Безпека інтернет-магазину: що і чому потрібно захищати

З якими проблемами стикалися інтернет-магазини і як захищати свій бізнес в інтернеті.

В минулому році вірус Petya завдав українському бізнесу збитків на $8 млрд. що Після цього багато хто запевняв, що займеться кібербезпекою свого бізнесу, тому що експерти пророкували ще більш круті атаки. LIGA.net вирішила з’ясувати, чи засвоїли різні українські бізнеси урок минулих атак, і чи готові відбивати нові удари кіберзлочинців.

Дірки в одних і тих же місцях

Фахівці кажуть, що проблеми сайтів інтернет-магазинів такі ж, як у інших типів сайтів. Technical Practice Lead в Astound Commerce Роман Луженецький виділив три найпоширеніших “дірки”:

• XSS (міжсайтовий скриптинг) – вид атаки, коли шкідливий код у вигляді скрипта впроваджують у веб-сторінку, і як тільки користувач його відкриває, то заражає свій комп’ютер.

• Вбудований зловмисниками шкідливий код може виконуватися і безпосередньо на сервері самого сайту. Такий код може вкрасти дані всіх користувачів або змінити щось у поведінці сайту, наприклад, змінити ціни на продукти.

• DDoS атака – коли безліч “зомбованих” зловмисниками хостів в інтернеті (так званий бот-нет) одночасно намагаються отримати доступ до сайту і він не справляється з таким навантаженням.

На його думку, перша, найбільш очевидна загроза, – пряме блокування роботи сайту. Це дійсно можуть зробити за допомогою DDoS-атаки. Але є й інші варіанти. Наприклад, всі CMS (системи управління контентом на сайті) на базі яких будують сайти інтернет-магазину – і комерційні, і безкоштовні – містять уразливості і помилки. Хороший приклад – критичні уразливості Joomla та Drupal, виявлені наприкінці минулого року – початку нинішнього.

“Експлуатація уразливості в CMS може привести до непрацездатності сайту без необхідності створювати “шторм” вхідних запитів. Так, усуненням вразливостей постійно займаються розробники. Але хто з використовують ці CMS встановлює оновлення і як часто? Найчастіше – ніколи”, – додає Кардаков.

Ще одним “хорошим способом” перестати обслуговувати клієнтів (та заробляти гроші) є попадання сайту інтернет-магазину в чорні списки. Таке відбувається насамперед внаслідок недбалого ставлення до власної безпеки. Часто зловмисники не мають мети нашкодити безпосередньо інтернет-магазину. Отримавши контроль над веб-ресурсом, вони починають активно використовувати у своїх інтересах – розсилці Спаму, поширенню шкідливого коду, як платформу для сканувань інших ресурсів у мережі інтернет.

На думку профільних фахівців, якщо кібербезпекою в інтернет-магазині не займаються, результат закономірний – бан. Вибратися з чорного списку не просто і арифметика для постраждалих дуже проста і сумна: тиждень простою = втрата ¼ місячної виручки, не кажучи вже про непрямий збиток – втрата клієнтів, втрата вже вкладених коштів на розкрутку і просування і багато іншого. Іноді магазини стикаються з досить оригінальними шахрайськими схемами або проблемами внаслідок неуважності розробників.

Досвід українських інтернет-магазинів

У лютому цього року інтернет-магазин F.ua зіткнувся з незвичайним шахрайством. Хтось, у кого є база e-mail адрес реальних людей, реєстрував ці адреси на сайті інтернет-магазину. Але замість пароля писав текст такого змісту: «нагадуємо, що у вас не витрачений грошовий бонус 1895$ www.*спам-посилання*. Бонус ви можете зняти на банківську картку або електронний гаманець до 23.02».

Навіщо? Бо після реєстрації інтернет-магазин висилав користувачеві лист з нагадуванням пароля. А значить, користувач отримував листа з цієї адреси інтернет-магазину, але не з паролем, а зі спам-посиланням всередині. В F.ua кажуть, що вирішили проблему обмеживши кількість символів для пароля і заборонивши подібного роду посилання. З такою ж проблемою зіткнувся і інтернет-магазин MebelOk. Про це LIGA.net розповіла його співзасновниця Оксана Донська.

