Основные угрозы безопасности сайтов

Максим Лагутин: Добрый день! Сегодня у нас мастер-класс о безопасности коммерческих веб-сайтов и интернет-магазинов. Это первый мастер-класс из целой серии, посвященной тому, как защищать сайты, обеспечивать их безопасность. Сегодняшний мастер-класс проведу я, Максим Лагутин, и моя прекрасная коллега — Екатерина Шукалова, руководитель комитета обучения Ассоциации интернет-разработчиков. Добрый день!
Екатерина Шукалова: Да, здравствуйте, Максим!
М. Л.: Сегодня мы введем вас в курс дела, расскажем о том, что такое информационная безопасность в России, каковы основные угрозы, главные тренды. Екатерина поведает о причинах взломов и о том, как интернет-студия и вообще интернет-разработчики решают те проблемы, которые возникают у их клиентов. Кроме того, Екатерина поделится практическим опытом выявления и решения подобных проблем.
Для начала я расскажу о том, что вообще происходит в области безопасности. Вот свежий пример.

Сегодня стало известно, что крупный магазин 220-volt.ru был атакован, на него была произведена DDoS-атака, из-за которой он, по предварительной оценке, потерял более 60 млн руб. Сумма внушительная. По ней можно понять, что интернет-безопасность — это важная составляющая текущей повестки дня.

Хочу отметить, что Россия является лидером по количеству зараженных сайтов, по данным «Лаборатории Касперского». Можно увидеть на слайдах, что Россия помечена красным — общее количество зараженных сайтов максимальное. Больше только у стран-соседей: Казахстана, Украины, Белоруссии. Это явная проблема. Также это подтверждают данные отчета Microsoft Security Threat Report.
С чем это связано? Это связано с тем, что в России у людей очень сильный технический базис. Многие склонны к интернет-разработке. Они знают веб-технологии, знают математические формулы, функции, алгоритмы и могут успешно делать инъекции, заражения, знают, что такое вирус, что такое криптография и как на этом делать деньги. Вирусы сейчас наносят основной ущерб. По данным исследования компаний RuWard и SiteSecure, каждый седьмой сайт подвержен риску. Причем 50% владельцев сайтов не знают об этом и вообще не знают о том, что на их сайте бывают проблемы. В результате этих атак около 15% бизнесов прекращает свое существование. Многие считают, что атаки направлены именно на них, в то время как сайты заражаются массово. Владелец сайта думает, что атакуют лично его, и просто опускает руки. Между тем стоит понимать, что атаки проводятся только на те сайты, которые приносят тот или иной доход и для которых заражение влечет некие потери, имиджевые или финансовые. На слайде показано, почему растет угроза для коммерческих сайтов, для интернет-магазинов. Потому что Россия — один из мировых лидеров по темпам роста интернет-торговли. Оборот за прошлый год составил около 14$ млрд. Всего в России более полумиллиона коммерческих сайтов и 40 тыс. интернет-магазинов с высокими темпами роста. Чем больше денег в интернете, тем больше в нем злоумышленников, которые хотят эти деньги присвоить. Интернет-мошенничество уже стало целым бизнесом, отраслью, теневым рынком.
Угроза складывается из двух составляющих. Первая: мировая преступность строго таргетирована, она нацелена именно на те сайты, которые имеют финансовый поток, те сайты, где можно как-то обогатиться, где можно взять персональные данные пользователей, данные банковских карт. При этом кибермошенники имеют в своем арсенале очень мощные инструменты, с помощью которых можно проводить атаки любого рода. Уже не проблема для многих взломать систему Пентагона, НАТО, крупные государственные ресурсы. На каждую защиту имеется своя успешная атака и нет 100%-й гарантии, что какую-то защиту не взломают.
Вторая составляющая, по которой мы можем судить о том, что безопасность сейчас важна — это то, что в России веб-разработка стала очень популярной. Инструменты веб-разработки стали весьма популярными. Но на качестве создаваемых сайтов, создаваемых приложений это сильно сказывается. Чтобы получить базовые навыки эффективного веб-программирования, достаточно пройти короткие курсы, почитать, посмотреть, послушать и уже научиться, как делать сайты, как их запускать, делать посадочные продающие страницы и всё это дело продвигать. Но качество кода, качество этой разработки, конечно, оставляет желать лучшего. И много профанов на рынке.
