Мы когда-то уже поднимали тему безопасности проектов в интернете — но на тот момент касались только защиты доступов на стороне разработчика. А киберпреступники (неважно, хакеры-одинадцатиклассники или серьезные профи) не дремлют и то и дело ищут лазейку, чтобы навредить. Например, украсть данные компании, платежные реквизиты клиентов или с удовольствием поработать на конкурентов, которые мечтают вставить палки в колёса вашему рабочему интернет-бизнесу.

В этой статье разберёмся, какими бывают атаки, как и почему они удаются злоумышленникам и что со всем этим делать, чтобы защитить свой сайт от посягательств.

Если грубо обобщать, то их всего два вида: целевые (заказанные конкурентами или тщательно спланированные вымогателями) и нецелевые (поиск брешей с получением последующего профита). Ниже расскажем подробнее о возможных сценариях.

DDoS (Distributed Denial of Service) — целевая атака, призванная вывести интернет-ресурс из строя: посылается огромное количество запросов, которое сайт не может обслужить одновременно. Как результат — отказ системы и прекращение работы. Чаще всего такие атаки заказывают конкуренты (особенно, когда рынок делится между крупными игроками). Популярные жертвы: интернет-магазины и компании, предоставляющие онлайн-услуги.

Часто для DDoS используют ботнеты — компьютерные сети, собирающиеся с помощью вирусов и состоящие из большого количества подключенных к интернету компьютеров или других устройств, на которых запущено автономное программное обеспечение (боты). Они атакуют сразу из нескольких стран (и даже континентов) и включают в себя порой очень странные устройства: например, умную бытовую технику или роутеры. Обычно ботнеты сдаются в аренду с почасовой оплатой — подойдёт для того, чтобы «уронить» сайт на часок-другой. Для сложных и длительных атак злоумышленникам они невыгодны.

Фишингом принято считать кражу данных банковских карт, паролей и прочей конфиденциальной информации. Также считается целевой атакой. Из-за этого интернет-магазины, например, всегда в курсе этой темы, а вот владельцы корпоративных сайтов о фишинге задумываются редко — мол, а чего у нас воровать? А есть чего.

Репутационный вред

Вы — «НефтьГазАлмазПромСервисТорг». Что-то там производите, куда-то поставляете, на сайте у вас список услуг, немножко новостей, чуть-чуть контактов и… всё. Но это не мешает вам стать жертвой фишеров. Кааак? А так, как обошлись с «Тольяттиазот» — тупо создали сайт-двойник и уводили на него всех клиентов. А потом брали с них предоплату на фирмы-однодневки и скрывались. Доказать невозможно, поймать злодеев, как догадываетесь, тоже.

Воровство в интернетах

И всё-таки, более традиционная схема — кража персональных данных у интернет-пользователей. И хотя ваш сайт может быть ни при чём, репутации и клиентским кошелькам это тоже вредит. Механик — масса, вот ключевые:

• Электронные письма с уведомлениями от «банков» и «почтовых сервисов» со ссылками, которые перенаправляют пользователей на вредоносные сайты или предлагают поделиться конфиденциальными данными.
  
• Социальные сети — сотрудники «банка» могут написать прям там, и это в эпоху омниканальности уже никого не удивит, а конфиденциальные данные опять уйдут не туда.
  
• Смс-сообщения от «ГИБДД» или «банка» — тоже со ссылкой для якобы оплаты задолженности.

И этот список можно продолжать всё новыми хитрыми схемами. Частые жертвы такого фишинга: авиакомпании, банки, платежные системы и, конечно, интернет-магазины. И тут можно уповать только на грамотность самих пользователей (что они в курсе про SSL-сертификаты и HTTPS).

Способов навредить, кроме целенаправленной атаки умных холодильников или продуманной кражи данных карточек ваших клиентов, — достаточно. Но и для нецелевых атак их множество. Вот — самые распространённые способы.

Перебор паролей

Смешно, но это всё ещё работает: администраторы запросто могут создавать учётные записи вроде admin/admin, admin/bitrix, admin/123 456, admin/111 111. Статистика говорит, что в 2018-м пароли 123 456 и qwerty опять в топе по популярности. Взломать такое можно за 5 секунд, а что делать с вашим сайтом дальше — дело фантазии и корыстного интереса злодея.

