Любите попкорн-истории о том, как кого-то взломали и что из этого вышло? Все еще считаете, что именно ваш сайт — не того масштаба для таких проблем? А ведь времена немного изменились — и именно об этом, с цифрами и практическими рекомендациями, мы и поговорим.
На связи Михаил TutMee, и сегодня у нас весьма трепетные темы: безопасность веб-ресурсов, актуальные проблемы и средства их решения. У всех и так на слуху? Да. Но до сих пор в малом бизнесе царит практически тотальная уверенность, что все это их никак не коснется.
Как это происходит в реальной жизни
Для начала просто немного статистики от Центра информационной безопасности ФСБ. Каждый день фиксируется более 2.5 тысяч инцидентов, причем порядка 170 из них приходятся на крупные ресурсы с посещаемостью от пятисот человек — вполне живые площадки, завязанные на чувствительные для своих владельцев бизнес-процессы.
Отдельная история — государственные и информационные порталы. Да, за их безопасностью следят больше, но и абсолютная защита невозможна просто из-за человеческого фактора. Сами же проблемы вообще не зависят от тематики сайта и при всем своем разнообразии сводятся к нескольким основным типам:
● Появление вредоносного баннера — в последние полтора года тренды задают политические мотивы, но и старая добрая реклама площадок с запрещенными веществами тоже никуда не исчезла.
● Драматическое изменение контента — начиная от заглушки с требованием денег и заканчивая более изощренными махинациями, когда одна из страниц сайта начинает использоваться для мошеннических схем под прикрытием общего "доверия" к домену.
● Нарушение целостности кода — последствия вандализма после взлома сайта или результат неудачной интеграции чего-то более злонамеренного.
● Ошибки 500, 502, 503, 504 — выход сайта из строя в результате атаки на серверную часть.
● Заражение сайта — аналог привычных вирусов, интегрированных в код веб-ресурса. Помимо прочего, сайт быстро отправляется в черный список поисковых машин, и каждый посетитель получает соответствующее уведомление.
● Полное удаление контента — крайний и весьма неприятный случай, если долгое время никто не заботился о бэкапах.
Мины замедленного действия
Атака на сайт или, в общем случае, веб-ресурс в массовом сознании воспринимается как некий единичный акт с явным конечным результатом. Это не всегда так. В некоторых случаях злоумышленник может получить необходимые доступы и намеренно скрывать свой успех, не предпринимая явных действий. Зачем? Например, так можно мониторить или даже корректировать работу организации, связанной с данным веб-ресурсом. Можно эксплуатировать доступ к постоянно обновляющейся клиентской базе (особенно если речь идет о сотнях тысяч записей) . А можно не спеша, с толком и расстановкой организовывать саботаж, который произойдет в точно заданное время.
Еще один неприятный момент в том, что многие CMS, вполне популярные и массовые, сами по себе имеют уязвимости. Они регулярно вскрываются, а затем латаются в обновлениях, но этих обновлений может просто не стоять, и вся система защиты превращается буквально в решето.
Все это, на самом деле, тоже весьма обширный пласт проблем, и мы затронули только вершину айсберга. Бороться с ними можно, но для этого либо необходимы отдельные специалисты, постоянно мониторящие работу сайта, либо, как программа минимум — регулярный профильный аудит.
Как действуют «хакеры»
По уровню творческого разнообразия атаки на сайты вполне могут претендовать на отдельное направление искусства. Но наиболее распространенные подходы, опять же, вполне поддаются систематизации:
● DDOS — перегрузка сайта посредством лавины ложных запросов. Обычно длится лишь ограниченный промежуток времени, т.к. банально требует денег на поддержание активности.
● Brute Force Attack — попытка получить доступ к админке сайта посредством софта для грубого перебора паролей. К слову, пароль из 6 символов (цифры + латиница) брутфорсится за 3 (!) секунды.
● SQL-инъекция — внедрение злонамеренного кода в запрос к БД сайта в попытке их изменения или просто получения полного доступа.
● XSS-attack — внедрение злонамеренного кода для последующего его исполнения в браузере посетителя. Как правило, используется для воровства данных пользователя.
Особняком стоит человеческий фактор, и тут уже количество возможных сценариев социальной инженерии поражает воображение. Просто для понимания: в практике был случай, когда доступ к админке крупного проекта был получен посредством имитации с помощью нейросети голосового сообщения от одного из топ-менеджеров.
Как бороться?
Прежде всего, действовать нужно превентивно. Как гром грянет — поздно будет. При этом правило 20/80 прекрасно работает и здесь, поэтому для относительно небольшого коммерческого проекта соблюдение ряда простых правил позволит избежать значительной части угроз:
● Логин к админке — не cтоковый.
● Пароль — минимум 10 символов, не использовался ранее и, если это возможно, содержит спецсимволы.
● Резервное копирование сайта и его БД хотя бы раз в месяц.
● Сторонние модули (плагины, библиотеки, CMS и т.п.) — проверенные и всегда последней версии.
● SSL-сертификат
● Подключение к админке — только со 100% безопасных устройств.
Банально, но важно не просто все это знать, а соблюдать на практике. Сейчас, когда к чисто коммерческим мотивам прибавились и политические, причем зачастую крайне неочевидные — тем более.
Профессиональная защита сайтов
Особняком стоит безопасность крупных или просто более важных в социальном/финансовом плане ресурсов. Здесь уже важна направленная работа специалистов, и абсолютно универсального алгоритма, к сожалению, нет. Мы в TutMee в общем случае выполняем следующее:
● Устраняем баги CMS и других установленных пакетов. Зачастую они известны специалистам годами, но так и остаются висеть «на горизонте»,
● Проводим комплексный стресс-тест для поиска неочевидных уязвимостей и устраняем найденное.
● Налаживаем систему «моментального реагирования», когда в случае любых происшествий на сайте ответные меры начинают приниматься уже буквально через минуту.
● Обеспечиваем серверную безопасность и при необходимости организовываем миграцию в подходящий дата-центр.
В остальном же поиск подводных камней – процесс творческий и очень индивидуальный, и если интересна конкретика именно по вашему сайту — напишите нам, проверим проект на устойчивость и дадим конкретный перечень уязвимостей. А еще будет крайне интересно узнать ваш опыт в сфере безопасности сайтов, делитесь в комментариях!
6 символов (цифры + латиница) - это 2176782336 комбинаций. Как Вы представляете себе 2 миллиарда аутентификационных запросов к сервису за 3 секунды? Вы же удаленный брут имели в виду, без всяких там предварительных знаний соленого хеша, хранимого в базе?