Объективные данные от Google говорят о том, что количество взломов сайтов в интернете увеличилось на 32% в 2016 году по сравнению с предыдущим годом, а предсказания говорят о росте этого показателя в будущем. Видится, что с увеличением количества и качества средств защиты, угрозы сайтам могли бы быть меньше, однако, статистика исходна и хакеры успешно совершенствуют свое мастерство. В этом обзоре мы продолжим обсуждение темы, затронутой в Google статистике, и расскажем о различных аспектах, связанных с безопасностью сайтов.

Чаще всего злоумышленники направляют свои усилия на сайты банков, мобильных операторов, известные медиапорталы и правительственные учреждения, так как взлом таких сайтов может принести громадные доходы и дать доступ к ценной информации. Однако даже те сайты, которые не привлекают такое внимание, не имеют гарантий, что они не станут жертвами различных видов уязвимостей. Практика показывает, что взлом данных сайтов – это лишь вопрос времени. Небольшие сайты могут быть использованы злоумышленниками как плацдарм для тренировок на пути к взлому больших сайтов, либо для проведения массовых атак, когда взламывается множество сайтов, выбранных на определенном критерии. Кроме того, существует мнение, что каждый третий сайт оказывается под наблюдением посторонних людей, которые изучают его уязвимости и могут совершить взлом в любой момент.

Если вы являетесь владельцем сайта, не следует заблуждаться и чувствовать себя в безопасности. Главная задача владельца заключается в максимальной защите сайта от всех возможных угроз, чтобы не потерять важную информацию и свои финансы. Какие же меры можно предпринять для защиты своего сайта? Существуют специальные протоколы безопасного соединения, сертификаты безопасности и различные инструменты для обнаружения уязвимостей сайтов. В этом обзоре мы рассмотрим подробнее эти и другие важные вопросы, связанные с безопасностью веб-сайтов.

Существуют различные типы уязвимостей, через которые могут происходить взломы сайтов и программ. Недостатки в коде сайта или программном обеспечении, которые называются уязвимостями, могут вестись вызванными ошибками программирования, ненадежными паролями или недостатками при проектировании сайта. Уязвимости позволяют злоумышленникам совершать действия, на которые у них нет прав, и таким образом нарушать работу системы.

Существует несколько основных типов уязвимостей сайта:

1. Недостаточная защита системы аутентификации и управления сессией, что может привести к несанкционированному доступу.
2. Использование небезопасных прямых ссылок на объекты, что также может привести к несанкционированному доступу к информации.
3. Небезопасная конфигурация, также является небезопасным моментом, который может привести к утечке конфиденциальной информации.
4. Утечка чувствительных данных, что может привести к серьезным последствиям для пользователей и компаний.
5. Отсутствие контроля доступа к функциональному уровню, что может привести к использованию сайтом или приложением запрещенной функциональности.
6. Использование устаревших компонентов, которые могут содержать уязвимости, которые хакеры могут использовать.
7. Невалидированные редиректы (несанкционированные перенаправления), которые могут приводить к утечке конфиденциальной информации.
8. Кликджекинг (использование невидимых элементов) является также опасным типом уязвимости, которая может привести к несанкционированным действиям на сайте.

Поэтому, чтобы обезопасить сайт или программное обеспечение, необходимо уделять особое внимание вышеуказанным уязвимостям и предпринимать меры для их предотвращения.

Протокол передачи данных HTTP не обеспечивает достаточной защиты данных и оставляет их подверженными угрозам хакеров. В целях гарантированной безопасности информации был разработан протокол HTTPS, использующий криптографическую систему SSL/TLS для шифрования всех передаваемых данных и защиты соединения через незащищенный канал.

Соединение по протоколу HTTPS устанавливается путем генерации общего секретного ключа между компьютером пользователя и сервером, после чего данные шифруются с использованием этого ключа. Новый ключ создается каждый раз при установке соединения, поэтому его перехват или подбор практически невозможен, так как он содержит более 100 знаков. Также для обеспечения безопасности соединения используется цифровой сертификат для проверки подлинности сервера. Браузер перед началом обмена данными автоматически проверяет подлинность сертификата и только после его подтверждения начинает передачу информации.

Перевод сайта на протокол HTTPS может показаться сложным, но в действительности, процесс перехода состоит всего из нескольких шагов.