Важно понимать, что существует две группы риска — посетители и владельцы сайта. Так как мы говорим о коммерческих сайтах, то есть о сайтах, которые приносят доход, надо понять, что важно для продающего сайта. Для продающего сайта важно продавать, чтобы бизнес никогда не останавливался, приносил стабильный доход и темпы роста увеличивались. Именно здесь есть финансовые риски, риски для конверсии и имиджевые риски. Также есть риски для посетителей сайта. Почему? Если сайт заражен, это показывают различные поисковые системы или мой антивирус. Если я захожу на сайт, а он меня перенаправляет на какой-то другой: на какие-то средства повышения потенции, на «обновить браузер», что-то еще, — у меня есть сомнения в том, стоит ли доверять этому сайту дальше. Это две основные группы риска. Поэтому коммерческий сайт должен об этом позаботиться, хотя бы подумать, чтобы понять, как эти риски минимизировать. Когда на коммерческом сайте появляется какая-то уязвимость, какая-то проблема, сайт внесен в черный список, заблокирован «Яндексом», Google, иными поисковыми системами, владелец площадки обращается к своему разработчику или к той компании, которая сайт поддерживает. Но разработчик быстро отреагировать на внезапную проблему вряд ли сможет. О том, как поступает веб-разработчик при обращении к нему такого клиента, нам расскажет Екатерина. Она в том числе владелец веб-студии. Я думаю, полезно будет узнать, что она об этом думает.
Е. Ш.: Давайте посмотрим, как с моей стороны, со стороны интернет-разработчика, мы будем реагировать, если какой-либо клиент, — наш текущий клиент или тот, которому мы создали сайт какое-то время назад, — будет обращаться с такой проблемой, как зараженный сайт. Дорогие друзья, учитывайте, что быстрая реакция со стороны веб-студии практически невозможна. У нас есть свои собственные бизнес-процессы, у нас есть план, который мы должна выполнять, у нас есть текущие кейсы, с которыми мы сейчас работаем, поэтому у нас не всегда есть возможность быстро среагировать на вашу проблему, на проблему клиента. А что получается? Клиент видит, что его сайт заражен. Возможно, он в продвижении, возможно, он рекламируется, а мы не имеем возможности быстро привести сайт в порядок. Надо понимать, что лечение сайта клиента займет какое-то время.
Вторая проблема, которая может возникнуть, заключается в том, что у нас на рынке интернет-разработки достаточно много новичков, молодых студий, и не всегда у этих студий есть возможность нанять профессионала — человека, который может быстро разобраться с проблемой. Существует большое количество систем администрирования, OpenSource-систем, коммерческих систем, самописных систем. Для того чтобы разобраться в той или иной системе, нужно время. Соответственно, у студии может не быть опыта, может не быть ресурсов. Более того, у нас не всегда есть инструменты, с помощью которых мы можем быстро решить проблему клиента.
И есть еще один момент. Полагаю, не все коллеги со мной согласятся, но тем не менее такие резкие, очень срочные работы не всегда удобны для студии. Клиент должен понимать, что каждая работа должна быть оплачена, но такие процедуры, как вылечивание сайта от вируса, зачастую не воспринимаются клиентом как некая работа, которая должна быть оплачена определенным образом. И поэтому студия хочет, грубо говоря, отбрыкаться от этой работы, если клиент не находится, например, сегодня в продвижении или в рекламе, то есть на данный момент не приносит студии денег.
Наконец, мы как разработчики не всегда имеем инструменты проактивного мониторинга тех или иных проблем. Клиент приходит, он в панике, он может позвонить ночью, в выходной день и сказать: «Ай-ай-ай, у меня вирус, что же делать? У меня реклама, у меня SEO проседает». Мы об этом не знаем, и вирус уже мог находиться на сайте какое-то время, лечить будет тяжело. Итак, есть еще проблема инструментов проактивного мониторинга. Удобных, быстрых на сегодняшний день либо не существует, либо найти их достаточно сложно.
М. Л.: Екатерина, а ты можешь поделиться каким-то своим опытом. Реальную проблему сможешь описать?
