Каждый год в Лас-Вегасе, штат Невада, собираются выдающиеся (без шуток!) умы нашего времени и общими усилиями создают в области оффлайновой и онлайновой безопасности удивительные, абсолютно невероятные штуки. В общем, нечто такое, от чего вы точно не уснёте этой ночью.  

Да, вы не ошиблись: настало время снова погрузиться в тёмные воды “чёрного SEO” и DEF CON, конференций хакеров и информационной безопасности.
Сейчас “Чёрное SEO” всё больше становится вотчиной специалистов по безопасности, исследователей и академиков. А вот DEF CON до сих пор сохраняет неформальность. Эта конференция — нечто среднее между карнавалом эпохи Возрождения и фестивалем хакеров.  
 

Итак, самые новые, самые большие, самые страшные угрозы вашей онлайновой безопасности — какие они?  
 

Хакерские атаки

В этой статье мы расскажем вам, как избежать предупреждения Google о вредоносном ПО, продавая Виагру c URL-а «.gov» или предоставляя принтеру доступ к вашей внутренней сети.
А вы что, думали, что Word Press — это самая большая ваша проблема? Не волнуйтесь слишком сильно, для большинства из вас это действительно так.
Как бы там ни было, никому не хочется проводить выходные, рассылая клиентам письма с объяснением, что произошёл взлом системы безопасности, и их персональные данные теперь находятся в открытом доступе. Или, например, наблюдая за тем, как стремительно падает траффик на сайте, а заодно и ваша позиция в выдаче. И всё из-за предупреждения Google о вредоносном ПО. Знания, как известно, — сила. Поэтому сначала рассмотрим самые очевидные, а значит, и самые уязвимые места.  
 

1.«Дыры» в рекламных объявлениях 

На вашем сайте когда-нибудь появлялось это противное красное предупреждение Google о вредносном ПО? Или, может быть, пользователи жаловались вам на вредоносные загрузки с вашего сайта? А вы не совсем понимаете, как такое могло произойти.
Причины могут быть простыми. Кто-то грубо взломал ваши пароли и проник на сайт. Или это XXS-атака. Или вы давно не обновляли системы безопасности Word Press. Или другие причины. Какие же?
Например, рекламные объявления. 
 

Почему?
 

Потому что рекламные объявления — это самые большие “дырки” в системе безопасности вашего сайта.
Из-за рекламных объявлений Java Script (или исходные файлы Java Script) “засасывает” в огромную дыру в системе безопасности.  
 

Что делать? 

Проведите простой тест. Сможете ли вы запихнуть простой Java Script файл в рекламное объявление на сайте или запустить Java Script непосредственно в рекламном объявлении? Смогли? Угадайте почему нет: у вас громадная дыра в системе безопасности сайта.
Теперь спросите себя: а покрывает ли прибыль от этих объявлений тот вред, который они наносят безопасности сайта? Если нет, избавьтесь от них без промедления. Или найдите сеть, которая будет блокировать эти скрипты. Как вариант: сделайте так, чтобы система безопасности предупреждала вас о вредносной активности раньше, чем вы получите “красный поцелуй смерти”. Как обычный пользователь вы же используете блокировку рекламы, так ведь? Веб-мастер должен поступать так же.  
 

2.Вы обходите сканеры вредоносного ПО 

Вы используете специальные службы для обхода сканеров вредносного ПО. Хорошая новость в том, что благодаря этой маленькой хитрости вы счастливо обходите все сканеры. И никаких красных предупреждений! 
Плохая новость в том, что эти службы заражают компьютеры ваших пользователей вирусами. Также они могут заразить и ваш сайт и “выпихнуть” его из ранжирования или проникнуть во внутреннюю сеть. Не говоря уже о том, что они делают ваш сайт частью обширной сети роботов, которая атакует другие сайты.  
Говоря не слишком техническим языком, RDI (Reflected DOM Injection) в этом случае использует некий “установочный”веб-сайт для размещения зашифрованного контента, а также веб-утилиту, созданную хорошо известным сайтом, например, Yohoo Cache или, в данном случае, Google Переводчик. 
 

Почему? 

Когда вы посещаете страницу в фоновом режиме, без ведома сканеров, вы одновременно посещаете и одну из этих служб, которые используются для разблокировки зашифрованных файлов, запускающих вредоносную атаку.  
И что, думаете вы. Что тут такого, ведь вредоносные файлы находятся на чужом сайте. А не может ли этот код загрузиться на ваш сайт при использовании рекламных объявлений? А потом заразить ваших пользователей и превратить ваш сайт в зомби? Чувствуете, куда это может завести?  
Это код может быть чем угодно. Никакой сканер не обнаружит его. И он выглядит вполне безобидным. Но только до тех пор, пока какой-нибудь пользователь своими действиями не активирует его.  
 

Что делать?  

В этом случае вы должны удостовериться, что ваш сайт надёжно защищён от вирусных скриптов (как, например XXS), вирусных загрузок и от взлома пароля. Конечно, тут не существует безотказных, волшебных методов. Однако если вы хорошенько поработаете над этим, существует шанс, что хакер предпочтёт добычу попроще.
Это работает до тех пор, пока ваш сайт не станет действительно заманчивой целью, лакомым кусочком для хакеров. Тогда вам следует обзавестись службой безопасности, которая будет работать над отражением хакерских атак.  
 

