Зачем хакерам ваш интернет-магазин? 5 заблуждений владельцев коммерческих сайтов. Читайте на Cossa.ru

08 сентября 2014, 09:35
2

Зачем хакерам ваш интернет-магазин? 5 заблуждений владельцев коммерческих сайтов

Григорий Земсков, специалист по информационной безопасности, директор компании «Ревизиум», рассказал Cossa.ru о том, почему хакеры с одинаковым успехом взламывают как успешные сайты, так и маленькие интернет-блоги, у которых практически нет читателей, а также о том, как избежать этой участи.

Ежедневно хакеры получают несанкционированный доступ к тысячам интернет-ресурсов, среди которых есть как крупные корпоративные порталы, так и небольшие авторские блоги. Примеры последних приводить неэтично — не хочется подвергать их владельцев очередному риску, однако, если вас эта тема заинтересовала, можно просто вбить в любом поисковике запрос «мой блог взломали», историй найдется масса.

По данным компании Sophos, за день в мире взламывают свыше 30 000 сайтов, большая часть которых принадлежит к сфере электронной коммерции — в частности, это, например, интернет-магазины. Большинство интернет-предпринимателей считают, что их сайты взламывают по двум причинам: либо по заказу конкурентов, либо с подачи недоброжелателей (действительно, иногда на форумах люди просят ради интереса или ради мести — например, не смогли пройти онлайн-игру или вещь не доставили вовремя — взломать чей-то сайт, а хакеры ради спортивного интереса или за деньги делают это. В данном случае заказчик услуги не является конкурентом владельца сайта, но по каким-то соображениям пытается уничтожить сайт, портал или интернет-магазин).

МегаФон ПроБизнес

Получите Кешбэк 100% за запуск рекламы с МегаФон Таргетом!

Узнать больше >>

Реклама. ПАО «МегаФон». ИНН 7812014560. ОГРН 1027809169585

5 крупных взломов больших компаний

Forbes

Дата взлома: февраль 2014.

Что случилось: из-за атаки на сайт утекла информация о миллионе аккаунтов. Нападение совершила Сирийская электронной армия, решив отомстить изданию за материалы о Сирии. В результате атаки пострадали пользовательский данные, а на сайте были опубликованы фейковые новости.

Раскрытая информация: email-адреса, пароли, юзернеймы, адреса сайтов пользователей.

Snapchat

Дата взлома: январь 2014.

Что случилось: взлом был «понарошку»: хакеры решили привлечь внимание разработчиков к уязвимостям системы и выложили данные пользователей на сайте snapchatDB.info — в целом около пяти миллионов телефонных номеров.

Раскрытая информация: телефонные номера, юзернеймы.

Adobe

Дата взлома: октябрь 2013.

Что случилось: было взломано более 153 миллионов аккаунтов, в которых хранилась информация об ID, юзернеймы, email-адреса, зашифрованные пароли и подсказки для паролей в виде обычного текста.

Раскрытая информация: email-адреса, подсказки для паролей, пароли, юзернеймы.

Sony

Дата взлома: 2011 год.

Что случилось: за 2011 год Sony подверглась целой серии хакерских атак, пострадали пользователи многих продуктов, от сети PlayStation до сайта Sony Pictures.

Раскрытая информация: адреса, даты рождения, email-адреса, пол, имена, пароли, телефонные номера, юзернеймы.

Gawker

Дата взлома: декабрь 2010.

Что случилось: сайт был атакован хакерской командой Gnosis из-за долгой вражды между Gawker и 4Chan. Была раскрыта информация о миллионе пользователей Gawker, а также других сайтов Gawker Media, включая Gizmodo и Lifehacker. Из-за того, что многие пользователи используют один и тот же пароль для разных сайтов, многие потом жаловались, что с их Twitter-аккаунтов рараспространяют спам.

Раскрытая информация: email-адреса, пароли, юзернеймы.

Если же посмотреть на реальную картину взломов, то окажется, что любой сайт может быть скомпрометирован, независимо от того, насколько он известен, сколько на него приходит посетителей в сутки или какова его тематика. Любая страница представляет интерес для злоумышленника, поскольку может использоваться не только как источник получения дохода, но и в качестве площадки для рассылки спама, проведения DOS-атак, распространения вирусов и взлома других сайтов. Поэтому как крупный интернет-магазин, так и небольшой персональный блог может стать мишенью хакера. Более того, иногда хакеры могут взломать сразу несколько сайтов «пачкой», и неважно, что эти сайты из себя представляют, просто они все были размещены на одном хостинге.

