И на старуху бывает проруха! Бывает, что и веб-разработчик, сделавший сотню проектов и все аспекты безопасности знающий как «Отче наш», допустит ошибку… И этим воспользуется желторотый хакер, и опозорит седины мастера, задефейсив его сайт… Страшно?
Так сегодня сложилось в Рунете, что большинство сайтов - это набор запчастей- Низкий уровень веб-разработки, куча аккаунтов у одного пользователя, необновляемое после всяческих модификаций ПО, отсутствие не то что единой, но даже какой бы то ни было концепции безопасности… Ну не заботит эта безопасность ни хозяев сайтов, ни администраторов. Одни не готовы платить за защиту, а другие думают о ней в последнюю очередь, не имея на то ни бюджета, ни времени. Как же владельцу уберечь свой сайт от всяческих злодеев и взломщиков? И причем сделать это с минимальными затратами?
В этой статье мы попробуем оценить характер разнообразных сетевых угроз, а также ввести читателя в мир CMS-систем на примере «1С-Битрикс: Управление сайтом» 8.0. В будущих материалах мы обязательно рассмотрим и другое ПО данного типа, в том числе и свободное, но начнем все же с творения отечественных разработчиков, так как нравится это кому-то или нет, но на сегодняшний день именно «Битрикс» является стандартом де-факто для владельцев сайтов, по тем или иным (обычно коммерческим (смайл)) причинам тщательно следящих за безопасностью.
Кто и зачем ломает сайты?
«Кому он нужен, мой невинный сайт? Я не курю, не шалю, примусы починяю…» - думает часто владелец. Действительно, кому? Ладно, с корпоративными сайтами -там все понятно: конкуренты «заказали», взломщики денег хотят, шантажируют. Каждый дефейс - это удар по репутации компании, которая при этом терпит убытки - теряет «лицо» и много-много денег. А сайт каких-то кошководов или огородников кому интересен?
Представьте себе, может быть интересен. Совсем недавно как раз любители кошек из Минска попали в неприятную ситуацию. А было это так: они много лет вели свои сайты, общались, обменивались информацией, и вдруг каждый потерял над сайтом контроль, а потом получил письмо с предложением выкупить доступ к собственному ресурсу, если тот еще нужен. Банальное вымогательство!
Встречаются и нападения ради шутки, прикола, розыгрыша - мотивация у взломщика может быть разной в зависимости от его профессионального уровня. «А хакер - что, профессия?» - спросите вы. Конечно же, профессия, да еще какая!
Какими бывают хакеры
Не верьте ТВ и книжкам, в которых образ хакера обычно приукрашен и поэтизирован. Там хакеры - герои, лихо лупящие по клавишам и проходящие через любую реальность без таблетки. Или это красноглазые и краснозадые длинноволосые гении, живущие в своих мирах, обожающие пиво и чуждые прочих мирских желаний.
На самом деле современный хакер -это, конечно, яркая, нестандартно мыслящая личность, влюбленная в компьютеры. И вы удивитесь, но хакером может быть и ваш коллега по работе - этакий скромный трудяга, который раньше всех приходит на службу и позже всех уходит, очень болезненно относится к насмешкам и боится потери своего социального статуса, товарищ без возраста и национальности. Все же давайте попробуем классифицировать этот народ.
Делим хакеров по цели: классические, преступники и вандалы. Первые трудятся ради «спортивного интереса», вторые - ради финансовой выгоды или нанесения ущерба, третьи рушат практически все, на что в гневе.
Различаются они и по подготовке -начальный уровень и специалисты. Одни учатся и общаются в интернете, накапливая знания в области информационной безопасности; набирают опыт они, взламывая попавшиеся под руку сайты. Они амбициозны, жестоки и бездумны, не понимают, какой вред приносят своей «деятельностью» и сколько «светит» им за это по закону. Часто прокалываются, пытаясь доказать свою несусветную удаль, а ловят их хакеры из второй группы.
Другие - профи и гуру, технически прекрасно оснащены и подкованы в вопросе. Не ламеры, поэтому не лезут на рожон, не светятся в тусовках, не кривляются. Работают только за деньги и под заказ. Их редко ловят, поскольку персональная защита у них на высоте. Присмотритесь к «безопаснику» в своей организации - возможно, это он и есть, «старый» хакер, просто поступивший в контору на службу.
Если «начальная» группа хакеров использует в качестве подручных средств все что угодно и чаще всего бессистемно, то вторая специализируется на чем-то конкретном - у каждого есть свой излюбленный способ: это могут быть DDoS-атаки, или спам, или вирусы. Вот где можно говорить о профессии. Кстати, о способах…
«Модные» атаки и угрозы
Если мы с вами займемся перечислением и описанием всяческих методов, используемых хакерами в их атаках и диверсиях, наше повествование станет напоминать сказки Шехерезады из «Тысячи и одной ночи», которые никогда не заканчивались. Поэтому будет уместным назвать только самые распространенные из них. И прежде всего это XSS-нападение (CSS - cross site scripting) и SQL-инъекции - данные методы атак просты в использовании и достаточно эффективны.