Е. Ш.: Да, конечно. Не так давно у нас была проблема с нашим хорошим клиентом — интернет-магазином по продаже рыболовных принадлежностей. Сайт большой, давно работает на рынке и сделан на очень удобной системе администрирования, всем известной OpenSource CMS. Этот сайт находится в SEO-продвижении, в контекстной рекламе, с ним активно работают по социальным сетям. И в один прекрасный день, в выходной, поздно вечером мы получили панический звонок от клиента: «Сайт заражен, сайт заражает чужие компьютеры!» и т. д., и т. п. Что в итоге получилось? Мы, конечно, начали работать с этим клиентом. Опять же, повторюсь, он нам интересен, и мне как владельцу бизнеса по веб-разработке он интересен, потому что он в продвижении. Мы вынуждены были срывать сотрудников в субботу, для того чтобы эту проблему решать. Время было упущено. Мы провозились с этим вопросом, так как вирус для нас был новый. Мы не знали, где смотреть, мы не знали, в какие файлы сайта лезть. Что вообще с этим делать, мы не знали. Соответственно, это заняло какое-то время. В итоге лучшее время по продаже этих рыболовных принадлежностей — суббота и воскресенье, — для данного клиента было потеряно, потому что реклама была отключена. Мы в долгосрочной перспективе, соответственно, получили проблемы с проседанием по SEO. Мы потеряли время. Я потеряла время как предприниматель, потому что сотрудники вынуждены были приходить на работу в субботу и воскресенье. Наш клиент, любимый, дорогой, потерял время и потерял обороты в хорошие прибыльные дни.
М. Л.: Это проблема.
Е. Ш.: Совершенно верно, это проблема. И самый эмоциональный момент — мне как женщине это особенно важно — потеря доверия. Мало того что мы потеряли деньги с обеих сторон, мы еще потеряли доверие друг к другу, и потом это доверие пришлось восстанавливать.
М. Л.: Ты сейчас все очень здорово сказала. Но у меня остался один вопрос: сколько в среднем занимает устранение нарушения? Насколько мне известно, оно делится на две части: найти, решить проблему и подать заявку на устранение в поисковую систему. Допустим, как показано на слайде.
Е. Ш.: Я бы делила это по времени. Первое — нужно нейтрализовать вирус, то есть, условно говоря, я должна найти в файлах сайта то место, где это вирус базируется, где он сидит. Нужно найти вредоносный код, нужно понять, что это за тип вируса. Опять же, если это знакомая система администрирования, там примерно понятно, где искать концы, как идти по следу и т. д. Соответственно, вирус мог распространиться по большому количеству файлов. И не всегда это можно быстро руками уничтожить. И здесь есть еще один момент: неизвестно, когда у нас был последний «чистый» бэкап, из которого я могу восстановиться.

Давай предположим самую плохую ситуацию: когда бэкапа нет, или он очень давнишний, или вирус заразил 90% файлов нашего сайта. Поиск и оценка этой проблемы может занять у меня 2 до 12 часов. И столько же на уничтожение. В зависимости от профессионализма, в зависимости от вируса я могу до двух суток потерять. Принимайте во внимание, что стоимость часа труда разработчика на нашем рынке колеблется от 800 руб. до 2,5 тыс. руб. В принципе, каждый предприниматель может посчитать, сколько, допустим, я теряю.

А если я это делаю бесплатно, условно бесплатно, потому что клиент в продвижении, то вы можете понять, сколько это будет стоить. Соответственно, для того человека, который обращается за лечением, который не имеет поддержки со стороны никакого разработчика и занимается продвижением самостоятельно, проблема вырастает в разы.
М. Л.: Я примерно понял масштаб бедствия.
Е. Ш.: Да, масштаб бедствия большой.
М. Л.: Иными словами, человек, у которого есть свой сайт, не должен рассчитывать, что проблема решится за час или за 15 минут.
Е. Ш.: Бывают такие случаи. Но за 15 минут точно не решится проблема. Потому что 15 минут уйдет только на то, чтобы подключиться по FTP к сайту и вообще что-либо понять. Отреагировать как-то, вникнуть в проблему — это минимум три часа. Минимум три часа, если я эту систему знаю, если я помню этот сайт как человек, который его разрабатывал.
М. Л.: А какое время тратится на то, чтобы сайт был разблокирован, допустим, в поисковой выдаче?
Е. Ш.: Да, существует другая проблема, когда сайт попадает в черный список… Поисковик заметил, что сайт заражает компьютеры пользователей, и внес его в черный список. Я думаю, что все наши слушатели об этом знают. Соответственно, вытащить его оттуда в последний раз нам удалось самостоятельно, без помощи каких-то сторонних специалистов, за три недели.
М. Л.: Ух ты! Это огромный срок.
Е. Ш.: Да, при этом у меня человек, который отвечал за эту работу, был отвлечен от своих основных обязанностей. Здесь есть такие скрытые потери. Когда человек решает проблему клиента по вытаскиванию сайта из черного списка, он не занимается своей основной деятельностью, его производительность труда, условно говоря, падает. Никто у нас особо об этом не задумывается, но такое есть. Поэтому, опять же, мы говорили про проактивную защиту, проактивный мониторинг, и мне кажется, для студий, особенно начинающих, фрилансеров, да и других профессиональных организаций было бы здорово иметь что-то такое, что помогало бы не только клиенту, но и нам.