В группе риска

Некоторые площадки могут быть атакованы с большей вероятностью, если у них:

  • высокая посещаемость,
  • значительные показатели ИЦ (индекса цитирования поисковой системой «Яндекса») или PR (Page Rank — показатель цитируемости страниц сайта в Google),
  • привлекательная аудитория;
  • СМS c известными уязвимостями.

Индекс цитирования и Page Rank важны для поискового продвижения. Хакеры часто пользуются недобросовестными методами продвижения с помощью чужих сайтов (паразитируют). И те сайты, у которых показатели ИЦ и PR выше, более интересны хакерам, потому что через них продвигать сайты удобнее и эффективнее.

Также объектом для взлома может стать сайт, реализованный на CMS с известными уязвимостями. Wordpress, Joomla, dle, modx — есть много систем управления сайтами, в которых найдено большое число «дыр»: существуют большое число открытых баз данных, где описаны все обнаруженные уязвимости. Чем больше у CMS известных уязвимостей, тем выше вероятность взлома.

Сафонов Лука, технический директор компании PentestIT — команды профессионалов в области практической информационной безопасности:

«Зачем взламывают сайты? Основных причин две: хулиганство и извлечение выгоды. Причем атаке может подвергнуться как блог обычного человека, так и крупный портал организации или государственного ведомства. Если первую категорию — назовем их простые сайты — ломают просто потому, что могут, то взлому вторых предшествует более серьезная подготовка и большее количество времени.

К хулиганским взломам относятся разного рода дефейсы (замена страниц сайта или их содержимого на другие, обычно с лозунгами или ругательствами, иногда с шутками). Дефейсы обычно оперативно фиксируются владельцем сайта. В последнее время такого рода атаки чаще всего проводятся в связи с какими-то политическими событиями, либо связаны с хактивизмом (движение Anonymous).

Финансовая выгода от взломанного сайта может быть разнообразной: размещение нелегитимной ссылки на другой сайт (черная поисковая оптимизация), похищение баз данных пользователей или клиентов, размещение вредоносного кода для заражения пользователей ресурса, формирование ботнета или вымогательства, нарушение бизнес-процессов и т. д. Сценарий взлома при этом один и тот же: поиск уязвимостей (или сайтов под конкретную уязвимость), обход механизмов авторизации, реализация атаки, монетизация».

Распостраненные заблуждения

Как правило, проблемы с защитой решаются уже по факту взлома, когда доступ к сайту заблокирован антивирусом или хостингом. Почему мало кто относится к информационной безопасности серьезно? Общаясь с владельцами коммерческих ресурсов, мы выяснили, что существуют типичные заблуждения, которые мешают осознать важность безопасности и защиты сайтов.

1. Кому я нужен

Владелец сайта полагает, что атаки могут быть только целевые и только по заказу. Если нет коварных конкурентов или интернет-бизнес еще не достаточно развит, то беспокоиться о взломе сайта не стоит.

На самом деле: большинство сайтов взламывается по определенным выборкам из поисковых систем, каталогов, рейтингов. Поэтому любой сайт может «попасть под раздачу», и к этому нужно готовиться заранее.

Как гласит закон Мёрфи, если какая-то неприятность может случиться, она обязательно произойдет. Не стоит надеяться на собственное везение, особенно если у вас коммерческий сервис или интернет-магазин. Потери от взлома сайта обычно в разы больше, чем затраты на превентивную защиту от взлома и регулярный мониторинг.

2. Защита сайта — забота хостера

На самом деле: основная задача хостинг-компании — предоставление площадки для размещения сайтов и ее техническое сопровождение. Конечно, время от времени хостер может проводить профилактические проверки сайтов, размещенных на площадке, на наличие вредоносного кода, но защитой от взлома он не занимается. Поэтому в данном вопросе следует полагаться только на себя. Кстати, при взломе хостер также в большинстве случаев не будет заниматься лечением сайта и защитой от взлома. В случае обнаружения спам-рассылки, вирусов или хакерских скриптов хостер просто блокирует сайт или возможность отправки почты.

3. У меня СMS от серьезной компании

На самом деле: как показывает практика, хакеры могут получить несанкционированный доступ в административную панель или к файлам даже самой безопасной СМS. Это можно сделать через сайты на том же сервере, через уязвимости в панели управления хостингом, перехватив ftp-аккаунт менеджера сайта и т. д. Поэтому защита CMS не гарантирует полную безопасность сайта.