Как всегда, популярны и DDoS-атаки. Все также активно применяются бот-сети - и для этих атак, и для рассылки спама, и для методов социальной инженерии, И, к слову, под влиянием текущего финансового кризиса методы иногда принимают гротескные формы; зачем взламывать сайт какой-то компании, если можно просто послать ей письмо «На вас у нас заказ» и получить откупные -или сесть за решетку (смайл). Впрочем, ловить безработных и одичавших хакеров скоро тоже будет некому - бюджеты урезаются, половина российских IТ-компаний сократили сотрудников, отвечающих за обеспечение информационной безопасности.
Куда смотрят веб-разработчики?
Успешности всяческих взломов способствует низкий уровень защищенности самих сайтов. Так почему же разработчики не следят за этим уровнем? Во-первых, у них попросту не хватает времени на тестирование приложений на предмет наличия уязвимостей. Во-вторых, по-настоящему профессиональных веб-разработчиков мало - таковыми становятся, имея за плечами лет пять стажа, да и то только при наличии хороших наставников.
А вот нашему хакеру «начального» класса совсем не нужно долго учить мат-часть, чтобы воспользоваться классическими изъянами веб-приложений: в Сети полно инструментов для поиска самых распространенных дыр на сайтах-таких как XSS, SQL Injection, PHP Including. Опробовать свои умения злоумышленник может на любом случайно подвернувшемся ресурсе. И, заметим, рядовой веб-разработчик только тогда начинает вникать в вопросы безопасности, когда его основательно «клюнет» такой горе-хакер.
Добавим к картине угрозы информационной безопасности и непрофессиональный хостинг - уровень администрирования серверов зачастую невысок, а системы автоматического мониторинга используются редко.
А хостеры?
Хорошо бы одну и большую таблетку от взлома! Однако ее нет. В этом деле имеет значение все в комплексе: надежный хостинг и / или дата-центр, правильное и обновляемое серверное ПО, столь же серьезный софт для сайта. Кроме того, нужно еще постоянно бдить - проводить профилактику возникновения разных проблем на веб-проекте.
Что можно сказать про выбор хостинга? Он очень важен, поскольку львиная доля уязвимостей сайта обусловлена ды-рявостью ПО хостинговой площадки, которая, в свою очередь, может быть вызвана несвоевременным обновлением системы, веб-сервера и сервера баз данных. К тому же вспомним и плохо настроенные shared-хостинги. Однако в этой «кухне» вы сами ничего не можете исправить - ну, очень специфическая область. Есть комплексные защитные решения, правда, зачастую эффективно ими можно воспользоваться только на уровне вышестоящего провайдера. Да и, в конце концов, на уровне сервера от начавшегося масштабного DDoS пытаться себя обезопасить уже поздно…
Что же выбрать? Прислушивайтесь к авторитетным рекомендациям, объясняющим, как найти хостинг понадежнее, остановитесь на одном из тех, что прошли сертификацию. И наконец, выбирайте ту CMS, создатели которой больше других заботятся о безопасности.
Безопасные CMS
Как оценить уровень безопасности CMS? Для начала следует посетить их сайты, просмотреть содержимое разделов, посвященных защите, если они есть. Скорее всего, вы увидите, что так или иначе вопросами безопасности занимаются все. Тогда поищите на сайте информацию об исследованиях и тестировании системы: кем и когда они проводились, каковы результаты, где сертификаты и т. д.
Хорошо, если это был внешний аудит и выполнен он был ведущей компанией, действующей в сфере безопасности продолжительное время. И замечательно, если эти аудиты проводятся регулярно и представляют собой комплексную проверку веб-проекта как результата интеграции CMS в конкретную информационную среду.
Далее попытайтесь самостоятельно оценить уровень защищенности продукта, на котором собираетесь разрабатывать сайт, Безопасны ли API-функции? Проверяются ли стандартные инструменты по работе с переменными, чтобы страховать девелопера от большинства типовых ошибок? Собираются ли в классы потенциально опасные действия, чтобы избавить веб-разработчиков от необходимости думать о безопасности? То же самое насчет операций с файлами, несущих в себе массу угроз.
Убедитесь, присутствуют ли в CMS привязки авторизованных сессий к IP, единая авторизация на всех проектах, трехуровневая система разграничения прав, САРТСНА (да-да, те самые «кривые» буковки, которые с картинки может прочитать человек, но не компьютер), а также определена ли политика безопасности групп и защищает ли она пароли и запоминаемые хэш-функции от похищения. Если все это имеется, значит, уровень защищенности на высоком уровне.
