Хорошо ли защищён сайт?

Григорий Коган
Григорий Коган
Эта статья была опубликована в журнале «Сильные кадры» в номере 2(57) за март 2013 года. В предыдущей статье мы обсудили угрозы, с которыми сталкивается в Сети владелец домена. Но домен – это только адрес сайта, а насколько надёжен сам сайт?

Составляющие надёжного сайта

Ежедневно в Рунете регистрируются десятки взломов веб-сайтов. Целью атаки может быть кража информации (например, базы покупателей) либо просто дискредитация владельца сайта (например, размещение на входной странице сайта баннера взломщиков). Зачастую злоумышленники инициируют повышенную нагрузку на сайт (DDoS-атака), в результате чего сервер исчерпывает свои ресурсы и «зависает». Впрочем, к такому же результату может привести и просто повышенный интерес пользователей – например, после публикации обзора на популярном сайте или удачного «вирусного» видеоролика. Но даже в этом случае владелец неработающего сайта теряет прибыль, пользователей и репутацию. Как же сайту устоять и против злоумышленников, и против поклонников? Сайт представляет собой многослойную «матрёшку», и надёжность системы в целом должна обеспечиваться всеми компонентами: хостингом (сервер, на котором размещён сайт), CMS (система управления сайтом), собственно программной частью, «надстроенной» над CMS разработчиками сайта. Последняя чаще всего выступает «слабым звеном» сайта. Хотя все распространённые ошибки, позволяющие взлом сайта, давно и многократно описаны, разработчики повторяют их вновь и вновь. Читали про них, конечно, все, но вот обращают внимание обычно уже «битые» программисты (за которых, как известно, двух небитых дают). Да и заказчики сами редко делают акцент на надёжности создаваемого сайта, а уж закладывают в бюджет на разработку дорогостоящее тестирование безопасности вообще единицы. Так что стоит хотя бы убедиться, что у разработчиков есть практический опыт обеспечения безопасности сайтов (хотя кто признается, что его «ломали»?), а также провести как минимум простейшее тестирование. Разработчики крупных CMS пытаются обеспечить безопасность сайта на уровне платформы, минимизируя возможность конечного разработчика допустить ошибку. Так, например, CMS 1С-Битрикс содержит модуль проактивной защиты, выполняющий несколько задач: от аудита программного кода до проактивного фильтра, распознающего большинство угроз и блокирующего вторжения на сайт. Надёжность этого модуля тестировалась как экспертами в области информационной безопасности – компанией PositiveTechnologies, так и успешно прошла проверку на фестивале хакеров CC9. Базой, на основе которой функционирует всё программное обеспечение сайта, является хостинг. Его надёжность на словах гарантируется любым хостером, но проверяется, опять же, только на практике. К сожалению, абсолютно надёжное «железо» до сих пор остаётся утопией, так что сбои случаются у всех. Поэтому надо обратить внимание на такие критерии, как время бесперебойной работы, а также оперативную, квалифицированную и действительно клиентоориентированную службу технической поддержки, наличие круглосуточного мониторинга и резервного копирования данных. Как и с разработчиками, дополнительный сервис и опыт будут влиять на цену услуги, так что принцип «скупой платит дважды» в случае возникновения проблемы сработает неукоснительно. Кроме того, хостинг должен предоставлять достаточно ресурсов для функционирования вашего сайта при пиковых нагрузках. Но и при обычной нагрузке банальное переполнение диска на сервере может заблокировать работу сайта, а случиться это может как по мере заполнения сайта информацией, так и из-за некорректной работы программной части сайта. Так что системному администратору необходимо постоянно мониторить множество параметров, отражающих стабильную работу сайта – на уровне как хостинга, так и программной части.