3. HTTP, который погибает за 30 секунд (а иногда и того меньше) 

Подробный рассказ о том, как HTTP или SSL могут быть “скомпрометированы”, читайте в еженедельной Информационной Статье (Informatoin Week article). Там сказано, что “все протоколы TLS и все протоколы защищённых сокетов (протоколы SSL) уязвимы для атаки. Однако не каждый сайт, использующий HTTP, обязательно подвергается опасности”.
В основном, с помощью ВЗЛОМа (в английском варианте используется слово BREACH, которое авторы статьи расшифровывают как “разведка/исследование браузера и изъятие (данных) с помощью адаптивного сжатия гипертекста и расширение/совершение преступной SSL/TLS атаки) можно извлечь защищённые данные из HTTP-сеанса. Например, логин, адрес электронной почты и учётные данные. Однако крупные данные, такие как электронное письмо целиком, таким путём получить нельзя.  
Всё это выглядит вполне невинно, пока вы, например, качаете музыку с бесплатного торрента. И становится опасным, если вы совершаете финансовые транзакции. 

Почему? 

Ответ очевиден. Станьте большой шишкой, и тогда ваши защищённые данные сразу заинтересуют хакеров. 

Что делать? 

Существуют определённые условия, которые увеличивают вероятность подобных атак.  

а) приложения или страницы сайта используют HTTP Response Body (не стоит переживать из-за того, что вы не знаете что это. Ваши программисты знают); 
б) для того, чтобы отобразить пользовательские данные, кроме HTTP Response Body вы используете строковые параметры запроса;  
г) самое важное условие. У вас есть такие данные, которые очень нужны хакеру.  

Вот в чём заключаются условия, которые делают уязвимыми все HTTP/SSL. При этом не обязательно каждый сайт подвергается опасности. Если вы хотите проверить ваш сайт, воспользуйтесь ресурсом BreachAttack.com. 

Примечание. Если вы думаете, что можно использовать TLS/SPDY-сжатие (подобно тому, как Google использует SPDY), вы ошибаетесь. Вышеупомянутая “преступная атака” оказалась способной выполнить такую же операцию.  

Это очень серьёзно. Примерно так же, как если бы вы получили предупреждение от Министерства Национальной Безопасности. И средств защиты от этого нет. Если вы имеете дело с важными данными, наймите хорошего профи, который будет присматривать за вашим сайтом или посоветует наилучшие способы контроля над сайтом и управления рисками.  
 

4. Массовые сканеры. Массовое заражение. 

Давайте применим для взлома версию закона Гордона Мура.  
С появлением облачных сервисов или кластерных систем, таких как Hadhoop, призванных упростить пользователям жизнь, мощь компьютеров экспоненциально растёт. Следовательно, мощь хакеров тоже увеличивается, и одна единственная хакерская атака имеет силу тысячи или даже десяти тысяч роботов или людей.  
И вы ещё удивляетесь, что ваш сайт взломали? Поражаетесь, с какой стати на вашем сайте вдруг появилось предупреждение о вредоносном ПО? И наверняка спрашиваете себя – ну почему именно мой сайт? 
А почему бы и нет? – отвечаю я. 
Возможность выявить уязвимые места сайта существовала всегда. Но с появлением HADHOOP, мы стали обладателями громадной мощи кластерного сканирования.  
Возможности кластерного сканирования так велики, что с его помощью вы можете менее чем за 10 секунд выявить 300 000 сайтов с определённым типом уязвимости.  
И ничто, абсолютно ничто не сможет вам помешать использовать мощь кластерного сканера в разрушительных целях. Например, быстренько просчитать возможности введения вредоносного кода в уязвимые базы данных SQL, да не для одного сайта, а для 100 000 сайтов.  

Теперь вы понимаете? 

Создатель этого чудесного сканера не раз заявлял, что придумал его во имя добра. Уничтожим сканер, скажете вы. Но вы же знаете, как это бывает. Избавимся от этого инструмента, появится другой, не менее мощный и вредный.  
Так или иначе, но вся мощь массового сканирования и массового заражения уже в нашем распоряжении. И мощь эта будет только расти за счёт увеличения вычислительных возможностей и расширения уже имеющихся знаний. И заметьте — расти экспоненциально.  
 

Есть один-единственный метод — XSS (межсайтовый скриптинг) 

Вкратце, описание уязвимости веб-приложения выглядит так: для межсайтового скриптинга 82% всех приложений сайта считаются уязвимыми.

 

 

Почему? 