Человеческий фактор…
Добавим еще одну ложку дегтя: даже использование тщательно оберегаемой от злоумышленников и, казалось бы, самой безопасной CMS не даст вам стопроцентной защиты! Потому что веб-разработчик - это человек, который запросто может проигнорировать всяческие рекомендованные меры и функции. К примеру, теоретически можно взять переменную прямо из запроса, без обработки вставить в запрос к базе данных и… вот вам и SQL Injection, и XSS, причем в одном флаконе! Все усилия по защите коту под хвост из-за человеческого фактора. Как с ним бороться? Попытаться компенсировать нечеловеческим решением.
На линии фронта
В случае «1С-Битрикс: Управление сайтом» 8.0 снять зависимость от веб-программиста и одновременно с этим повысить безопасность веб-приложений, разработанных на этой CMS, можно благодаря встроенному модулю «Проективная защита». Одна из главных его «примочек» - «Проактивный фильтр», который должен распознать все веб-угрозы, А распознав, блокировать их и воспрепятствовать вторжению на сайт. Предотвращается фокус с XSS, возможность SQL-инъекций, удаленного PHP Including и проч. Спите спокойно - но не забывайте поглядывать на монитор, сигналящий о том, что кто-то сайт пытается взломать.
Админы сайтов испытают облегчение, после того как «Проактивный фильтр» прищучит самых рьяных ботов, постоянно ломящихся на сайт. И, по словам попробовавших его в деле, дополнительной нагрузки на сетевой ресурс при этом не возникнет.
Фильтр сам может выдать предписанную ему реакцию: заблокировать подключение и сбросить передачу данных, сделать эти данные безопасными, занести нехорошего посетителя в стоп-лист. В общем действие фильтра основано на анализе всей информации, поступающих от пользователей через переменные и cookies. Помимо прочего зависит оно и от того, как вы этот самый фильтр настроите.
Тех же многострадальных кошатников из Белоруссии, когда у них вымогали деньги, спасло включение «Проективной защиты». Именно включение -сам модуль они получили вместе с обновлением до 8-й версии, а вот установить его не удосужились! Но установить мало - только тщательная настройка спасет от ложных срабатываний фильтров. Неудобства и проблемы вроде невозможности публиковать некоторые материалы могут быть связаны с запрещением создавать или изменять JavaScript либо HTML-код там, где это могло быть теоретически опасным, - в таких случаях следует воспользоваться штатным механизмом выдачи прав определенным группам юзеров.
Если речь идет о «1С-Битрикс: Управление сайтом» 8.0, для запуска данной фичи необходимо зайти в «Настройки» > «Пользователи» > «Уровни доступа». Выбрать в фильтре модуль «Проективная защита» и добавить новый уровень доступа, назвав его, к примеру, «Право размещать JavaScript”. Затем на вкладке «Операции, которые содержит данный уровень доступа» указать разрешение на «Обход проактивного фильтра» (security_fiiter_bypass). Теперь достаточно зайти в любую группу пользователей, которым нужно дать право на размещение JavaScript и контролируемый обход «Проактивного фильтра», и просто выбрать новую роль в настройках прав доступа. И все пойдет на лад -
и защита будет полноценно работать, и дело делаться.
Если обычным пользователям сайта можно раздать права и даже настроить грамотный обход проактивной защиты, то вот ад-минам нужно ужесточить аутентификацию. Нет, мы не будем генерировать суперстойкие ко взлому пароли и хранить их в программных хранилищах-сейфах - это все в прошлом. Мы будем использовать одноразовые пароли на доступ к сайту, и это еще один «железный» фактор супротив «человеческого».
В CMS от «1С-Битрикс» такая возможность включается все в том же модуле «Проактивная защита». Для самых ответственных юзеров в профайлах задается параметр «Включить составной пароль», и пароль этот действительно становится составным: первая половина - обычный пароль к сайту, вторая - тот, что выдаст генератор одноразовых паролей. В итоге теряют всякий смысл и перехваты, и детективные похищения заветной последовательности символов А на сайте авторизуется именно тот человек, которому выдали, скажем, брелок-генератор паролей. Будет это, к примеру, распространенный у нас еТокеп PASS, какой-то его аналог или вообще фриварный программный генератор -вопрос личных предпочтений и представлений о надежности.
Наконец, еще один признак здоровой и безопасной CMS - наличие системы обновлений: именно это позволит быстро залатать уязвимость, ежели такая обнаружится. Хорошо, если пользователи CMS могут получать эти апдейты автоматически и устанавливать без помощи технических специалистов. «1С-Битрикс: Управление сайтом» 8.0 такую возможность предоставляет.
Итак, в результате разумных и последовательных действий защита нашему сайту обеспечена по всем фронтам. На компьютер администраторов сетевого ресурса установлен серьезный антивирусный пакет и качественный файрволл, проект гнездится на надежном хостинге, а веб-разработка ведется на безопасной CMS, хорошо настроенной и поддерживаемой в актуальном состоянии. Реализовать все это на базе вышеуказанного продукта отечественных разработчиков, несомненно, можно. А как с другими решениями в области CMS? О них мы поговорим в самое ближайшее время.