Меры предосторожности: никогда не входите в админку сайта на HTTP или с установленным VPN в браузере, используя публичный wi-fi (который есть в кафе, аэропортах и т. д.), — ваш пароль могут легко перехватить злоумышленники. Если на сайте используется HTTPS (тем более с HSTS) — можете быть спокойны.

«Полезные» модули для CMS

По статистике 2017-го, Wordpress лидирует по уязвимости среди других CMS. Но дело не столько в самой CMS, сколько в не очень прямых руках веб-мастеров, у которых бывают проблемы с развёртыванием этих систем, их настройкой, поддержкой и своевременным обновлением (для закрытия выявленных уязвимостей).

Вторая причина — у бесплатных коробочных «движков» вроде WordPress, Drupal, Joomla, Opencart и прочих полно готовых модулей, которые доступны для установки. Среди них могут быть как плагины с заведомо вредоносным кодом (замаскированные под полезные решения), так и безобидные (но нередко с «дырами» в коде, сквозь которые легко проникнуть и взломать сайт).

Третья причина — открытый код, который взламывается злоумышленниками гораздо проще.

Неудачный выбор хостинга

Про бесплатный и говорить нечего: помимо навязчивой рекламы на сайте, вы получите сомнительную производительность и не дождетесь никаких гарантий безопасности. С shared-хостингом всё зависит от настроек. Часто взлом одного сайта на таком хостинге ведет к взлому соседних (хотя иногда достаточно и тестового аккаунта, чтобы добраться до остальных ресурсов на хостинге). За счёт низкой стоимости услуг виртуального хостинга его владельцам мониторить и обеспечивать безопасность обычно экономически необоснованно. Решение — сразу выбрать под проект виртуальный (а лучше — выделенный) сервер, чтобы у вашего сайта точно не было сомнительных соседей :)


Старое ПО

Старые версии ПО могут стать лазейкой для проникновения злоумышленников. Так, кое-кто обнаружил несколько критических уязвимостей в веб-сервисах гиганта Microsoft, из-за которых злодеи (получи они доступ) легко могли рассылать письма с фишинговыми ссылками от имени компании. А причина — неработающее веб-приложение Azure. Повезло, что человек был сознательным и сразу связался с детищем Гейтса, где это недоразумение тут же устранили.

Другой пример — Google+. Из-за ошибок в API социальной сети Гугла можно было узнать логин, возраст и пол, а также почту и место работы пользователей и ещё кучу конфиденциальных данных (затрагивающих 52,5 млн. учетных записей). Наверное, поэтому этой соцсети с нами больше нет :)


Трояны

Внедрение вредоносного кода на сайт с помощью псевдо-полезного ПО или заражение это заражение локального компьютера трояном, который уводит сохраненные пароли браузера. Обычно троянские программы размещаются на открытых и индексируемых ресурсах, отправляются по электронной почте или передаются на физических носителях.

Банковские трояны — популярный способ мошенничества в финансовой сфере. Атакам подвергаются и сами банки, и их клиенты. Чаще всего используется техника man-in-browser («человек в браузере») — прокси-троян, заражающий браузер. Он либо изменяет веб-страницы, либо содержимое транзакций, либо добавляет дополнительные транзакции незаметно для пользователя. Например, поджидает пользователя в браузере, пока тот не зайдёт в онлайн-банк: а дальше отслеживает нажатия клавиш и завладевает паролями для входа в систему онлайн-банкинга.

Причин несколько. Во-первых, атаки кому-то нужны: самим хакерам, желающим тыкнуть вас носом в некомпетентность в вопросах защиты сайта (ради повышения своего ЧСВ и/или заработка), и конкурентам, желающим нанести вам репутационный ущерб.

Вторая причина: доступность техник взлома на сайтах и форумах около-хакерских тематик и широкая огласка крупных инцидентов с изложением технических деталей происшествий — повторить подобное становится всё проще. Но если бы компании уделяли больше внимания и ресурсов вопросам информационной безопасности, хакерам было бы сложнее.

