Любите попкорн-истории о том, как кого-то взломали и что из этого вышло? Все еще считаете, что именно ваш сайт - не того масштаба для таких проблем? А ведь времена немного изменились – и именно об этом, с цифрами и практическими рекомендациями, мы и поговорим.

На связи Михаил TutMee, и сегодня у нас весьма трепетные темы: безопасность веб-ресурсов, актуальные проблемы и средства их решения. У всех и так на слуху? Да. Но до сих пор в малом бизнесе царит практически тотальная уверенность, что все это их никак не коснется.

Как это происходит в реальной жизни

Для начала просто немного статистики от Центра информационной безопасности ФСБ. Каждый день фиксируется более 2.5 тысяч инцидентов, причем порядка 170 из них приходятся на крупные ресурсы с посещаемостью от пятисот человек - вполне живые площадки, завязанные на чувствительные для своих владельцев бизнес-процессы.

Отдельная история - государственные и информационные порталы. Да, за их безопасностью следят больше, но и абсолютная защита невозможна просто из-за человеческого фактора. Сами же проблемы вообще не зависят от тематики сайта и при всем своем разнообразии сводятся к нескольким основным типам:

●     Появление вредоносного баннера - в последние полтора года тренды задают политические мотивы, но и старая добрая реклама площадок с запрещенными веществами тоже никуда не исчезла.

●     Драматическое изменение контента - начиная от заглушки с требованием денег и заканчивая более изощренными махинациями, когда одна из страниц сайта начинает использоваться для мошеннических схем под прикрытием общего "доверия" к домену.

●     Нарушение целостности кода - последствия вандализма после взлома сайта или результат неудачной интеграции чего-то более злонамеренного.

●     Ошибки 500, 502, 503, 504 - выход сайта из строя в результате атаки на серверную часть.

●     Заражение сайта - аналог привычных вирусов, интегрированных в код веб-ресурса. Помимо прочего, сайт быстро отправляется в черный список поисковых машин, и каждый посетитель получает соответствующее уведомление.

●     Полное удаление контента - крайний и весьма неприятный случай, если долгое время никто не заботился о бэкапах.

Мины замедленного действия

Атака на сайт или, в общем случае, веб-ресурс в массовом сознании воспринимается как некий единичный акт с явным конечным результатом. Это не всегда так. В некоторых случаях злоумышленник может получить необходимые доступы и намеренно скрывать свой успех, не предпринимая явных действий. Зачем? Например, так можно мониторить или даже корректировать работу организации, связанной с данным веб-ресурсом. Можно эксплуатировать доступ к постоянно обновляющейся клиентской базе (особенно если речь идет о сотнях тысяч записей). А можно не спеша, с толком и расстановкой организовывать саботаж, который произойдет в точно заданное время.

Еще один неприятный момент в том, что многие CMS, вполне популярные и массовые, сами по себе имеют уязвимости. Они регулярно вскрываются, а затем латаются в обновлениях, но этих обновлений может просто не стоять, и вся система защиты превращается буквально в решето.

Все это, на самом деле, тоже весьма обширный пласт проблем, и мы затронули только вершину айсберга. Бороться с ними можно, но для этого либо необходимы отдельные специалисты, постоянно мониторящие работу сайта, либо, как программа минимум - регулярный профильный аудит.

Как действуют "хакеры"

По уровню творческого разнообразия атаки на сайты вполне могут претендовать на отдельное направление искусства. Но наиболее распространенные подходы, опять же, вполне поддаются систематизации:

●     DDOS - перегрузка сайта посредством лавины ложных запросов. Обычно длится лишь ограниченный промежуток времени, т.к. банально требует денег на поддержание активности.

●     Brute Force Attack - попытка получить доступ к админке сайта посредством софта для грубого перебора паролей. К слову, пароль из 6 символов (цифры + латиница) брутфорсится за 3 (!) секунды.

●     SQL-инъекция - внедрение злонамеренного кода в запрос к БД сайта в попытке их изменения или просто получения полного доступа.

●     XSS-attack - внедрение злонамеренного кода для последующего его исполнения в браузере посетителя. Как правило, используется для воровства данных пользователя.

Особняком стоит человеческий фактор, и тут уже количество возможных сценариев социальной инженерии поражает воображение. Просто для понимания: в практике был случай, когда доступ к админке крупного проекта был получен посредством имитации с помощью нейросети голосового сообщения от одного из топ-менеджеров.

Как бороться?

Прежде всего, действовать нужно превентивно. Как гром грянет - поздно будет. При этом правило 20/80 прекрасно работает и здесь, поэтому для относительно небольшого коммерческого проекта соблюдение ряда простых правил позволит избежать значительной части угроз:

 

●     Логин к админке - не cтоковый.

●     Пароль - минимум 10 символов, не использовался ранее и, если это возможно, содержит спецсимволы.

●     Резервное копирование сайта и его БД хотя бы раз в месяц.

●     Сторонние модули (плагины, библиотеки, CMS и т.п.) - проверенные и всегда последней версии.

