Безопасность web-сайтов и web-приложений
Сейчас банки предоставляют свои услуги через интернет, магазины позволяют купить что угодно — начиная от продуктов и заканчивая автомобилями — не выходя из дома, и даже коммунальные платежи можно проводить через Интернет. Можно сказать, что любой сайт, извлекающий прибыль из своих посетителей, представляет из себя готовый бизнес. Но чем больше денег он приносит, тем более привлекательным становится для злоумышленников. И в данной ситуации как никогда актуальной становится тема безопасности web-приложений — ведь именно они в подавляющем большинстве случаев являются интерфейсом для взаимодействия сайта с пользователем.
Цели, преследуемые злоумышленниками, могут быть совершенно разными. Часто им достаточно просто административного доступа к сайту, поскольку это позволяет им производить следующие действия:
1. Drive-by-download
Проведение атаки класса Drive-By-Download для распространения вредоносного программного обеспечения на компьютеры посетителей сайта. При этом на страницах web-сайта размещаются скрипты, использующие уязвимости web-браузера или установленного на компьютерах ПО, такого как Adobe Flash, для скрытого запуска так называемого shell-кода. Он скачает и установит на компьютер вирус или троянскую программу и таким образом пополнит ботнет злоумышленника.
Естественно, репутационные риски для компании в таком случае очень высоки. Однако это не единственная проблема. Поисковые машины начинают помечать сайт как распространяющий вредосное ПО. Соответственно, пользователи перестают приходить на сайт из поисковых систем, что неминуемо ведет за собой снижение продаж и рост расходов на SEO-оптимизацию (см. рис. 1).
2. Кража конфиденциальной информации
Кража конфиденциальной информации из базы данных web-приложения. В качестве примера давайте рассмотрим интернет-магазин, принимающий платежи посредством проведения операций с кредитными картами.
Если не соблюдаются стандарты PCI DSS и PCI DSS 2.0, интернет-магазин может хранить данные о кредитных картах своих покупателей прямо у себя в базе — для увеличения конверсии. Ведь это так удобно — предоставить пользователю возможность купить товар нажатием всего лишь одной кнопки!
Однако не стоит думать, что если информации о пользователях в базе данных web-приложения нет, то это может остановить злоумышленников. Немного модифицировав страницу с оплатой, они могут копировать данные прямо из магазина и отправлять их себе. Естественно, когда данная информация становится общедоступной, репутация компании превращается в ничто, пользователи перестают делать покупки, опасаясь за свои деньги и персональные данные (см. рис. 2).
3. Рассылка spam-сообщений
Использование ресурсов web-сервера для организации рассылки SPAM-сообщений, размещения фишинговых страниц, организации proxy-серверов для совершения противоправных действий и многое другое. В этом случае web-сайт попадает в black-листы почтовых сервисов и начинаются проблемы с отправкой и получением почтовых сообщений. Также уменьшается производительность web-сервера — ведь вместо того, чтобы заниматься обработкой сообщений, поступающих от пользователя, он выполняет действия, назначенные злоумышленниками.
4. Заказной взлом
Заказной взлом, производящийся с целью уничтожения или модификации страниц web-сайта (или самого сайта целиком).
Например, представьте себе, что вы владеете интернет-магазином, который продает плюшевых мишек, где основным источником обработки заказов является телефон менеджера, установленный на сайте. Ваш конкурент взламывает ваш web-сайт и подменяет номер телефона своим. В результате вы начинаете терять клиентов, а конкурент поднимает свой бизнес. Более простые варианты подразумевают под собой удаление страниц с формой заявки с вашего сайта или закрытие доступа к ним в нужный момент.
5. Захват доменного имени
В качестве примера можно привести довольно известный случай, который произошел здесь, в России. В конце 2009 года сайт printing.ru, принадлежавший крупной московской типографии, был захвачен злоумышленниками и уничтожен, а на его месте за одну ночь был поднят интернет-магазин, торгующий принтерами. Просуществовал он около недели. В результате типография лишилась своего главного коммерческого инструмента и была почти полностью парализована работа офиса, так как почтовый сервер тоже оказался захваченным. Ущерб, нанесенный компании, был колоссален.
Какие бывают уязвимости? Как это работает?
Но все это теория. А для любого бизнесмена важнее всего — понимать, каким образом может быть нарушена работа его бизнеса, в нашем случае — web-приложения. И здесь вас ждет разочарование — на сегодняшний день не существует стопроцентной защиты от хакеров. То есть действительно защищенный от атаки через Интернет компьютер — это компьютер, отключенный от Сети.
Однако вероятность успешной атаки всегда можно попробовать свести к минимуму. Интернет-атаки — это тип заработка, требующий определенных затрат. И если затраты превышают допустимую прибыль, вероятность проведения атаки становится минимальной.
Для того чтобы понимать, как можно защититься от проведения атаки, нужно знать, каким образом она проводится. Существуют классификации уязвимостей, которые позволяют оценить степень риска для каждой из них. В качестве примера можно привести CVSS (Common Vulnerability System Score).
(Полную версию статьи вы можете прочитать в 25-м номере журнала «Практика интернет-маркетинга»)