Шаг 1: Получение и настройка сертификата

Для получения сертификата можно обратиться в центры сертификации за отдельную плату или воспользоваться бесплатным вариантом. Однако, крупные компании обычно отдают предпочтение платным сертификатам, так как они обладают расширенной аутентификацией и возможностью включения субдоменов. Помимо этого, бесплатные сертификаты могут увеличить время передачи данных из-за особенностей обслуживания удостоверяющими центрами. Кроме того, для сайтов с приемом онлайн-платежей необходимо выбирать платный сертификат. Сертификат необходимо настроить для переадресации всех запросов с HTTP на HTTPS.

Шаг 2: Работа с внутренними ссылками

Полные ссылки на сайте следует заменить на относительные, используя скрипты. Иначе может возникнуть ситуация с загрузкой смешанного контента, что не обеспечивает полноценной защиты и может привести даже к тому, что сайт совсем перестанет работать.

Шаг 3: Переадресация

После установки сертификатов сайт становится доступным по двум адресам, и необходимо оставить только тот, который начинается с HTTPS. Для этого нужно настроить прямой редирект "301" с HTTP на HTTPS. Делается это на сервере, но можно воспользоваться и файлом htaсcess.

Шаг 4: Внесение изменений в файл robots.txt

Чтобы поисковые роботы могли обнаружить сайт с измененным протоколом, необходимо указать этот протокол в файле robots.txt.

Шаг 5: Включение HTTPS Strict-Transport-Security

Этот процесс индивидуален для каждого сервера, и не существует универсальных рекомендаций. Для облегчения задачи можно обратиться к специалистам, которые разрабатывали сайт. Для надежной защиты данных на ресурсе необходимо включить Secure Cookies.

Когда дело доходит до выбора сертификата для защиты сайта, вам придется сделать выбор между двумя типами сертификатов. Если вы владеете небольшим офлайн-бизнесом или личным блогом и хотите просто донести информацию о своей компании до потенциальных клиентов, то вам подойдет Domain Validation SSL. Данный вид проверки не позволяет использовать сертификат для защиты субдоменов или для финансовых операций через сайт. Однако, такие сертификаты выдаются быстро, и после подтверждения владения доменом, вы можете начать их использование сразу же. Вы можете подтвердить владение доменом несколькими способами, включая отправку подтверждающего e-mail, запись в DNS или использование хэш-файла. Такой сертификат оценен относительно низко по цене, примерно 610 рублей в год.

Если же вы собираетесь вести финансовые онлайн-операции через свой сайт, вам необходимо установить сертификат Business Validation. Данный вид сертификата более надежный, так как помимо подтверждения владения доменом, он связывает компанию с сайтом. Для прохождения проверки подтверждения, вы должны отправить пакет документов в центр верификации и принять звонок на корпоративный номер. Все сертификаты Business Validation разделены на следующие виды:

• Extended Validation SSL – используется банками, платежными системами, крупными интернет-магазинами и другими организациями, работающими с большими объемами денежных средств.
• Wildcard SSL – защищает сам сайт и его поддомены. Используется, когда на сайте предполагается несколько поддоменов с разной региональной привязкой.
• SAN SSL – поддерживает внешние и внутренние альтернативные доменные имена.
• CodeSigning SSL – подтверждает безопасность кодов и программных продуктов с сайта, идеальный выбор для разработчиков приложений.

Независимо от выбранного сертификата, в первую очередь необходимо сгенерировать запрос на получение, в котором будет содержаться вся информация о владельце домена и открытый ключ. После того, как запрос будет направлен в центр верификации, вы получите сертификат и файл с ключом. Важно сохранять этот файл в секрете. Стоимость таких сертификатов может быть довольно высокой, например, Symantec Secure Site Wildcard стоит примерно 281 967 рублей в год.

Не стоит экономить на обеспечении безопасности данных сайта. Гораздо проще потратить время и ресурсы на обеспечение безопасности, чем бороться с негативной репутацией после взлома сайта. Если ваш сайт связан с онлайн-торговлей, обеспечение его защиты должно быть вашим первостепенным приоритетом.

Это не полный список известных уязвимостей, а новые появляются все чаще и чаще. Сегодня мы остановимся только на одном типе уязвимости — небезопасной передаче данных и рассмотрим ключевые виды атак, связанных с ней. За последнее время, около 73% взломов сайтов, например, в мобильных банковских системах, были связаны с этой уязвимостью.