●     SSL-сертификат - должен быть.

●     Подключение к админке - только со 100% безопасных устройств.

Банально, но важно не просто все это знать, а соблюдать на практике. Сейчас, когда к чисто коммерческим мотивам прибавились и политические, причем зачастую крайне неочевидные - тем более.

Профессиональная защита сайтов

Особняком стоит безопасность крупных или просто более важных в социальном/финансовом плане ресурсов. Здесь уже важна направленная работа специалистов, и абсолютно универсального алгоритма, к сожалению, нет. Мы в TutMee в общем случае выполняем следующее:

●     Устраняем баги CMS и других установленных пакетов. Зачастую они известны специалистам годами, но так и остаются висеть "на горизонте",

●     Проводим комплексный стресс-тест для поиска неочевидных уязвимостей и устраняем найденное.

●     Налаживаем систему "моментального реагирования", когда в случае любых происшествий на сайте ответные меры начинают приниматься уже буквально через минуту.

●     Обеспечиваем серверную безопасность и при необходимости организовываем миграцию в подходящий дата-центр.

В остальном же поиск подводных камней – процесс творческий и очень индивидуальный, и если интересна конкретика именно по вашему сайту - напишите нам, проверим проект на устойчивость и дадим конкретный перечень уязвимостей. А еще будет крайне интересно узнать ваш опыт в сфере безопасности сайтов, делитесь в комментариях! Заказать услугу

 

 

Комментарии (12)


  1. anzay911
    02.07.2023 11:44
    +4

    Какие изменения даёт платный SSL-сертификат?


    1. TutMee Автор
      02.07.2023 11:44
      -7

      Самый основной момент для меня лично и для многих моих клиентов: При использовании бесплатного сертификата сертификационный центр берет на себя ответственность за шифрование данных. Но при утечке данных ответственность остается на стороне владельца сайта. При использовании платных сертификатов, сертификационные центры гарантируют выплату компенсации. Гарантийная сумма указана в описании сертификатов.


      1. ubx7b8
        02.07.2023 11:44
        +6

        А почему сами используете сертификат от Lets Encrypt? Вы таки не боитесь утечек данных?!


      1. remendado
        02.07.2023 11:44
        +2

        И как, есть успешные кейсы развода CI на деньги после утечки данных?


      1. Blck-1
        02.07.2023 11:44
        +7

        "сертификационный центр берет на себя ответственность за шифрование данных"
        А Вы точно знаете как работает PKI и какие функции выполняют CA в нем?
        Какая ответственность и за какое именно шифрование данных?


  1. svob
    02.07.2023 11:44

    ИМХО сейчас явный тренд на отказ малого бизнеса от создания собственных сайтов. Или на максимальное упрощение, уменьшение функционала. Всех тащат к себе маркетплейсы и ВК.


  1. ermouth
    02.07.2023 11:44
    +9

    проверим проект на устойчивость и дадим конкретный перечень уязвимостей

    Открываю первый попавшийся сайт из вашего портфолио – а там jquery 1.12.4 и K2 2.8, открываю второй (лайтдок.ио) – а там и вовсе левый сертификат.

    По-моему, вам с проверки своих работ надо начинать.


    1. TutMee Автор
      02.07.2023 11:44
      -9

      Спасибо за отзыв и за - , но на нашем сайте размещены чаще всего тестовые версии наших клиентов , потому что за 5 и более лет, сайт может по 5 раз переезжать с поддомена клиента на основной домен и т.д. , сайты которые располагаются на tutmee.ru имеют презентационный характер, и к аудиту и безопасности не имеют отношения и покупать к каждому из более 500 сайтов ssl сертификат за 3-5 тр , не имеет никакого смысла.


      1. ermouth
        02.07.2023 11:44
        +6

        имеют презентационный характер

        Вот так выглядит ваш «презентационный характер»:

        и покупать к каждому из более 500 сайтов ssl сертификат за 3-5 тр

        Вы хоть и советуете покупать сертификат, но сами прекрасно используете Let’s Encrypt и у себя на сайте, и в некоторых проектах.

        Поэтому, увы, не прокатывает ваш аргумент.


  1. TutMee Автор
    02.07.2023 11:44
    -1

    Спасибо за отзывы)


  1. vpetrov
    02.07.2023 11:44
    +7

    Все проблемы обычно упираются в совсем простые вещи: либо 0-day, либо нулленые шаблоны-плагины, либо дырявый хостинг. Залили шелл - весь кластер под откос.
    В логи гляньте: там ежедневно на любом сайте ищут конфиги WP.
    А так-то - ага, сплошь дидосы и очень глупые пароли. И сертификаты ещё.


  1. vindy123
    02.07.2023 11:44
    +6

    Михаил, вы же нихера не понимаете в том, о чем пишете. Вам довольно нежно на мой взгляд пытаются на это указать, но вы непробиваемы. Вам и вашим несчастным клиентам наверное, тикток канал больше подойдёт как средство коммуникации.