Сегодня Интернет является особой средой, крайне привлекательной для мошенников и хакеров. Ведь даже, несмотря на, достижения науки и техники, порой очень сложно выявить мошенников, орудующих на просторах интернета. Для одних хакерство – это игра, для других же – средство хорошего заработка. Доступ к конфиденциальной информации, бизнес процессам, базе данных клиентов, почте, перехват электронных платежей и даже, ставшая уже привычным, рассылка спама - это всего лишь небольшой перечень целей, ради которых можно взломать Ваш сайт!!
Вот почему надежная защита сайта это не прихоть вебмастера и лишняя статья в бюджете Ваших расходов, а прямая необходимость для обеспечения бесперебойного функционирования Ваших бизнесс-процессов в Интернете. Сейчас электронные платежи распространены практически по всему миру, поэтому они часто становятся лакомым кусочком для электронных мошенников и хакеров. Как же обеспечить защиту своему веб-ресурсу, когда хакеры с каждым разом действуют все более изощренно и хитрее?
В этой статье я рассмотрю основные способы взлома сайтов и получения доступа к конфиденциальной информации.
Взлом платформы сайта (CMS).
Сегодня почти все веб-сайты пишутся на CMS – системах управления контентом. Данные системы существенно облегчают работу программиста и удешевляют стоимость продукта. Сегодня практически невозможно встретить сайт среднего или низового сегмента, не написанный на одной из популярных CMS. При этом код CMS общедоступен, и любая найденная уязвимость ставит под угрозы все сайты, выполненные при помощи данной системы. Иногда даже нет необходимости писать свой код для взлома, так как некоторые хакерские группы выпускают свои готовые эксплоиты, для определенных CMS/
Решение:
1. Устанавливайте патчи на CMS и отдельные модули сайта по мере их обновления.
2. Проверяйте настройки безопасности CMS, используемые по умолчанию. Обычно они сконфигурированы так чтобы обеспечить универсальное сочетание безопасности и возможностей.
3. Используйте лицензионные модули и CMS. Если CMS бесплатна скачивайте ее только из проверенных источников.
При использовании готовых шаблонов сайтов, также желательно покупать их у разработчика, во взломанных версиях почти всегда присутствует закладки, которые, в лучшем случае, значительно увеличат стоимость продвижения сайта, в худшем предоставляют удаленный доступ постороннему лицу к Вашим ресурсам и конфиденциальной информации.
Взлом хостинга на котором размещен сайт.
Сайт обычно, размещается в Интернете на серверах, предоставляющих услуги веб-хостинга, хостинг может быть, как платным, так и бесплатным, это, как вы понимаете, прямо влияет на качество предоставляемых Вам услуг. За этими серверами следят люди, и именно от мастерства работы этих специалистов зависит, то как долго и качественно будет существовать Ваш сайт. Компании, предоставляющие услуги веб-хостинга являются лакомыми целями для хакеров, зачем ломать один сайт, когда можно получить доступ сразу к тысяче? Поэтому в Интернете каждый день идет война, и бывают случаи, когда хакеры выигрывают одну битву, что вполне достаточно, чтобы создать серьезные проблемы для бизнеса.
Решение:
1. Выбирайте компании, предлагающие услуги хостинга очень придирчиво, читайте отзывы, ведь помимо безопасности сайта и качества обслуживания, большое значение имеет аппаратная производительность сервера, на котором будет хостится Ваш сайт и ширина канала передачи данных.
2. Регулярно делайте и сохраняйте резервные копии Вашего сайта, на своем компьютере. Хостинговые компании обычно, делают резервную копию не реже 1 раза в сутки, но в случае экстремальной ситуации, например, пожара. Сервер резервных копий может быть уничтожен вместе с сервером приложений.
3. Внимательно изучайте документацию, предоставляемую компанией, некоторые уязвимости могут быть по умолчанию открыты.
(кстати вы можете разместить сайт на собственном сервере, но эта уже другая история)
Социальный инжиниринг
Социальный инжиниринг — это самый простой способ получить доступ к административной панели сайта. Здесь не нужно знать даже азов программирования, здесь нужно знать и понимать человеческую психологию, собрать определенный объём информации о жертве и быть уверенным что у жертвы отсутствуют какие-либо документы или инструкции регламентирующие ИТ-безопасность.
Разберем один из простейших способов: злоумышленник звонит клиенту и представится специалистом обслуживающей компании (например, той, которая занимается продвижением), сослаться на неразбериху в офисе и запросить логин пароль от сайта и хостинга, предварительно дав «правильный» почтовый адрес. Почтовый адрес при этом создается через серию анонимных прокси серверов и отследить его невозможно. Звонок можно также сделать анонимно.
Обезопасить себя от подобных атак сложно, так как жертвы, до последнего, не предполагают, что их использовали. Злоумышленники, нередко долго изучают свою потенциальную жертву, эксплуатируют слабые стороны человека: лень, любопытство, доверчивость и даже энтузиазм специалистов компании. Злоумышленники, прибегающие к методам социальной инженерии, преследуют, в целом, те же цели, что и хакеры: им нужны финансовые средства, коммерческая информация или ИТ-ресурсы (вычислительные мощности) компании-жертвы.
