Зачем и как хакеры взламывают сайты

Сейчас трудно найти компанию, у которой нет своего сайта. Одни используют этот ресурс как элемент самопрезентации, другие – как основной канал продажи своих товаров или услуг.

Вместе с ростом вовлеченности бизнеса в интернет-пространство, растет и число преступлений, связанных со взломом сайтов. Этому способствует целый ряд факторов, из которых можно выделить три основных:

1. Низкий уровень защиты большинства интернет-ресурсов.
2. Разнообразие методов взлома, ряд из которых не требуют специальных знаний и навыков.
3. Ощущение относительной безнаказанности у злоумышленников.

В этой статье мы разберемся, какие сайты представляют наибольший интерес для злоумышленников. А также ответим на самые основные вопросы: кто, каким образом и с какими целями взламывает сайты.

Для чего взламывают сайты

Причин может быть множество: от кражи данных до желания пошутить, в таких специфичных случаях, как взлом сайта школы или ВУЗа. Однако, можно выделить три наиболее распространенных причины:

1. Нарушение бизнес-процессов. Приостановка деятельности компании в ходе временного ограничения работы веб-ресурса или его полное уничтожение. Как правило – элемент недобросовестной конкуренции. Некоторые группировки профильно предлагают услуги по взлому сайтов.
2. Кража. Конфиденциальной информации о деятельности компании, данных о клиентах или другой информации.
3. Реклама. На сайте размещаются ссылки, баннеры и другие элементы. Чаще всего они ведут на фишинговые или просто вредоносные сайты.
4. Вымогательство. Здесь возможны два сценария: требование выкупа за неразглашение украденных в ходе взлома данных, либо шифрование важной для компании информации с помощью специального ПО.

Бывают случаи, когда сайт взламывается в благих намерениях – с целью получить информацию о возможности реализации уязвимости и передать ее специалистам компании. Этим занимаются багхантеры, или, как их принять называть, «белые хакеры». Ввиду того, что этот процесс может двояко трактоваться с позиции законности, багхантеры чаще пользуются платформами bug bounty и не занимаются поиском уязвимых ресурсов по всему интернету.

Способы взлома сайтов

Александр Осипов

Директор по развитию облачных и инфраструктурных решений МегаФона

Одними из самых распространенных векторов атак на Web-ресурсы является использование слабой аутентификации – пользователей или администраторов сайта, а также уязвимости сайтов и веб приложений. Так, за последние 6 месяцев количество атак на веб ресурсы, в том числе фишинговых, увеличилось кратно, а спрос на решения по защите от таких угроз вырос в 5 раз.

Данные риски можно снизить с помощью повышения осведомленности в области информационной безопасности. Обучающая платформа МегаФона Security Awareness поможет понять, например, как правильно формировать стойкие к взлому пароли и применять другие важные правила кибергигиены. Так же данный риск значительно снизит применение продуктов многофакторной аутентификации.

Наиболее простые способы получить те или иные учетные данные или привилегированные права в рамках ресурса – это брутфорс и фишинг.

Успешность брутфорса напрямую определяется сложностью установленного пароля. В случае с сильным паролем потребуются целые века, а в случае с Qwerty123 и другими популярными в прошлом году комбинациями – считанные минуты.

Фишинговым атакам, в первую очередь с помощью почтовых рассылок, подвергается огромное количество компаний. Частично эту проблему решают спам-фильтры и адекватное распределение привилегированного доступа, но качественно нивелировать эффективность этого метода можно только с помощью внедрения курсов цифровой грамотности, и их проведение с определенной периодичностью.

Александр Герасимов

CISO Awillix

Говоря про уязвимости в веб-приложениях, стоит отметить методологию OWASP Top Ten, которая описывает наиболее актуальные угрозы для веб-сервисов. Уязвимости разбиты на 10 категорий и отсортированы по популярности, статистика наших проектов по анализу защищенности полностью коррелирует с OWASP Top Ten. Раз в несколько лет категории меняются, какие-то уходят, какие-то становятся более или менее актуальными, например:

1. Broken Access Control – данная категория стала наиболее серьезной угрозой для веб-приложений. Например, доступ к API интерфейсам без аутентификации с возможностью отправки POST, PUT, DELETE запросов.

2. Cryptographic Failures – новое название для категории Sensitive Data Exposure, внимание уделяется ошибкам, которые приводит к раскрытию конфиденциальных данных. Категория выходит на 2-ое место.

3. Insecure Design – новая категория в 2021, в которой основное внимание уделяется рискам, связанными с недостатками проектирования и реализации веб-приложений.

Чаще всего встречаются уязвимости связанные с бизнес логикой приложения, например, возможность накрутки баллов в системе лояльности и т.д.

Если говорить о том, как происходит взлом сайтов с участием профессиональных хакерских группировок, то многие из них профилируются на конкретных инструментах, но вполне могут использовать все «перебором», проверяя защиту на предмет очевидных брешей.