В интернете каждое действие является обменом данными. Когда пользователь заходит на сайт или отправляет сообщение в социальной сети, компьютер отправляет запрос серверу и получает ответ. Обычно, этот обмен осуществляется по протоколу HTTP. Протокол устанавливает правила обмена данными, и благодаря ему содержание сайта загружается на устройство.

Однако, хотя протокол HTTP очень удобен в использовании, данные, которые по нему передаются, абсолютно не защищены. Эти данные передаются в открытом виде. На пути от пользователя до сервера информация многократно проходит через различные промежуточные узлы. Если злоумышленник получит доступ к хотя бы одному из этих узлов, он сможет легко перехватить передаваемые данные. В корне уязвимости лежит небезопасность передачи данных и риски, связанные с этим важным моментом.

Ниже приведены некоторые из видов атак, вызванных небезопасной передачей данных:

Кража паролей — это одна из наиболее часто встречающихся проблем в интернете. Как правило, хакеры проникают на сайт, используя украденный пароль к аккаунту или административной части сайта. При этом мошенники могут использовать различные способы, такие как вирусы или просто угадывание простого пароля.

Несмотря на то, что риски хакерской атаки весьма реальны, некоторые владельцы сайтов по-прежнему используют уязвимые каналы аутентификации. В результате этого различные мошенники могут легко перехватывать пароли, используя доступ к неопытным пользователям.

По статистике, ежегодно 15% пользователей становятся жертвами кражи своих персональных данных или мошенничества с кредитными картами. Кража паролей дает злоумышленникам доступ к сайту и позволяет производить различные виды мошенничества. Например, с сайта можно начать рассылку спама. Однако это еще не все. Существует вероятность взлома сторонних сайтов, при помощи украденных паролей, и таким образом злоумышленникам удается получить доступ к конфиденциальным данным клиентов. Например, злоумышленники могут свободно снимать деньги с банковских карт.

Однако крупные компании, такие как банки постоянно работают над защитой паролей. В то время как мелкие интернет-магазины, форумы и торрент-трекеры, часто игнорируют этот вопрос. Хакеры хорошо знакомы с этим фактом, именно поэтому они чаще всего атакуют именно эти сайты.

В 2014 году известность приобрела хакерская группировка из России под названием CyberVor. Эта группировка украла около 4,5 миллиардов учетных записей, используя украденные логины и пароли с 420 000 веб-сайтов разного размера. Хакеры успешно взломали множество ресурсов крупных компаний и личных сайтов, что привело к тому, что злоумышленникам удалось получить самую большую базу учетных данных.

В последнее время все чаще взломы сайтов происходят из-за ошибок хостинг-провайдеров. Это обусловлено тремя причинами.

Во-первых, причиной может быть устаревшее программное обеспечение, установленное на сервере. Это становится проблемой, так как взломщикам проще взломать сайт, работающий на устаревшей системе, чем на самой новой.

Во-вторых, взлом происходит через соседние аккаунты. В большинстве случаев сайты размещаются не на отдельных серверах, а на общих. Рядом с вашим сайтом может работать другой сайт, который не защищен. Как только он взломан, мошенник легко обращается к другим аккаунтам на сервере.

В-третьих, взлом может произойти из-за экономии на выборе хостинг-провайдера. Например, вы можете остановить свой выбор на услугах знакомого вам программиста, который будет отвечать за сервер. Но если он не компетентен в вопросах безопасности, сервер может быть взломан через уязвимые компоненты и настройки.

Недавно, в начале года, хакерская группировка взломала серверы Freedom Hosting II, специализирующегося на подпольном хостинге. В результате было скомпрометировано более 10 000 сайтов сети Tor, а также была похищена база данных, содержащая адреса электронной почты 381 000 пользователей.

Взлом CMS: Уязвимости популярных систем

Для управления контентом, структурой и дизайном сайта, многие люди используют системы управления сайтом, такие как Content Management System (CMS). Такие системы делают программирование, дизайн и поддержку сайта доступными даже для тех, кто имеет очень смутное представление о программировании и веб-архитектуре.

Однако, как и все виды ПО, CMS содержат уязвимости, которые могут быть использованы хакерами для взлома. Угроза особенно актуальна для популярных систем, поскольку их взлом дает возможность взломать сразу десятки тысяч сайтов по всему миру.

