Зачем хакерам ваш интернет-магазин? 5 заблуждений владельцев коммерческих сайтов
Григорий Земсков, специалист по информационной безопасности, директор компании «Ревизиум», рассказал Cossa.ru о том, почему хакеры с одинаковым успехом взламывают как успешные сайты, так и маленькие интернет-блоги, у которых практически нет читателей, а также о том, как избежать этой участи.
Ежедневно хакеры получают несанкционированный доступ к тысячам интернет-ресурсов, среди которых есть как крупные корпоративные порталы, так и небольшие авторские блоги. Примеры последних приводить неэтично — не хочется подвергать их владельцев очередному риску, однако, если вас эта тема заинтересовала, можно просто вбить в любом поисковике запрос «мой блог взломали», историй найдется масса.
По данным компании Sophos, за день в мире взламывают свыше 30 000 сайтов, большая часть которых принадлежит к сфере электронной коммерции — в частности, это, например, интернет-магазины. Большинство интернет-предпринимателей считают, что их сайты взламывают по двум причинам: либо по заказу конкурентов, либо с подачи недоброжелателей (действительно, иногда на форумах люди просят ради интереса или ради мести — например, не смогли пройти онлайн-игру или вещь не доставили вовремя — взломать чей-то сайт, а хакеры ради спортивного интереса или за деньги делают это. В данном случае заказчик услуги не является конкурентом владельца сайта, но по каким-то соображениям пытается уничтожить сайт, портал или интернет-магазин).
5 крупных взломов больших компаний
Forbes
Дата взлома: февраль 2014.
Что случилось: из-за атаки на сайт утекла информация о миллионе аккаунтов. Нападение совершила Сирийская электронной армия, решив отомстить изданию за материалы о Сирии. В результате атаки пострадали пользовательский данные, а на сайте были опубликованы фейковые новости.
Раскрытая информация: email-адреса, пароли, юзернеймы, адреса сайтов пользователей.
Snapchat
Дата взлома: январь 2014.
Что случилось: взлом был «понарошку»: хакеры решили привлечь внимание разработчиков к уязвимостям системы и выложили данные пользователей на сайте snapchatDB.info — в целом около пяти миллионов телефонных номеров.
Раскрытая информация: телефонные номера, юзернеймы.
Adobe
Дата взлома: октябрь 2013.
Что случилось: было взломано более 153 миллионов аккаунтов, в которых хранилась информация об ID, юзернеймы, email-адреса, зашифрованные пароли и подсказки для паролей в виде обычного текста.
Раскрытая информация: email-адреса, подсказки для паролей, пароли, юзернеймы.
Sony
Дата взлома: 2011 год.
Что случилось: за 2011 год Sony подверглась целой серии хакерских атак, пострадали пользователи многих продуктов, от сети PlayStation до сайта Sony Pictures.
Раскрытая информация: адреса, даты рождения, email-адреса, пол, имена, пароли, телефонные номера, юзернеймы.
Gawker
Дата взлома: декабрь 2010.
Что случилось: сайт был атакован хакерской командой Gnosis из-за долгой вражды между Gawker и 4Chan. Была раскрыта информация о миллионе пользователей Gawker, а также других сайтов Gawker Media, включая Gizmodo и Lifehacker. Из-за того, что многие пользователи используют один и тот же пароль для разных сайтов, многие потом жаловались, что с их Twitter-аккаунтов рараспространяют спам.
Раскрытая информация: email-адреса, пароли, юзернеймы.
Если же посмотреть на реальную картину взломов, то окажется, что любой сайт может быть скомпрометирован, независимо от того, насколько он известен, сколько на него приходит посетителей в сутки или какова его тематика. Любая страница представляет интерес для злоумышленника, поскольку может использоваться не только как источник получения дохода, но и в качестве площадки для рассылки спама, проведения DOS-атак, распространения вирусов и взлома других сайтов. Поэтому как крупный интернет-магазин, так и небольшой персональный блог может стать мишенью хакера. Более того, иногда хакеры могут взломать сразу несколько сайтов «пачкой», и неважно, что эти сайты из себя представляют, просто они все были размещены на одном хостинге.
В группе риска
Некоторые площадки могут быть атакованы с большей вероятностью, если у них:
- высокая посещаемость,
- значительные показатели ИЦ (индекса цитирования поисковой системой «Яндекса») или PR (Page Rank — показатель цитируемости страниц сайта в Google),
- привлекательная аудитория;
- СМS c известными уязвимостями.
Индекс цитирования и Page Rank важны для поискового продвижения. Хакеры часто пользуются недобросовестными методами продвижения с помощью чужих сайтов (паразитируют). И те сайты, у которых показатели ИЦ и PR выше, более интересны хакерам, потому что через них продвигать сайты удобнее и эффективнее.
Также объектом для взлома может стать сайт, реализованный на CMS с известными уязвимостями. Wordpress, Joomla, dle, modx — есть много систем управления сайтами, в которых найдено большое число «дыр»: существуют большое число открытых баз данных, где описаны все обнаруженные уязвимости. Чем больше у CMS известных уязвимостей, тем выше вероятность взлома.