Профессиональные атаки наиболее опасны с той точки зрения, что их сложно обнаружить. Нередко компании узнают о взломе постфактум, после того, как проводившая ее группировка заявит об этом или выложит украденные данные в открытый доступ.

Павел Яшин

Руководитель службы информационной безопасности iiii Tech

Важно помнить, что основная цель взлома – извлечение прибыли, поэтому говорить об одном «наиболее частом» способе нельзя, при защите нужно учитывать различные направления атаки. Итак, наиболее часто встречающиеся виды взлома сайтов:

1. SQL-инъекции. Чтобы закрыть уязвимости к SQL-инъекциям нужно прописать скрипты, которые проверяют и обрабатывают любой введенный пользователем текст, удаляя текст инъекции.

2. XSS-атака или межсайтовый скриптинг. Есть универсальный способ защиты от SQL-инъекций и XSS-атак — обрабатывать все, что вводится в поля ввода до того, как записать текст из них в базу данных или выполнить.

3. Брутфорс. Если вы хотите защитить себя от брутфорса, создавайте сложные пароли с использованием специальных генераторов.

4. DDoS. DDoS-атака стоит денег и чем мощнее сервер, на который происходит атака, тем она дороже. На средние и небольшие предприятия дорогие и массированные атаки зачастую не производятся, поэтому среднему и малому бизнесу подойдут программы защиты вроде Cloudflare и DDoS-guard. Зачастую длительность DDoS атаки зависит от «бесплатного тестового» периода, который может выделяться для пробы заинтересованным злоумышленникам, обычно это время не превышает 10-15 минут.

5. Межсайтовая подделка запроса.Со стороны владельца сайта: нужно генерировать секретные ключи для каждой сессии, без которых нельзя выполнить запрос. Со стороны пользователя: разлогиниваться после посещения сайтов, даже на домашних ПК.

Конечно же нужно помнить о том, что кибербезопасность – это не разовое упражнение оценки, покупки средства защиты и его настройки, а постоянный, циклический процесс.

В условиях, когда количество кибератак непрерывно растет год от года, инструменты защиты становятся актуальными для все большего числа компаний. Даже если прямо сейчас цель «защититься» не стоит в приоритете, то имеет смысл провести аудит защищенности и составить комплексное представление об актуальном уровне безопасности цифровых ресурсов компании.

Как защититься от взлома

Несмотря на уход иностранных вендоров, на российском рынке достаточно разных классов решений для реализации защиты любой инфраструктуры. В то же время, лучший способ обеспечить высокий уровень – это проведение безопасной разработки.

Олег Бойцев

Руководитель платформы кибербезопасности TheWall

Защита от взлома – это отдельная большая тема на целую книгу, но если кратко, то разработчикам следует придерживаться процесса безопасной разработки кода (SSDLC/Secure Software Development Lifecycle), регулярно проводить анализ защищенности систем и тесты на проникновение (pentest).

Как показывает наш опыт, лучшей практикой защиты является размещение веб-ресурса за WAF. Это межсетевой экран, который используется для защиты веб-приложений от эксплуатации веб-уязвимостей. WAF обнаруживает угрозы и защищает веб-приложение.

Превентивное насыщение сетевой инфраструктуры защитными инструментами особенно актуально в условиях роста количества кибератак. Если до этого года он рос постепенно, как реакция на увеличение присутствия компаний в интернет-пространстве, то в 2022 вырос кратно.

Увеличилось не только количество, но и продолжительность атак. Массовое распространение получил хактивизм, когда ресурсы из того или иного сегмента экономики атакуются по политическим мотивам, даже если компании не аффилированы с государством.

Владимир Асташов

Руководитель группы SOC практики информационной безопасности Лиги Цифровой Экономики

Чтобы принять решение относительно того, нужно ли начинать интегрировать инструменты кибербезопасности, необходимо начать с комплексного аудита ИБ и ИТ. Под комплексным аудитом в данном случае понимается проверка соответствия принятых мер по обеспечению информационной безопасности целевому уровню защищенности, а также проверка специфических настроек инфраструктуры на соответствие политикам ИБ.

Среди маркеров можно выделить в первую очередь соответствие требованиям нормативно-правовой базы. Надо проверить наличие в организации всех необходимых документов и регламентов.

Следующим маркером будет проверка паспортов сервисов, карт сети, сведений об инвентаризации защищаемых активов. Отсутствие этих документированных сведений говорит как минимум о необходимости сбора информации о защищаемых активах.

Аудит безопасности позволяет составить модель актуальных для компании киберугроз на основе текущего состояния сетевой инфраструктуры организации. Фактически, это переход от ситуативной, реакционной защиты к планомерной работе в области информационной безопасности.

Защита сайта и другой инфраструктуры компании – это не только репутационная необходимость, но и способ обезопасить организацию от множества альтернативных издержек, связанных с утечками данных и приостановкой бизнес-процессов в ходе атаки. Особенно это актуально с учетом последних требований регуляторов: уже в ближайшем будущем российские компании могут подвергаться оборотным штрафам за утечки персональных данных.