М. Л.: Я согласен. А тогда скажи, чтобы было понятно, откуда появляются эти вирусы, где корень всех зол?
Е. Ш.: Давайте посмотрим на следующий слайд. Давайте системно разберемся, где основные проблемы. Первая проблема, безусловно — это уязвимости в системах администрирования. Ты правильно сказал, что, какой бы хорошей ни была защита, какой бы замечательной и прекрасной ни была система администрирования, всегда есть места, куда могут пролезть злоумышленники. И вопрос, какая система более безопасна, беспредметен. Какая-то система сейчас может быть безопасной, потом она может вдруг стать небезопасной. Соответственно, у нас на рынке клиент, разрабатывая сайт и получая в свое распоряжение систему администрирования, думает, что она вся такая классная, здоровская, она не устареет никогда, обновлять ее не надо, с ней можно жить и четыре, и пять, и десять лет счастливо. Это не так. Уязвимости в CMS — это первая дырка, в которую пытаются пролезть злоумышленники. И чем система известнее, популярнее, тем больше людей знает о том, как ее взломать. Первый совет нашим слушателям заключается в том, что систему администрирования нужно обновлять, будьте здесь внимательны.
Следующий момент заключается в том, что наши прекрасные системы администрирования, существующие на рынке, внедряют в системы администрирования новые модули. Новый модуль — это, как всегда, непроверенный функционал.
М. Л.: Я уточню, модуль — это календарь, чат, какая-то крутилка баннеров.
Е. Ш.: Да, совершенно верно.
М. Л.: «Рюшечки» некие.
Е. Ш.: Да, «рюшечки», всякие штучки, которые очень любит клиент. Когда он видит, что у него в системе администрирования появляется какая-то новая штука, он хочет эту штуку использовать. Штука не всегда безопасна, она не всегда проверена. Старые модули более или менее проверены, залатаны, соответственно, к новым модулям это не относится. Плюс часто бывает такая история, что существующей системе администрирования разработчик приделывает какой-то совершенно фантастический функционал по требованию клиента. Клиент хочет, например, какой-то суперкалькулятор по расчету страховки на своем сайте. И мы к известной системе администрирования пытаемся это приделать. Соответственно, кто нанимается для таких работ? Все те разработчики, о которых мы говорили раньше. И совершенно не обязательно, что написано это будет хорошо, грамотно с точки зрения юзабилити, с точки зрения безопасности. Это второй момент.
Третий момент — это уязвимости хостингов. Собственно говоря, когда клиент размещает сайт на виртуальном хостинге, он подвержен атакам не только со стороны своего сайта, своей системы администрирования, но и со стороны тех сайтов, которые лежат рядом с ним на виртуальном хостинге. Конечно, проблема решаема. Здесь клиент может подстраховаться, купить более дорогой хостинг, купить отдельный сервер, купить colocation и т. д., но большинство сайтов из тех 600 тыс. коммерческих ресурсов, о которых ты говорил, экономят. Они экономят в том числе на хостинге. Малый и средний бизнес точно экономит на хостинге, и дополнительная страховка безопасности совмещается с их картиной восприятия мира. Мы покупаем дешевый хостинг, мы надеемся на то, что наша CMS будет работать долго-долго.
М. Л.: На авось.
Е. Ш.: Да. И потом, соответственно, жареный петух клюет, и мы говорим: «Ах-ах, что же делать?» Хостинг — это тоже слабое место. Наконец, владелец сайта тоже имеет доступ к хостингу, к панели управления хостингом. Он иногда говорит: «Я тоже хочу принимать участие в работе моего сайта, поэтому дайте мне доступы FTP, настройте мне его на моем компьютере». А потом происходит такая веселая вещь, что компьютер заражается вирусом, потому что мы ведь тоже не всегда обновляем антивирусы на своих компьютерах, и сайт взламывается через компьютер владельца. Дорогие друзья, когда вы последний раз обновляли, допустим, пароль на панель управления хостингом или на том же самом FTP? Полгода назад? В таких случаях, собственно говоря, безопасность просто падает под плинтус.
Итак, обращать внимание надо на четыре вещи: уязвимости в CMS; уязвимости в новых и сторонних модулях, которые создаются разработчиками для существующих и своих систем администрирования; уязвимости в хостингах; безопасность паролей.