В даному випадку шахрай хотів скористатися репутацією і брендом інтернет-магазинів для одержання своєї вигоди. Але буває, що розробники інтернет-магазинів самі собі шкодять по неуважності.

Наприклад, засновник F.ua Дмитро Покотило звернув увагу на проблему з індексацією Google: “Деякі невеликі магазини забувають закрити від Google і інших пошукових роботів індексацію деяких сторінок: з мотлохом, – які не варто індексувати, тому що вони не дуже корисні з точки зору SEO; і персональних сторінок користувача. Наприклад, кошик”.

Він згадує недавню ситуацію з Telegram, коли приватні чати з месенджера опинилися в Google. Просто тому що розробники не заборонили роботу їх індексацію. “Це дрібна помилка, але на неї варто звернути увагу”, – додає Покотило. А Оксана Донська розповіла, як кілька років тому адміністратор сервера випадково парою комбінацій команд видалив повністю всю базу даних. Але резервна копія допомогла відновити сайт протягом декількох годин.

Гасити пожежу – або запобігти пожежа?

Незважаючи на те, що ризики в роботі інтернет-магазину є, і серйозні, деякі підприємці занадто легковажно ставляться до кібербезпеки.

Роман Луженецкий розповідає, що власники більшості інтернет-магазинів ніяк спеціально не захищають базові функції своїх сайтів від кібератак. Тому що більшість магазинів розроблені на базі фреймворків – програмного забезпечення, яке полегшує розробку сайтів і забезпечує їм мінімально необхідний рівень безпеки.

“Реальні дії по захисту робляться, якщо сайт був зламаний і магазин поніс втрати. Тоді залучається спеціаліст з інтернет-безпеки (якщо його не було раніше) для консультацій і змін у роботі магазину, щоб подібна атака більше не спрацювала”, – додає фахівець.

А один інтернет-бізнесмен і зовсім сказав, що поки магазин не світиться на ТБ-екранах, його не будуть атакувати. Тому про кібербезпека і говорити нічого. Тут доречно нагадати коментар Олександра Кардакова вище – інтернет-магазин не обов’язково повинен бути кінцевою метою, його незахищений сайт хакери просто використовують у своїх інтересах, закономірно завдавши шкоди і самому інтернет-магазину. «А на тлі постійно виявляються вразливостей в популярних CMS – говорити про їх “безпеки” просто смішно»,- додає технічний директор компанії Octava Cyber Defence Олексій Швачка.

Ризики ведення бізнесу в інтернеті є, і досить серйозні. Найголовнішим для інтернет-магазинів, безумовно, є недоступність сайту для своїх клієнтів. Як ми вже бачили, способів “лягти” у сайту досить багато, тому потрібно сподіватися на краще, але готуватися до гіршого.

Олексій Швачка навів кілька основних рекомендацій, які можуть допомогти захистити свій бізнес в інтернеті.

Перше – дотримуйтесь базові заходи безпеки:

– відстежуйте наявність оновлень і регулярно оновлюйте свій улюблений CMS
– використовувати складні паролі і регулярно їх міняйте
– відмовтеся від небезпечних протоколів (типу FTP, telnet) на користь SSH
– обов’язково потратьтесь, встановіть і правильно налаштуйте SSL-сертифікат

Друге – використовуйте скрізь, де можливо, двофакторну аутентифікацію. В цьому випадку, навіть “угон” пароля адміна не призведе до масштабних руйнівних наслідків.

Ну і звичайно, регулярно робіть бекапи. Причому нерозумно буде обмежуватися єдиною свіжої резервної копією – вона може виявитися скомпрометованої або зараженій, як і сам сайт. Зробіть і зберігайте кілька архівних копій. Обов’язково тестуйте резервні копії на працездатність.