Безопасность интернет-магазина: что и почему нужно защищать
С какими проблемами сталкивались интернет-магазины и как защищать свой бизнес в интернете.
В прошлом году вирус Petya нанес украинскому бизнесу ущерб на $8 млрд. После этого многие грозились, что займутся кибербезопасностью своего бизнеса, потому что эксперты пророчили еще более крутые атаки. LIGA.net решила выяснить, усвоили ли различные украинские бизнесы урок прошлых атак, и готовы ли отражать новые удары киберпреступников.
Дыры в одних и тех же местах
Специалисты говорят, что проблемы сайтов интернет-магазинов такие же, как у других типов сайтов. Technical Practice Lead в Astound Commerce Роман Луженецкий выделил три самых распространенных «дыры»:
-
XSS (межсайтовый скриптинг) — вид атаки, когда вредоносный код в виде скрипта внедряют в веб-страницу, и как только пользователь ее открывает, то заражает свой компьютер.
-
Внедренный злоумышленниками вредоносный код может выполняться и непосредственно на сервере самого сайта. Такой код может украсть данные всех пользователей или изменить что-то в поведении сайта, например, изменить цены на продукты.
-
DDoS атака — когда множество «зомбированных» злоумышленниками хостов в интернете (так называемый бот-нет) одновременно пытаются получить доступ к сайту и он не справляется с такой нагрузкой.
Однако это далеко не все, что может произойти с интернет-магазином.
Веб-сайт для интернет-магазина является основным инструментом ведения бизнеса, поэтому спектр угроз и их последствия гораздо шире, чем для какого-нибудь «сайта-визитки», — говорит основатель компании Octava Cyber Defence Александр Кардаков.
По его мнению, первая, самая очевидная угроза, — прямое блокирование работы сайта. Это действительно могут сделать с помощью DDoS-атаки. Но есть и другие варианты. Например, все CMS (системы для управления контентом на сайте) на базе которых строят сайты интернет-магазина — и коммерческие, и бесплатные — содержат уязвимости и ошибки. Хороший пример — критические уязвимости Joomla и Drupal, обнаруженные в конце прошлого года — начале нынешнего.
«Эксплуатация уязвимостей в CMS может привести к неработоспособности сайта без необходимости создавать «шторм» входящих запросов. Да, устранением уязвимостей постоянно занимаются разработчики. Но кто из использующих эти CMS устанавливает обновления и как часто? Чаще всего – никогда», — добавляет Кардаков.
Еще одним «хорошим способом» перестать обслуживать клиентов (и зарабатывать деньги) является попадание сайта интернет-магазина в черные списки. Такое происходит прежде всего вследствие халатного отношения к собственной безопасности. Часто злоумышленники не имеют цели навредить непосредственно интернет-магазину. Получив контроль над веб-ресурсом, они начинают его активно использовать в своих интересах — рассылке СПАМа, распространении вредоносного кода, как платформу для сканирований других ресурсов в сети интернет.
По мнению профильных специалистов, если кибербезопасностью в интернет-магазине не занимаются, результат будет закономерный — бан. Выбраться из черного списка не просто и арифметика для пострадавших очень простая и печальная: неделя простоя = потеря ¼ месячной выручки, не говоря уже о косвенном ущербе — потеря клиентов, потеря уже вложенных средств на раскрутку и продвижение и многое другое. Иногда магазины сталкиваются с довольно оригинальными мошенническими схемами или проблемами вследствие невнимательности разработчиков.
Опыт украинских интернет-магазинов
В феврале этого года интернет-магазин F.ua столкнулся с необычным мошенничеством. Некто, у кого есть база e-mail адресов реальных людей, регистрировал эти адреса на сайте интернет-магазина. Но вместо пароля писал текст такого содержания: «нaпoминаeм, у ваc нe израсходoванный денежный бoнyc 1895$ www.*спам-ссылка*. Бонyc вы можeте cнять нa бaнкoвскую кapту или электрoнный кoшелек до 23.02».
