Вход на сайт

Хорошо ли защищен ваш сайт?

В предыдущем номере мы обсудили угрозы, с которыми сталкивается в сети владелец домена. Но домен – это только адрес сайта, а насколько надежен сам сайт?

Составляющие надежного сайта

Ежедневно в Рунете регистрируются десятки взломов веб-сайтов. Целью атаки может быть кража информации (например, базы покупателей) либо дискредитация владельца сайта (например, размещение на входной странице сайта баннера взломщиков). Зачастую злоумышленники инициируют повышенную нагрузку на сайт (DDoS-атака), в результате чего сервер «зависает». К такому же результату может привести и просто повышенный интерес пользователей – например, после публикации обзора на популярном сайте или удачного «вирусного» видеоролика. В этом случае владелец сайта также теряет прибыль, пользователей и репутацию.

Как же сайту устоять и против злоумышленников, и против поклонников? Сайт – многослойная «матрешка», и его надежность в целом должна обеспечиваться всеми компонентами: хостингом (сервер, на котором размещен сайт), CMS (система управления сайтом), собственно программной частью, «надстроенной» над CMS разработчиками сайта.

Последняя чаще всего выступает «слабым звеном». Хотя все распространенные ошибки, позволяющие взломать сайт, многократно описаны, разработчики повторяют их вновь и вновь. Читали про них, конечно, все, но вот обращают внимание лишь «битые» программисты (за которых, как известно, двух небитых дают). Да и сами заказчики редко делают акцент на надежности создаваемого сайта, а уж закладывают в бюджет суммы на дорогостоящее тестирование безопасности вообще единицы. Так что стоит хотя бы убедиться, что у разработчиков есть практический опыт обеспечения безопасности сайтов (хотя кто признается, что его «ломали»?), а также провести как минимум простейшее тестирование.

Разработчики крупных CMS пытаются обеспечить безопасность сайта на уровне платформы, снижая возможность конечного разработчика допустить ошибку. Так, например, CMS 1С-Битрикс содержит модуль проактивной защиты, выполняющий несколько задач: от аудита программного кода до проактивного фильтра, распознающего большинство угроз и блокирующего вторжения на сайт. Надежность этого модуля успешно прошла проверку на фестивале хакеров CC9.

Базой, на основе которой функционирует все программное обеспечение сайта, является хостинг. Его надежность на словах гарантируется любым хостером, но проверяется только на практике. К сожалению, абсолютно надежного «железа» не бывает, сбои случаются у всех. Поэтому надо обратить внимание на время бесперебойной работы, оперативную, квалифицированную и действительно клиентоориентированную службу техподдержки, наличие круглосуточного мониторинга и резервного копирования данных. Как и в случае с разработчиками, дополнительный сервис и опыт будут влиять на цену услуги. Принцип «скупой платит дважды» в случае возникновения проблемы сработает неукоснительно.

Кроме того, хостинг должен предоставлять достаточно ресурсов для функционирования вашего сайта при пиковых нагрузках. Но и при обычной нагрузке банальное переполнение диска на сервере может заблокировать работу сайта. Так что системному администратору необходимо постоянно мониторить множество параметров, отражающих стабильную работу сайта – как на уровне хостинга, так и программной части.

Пароли: долго запоминать, легко потерять

Но даже при самом тщательном выборе поставщиков самым простым способом проникновения злоумышленников на сайт остается банальный человеческий фактор. Пароли «password», «qwerty», «123456» и им подобные по-прежнему нежно любимы администраторами сайтов (да и не только сайтов). Более сложные пароли, запомнить которые уже не получается, традиционно написаны на стикере, приклеенном к монитору.

Вы сейчас прошли и сорвали все стикеры с компьютеров сотрудников? А вы уверены, что вчера кто-то не пересылал пароль к корпоративному сайту по почте с личного ящика, пароль к которому «tanyusha»? Все подобные слова давно находятся в «словарях» взломщиков, по которым осуществляется подбор паролей.

Для снижения рисков следует придерживаться ряда правил по выбору и хранению паролей, а также регулярно их менять. В особо критических случаях можно использовать технологии одноразовых паролей.