Потому что XSS — одно из самых уязвимых мест в системе безопасности вашего сайта. XSS позволяет хакерам делать всякие забавные штуки. Например, стереть веб-сайт. Продавать виагру с вашего URL .gov. Вносить вредоносную информацию. И теперь это можно делать сразу на многих сайтах одновременно с помощью лёгкого и быстрого поиска. (Это актуально и для заражения баз данных SQL).
Для некоторых хакеров взлом сайта — это всего лишь забава, эдакое “хэй, гляньте на меня! я “сделал” ваш сайт!”. А другие с помощью взлома могут изъять ваш сайт из выдачи или торговать своими товарами с вашего ресурса. Или, что ещё серьёзней, получить доступ к паролям и пользовательским данным. 
Если вы SEO-специалист, то вы наверняка знаете, как справиться со взломом с помощью “чёрного СЕО” или “выравнивающих техник”. Однако я здесь не за тем, чтобы рассказывать вам, как это сделать. Всё, что вам нужно знать — это то, что ваш сайт должен быть защищён. Сейчас так просто нахватать всяких вирусов. Единственный выход — это надёжная защита.
Если вы хотите выявить самые уязвимые места вашего сайта, поучитесь у гуру “чёрного СЕО” Райана Барнетта (Ryan Barnett) из Trustwave и Грега Вроболевски (Greg Wroblewski) из Microsoft и проверьте следующие области сайта на предмет потенциальных хакерских атак: 

 
 

5. Оффлайн как способ добраться до онлайна 

Знаете, что предоставляет хакерам самый простой путь к вашей корпоративной сети, защищённым данным и другим секретам? Это одно из самых безобидных и, возможно, позабытых устройств, которое стоит у вас под столом или в холле.  
Да-да, одно из самых уязвимых мест в системе безопасности — это ваш принтер!  
На прошлогодней конференции DEF CON и “Чёрного SEO” было продемонстрировано, как просто получить доступ к корпоративной информации через принтер. Потому что принтеры чаще всего не защищены, обычно подсоединены к порту и имеют дурную привычку сохранять всё, что отсканировали.  
В этом году было сделано ещё одно открытие. 97% упомянутых принтеров не имели обновлённого ПО!  

Вот как это работает:
 

-пошлите на принтер задание для печати со встроенным ПО, в котором создан специальный контрольный центр и подготовлен соединительный туннель;
-во время печати загрузите в принтер ваше ПО.

В этом случае, вы получаете доступ к управлению через соединение порта. А через подсоединённые к принтеру устройства создаётся туннель для хакерской атаки. (Даже в случае отказа в обслуживании эти действия позволят хакеру нанести ущерб вашей сети, украсть данные или внедрить шпионов).  

Насколько это просто сделать? Ну как сказать. Уж точно не надо быть экспертом.  
Сложно ли найти подходящий принтер? Ну. Я сделал это за 5 секунд с помощью Shodan, системы, которая ищет порты и устройства, пригодные для взлома.  

 

Вот первые 4 результата поиска по слову “принтер”. Не правда ли, вполне достаточно для начала?  
 

Что делать? 

Обновите всё программное обеспечение и защитите всё, что подсоединено к внешней сети. Это жизненно необходимо. Любое слабое место открывает доступ внутрь сети.  
В данном случае, целью атаки был даже не шпионаж. Хакеры просто хотели спровоцировать “отказ в обслуживании” на сайте. Для этого им потребовался всего один принтер. А что, если бы принтеров было два? 
 

Что значит “сознательная безопасность”? 

Испугались? Я совсем не этого хотел добиться. Тем не менее, этот эфемерный мир, который мы называем киберпространством, очень и очень небезопасен. Уделяете ли вы внимание вашей безопасности? Задумывались ли вы над этим вопросом? Следите ли сайтом и серверами? Своевременно ли обновляете ПО вашего принтера и патчей? Обращаете ли внимание на предупреждения системы безопасности? Осознанно ли вы занимаетесь своей безопасностью?  
Есть ли у вас в штате сотрудник по компьютерной безопасности? Или, возможно, это просто удалённый консультант? (Всё зависит от ваших потребностей). Одним словом, есть ли у вас человек, который сможет помочь вам в экстренной ситуации?  
Например, ваш сайт подвергся атаке, которая спровцировала “отказ в обслуживании”. Как много денег вы потеряете в этом случае? Как много времени у вас занимает избавление от предупреждения Google о вредоносном ПО? Как много “чёрных” ссылок продавцы Виагры спрятали на вашем так высоко взлетевшем в поиске сайте? Что будут делать ваши клиенты, если вам всё-таки придётся выслать им то самое страшное письмо о том, что сайт был взломан?  
 

Отныне безопасность сайта имеет значение не только для крутых парней 

Раньше веб-безопасность была головной болью только крупных компаний. Сейчас пользователей Word Press атакуют почти ежедневно (и массово). У хакеров появилось больше возможностей выкинуть ваш сайт с выгодной позиции в ранжировании. Так как вы можете и дальше позволять себе упускать из виду веб-безопасность? Она должна стать такой же важной частью вашего SEO-маркетинга как, например, выбор правильных ключевых слов.  
Расспросите кого-нибудь, кто потратил кучу времени, сил и денег на восстановление сайта после хакерской атаки. Поверьте, тут мало приятного. И эта статья — только верхушка айсберга.
 
 
Считайте её кратким обзором уязвимых мест в системе безопасности сайта, которые обнаружены уже сегодня. Насколько защищён ваш сайт?