4. Прибыль важнее. Лучше я инвестирую в SEO

Владелец сайта полагает, что защита сайта — дело затратное и не очень важное: расходы есть, а польза совсем не заметна. То ли дело SEO или реклама, которые отрабатывают вложенные деньги.

На самом деле: если сравнить затраты на восстановление сайта после взлома и учесть его последствия в виде потери эффекта от продвижения и рекламы, а также существенного снижения посещаемости, то затраты на установку защиты выглядят очень незначительными.

5. Мой программист справится

На самом деле: чтобы защитить сайты от взлома нужно думать как хакер, знать, как этот взлом осуществляется и как ему грамотно противодействовать. Недостаточно быть просто технически подкованным, уметь программировать и работать с CMS, чтобы защитить сайт от взлома. Решение вопросов безопасности и защиты следует доверить специалистам, которые имеют не только теоретические знания, но и практический опыт именно в области информационной безопасности и защиты сайтов.

Как повысить безопасность сайта

1. Выполните диагностику сайта для оценки уровня защищенности.

Вопросы для контроля: уязвим ли мой сайт ко взлому, есть ли на сайте хакерские скрипты, вредоносный код?


2. Проведите ряд упреждающих мер по защите сайта от взлома.

Вопросы для контроля: Как защищен мой сайт от взлома? Выработана ли политика безопасности при работе с сайтом? Все ли администраторы и менеджеры сайта осведомлены о технике безопасности при работе с сайтом?


3. Организуйте регулярный мониторинг сайта для оперативного обнаружения проблем.

Вопросы для контроля: Как выполняется мониторинг? Что проверяется? Как быстро будет обнаружен взлом?


4. Составьте план реагирования на инциденты.

Вопросы для контроля: Кто за что отвечает на сайте? Кто и что должен делать, если сайт взломают?


Источник картинки на тизере: Lera Blog

Телеграм Коссы — здесь самый быстрый диджитал и самые честные обсуждения: @cossaru

📬 Письма Коссы — рассылка о маркетинге и бизнесе в интернете. Раз в неделю, без инфошума: cossa.pulse.is

Большинство владельцев сайтов из области малого и среднего бизнеса действительно наплевательски относится к их безопасности. Их даже хакать особо не нужно - пароли к админкам устанавливаются самые простые, доступ к FTP может получить любой из сотрудников компании и, естественно, любой вирус на их компьютере. Из нескольких десятков сайтов, приходящих к нам на аудит, попадаются 1-2 сайта с редиректами, вирусами, дорвеями или платными ссылками. Естественно, все это попадает на сайты без ведома их владельцев и иногда годами там живет.

Есть и другая проблема - неквалифицированные или недобросовестные разработчики. Компания заказывает сайт "подешевле", он собирается на бесплатной или взломанной CMS, в которую кто-то уже заботливо добавил закладки типа PHP Shell. За последние 10 дней на двух сайтах, с которыми начали работу в последнее время, нашли такие закладки - и то только потому, что были определенные подозрения и знали, где искать. Думаю о том, чтобы сделать такие тесты обязательными как в рамках приемки проекта, так и в процессе работы, в конечном итоге только сэкономим время и деньги.
В настоящий момент у веб-студий, разрабатывающих сайт, вообще пропущен этап, связанный с обеспечением информационной безопасности сайта и его защиты от взлома. Считается, что по-умолчанию сайт безопасен и защищен, но как показывает наша практика, любая cms "из коробки" уязвима, поэтому в жизненный цикл разработки сайта необходимо ввести еще один этап, на котором производится аудит безопасности и устанавливается защита от взлома.

К сожалению, ни веб-студия, ни владелец сайта своими силами не смогут грамотно выполнить данную процедуру. Им необходимо обратиться к специалистам по инфобезопасности сайтов. Те, кто это понял, получают защищенные сайты, которые работают стабильно и бесперебойно. Остальные рано или поздно страдают от взломов и компрометации данных.

✉️✨
Письма Коссы — лаконичная рассылка для тех, кто ценит своё время: cossa.pulse.is


Вход на cossa.ru

Уже есть аккаунт?
Авторизуйся через VK:
Vkontakte
Не забудьте написать email на странице своего профиля для управления рассылкой