По данным компании Sucuri, занимающейся веб-безопасностью, в третьем квартале 2016 года самыми уязвимыми CMS были WordPress (74%), Joomla (17%) и Magento (6%). Большинство атак произошло из-за невнимания администраторами к установке обновлений безопасности.

Хакеры, используя эти уязвимости системы, могут размещать на сайте вредоносный код, заражающий компьютеры посетителей, публиковать контент сомнительного содержания или перенаправлять пользователя на другие сайты с таким контентом. Это может привести к существенному ущербу для репутации сайта и уменьшению количества посетителей.

Как защититься от взлома сайта через модули и компоненты вне CMS?

Нельзя отрицать, что взлом сайта, работающего на CMS, в «чистом виде» – очень сложная задача даже для самых опытных хакеров. Однако, опасность для сайта может представляться компонентами, модулями и плагинами, которые создаются сторонними разработчиками. Например, установка компонента комментариев с «дырой» в системе безопасности может позволить хакерам залить на сайт специальный скрипт и выполнить взлом.

Чтобы избежать подобных угроз вашему сайту, следует в первую очередь проверить все установленные модули и компоненты. Если вы заметите, что какой-то плагин или модуль устарел и не получает нужные обновления, лучше всего удалить его. Также стоит регулярно обновлять все компоненты, которые находятся на сайте, и осуществлять поиск и устранение всех выявленных уязвимостей в системе.

Помимо этого, для большей защиты рекомендуется использовать систему мониторинга, которая способна обнаружить любого хакера, пытающегося быстро войти в систему и выполнить взлом. Не забывайте также о правильной настройке системы безопасности на уровне сервера — это поможет предотвратить взломы в самом начале.

Уязвимость, известная как SQL-инъекция, возникает в результате некорректной обработки данных, переданных пользователем. Злоумышленники используют эту уязвимость для внедрения вредоносного кода в запрос к базе данных и модификации, а порой и выполнения запросов, которые программой не предусмотрены. Это может привести к получению злоумышленником доступа к защищенным данным, к которым в обычных условиях он не имел бы доступа.

Использование SQL-инъекций позволяет злоумышленникам красть, уничтожать или подменять данные, а также провоцировать сбои в работе системы (DDoS). Известно, что взломы некоторых известных сайтов, таких как Yahoo, LinkedIn и eHarmony, могли быть осуществлены именно с помощью SQL-инъекций.

Отчет компании Akamai Technologies, Inc. за 1 квартал 2016 года указывает на существенный рост нападений, связанных с SQL-инъекциями - на 87% по сравнению с предыдущим периодом.

Основные цели атак злоумышленников - это сайты с медиа и развлекательным контентом (около 60%), онлайн-сервисы (30%) и правительственные сайты (10%).

Существует целый ряд методов защиты от SQL-инъекций, включая использование лицензионного ПО, регулярное обновление CMS, отказ от простых паролей и небезопасных браузеров, а также установку межсетевого экрана. Протокол https также считается эффективным средством защиты. О его преимуществах и особенностях мы расскажем далее.

HTTPS - это дополнение к протоколу HTTP, которое обеспечивает надежное шифрование передаваемой информации между пользователем и сервером. Такая защита предотвращает возможные утечки данных и делает веб-сайт надежным в глазах пользователей.

Эксперты утверждают, что использование протокола HTTPS является необходимым для защиты конфиденциальной информации и предотвращения возможных кибератак. Браузеры Google Chrome и Mozilla Firefox даже предупреждают пользователей о том, что сайт, на котором они находятся, не является защищенным, если он использует обычный протокол HTTP вместо HTTPS.

Таким образом, для того чтобы обеспечить безопасность веб-сайта, необходимо использовать протокол HTTPS для защиты информации и предотвращения возможных утечек данных.

Переход на https – необходимость или рекомендация?

Все сайты не обязаны переходить на https. Однако, если веб-ресурс работает с конфиденциальными данными клиентов, то использование защищенного протокола является обязательным. В остальных случаях решение о переходе на https принимает владелец сайта. Хотя утечка информации, которая может произойти в результате взлома, способна навредить любому веб-ресурсу: от рассылки спама до переходов на незащищенные сайты.

Кроме того, использование протокола https является большим плюсом для сайтов в глазах клиентов и пользователей. Они доверяют компании больше, когда соединение обеспечивает безопасность данных. Более того, сайты с защищенным соединением получают более высокую ранжировку в поисковых системах.

Фото: freepik.com