А знаете ли вы, что существуют специальные способы «подсмот-реть» вводимый пользователем пароль? Для этой цели регистрируется домен, похожий по написанию на домен популярного сайта. Но в отличие от тайпсквоттинга, который мы описывали в прош-лом номере, этот домен не используется для заработков на рекламе. На нем создается сайт, клонирующий интерфейс и дизайн исходного, благодаря чему пользователь вводится в заблуждение и доверчиво заполняет разные формы. Таким способом можно легко завладеть не только паролем, но и номерами кредитных карточек. После введения данных на фальшивом сайте пользователь, как правило, получает сообщение об ошибке и предложение посетить сайт позже. Найти мошенников (их еще именуют фишерами) бывает не так-то просто, поскольку при регистрации доменов они используют чужие или вымышленные имена и личные данные.

С целью заманивания пользователей на фальшивые сайты фишеры регистрируют доменные имена, совпадающие с именами известных компаний, в которых часть букв заменена на похожие по написанию символы (например, буква «I» на цифру «1», буква «d» на две буквы «cl» и т. п.). Пользователь получает письмо, в котором его настойчиво просят посетить сайт этой известной компании, например, чтобы подтвердить активность своего аккаунта (под угрозой его блокировки). Иногда злоумышленники даже не утруждаются регистрацией фальшивого домена, а показывают просто IP-адрес или в видимом тексте письма используют адрес настоящего сайта, а в качестве ссылки – подставного. Так что стоит критически относиться к подозрительным письмам и следить за ссылками, которые мы выбираем.

Есть и более технически изощренные способы перехвата паролей, например, прослушивание с помощью специальных устройств информации, передаваемой по открытому Wi-Fi каналу. А большинство гостевых точек доступа в общественных местах используют именно такие каналы.

Защита данных в сети

Можно, конечно, ограничить доступ только для пользователей, выходящих с IP-адреса вашего офиса. Но что делать, если характер работы не позволяет такой защиты? Тогда можно настроить сервер, чтобы доступ в закрытые части сайта, а также в любые разделы, содержащие финансовую информацию или персональные данные (например, личный раздел пользователя интернет-магазина), осуществлялся только по защищенному протоколу.

Для этого используется SSL-сертификат, по сути представляющий собой уникальную цифровую подпись сайта. Он выполняет две основные функции. Во-первых, с его помощью организуется шифрование соединения, то есть гарантируется целостность и конфиденциальность информации. Во-вторых, выданный доверенным центром SSL-сертификат удостоверяет, что просматриваемая пользователем страница получена именно с указанного адреса, а сам сайт действительно принадлежит компании, на имя которой выдан сертификат. На сайте ssl.ru собрана подробная информация о том, что такое SSL-сертификат, рассказывается об особенностях существующих сегодня основных типов SSL-сертификатов, каждый из которых предназначен для решения различных задач по повышению безопасности и доверия пользователей к сетевым ресурсам.

 

Эксперт:

Андрей Воробьев, директор по связям с общественностью RU-CENTER

– В России спрос на SSL-сертификаты появился совсем недавно, но очевидна тенденция к их активному использованию в секторе электронной коммерции. Сайт компании, защищенный SSL-сертификатом, внушает клиенту больше доверия, и ваш бизнес выглядит более надежным и законным.

Так, например, для интернет-магазинов наиболее актуальным является использование SSL-сертификатов для организации доступа в клиентский личный кабинет, где содержатся/вводятся персональные данные, а также в тех разделах интернет-магазина, где производится оплата товаров и также вводятся данные, для которых должна быть обеспечена конфиденциальность.

Кроме того, существует технология DNSSEC, которая помогает защитить адрес веб-сайта от подмены злоумышленниками и, соответственно, перехвата важной информации. Поддержка DNSSEC актуальна прежде всего для доменов банков, интернет-магазинов, платежных систем. Большое значение имеет технология и для сайтов СМИ, так как защищает домен от незаметной подмены на стороне клиента (читателя).

Предложить тему статьи