или предусмотреть защиту на этапе проектирования вашего будущего сайта или продукта.

***

Вот, пожалуй, все проблемы, с которыми мы хотели вас познакомить. Их, конечно, гораздо больше. Перехват трафика, взлом сетевого оборудования, новые хитрые атаки — хакеры не спят. Но и вы тоже можете много сделать для защиты своего бизнеса или пет-проекта. Список выше, осталось заняться ;)

2020
11 комментариев

Мой password прост, это - имя моей собаки. Ее зовут pFt5%d=Lt, но я
меняю ей имя каждые 90 дней.

3
Ответить

поставила как-то двухфакторную аутентификацию, так телефон потеряла и все данные тоже)

2
Ответить

+, она постоянно неудобства вызывает. Так у меня и не прижилась(
Придумала более сложный пароль и пока без происшествий

2
Ответить

Посылаем лучи поддержки и понимания)

1
Ответить

А как же ключи аутентификации (Yubikey, например)?
Незаслуженно вы их забыли упомянуть. С такими ключами можно и пароль оставить "12345" и не менять вообще :).

1
Ответить

Наш CTO проронил слезу счастья от этого комментария. Мы, на самом деле, много чего забыли упомянуть :) Пусть хотя бы про пароли все ещё раз почитают...

Ответить