Отсюда и третья причина: халатное отношение к безопасности и слабый IT-сегмент во многих компаниях. Здесь всё бывает очень плачевно. Либо IT-специалист всего один (и тот на удалёнке) и решает ВСЕ вопросы: от установки Excel для бухгалтеров до вопросов безопасности (и скорее всего, у него недостаточно компетенций для последнего). Либо есть целый отдел, но его задачи никто не контролирует (потому что никто, кроме этих ребят не понимает в этом деле). Из-за отсутствия контроля со стороны компетентного специалиста может получиться, что какие-то уязвимости пройдут мимо не очень бдительного взора таких спецов и станут подарком для хакеров. Ещё вариант — какие-то меры по безопасности принимаются, но с расчётом на сценарий «сделали и теперь можно расслабиться».

Единого рецепта не существует — пока есть бизнес в интернете, будут и хакеры. Но набор общих рекомендаций всё-таки есть:

1. Регулярно меняйте пароли
Ну, помните про банальные варианты, которые взламываются за 5 секунд? Не пренебрегайте цифрами и буквами разного регистра (да, это неудобно).

2. Регулярно обновляйте ПО и CMS
В новых версиях софта разработчиками учтены ранее не выявленные уязвимости, которые могут стать отличным способом взломать ваш сайт.

3. Внедрите Web application firewall (WAF)
WAF может отслеживать и анализировать входные и выходные данные на сайте, и способен блокировать их, если посчитает, что они являются вредоносными. Предотвращает часть целевых атак по известным сценариям, но не учитывает уязвимостей в бизнес-логике. Бывает встроенным в систему (например в Bitrix Framework), либо сторонним, реализующимся методом проксирования всего траффика к сайту (чаще всего совмещён с дополнительными защитами, например от DDoS). Пример — уже упомянутый QRator. Но для внешних WAF, если злоумышленникам удастся узнать IP-адрес, WAF становится бесполезен.

4. Установите сканеры уязвимости
Они упрощают аудит и сбор информации о необходимости обновления служб и ПО, а также отслеживают небезопасные конфигурации, открытые порты и делают первичный анализ поверхностных уязвимостей. Можно попробовать Zyxel SecuReporter, Nemesida WAF или зарубежный Acunetix.

5. Установите защиту от DDoS
Используйте сервисы типа QRator или попробуйте облачную защиту от NGENIX (фильтрует трафик и защищает публичные веб-сервисы, а также предотвращает атаки на DNS). Но будьте готовы к тому, что это очень дорого. Постоянно такая защита используется только на сайтах, где DDoS — это регулярная и ОЧЕНЬ критическая проблема. На других ресурсах — как временная мера.
Также частично защититься от DDoS помогает CDN.

6. Регулярно проводите code security review на сайте
И да, для этого понадобится грамотный специалист, который сможет вовремя увидеть критические уязвимости и ликвидировать их.

7. Настройте бэкап данных
Бэкап, или резервное копирование, помогает восстановить данные при их потере. Для бэкапов есть несколько правил:

1. копии должны размещаться на разных физических носителях (например, на жёстком диске и в облачном хранилище);
2. физические копии должны размещаться в разных местах (удалённых друг от друга) для защиты от проблем в дата-центре/пожара/наводнения, либо от блокировки дата-центра РКН;
3. копии должны шифроваться;
4. частота бэкапа — не реже раза в сутки;
5. длительность хранения — не менее недели.

Если кратко — опасностей для сайтов масса. И тренды этого года в отрасли кибербезопасности это подтверждают. Вот главные:

• необходимость внедрять ИИ-системы для анализа и предотвращения атак (для человека объём информации, которую приходится мониторить, становится слишком велик);
  
• нехватка специалистов в области информационной безопасности и, как следствие, необходимость изучения общих вопросов ИБ уже в школе;
  
• передача мониторинга потенциальных угроз на аутсорс, поскольку ИБ для бизнеса — это трудоёмко и дорого;
  
• развитие страхования киберрисков (только начинает развиваться в России, но уже имеет хоть какую-то законодательную базу);
  
• внедрение биометрической системы идентификации, призванное повысить безопасность данных в банковском секторе (но это неточно);
  
• более пристальное внимание к интернету вещей (с ростом «умных» устройств возрастает и их уязвимость).

Самое грустное, хакеры тоже в тренде — а значит, тоже будут внедрять ИИ в свои чёрные методы и искать новые лазейки и способы взлома (в обход биометрии и повсеместной улучшенной безопасности). Поэтому вопрос «защищать ли свой сайт?» уже не стоит — теперь важнее, насколько комплексно это делать.