Как не дать хакеру заработать на вашем
сайте
// RIW 2015
Григорий Земсков, компания «Ревизиум»
Интернет вчера—дружелюбный, почти безопасный
Интернет сегодня—агрессивный,опасный
—постоянные атакина сайт:- брутфорс админ-панели,- поиск админок,- поиск чувствительных файлов,- проверка уязвимостей и …
Последствия взлома— дефейс
— вирусы
— спам-рассылки
— фишинговые страницы
— несанкционированная реклама
— шпионаж, кража конфиденциальных данных
— пессимизация поисковыми системами
— блокировка доступа со стороны антивирусных сервисов
— сайты-клоны
— …
Последствия взлома— …или хулиганство
Интернет наших дней— ежедневно взламывают более 30 000 сайтов
— взломать может даже школьник
— практически ничего не стоит
— приносит деньги
— большие финансовые потери для компаний
Зачем взламывают сайты?
—финансовая выгода
—ресурсы для хакера
—хулиганство, эксперименты
Заблуждения и мифы
—Миф №1: «Кому я нужен?»
—Миф №2: «Меня заказали конкуренты»
«Мелочь» взламывают— брутфорс и DOS других ресурсов
— спам-рассылки
— звено в «связке» сплойтов
— фишинг
— хостинг для «вредоносов»
— атаки на «соседей»
«Обезличенный» взлом
— примерно 75% атак на сайты - нецелевые
— …если сайт есть в поисковом индексе
— …если сайт «среднестатистический»
Пример нецелевого взлома 1— По Google Hacking Database ищется целевой запрос
Пример нецелевого взлома 2— Извлекается список обнаруженных сайтов
Пример нецелевого взлома 3— Из незащищенных файлов узнаем пароли, явки
Чем грозит взлом сайта?
— потеря прибыли или бизнеса
— ущерб для репутации
— санкции со стороны надзорных органов
Варианты монетизации— вымогательство, шантаж
— заказной взлом
— продажа SEO-ссылок, статей
— заработок на размещении рекламы
— заработок на партнерках (WAP, рефералы)
— продажа доступов к сайту, шеллов
— продажа РИПов сайтов
Шантаж— “Я вам нашел [и исправил] уязвимости. С вас 10 000 руб.”
— “Ваш интернет-магазин атакован умными ботами…с вас 100 000 руб., чтобы мы остановили атаку”
— “Мы вас DDOS’им…с вас 150 000 руб., чтобы мы остановили атаку”
Заказной взлом— Взлом сайтов конкурентами,
недоброжелателями
Редиректы на «партнерки»— Мобильные «партнерки»
— WAP редиректы
«Черное» SEO— Размещение спам-ссылок на страницах
— Загрузка дорвеев (десятков тысяч спам-страниц)
— Клоакинг
Продажа доступов— Продажа доступов ко взломанным сайтам
Далее:
- распространение вирусов - спам-рассылки - организация ботнета - размещение рекламы - «черное» SEO - атаки на другие сайты - создание клонов сайтов - шантаж владельцев - …
Что делать?
Защищаем сайт— осознать проблему и инвестировать в безопасность
— диагностика + превентивная защита
— «политика безопасности» сайта
— безопасность как процесс, не процедура
— безопасность для сайтов любого масштаба
Правда жизни
— требует финансовых инвестиций
— требует инвестиций времени
— безопасность - это неудобно
Технические меры—аудит безопасности сервера (хостинга) и сайта: пентест, анализ кода, сканирование файлов
— установка защиты от взлома
— защита от атак: антиDDOS, WAF, проактивная защита
—регулярный мониторинг показателей сайта
Политика безопасности
—инструктаж персонала и подрядчиков
—контроль за подрядчиками
—защита от соц. инженерии
—план реагирования на инциденты
Если небольшой проект?
—не быть «среднестатистическим» сайтом
—безопасность собственными силами
—инвестиции в безопасность в масштабе 1:43
Безопасность - процесс!
—регулярный аудит
—регулярный мониторинг
—обновление ПО и средств защиты
—контроль за выполнением инструкций