Решение:
1. Разработать документацию определяющую, что относится к конфиденциальным данным компании, регламентировать порядок работы с конфиденциальными данными и установить порядок передачи подобных данных третьим лицам.
2. Обеспечить ознакомление сотрудников с этой документацией, хотя бы раз в год.
3. Ознакомить сотрудников с наиболее распространёнными методами социальной инженерии, применяемыми злоумышленниками.
Взлом пароля администратора или суперюзера.
Обеспечение сохранности пароля администратора системы и пароля от хостинга, это одна из важнейших задач как для разработчика сайта, так и для его Заказчика, кража этих данных позволит злоумышленнику сделать с вашим сайтов вообще все, что ему будет угодно, без внедрения каких-либо скриптов.
1. Компьютер, откуда вы подключаетесь к сайту с правами администратора – существует огромное количество способов, как увести пароль с Вашего компьютера: кейлоггеры, скрипты, вирусы, трояны каждый из методов по-своему уникален, но способы защиты примерно одинаковы, это наличие здравого смысла в голове и антивирусной защиты
Решение:
1. Не скачивайте неизвестный контент с Интернета.
2. Используйте лицензионный антивирус, с максимально свежими базами. Проводите систематические проверки на вирусы.
3. Избегайте следования по малоизвестным и сомнительным ссылкам (можно нарваться на фишинговую атаку).
4. Не допускайте за свой компьютер посторонних лиц.
5. Не осуществляйте администрирование сайта из мест общего пользования.
6. Не записывайте пароли в обычные текстовые файлы, для последующего хранения на компьютере, не разрешайте браузерам и другим программам сохранять пароли.
2. Административная панель сайта в Интернете – обычно административные панели сайтов, сделанных на CMS расположены в стандартных местах, о которых знают даже школьники, так что найти место где вводится логин и пароль для входа в сайт не сложно. Но как туда попасть? На помощь хакерам приходят специальные программы перебирающие пароли – bruteforce, которые грубой силой последовательно перебирают символы для получения пароля к сайту, либо берут из специализированной базы наиболее распространенных паролей. Конечно, у вас может быть длинный и сложный пароль, состоящий из множества цифр, букв в разном регистре и специальных символов, но если в пароле Вы указываете своё имя, имя своей собачки или дату рождения ребенка, то для хакеров это будет просто подарком. Это касается и паролей от FTP, пользователей баз данных и учетных записей на сайте.
Решение:
1. Сайт должен иметь скрипты, ограничивающие перебор паролей и уведомляющие администратора о таких попытках.
2. Вы должны использовать сложные, устойчивые к перебору пароли.
3. Периодически меняйте пароли.
4. Блокировка стандартной учетной записи администратора, при использовании CMS в качестве платформы сайта.
5. Перенос административной панели сайта из места стандартного расположения.
3. Человеческий фактор – Во время работы со своим сайтом Заказчику так или иначе приходится предавать логин и пароль (или создавать дополнительные учетные записи) третьим лицам. Сотрудники компании Заказчика, сотрудники обслуживающей сайт компании все эти люди знают логин и пароль. И они могут записать и сохранить его на рабочем столе, в файле «пароль от сайта», а могут сделать стикер и прилепить его к монитору на всеобщее обозрение. Безусловно шанс того что пароль уйдет к лицам, которые не должны его знать значительно возрастает. Про инсайд вообще нет смысла говорить, это серьезная проблема всех крупных организаций.
Решение:
1. Не допускайте к управлению сайтом не слишком надежных людей, которые могут навредить Вам ссылаясь на взлом сайта.
2. При увольнении сотрудника, смены обслуживающей компании всегда меняйте пароли и логины.
4. Фишинг - один из наиболее распространенных способов интернет-мошенничества рассчитанный на общую невнимательность пользователя. Механизм работы такой: вы получаете письмо на электронную почту письмо, замаскированное под одного из Ваших коллег, разработчика сайта, хостинговую компанию, с текстом, побуждающим Ваш Зайти на сайт (Вася, сайт не работает, срочно зайди админку!!!, например), при этом к письму любезно прилагается ссылка, которая по утверждению автора письма ведет в административную панель сайта. Вы спокойно переходите по ссылке вводите логин пароль. В зависимости от сложности скрипта, который будет использован хакером, после ввода логина и пароля страница просто закроется, либо произойдет переход на настоящий сайт, а в руках злоумышленника окажется логин и пароль который вы ему любезно предоставили. Как же это сработало? Дело в том, что попав на страницу для ввода логина и пароля Вы на самом деле попадаете на поддельный сайт, состоящий из одной страницы, которая визуально полностью идентична странице Вашего сайта. Неопытный человек не заметит никаких отличий от настоящего сайта и введет логин пароль, который сохранится в базе сайта злоумышленника. Отличие можно заметить в строке адреса сайта, но к сожалению, туда редко смотрят. Кстати фишинг это наиболее распространенный метод взлома электронной почты. Сегодня, ни одна крупная утечка конфиденциальных документов не обходится без волны фишинговых рассылок, предшествующих ей.
Решение:
1. Следите за тем куда веду ссылки из писем, не переходите если не уверены на 100%
2. Вводите логин и пароль полностью убедившись в правильности адреса в командной строке.
3. Будьте внимательны и все будет хорошо!
