Риски, связанные с попытками несанкционированного доступа к данным

Риски, связанные с попытками несанкционированного доступа к данным

Проще говоря – взлом портала.

Вообще проблема взлома в значительной степени мифологизирована. Неопытные пользователи придают ей слишком большое значение, а многие веб-мастера с небольшим опытом – слишком малое. На самом деле пока вы сильно не навредите кому-то и не привлечете чрезмерного внимания, взламывать вас намеренно не станут. Гораздо вероятнее, что вы станете жертвой серийного взлома, когда доступ к закрытым функциям сайта добывают при помощи хорошо известной уязвимости в автоматическом режиме. Впрочем, тот факт, что вы станете всего лишь одной из десятка тысяч жертв взлома, никоим образом не уменьшит ущерб от него.

Далее мы кратко рассмотрим основные способы получения несанкционированного доступа к данным и расскажем, как защититься от них.

Перехват данных от FTP-клиента. Весьма распространенный способ. Тут все просто – вредоносная программа, попавшая на ваш компьютер, получает данные для подключения к серверу по FTP-протоколу и отсылает злоумышленнику, который впоследствии использует их для размещения своего вредоносного кода.

Злоумышленник, имеющий доступ к вашему FTP, имеет практически такие же возможности, как и квартирный вор, который смог утащить связку ваших ключей. При должной сноровке он может не просто забрать ценные вещи, но и неделями жить у вас дома, стирать одежду в вашей стиральной машине, читать ваши книги и незаметно опустошать ваш мини-бар. Более того, если у него будет достаточно времени, он может переклеить обои и даже сменить замок входной двери. В общем, вреда от этого может быть много.

Избежать подобных рисков полностью невозможно, но некоторые простые меры безопасности могут сильно осложнить злоумышленнику задачу.

? Создавайте сложные пароли, которые нельзя угадать или подобрать в минимальные сроки.

? Старайтесь не хранить пароль в памяти FTP-клиента, при подключении вводите его заново каждый раз. Если боитесь забыть очень сложный пароль, запишите его на бумаге – это гораздо надежнее памяти компьютера.

? Старайтесь использовать надежные FTP-клиенты. Так, многие веб-мастера считают Total Commander и плагин к Firefox не очень надежными просто потому, что они очень популярны и поэтому пользуются повышенным вниманием злоумышленников.

? Периодически меняйте пароли.

? Регулярно делайте и сохраняйте бэкапы.

Получение данных непосредственно через хостинг. Проблема в слабой защите данных на стороне хостера, либо в его неправильной кадровой политике. Встречается нечасто, но если такое происходит, то количество пострадавших сайтов может исчисляться десятками тысяч. Посоветовать можно только одно – тщательно выбирайте хостинг-провайдера и не экономьте на его услугах.

Использование стандартных уязвимостей CMS. Практически каждая новая версия любой свободной или проприетарной CMS отличается от предыдущей устранением одной или нескольких уязвимостей, и почти каждый раз после очередного релиза находят новые. Особенно часто выявляют уязвимости в коде самых популярных свободных CMS – Wordpress и Joomla, а также в коде их модулей, плагинов и т. п. Причина большого количества обнаруженных и используемых уязвимостей опять же заключается в популярности – их находят там, где ищут. Кроме того, для популярных свободных CMS создаются десятки и сотни плагинов, шаблонов и модулей, причем далеко не все они тестируются на безопасность должным образом.

Проприетарные CMS традиционно имеют меньше слабых мест, которыми может воспользоваться злоумышленник, поскольку их создатели обычно уделяют безопасности большое внимание. Вместе с тем проблемы с платными системами управления контентом также случаются, а потому регулярная установка заплаток и изучение найденных уязвимостей – хорошая практика. В целом же рекомендации можно сформулировать так.

? Старайтесь не использовать для создания портала популярные свободные CMS, имеющие репутацию уязвимых.

? При выходе каждой новой версии, в описании которой указано устранение уязвимостей, устанавливайте ее.

? При установке новых модулей обязательно тестируйте их на наличие слабых с точки зрения безопасности мест.

? Регулярно делайте и сохраняйте бэкапы.

Использование уязвимостей в собственном коде. Даже самые профессиональные программисты, в совершенстве владеющие приемами обеспечения безопасности, иногда допускают ошибки. Менее профессиональные делают это чаще, новички – очень часто. В вашем штате может работать программист любого уровня, и он наверняка будет делать ошибки. Некоторые из них могут привести к появлению уязвимостей и представлять угрозу для безопасности.

Некоторые приемы организационного характера могут заметно снизить риски появления проблем в вашем коде.

? Старайтесь не экономить на разработчике/разработчиках, поскольку хорошие специалисты стоят дорого. Это касается как штатных специалистов, так и сторонних компаний, оказывающих данную услугу.

? Не давите на разработчиков сроками, не ставьте невыполнимых задач. В том случае, если у вас нет выбора, обязательно дайте разработчикам время исправить свои ошибки уже после запуска программы или сервиса. Если вы сразу же загрузите их очередным заданием, все потенциальные уязвимости так и останутся неисправленными.

? Поощряйте стремление штатных специалистов к получению знаний. Программист, который стучит по клавишам в режиме 8/5, – вряд ли хороший программист (хотя и такое бывает).

? Периодически обращайтесь к сторонним специалистам для проведения технического аудита. При этом целью аудита должен быть не поиск повода для наложения взысканий, а поиск и устранение ошибок.

? Регулярно делайте и сохраняйте бэкапы (кажется, я уже вскользь упоминал об этом).