Сегодня в рубрике «Экспертное мнение» руководитель компании «Ревизиум» Григорий Земсков рассказывает о причинах, которые владельцы сайтов находят для того, чтобы серьезно не заниматься безопасностью своих проектов.
Современная интернет-среда становится все более и более небезопасной, оставляя эпоху беспечного пребывания в онлайн-пространстве в далеком прошлом. Ежедневно десятки тысяч владельцев сайтов по всему миру оказываются жертвами хакерского вторжения. При этом киберпреступники выбирают в качестве целей не только крупные и известные порталы. Вне поля зрения СМИ остаются тысячи взломанных веб-проектов малого бизнеса, небольших интернет-магазинов, блогов и корпоративных сайтов.
К сожалению, взлом сайтов для большинства его владельцев – всегда неожиданность, словно проблемы безопасности веб-ресурса до дня «икс» не существовало вовсе. Мифы и заблуждения, которыми окружают себя потенциальные жертвы, игнорируя вопросы безопасности, довольно типичны, и в данной статье хотелось бы рассказать о наиболее популярных из них.
«Мой сайт не интересен хакерам» – один из основных аргументов владельца небольшого сайта, заблаговременно не принимающего меры по защите своего ресурса. Большинство считает, что интерес для хакера представляют только крупные веб-порталы, где могут храниться «вкусные» конфиденциальные данные, или сайты с высокой посещаемостью, на трафике которых можно заработать. В реальности все обстоит не так. Извлечение прямой выгоды от взлома конкретного интернета-проекта не всегда является целью хакера. Злоумышленник может использовать взломанный ресурс для проведения атак на другие, более крупные и лучше защищенные сайты. Например, хакер может размещать на взломанном сайте вредоносные программы, заражающие компьютеры пользователей, или фишинговую страницу для хищения персональных данных. Как только владелец сайта осознает, что он может стать разменной монетой в руках хакера, средством для достижения более «серьезных» целей, отношение к безопасности кардинально меняется. Однако бывает уже поздно.
«Мой сайт работает на коммерческой CMS на надежном хостинге», следовательно «меня не взломают». Взлом сайта не всегда происходит через уязвимости в CMS или плагинах, установленных на сайте. Сайт может быть взломан с помощью ресурсов, размещенных на том же хостинге. Это возможно, если «соседи» не изолированы друг от друга, то есть, используя скрипты одного сайта, можно вносить изменения в файлы другого. Даже в случае с ресурсом, работающим на последней версии коммерческой CMS, хакеру достаточно взломать соседний незащищенный сайт (например, забытый всеми блог или тестовую площадку, находящуюся в открытом доступе) и таким образом получить доступ к веб-ресурсу, который приносит компании деньги и в продвижение которого она регулярно инвестирует. Взлом «неуязвимого» сайта может произойти по вине подрядчиков, если исполнитель игнорирует правила безопасного администрирования сайта: не проверяет рабочий компьютер с помощью коммерческих антивирусов, работает с сайтом по Wi-Fi в кафе, коворкингах, торговых центрах, используя при этом незащищенное соединение. «Неуязвимый» сайт могут взломать с помощью метода полного перебора, получив пароль от FTP, SSH или панели хостинга.
«Зачем защищать сайт, если есть бэкап?» – возразит владелец сайта. – «Ведь я в любой момент могу восстановить сайт из резервной копии». Восстанавливать сайт из бэкапа можно постоянно, но злоумышленник будет все так же взламывать и заражать его. Кроме того, не всегда есть возможность восстановить первоначальную версию сайта. Хакеры часто атакуют сайты в несколько этапов. Сначала злоумышленник может загрузить шелл, чтобы закрепиться на веб-ресурсе. Сам шелл может никак себя не проявлять и какое-то время не беспокоить владельца сайта. И только позже взломанный сайт станет инструментом для нечестного заработка (рассылки спама, распространения фишингового контента, перенаправления на веб-ресурсы для взрослых и пр.), то есть любое восстановление из резервной копии будет означать откат до версии уже взломанного сайта. Есть и более серьезная причина для беспокойства – это риск полной потери веб-проекта. Ведь если у злоумышленника есть доступ к вашему сайту, нет никакой гарантии, что он не выведет проект из строя или полностью не удалит его (а это может произойти не специально).
«Мои программисты уже что-то безопасно настроили». Прекрасно, если веб-разработчик или технический специалист, поддерживающий интернет-проект, разбирается в вопросах информационной безопасности и может обеспечить должный уровень защиты веб-ресурса – таких единицы, и владельцу сайта очень повезло. Сам по себе процесс защиты сайта техническими средствами – это комплексный процесс, включающий в себя многие процедуры, позволяющие повысить безопасность сайта как на хостинге, так и по внешнему периметру. Если, например, техподдержка ставит на сайт плагин безопасности и считает, что на этом работы по защите сайта завершены, то это далеко от реальности (кстати, иногда сайты взламывают через уязвимости именно в плагинах безопасности). Сомнительным вариантом можно назвать и установку WAF (Web Application Firewall) – «барьера», ограждающего сайт от «плохих» запросов – без использования дополнительных защитных механизмов. Кроме того, для минимизации шансов злоумышленника на успех критически важно правильно выполнять, закрывать возможность использования уязвимостей как класса, проводить мероприятия по дополнительной защите админпанели сайта, ограждая ее от брут-форс атак. Технические средства защиты эффективно работают лишь в комплексе.
«Я регулярно меняю пароли» – хорошая привычка для владельца сайта. Еще лучше, если это не пароль «12345», меняющийся на «54321», а сложная комбинация различных символов. Частая смена паролей от CMS, хостинга, FTP – безусловно необходимая организационная мера, но, кроме кражи паролей методом полного перебора, хакеры могут воспользоваться уязвимостями в движках и плагинах сайтов, зараженными «сайтами-соседями» на хостинге, инфицированными компьютерами подрядчиков, которые не соблюдают правила безопасного администрирования сайта. И только системный подход к защите сайта поможет минимизировать риски взлома и заражения. Нужно понимать, что эффективная защита сайта – это комплекс, состоящий из технических средств и организационных мер, а не мероприятия «из списка на выбор», где владелец сайта может отдавать предпочтение тому или иному средству защиты.
Таким образом, излишняя самоуверенность владельцев сайтов и нежелание видеть проблему, ограждая себя от реальности мифами и легендами на тему «почему мой сайт не взломают», – пожалуй, и является главной причиной массовых взломов и заражений сайтов по всему миру. Поэтому в условиях современного агрессивного интернета необходимо осознать, что проблема безопасности сайтов существует и для ее решения следует предпринимать соответствующие меры, в том числе обратиться к специалистам, которые выполнят грамотный аудит сайта и установят защиту.