Пароли: долго запоминать, легко потерять

Но даже при самом тщательном выборе поставщиков самым простым способом проникновения злоумышленников на сайт остаётся банальный человеческий фактор. Пароли «password», «qwerty», «123456» и им подобные по-прежнему нежно любимы администраторами сайтов (да и не только сайтов). Более сложные пароли, запомнить которые уже не получается, традиционно написаны на жёлтом стикере, приклеенном к монитору. Вы сейчас прошли и сорвали все стикеры с компьютеров сотрудников? А вы уверены, что вчера кто-то не пересылал пароль к корпоративному сайту по почте с личного ящика, пароль к которому «tanyusha»? Все подобные слова давно находятся в «словарях» взломщиков, по которым осуществляется подбор паролей. Для снижения рисков, возникающих из-за человеческого фактора, следует придерживаться ряда правил по правильному выбору и хранению паролей, а также регулярно их менять. В особо критических случаях можно использовать технологии одноразовых паролей. Существуют и специальные способы «подсмотреть» вводимый пользователем пароль. Для этой цели регистрируется домен, похожий по написанию на домен популярного сайта. Но, в отличие от тайпсквоттинга, который мы уже описывали в прошлой статье, этот домен не используется для «безобидных» заработков на рекламе. На нём создаётся сайт, клонирующий интерфейс и дизайн исходного, благодаря чему пользователь вводится в заблуждение и доверчиво заполняет любые формы. С помощью этого нехитрого способа можно легко завладеть не только паролем, но и номерами кредитных карточек. После введения данных на фальшивом сайте пользователь, как правило, получает сообщение об ошибке и предложение посетить сайт позже. Найти мошенников (их ещё именуют фишерами) зачастую бывает не так-то просто, поскольку при регистрации доменов они используют чужие или просто вымышленные имена и личные данные. С целью заманивания пользователей на фальшивые сайты фишеры регистрируют доменные имена, совпадающие с именами известных компаний, в которых часть букв заменена на похожие по написанию символы (например, буква «I» на цифру «1», буква «d» на две буквы «cl» и т.п.). Пользователь получает письмо, в котором его настойчиво просят посетить сайт этой известной компании, например, чтобы подтвердить активность своего аккаунта (под угрозой его блокировки). Иногда злоумышленники даже не утруждаются регистрацией фальшивого домена, а показывают просто IP-адрес или в видимом тексте письма используют адрес настоящего сайта, а в качестве ссылки – подставного. Так что стоит критически относиться к подозрительным письмам и следить за ссылками, которые мы выбираем. Есть и более технически изощрённые способы перехвата паролей, например, прослушивание с помощью специальных устройств информации, передаваемой по открытому Wi-Fi каналу. А большинство гостевых точек доступа в общественных местах используют именно такие каналы.

Защита данных в Сети

Можно, конечно, ограничить доступ только для пользователей, выходящих с IP-адреса вашего офиса. Но что делать, если характер работы не позволяет такой защиты? Тогда можно настроить сервер, чтобы доступ в закрытые части сайта, а также в любые разделы, содержащие финансовую информацию или персональные данные (например, личный раздел пользователя интернет-магазина), осуществлялся только по защищённому протоколу. Для этого используются SSL-сертификат, по сути представляющий собой уникальную цифровую подпись сайта. Он выполняет две основные функции. Во-первых, с его помощью технически организуется шифрование соединения между пользователем и сайтом, то есть гарантируется целостность и конфиденциальность информации. Во-вторых, выданный доверенным центром SSL-сертификат удостоверяет, что просматриваемая пользователем страница получена именно с указанного адреса, а сам сайт действительно принадлежит компании, на имя которой выдан сертификат. На сайте ssl.ru собрана подробная информация о том, что такое SSL-сертификат, рассказывается об особенностях существующих сегодня основных типов SSL-сертификатов, каждый из которых предназначен для решения различных задач в целях повышения безопасности и доверия пользователей к сетевым ресурсам.

UIC.offline

Андрей Воробьев, директор по связям с общественностью и взаимодействию с органами госвласти RU-CENTER В России спрос на SSL-сертификаты появился совсем недавно, но очевидна тенденция к их активному использованию в секторе электронной коммерции. Сайт компании, защищённый SSL-сертификатом, внушает клиенту больше доверия, и ваш бизнес выглядит более надежным и законным. Так, например, для интернет-магазинов наиболее актуальным является использование SSL-сертификатов для организации доступа в клиентский личный кабинет, где содержатся/вводятся персональные данные, а также в тех разделах интернет-магазина, где производится оплата товаров и также вводятся данные, для которых должна быть обеспечена конфиденциальность. Кроме того, существует технология DNSSEC, которая помогает защитить адрес веб-сайта от подмены злоумышленниками и, соответственно, перехвата важной информации. Поддержка DNSSEC прежде всего актуальна для доменов банков, интернет-магазинов, платежных систем. Большое значение имеет технология и для сайтов СМИ, так как защищает домен от незаметной подмены на стороне клиента (читателя).