Безопасность интернет-магазина: что и почему нужно защищать

В прошлом году вирус Petya нанес украинскому бизнесу ущерб на $8 млрд. После этого многие грозились, что займутся кибербезопасностью своего бизнеса, потому что эксперты пророчили еще более крутые атаки.

LIGA.net решила выяснить, усвоили ли различные украинские бизнесы урок прошлых атак, и готовы ли отражать новые удары киберпреступников. Редакция продолжает публикацию статей из этого цикла.

Журналист LIGA.net выяснял, с какими проблемами сталкиваются наши интернет-магазины и как им нужно себя защищать.

Дыры в одних и тех же местах

Специалисты говорят, что проблемы сайтов интернет-магазинов такие же, как у других типов сайтов. Technical Practice Lead в Astound Commerce Роман Луженецкий выделил три самых распространенных "дыры":

• XSS (межсайтовый скриптинг) - вид атаки, когда вредоносный код в виде скрипта внедряют в веб-страницу, и как только пользователь ее открывает, то заражает свой компьютер.

• Внедренный злоумышленниками вредоносный код может выполняться и непосредственно на сервере самого сайта. Такой код может украсть данные всех пользователей или изменить что-то в поведении сайта, например, изменить цены на продукты.

• DDoS атака - когда множество "зомбированных" злоумышленниками хостов в интернете (так называемый бот-нет) одновременно пытаются получить доступ к сайту и он не справляется с такой нагрузкой.

Однако это далеко не все, что может произойти с интернет-магазином.

По его мнению, первая, самая очевидная угроза, - прямое блокирование работы сайта. Это действительно могут сделать с помощью DDoS-атаки. Но есть и другие варианты. Например, все CMS (системы для управления контентом на сайте) на базе которых строят сайты интернет-магазина - и коммерческие, и бесплатные - содержат уязвимости и ошибки. Хороший пример - критические уязвимости Joomla и Drupal, обнаруженные в конце прошлого года - начале нынешнего.

"Эксплуатация уязвимостей в CMS может привести к неработоспособности сайта без необходимости создавать "шторм" входящих запросов. Да, устранением уязвимостей постоянно занимаются разработчики. Но кто из использующих эти CMS устанавливает обновления и как часто? Чаще всего – никогда", - добавляет Кардаков.

Еще одним "хорошим способом" перестать обслуживать клиентов (и зарабатывать деньги) является попадание сайта интернет-магазина в черные списки. Такое происходит прежде всего вследствие халатного отношения к собственной безопасности. Часто злоумышленники не имеют цели навредить непосредственно интернет-магазину. Получив контроль над веб-ресурсом, они начинают его активно использовать в своих интересах - рассылке СПАМа, распространении вредоносного кода, как платформу для сканирований других ресурсов в сети интернет.

По мнению профильных специалистов, если кибербезопасностью в интернет-магазине не занимаются, результат будет закономерный - бан. Выбраться из черного списка не просто и арифметика для пострадавших очень простая и печальная: неделя простоя = потеря ¼ месячной выручки, не говоря уже о косвенном ущербе - потеря клиентов, потеря уже вложенных средств на раскрутку и продвижение и многое другое.

Иногда магазины сталкиваются с довольно оригинальными мошенническими схемами или проблемами вследствие невнимательности разработчиков.

Опыт украинских интернет-магазинов

В феврале этого года интернет-магазин F.ua столкнулся с необычным мошенничеством. Некто, у кого есть база e-mail адресов реальных людей, регистрировал эти адреса на сайте интернет-магазина. Но вместо пароля писал текст такого содержания:

«нaпoминаeм, у ваc нe израсходoванный денежный бoнyc 1895$ www.*спам-ссылка*. Бонyc вы можeте cнять нa бaнкoвскую кapту или электрoнный кoшелек до 23.02».

Зачем? Потому что после регистрации интернет-магазин высылал пользователю письмо с напоминанием пароля. А значит, пользователь получал письмо с настоящего адреса интернет-магазина, но не с паролем, а со спам-ссылкой внутри. В F.ua говорят, что решили проблему ограничив количество символов для пароля и запретив подобного рода ссылки. С такой же проблемой столкнулся и интернет-магазин MebelOk. Об этом LIGA.net рассказала его соучредительница Оксана Донская.

В данном случае мошенник хотел воспользоваться репутацией и брендом интернет-магазинов для получения своей выгоды. Но бывает, что разработчики интернет-магазинов сами себе вредят по невнимательности.

К примеру, основатель F.ua Дмитрий Покотило обратил внимание на проблему с индексацией Google: "Некоторые некрупные магазины забывают закрыть от Google и других поисковых роботов индексацию некоторых страниц: с хламом, - которые не стоит индексировать, потому что они не сильно полезны с точки зрения SEO; и персональных страниц пользователя. Например, корзину".

Он вспоминает недавнюю ситуацию с Telegram, когда приватные чаты из мессенджера оказались в Google. Просто потому что разработчики не запретили роботу их индексацию. "Это мелкая ошибка, но на нее стоит обратить внимание", - добавляет Покотило.

А Оксана Донская рассказала, как несколько лет назад администратор сервера случайно парой комбинаций команд удалил полностью всю базу данных. Но резервная копия помогла восстановить сайт в течение нескольких часов.

Тушить пожар - или предотвратить пожар?

Несмотря на то, что риски в работе интернет-магазина есть, и серьезные, некоторые предприниматели слишком легкомысленно относятся к кибербезопасности.

Роман Луженецкий рассказывает, что владельцы большинства интернет-магазинов никак специально не защищают базовые функции своих сайтов от кибератак. Потому что большинство магазинов разработаны на базе фреймворков - программного обеспечения, которое облегчает разработку сайтов и обеспечивает им минимально необходимый уровень безопасности.

А один интернет-бизнесмен и вовсе сказал, что пока магазин не светится на ТВ-экранах, его не будут атаковать. Поэтому про кибербезопасность и говорить нечего.

Здесь уместно напомнить комментарий Александра Кардакова выше - интернет-магазин не обязательно должен быть конечной целью, его незащищенный сайт хакеры просто используют в своих интересах, закономерно нанеся ущерб и самому интернет-магазину. «А на фоне постоянно обнаруживаемых уязвимостей в популярных CMS - говорить об их "безопасности" просто смешно»,- добавляет технический директор компании Octava Cyber Defence Алексей Швачка.

Риски ведения бизнеса в интернете есть, и довольно серьезные. Самым главным для интернет-магазинов, безусловно, является недоступность сайта для своих клиентов. Как мы уже видели, способов "лечь" у сайта довольно много, потому надеяться нужно на лучшее, но готовиться к худшему.

Алексей Швачка привел несколько основных рекомендаций, которые могут помочь защитить свой бизнес в интернете.

Первое - соблюдайте базовые меры безопасности:

- отслеживайте наличие обновлений и регулярно обновляйте свой любимый CMS
- используйте сложные пароли и регулярно их меняйте
- откажитесь от небезопасных протоколов (типа FTP, telnet) в пользу SSH
- обязательно потратьтесь, установите и правильно настройте SSL-сертификат

Второе - используйте везде, где возможно, двухфакторную аутентификацию. В это случае, даже "угон" пароля админа не приведет к масштабным разрушительным последствиям.

Ну и конечно, регулярно делайте бэкапы. Причем неразумно будет ограничиваться единственной свежей резервной копией - она может оказаться скомпрометированной или зараженной, как и сам сайт. Сделайте и храните несколько архивных копий. Обязательно тестируйте резервные копии на работоспособность.