Сафонов Лука, технический директор компании PentestIT — команды профессионалов в области практической информационной безопасности:
«Зачем взламывают сайты? Основных причин две: хулиганство и извлечение выгоды. Причем атаке может подвергнуться как блог обычного человека, так и крупный портал организации или государственного ведомства. Если первую категорию — назовем их простые сайты — ломают просто потому, что могут, то взлому вторых предшествует более серьезная подготовка и большее количество времени.
К хулиганским взломам относятся разного рода дефейсы (замена страниц сайта или их содержимого на другие, обычно с лозунгами или ругательствами, иногда с шутками). Дефейсы обычно оперативно фиксируются владельцем сайта. В последнее время такого рода атаки чаще всего проводятся в связи с какими-то политическими событиями, либо связаны с хактивизмом (движение Anonymous).
Финансовая выгода от взломанного сайта может быть разнообразной: размещение нелегитимной ссылки на другой сайт (черная поисковая оптимизация), похищение баз данных пользователей или клиентов, размещение вредоносного кода для заражения пользователей ресурса, формирование ботнета или вымогательства, нарушение бизнес-процессов и т. д. Сценарий взлома при этом один и тот же: поиск уязвимостей (или сайтов под конкретную уязвимость), обход механизмов авторизации, реализация атаки, монетизация».
Распостраненные заблуждения
Как правило, проблемы с защитой решаются уже по факту взлома, когда доступ к сайту заблокирован антивирусом или хостингом. Почему мало кто относится к информационной безопасности серьезно? Общаясь с владельцами коммерческих ресурсов, мы выяснили, что существуют типичные заблуждения, которые мешают осознать важность безопасности и защиты сайтов.
1. Кому я нужен
Владелец сайта полагает, что атаки могут быть только целевые и только по заказу. Если нет коварных конкурентов или интернет-бизнес еще не достаточно развит, то беспокоиться о взломе сайта не стоит.
На самом деле: большинство сайтов взламывается по определенным выборкам из поисковых систем, каталогов, рейтингов. Поэтому любой сайт может «попасть под раздачу», и к этому нужно готовиться заранее.
Как гласит закон Мёрфи, если какая-то неприятность может случиться, она обязательно произойдет. Не стоит надеяться на собственное везение, особенно если у вас коммерческий сервис или интернет-магазин. Потери от взлома сайта обычно в разы больше, чем затраты на превентивную защиту от взлома и регулярный мониторинг.
2. Защита сайта — забота хостера
На самом деле: основная задача хостинг-компании — предоставление площадки для размещения сайтов и ее техническое сопровождение. Конечно, время от времени хостер может проводить профилактические проверки сайтов, размещенных на площадке, на наличие вредоносного кода, но защитой от взлома он не занимается. Поэтому в данном вопросе следует полагаться только на себя. Кстати, при взломе хостер также в большинстве случаев не будет заниматься лечением сайта и защитой от взлома. В случае обнаружения спам-рассылки, вирусов или хакерских скриптов хостер просто блокирует сайт или возможность отправки почты.
3. У меня СMS от серьезной компании
На самом деле: как показывает практика, хакеры могут получить несанкционированный доступ в административную панель или к файлам даже самой безопасной СМS. Это можно сделать через сайты на том же сервере, через уязвимости в панели управления хостингом, перехватив ftp-аккаунт менеджера сайта и т. д. Поэтому защита CMS не гарантирует полную безопасность сайта.
4. Прибыль важнее. Лучше я инвестирую в SEO
Владелец сайта полагает, что защита сайта — дело затратное и не очень важное: расходы есть, а польза совсем не заметна. То ли дело SEO или реклама, которые отрабатывают вложенные деньги.
На самом деле: если сравнить затраты на восстановление сайта после взлома и учесть его последствия в виде потери эффекта от продвижения и рекламы, а также существенного снижения посещаемости, то затраты на установку защиты выглядят очень незначительными.
5. Мой программист справится
На самом деле: чтобы защитить сайты от взлома нужно думать как хакер, знать, как этот взлом осуществляется и как ему грамотно противодействовать. Недостаточно быть просто технически подкованным, уметь программировать и работать с CMS, чтобы защитить сайт от взлома. Решение вопросов безопасности и защиты следует доверить специалистам, которые имеют не только теоретические знания, но и практический опыт именно в области информационной безопасности и защиты сайтов.
Как повысить безопасность сайта
1. Выполните диагностику сайта для оценки уровня защищенности.
Вопросы для контроля: уязвим ли мой сайт ко взлому, есть ли на сайте хакерские скрипты, вредоносный код?
2. Проведите ряд упреждающих мер по защите сайта от взлома.
Вопросы для контроля: Как защищен мой сайт от взлома? Выработана ли политика безопасности при работе с сайтом? Все ли администраторы и менеджеры сайта осведомлены о технике безопасности при работе с сайтом?
3. Организуйте регулярный мониторинг сайта для оперативного обнаружения проблем.
Вопросы для контроля: Как выполняется мониторинг? Что проверяется? Как быстро будет обнаружен взлом?
4. Составьте план реагирования на инциденты.
Вопросы для контроля: Кто за что отвечает на сайте? Кто и что должен делать, если сайт взломают?
Источник картинки на тизере: Lera Blog