Зачем? Потому что после регистрации интернет-магазин высылал пользователю письмо с напоминанием пароля. А значит, пользователь получал письмо с настоящего адреса интернет-магазина, но не с паролем, а со спам-ссылкой внутри. В F.ua говорят, что решили проблему ограничив количество символов для пароля и запретив подобного рода ссылки. С такой же проблемой столкнулся и интернет-магазин MebelOk. Об этом LIGA.net рассказала его соучредительница Оксана Донская.
В данном случае мошенник хотел воспользоваться репутацией и брендом интернет-магазинов для получения своей выгоды. Но бывает, что разработчики интернет-магазинов сами себе вредят по невнимательности.
К примеру, основатель F.ua Дмитрий Покотило обратил внимание на проблему с индексацией Google: «Некоторые некрупные магазины забывают закрыть от Google и других поисковых роботов индексацию некоторых страниц: с хламом, — которые не стоит индексировать, потому что они не сильно полезны с точки зрения SEO; и персональных страниц пользователя. Например, корзину».
Он вспоминает недавнюю ситуацию с Telegram, когда приватные чаты из мессенджера оказались в Google. Просто потому что разработчики не запретили роботу их индексацию. «Это мелкая ошибка, но на нее стоит обратить внимание», — добавляет Покотило. А Оксана Донская рассказала, как несколько лет назад администратор сервера случайно парой комбинаций команд удалил полностью всю базу данных. Но резервная копия помогла восстановить сайт в течение нескольких часов.
Тушить пожар — или предотвратить пожар?
Несмотря на то, что риски в работе интернет-магазина есть, и серьезные, некоторые предприниматели слишком легкомысленно относятся к кибербезопасности.
Роман Луженецкий рассказывает, что владельцы большинства интернет-магазинов никак специально не защищают базовые функции своих сайтов от кибератак. Потому что большинство магазинов разработаны на базе фреймворков — программного обеспечения, которое облегчает разработку сайтов и обеспечивает им минимально необходимый уровень безопасности.
«Реальные действия по защите предпринимаются, если сайт был взломан и магазин понес потери. Тогда привлекается специалист по интернет-безопасности (если его не было раньше) для консультаций и изменений в работе магазина, чтобы подобная атака больше не сработала», — добавляет специалист.
А один интернет-бизнесмен и вовсе сказал, что пока магазин не светится на ТВ-экранах, его не будут атаковать. Поэтому про кибербезопасность и говорить нечего. Здесь уместно напомнить комментарий Александра Кардакова выше — интернет-магазин не обязательно должен быть конечной целью, его незащищенный сайт хакеры просто используют в своих интересах, закономерно нанеся ущерб и самому интернет-магазину. «А на фоне постоянно обнаруживаемых уязвимостей в популярных CMS — говорить об их «безопасности» просто смешно»,- добавляет технический директор компании Octava Cyber Defence Алексей Швачка.
Риски ведения бизнеса в интернете есть, и довольно серьезные. Самым главным для интернет-магазинов, безусловно, является недоступность сайта для своих клиентов. Как мы уже видели, способов «лечь» у сайта довольно много, потому надеяться нужно на лучшее, но готовиться к худшему.
Алексей Швачка привел несколько основных рекомендаций, которые могут помочь защитить свой бизнес в интернете.
Первое — соблюдайте базовые меры безопасности:
— отслеживайте наличие обновлений и регулярно обновляйте свой любимый CMS
— используйте сложные пароли и регулярно их меняйте
— откажитесь от небезопасных протоколов (типа FTP, telnet) в пользу SSH
— обязательно потратьтесь, установите и правильно настройте SSL-сертификат
Второе — используйте везде, где возможно, двухфакторную аутентификацию. В это случае, даже «угон» пароля админа не приведет к масштабным разрушительным последствиям.
Ну и конечно, регулярно делайте бэкапы. Причем неразумно будет ограничиваться единственной свежей резервной копией — она может оказаться скомпрометированной или зараженной, как и сам сайт. Сделайте и храните несколько архивных копий. Обязательно тестируйте резервные копии на работоспособность.
Читайте также
Украина под прицелом: какие ритейл-компании пострадали от кибератаки