М. Л.: Мы видим по рынку, что многие просто не понимают, откуда проблема.
Е. Ш.: Да.
М. Л.: Я тебя дополню. По нашим данным, когда первопричину удалишь, тогда проблема, скорее всего, устранится. Но когда мы будем просто удалять вирус, не решая первопричину, у нас, скорее всего, проблема появится опять.
Е. Ш.: Совершенно верно.
М. Л.: Ты хотела, я так понимаю, еще рассказать нам о том, как эти проблемы искать.
Е. Ш.: Да, давай быстренько пробежимся по этому списку. Самое главное, к чему я призываю своих клиентов, — проверять работоспособность своего сайта. Друзья, заходите на свой сайт хотя бы раз в два дня. Если у вас все замечательно с вашим бизнесом, с товарооборотом и вы бегаете по своим делам, пожалуйста, возьмите себе за правило: хотя бы раз в два дня. Я уже не говорю о том, чтобы просто приходить на работу и включать свой сайт, мониторя его работоспособность. Система администрирования и модули должны обновляться. Точка. И вы должны следить за этим так же регулярно и последовательно, как, например, чистите зубы. Пожалуйста, хотя бы каждый год интересуйтесь, не обновилась ли ваша система администрирования, нет ли там чего-то нового и нет ли там каких-то «закрывашек» для тех дыр, которые присутствуют в системе администрирования. Следующий момент: в обязательном порядке делайте резервное копирование. Я думаю, что в наших последующих семинарах мы расскажем о том, как правильно делать резервное копирование.
М. Л.: Да.
Е. Ш.: Но на сегодня возьмите за правило проверять, когда и кто делает бэкапы вашего сайта. Поинтересуйтесь у хостера, поинтересуйтесь у разработчика, что вообще с этим происходит.
Следующий момент: проверяйте сайт на вирусы. Сделать это можно с помощью специальных инструментов, которые присутствуют в интернете. В «Яндексе» вы найдете инструменты, которые более или менее соответствуют неким требованиям, которые мы предъявляем к этим системам. Попробуйте проверить. Есть антивирусы, которые позволяют это делать в онлайн-режиме. Они не всегда хороши, тем не менее какую-то первичную информацию вам дадут.
Еще момент — это проверка сайта. Находится ли он в черном списке? Об этом будут сигнализировать те инструменты, которые вам предлагает поисковая машина. И «Яндекс», и Google предлагают такие инструменты. Пожалуйста, пользуйтесь ими. Подробнее — в наших последующих встречах.
И наконец парольная безопасность. Не забывайте менять пароли. Пароль, который вы где-то уже использовали, или пароль, который просуществовал месяц, должен быть изменен. Точка.
М. Л.: Здорово, что ты все это рассказала. Нам самим давным-давно, в начале 2000-х, пришлось самим составлять этот список. Правильно ли я понимаю, что мониторинг проблем — это вещь бесплатная? Есть бесплатные разрозненные сервисы, инструменты, бесплатно вручную все это можно делать обычно?
Е. Ш.: Да, мы же чем-то пользуемся, для того чтобы эту проблему локализовать и исправить. Но для этого нужна определенная подготовка. Безусловно, я верю в наших клиентов, они могут все освоить и все сделать, но это не очень удобно. Хотелось бы иметь какие-то более системные инструменты.
М. Л.: Спасибо тебе! Собственно, к чему я хотел подвести? В наше время риски для интернет-бизнеса возрастают. Угрозы ведут к убыткам, недополучению заказов и прибыли. Мы также поняли, что вначале каждый обращается к некоему эксперту, к своей веб-студии, к своему разработчику. Именно разработчик, как правило, решает такие проблемы. При этом мы поняли, что не всегда у наших разработчиков и продвиженцев нашего сайта есть время и инструменты для максимально быстрого реагирования на эту проблему. И также мы поняли, что для повышения безопасности и эффективности работы сайта необходим постоянный мониторинг, его внешняя защита.
В завершение данного мастер-класса я бы хотел подарить всем слушателям шесть месяцев бесплатной работы с нашим сервисом, с сервисом SiteSecure, который объединяет весь тот мониторинг, о котором сегодня сказала Екатерина, который поможет защитить ваш интернет-бизнес от интернет-угроз. Все, кто до 1 июня зарегистрируется по указанной здесь ссылке, получат шесть месяцев бесплатной работы в нашем сервисе. На этом я бы хотел закончить данный мастер-класс. Спасибо, до свидания!
Е. Ш.: До свидания, дорогие друзья! Желаю вам безопасного интернета!