Наша компания специализируется на лечении сайтов от вирусов и защите от взлома. Но часто мы получаем запросы от владельцев взломанных интернет-магазинов, где пострадавшие просят не только восстановить сайт, но и найти злоумышленника, чтобы написать заявление в полицию и привлечь правонарушителя к ответственности. Желание это вполне разумно и объяснимо: на ваш бизнес совершили покушение и допустить мысль о том, что взломщик будет безнаказанно бродить по просторам интернета, абсолютно неприемлима для бизнесмена.
Однако столкнувшись с реальностью владелец сайта часто разочаровывается, поскольку на деле все выходит не так, как в фильмах про шпионов и хакеров.
Да, узнать IP, с которого был выполнен взлом, в большинстве случаев не составит никакого труда. Но хакеры это знают и работают с подставных адресов: они используют для проведения атак VPN сервисы, скрывающие реальные адреса, подключаются через взломанные серверы и предоставляют ворованные аккаунты, чтобы не подставляться. Причем живые люди взламывают сайты редко (разве что по заказу). Большая часть сайтов атакуется автоматизированными программными комплексами (ботами). Киберпреступники один раз их настроили и запустили, а дальше работают «машины», взламывая и заражая сотни, а то и тысячи сайтов. Поэтому процесс поиска злоумышленника, увы, сводится к поиску сервера атакующего бота, а не реального человека. И, как вы понимаете, бота нельзя арестовать.
К сожалению, виртуальная среда позволяет «замести следы» намного проще и быстрее, чем это происходит в реальном мире. Как правило, при анализе инцидента на руках имеется только IP адрес какого-нибудь германского хостинга или африканского VPN сервиса, и найти по нему реального пользователя невозможно. Злоумышленники на это и рассчитывают. А случаи, когда хакер совершает ошибку и оставляет «отпечаток» своего реального IP, кошелька или email адреса практически исключены.
Кроме того, «плохие парни» могут удалить логи, по которым обычно отслеживаются операции взлома и вся вредоносная активность. Если в логах пусто, то анализировать попросту нечего.
Кстати, с IP адресами есть важный момент: их сбором для правоохранительных органов должен заниматься специалист. Например, если владелец сайта запросит у хостера IP адреса всех подключений, то в этот список могут попасть и легитимные адреса сотрудников, подрядчиков и самого владельца сайта. В итоге спросят со всех.
Когда взламывают банковские ресурсы, сайты госструктур и корпораций, бюджет на расследование инцидентов выделяется существенный. В этом случае подключаются центры реагирования на инциденты и компании, специализирующиеся на расследовании и предотвращении киберпреступлений с их мощными административными и техническими ресурсами. Если стоимость лечения и технической защиты интернет-магазина порядка 5000 руб, то стоимость заказа расследования в специализированной компании в десятки раз выше. Обычно, владелец сайта к такому не готов, а бесплатно заниматься сбором доказательной базы и поиском хулигана коммерческие структуры не будут.
Конечно, есть отдел «К», задача которого искать и наказывать киберпреступников. Но проблема в том, что на руках владельца сайта есть только подставные IP адреса (обычно, иностранные), с ними он приходит в правоохранительные органы, пишет заявление и ждет результатов. Но искать хакера по иностранным IP будут только в том случае, если последний пытался совершить гос. переворот, атаковал банки или сделал что-то действительно серьезное и масштабное, а не просто взломал коммерческий сайта (даже если владелец считает свой бизнес самым крупным и важным в Рунете). Поэтому формально заявление у вас примут, но без российских IP адресов, реальных аккаунтов, кошельков, профилей ВКонтакте и других «зацепок», результат расследования будет нулевой.
Когда взломанный сайт попадает к специалисту по информационной безопасности, часто с ним уже успели поработать и «наследить» веб-мастер, служба тех. поддержки хостинга и другие специалисты в попытках вернуть сайт к жизни или восстановить из резервной копии. Вместо того, чтобы в момент инцидента немедленно обратиться к «безопасникам», веб-мастера начинают тянуть время или самостоятельно «лечить» сайт. В результате старые логи с критически важными данными удаляются и хакерские файлы с временными метками исчезают бесследно, а специалистам по ИБ остается только гадать на кофейной гуще.
К сожалению, в настоящее время раскрытие интернет-преступлений, связанных со взломом сайтов, остается для нашего общества все еще сложной задачей.
Как же быть? Неужели совсем ничего нельзя сделать? Отнюдь. Оптимальным решением для владельцев интернет-магазинов на сегодняшний день являются превентивные меры защиты и регулярная диагностика сайта на предмет взлома и заражения. То есть не ждать, пока сайт взломают, и затем пытаться совершить акт возмездия, а позаботиться о безопасности веб-ресурса заранее и исключить сам факт взлома.
Еще несколько лет назад мы узнавали от программ мониторинга серверов о том, что сайт подвергся атаке по косвенным показателям возросшего сетевого трафика, нагрузки на процессор или отказа веб-сервера или базы данных. Получение уведомлений о неполадках давало сигнал системному администратору мониторить логи сервера и обеспечивать защитные меры, выражающиеся в блокировке отдельных «плохих» IP, установке дополнительных HTTP паролей на особо важные части сайта, установке обновлений на все серверное ПО.
Такой способ фиксации атаки на сайт — не совсем корректный, так как он не сообщает вам, прошла ли атака на сайт успешно, заражен ли сайт в итоге? Ведь, если атака прошла успешно, на ваш сайт может быть заложена бомба замедленного действия. «Закладка» может долго о себе не напоминать и, например, сливать трафик с вашего сайта или воровать у пользователей аккаунты или вообще делать все, что угодно, о чем вы узнаете только спустя какое-то время.
Мы очень хотели знать, что происходит с нашими сайтами здесь и сейчас и приступили к разработке модуля активной безопасности, в первую очередь для защиты собственных веб-ресурсов.
Мы определили следующие требования к нему:
— модуль должен подсказывать, были ли изменения в системных файлах CMS и если были, то какие именно в каком именно файле;
— модуль должен сигнализировать о наличии вредоносных конструкций в запросах, чтобы своевременно засечь начало сканирования сайта на уязвимости (на этом этапе можно было насторожиться и начать мониторинг злоумышленника или сразу заблокировать его);
— модуль должен бесконечно проверять все файлы сайта на наличие вирусов, чтобы мгновенно отреагировать на заражение. (очень актуально, если пароль к FTP был компрометирован или хостинг «дырявый», что также бывает часто, но в этом никто не признается).
Три описанных выше компонента позволяют сказать однозначно — «ваш сайт в полном порядке» или «вас взломали!» Спустя некоторое время мы дополнили модуль еще возможностью автоматически выполнять блокировку IP и лечение файлов. После окончательного тестирования мы приняли решение включить данный компонент в состав нашего продукта «ReadyScript Мегамаркет» и теперь им пользуются наши клиенты.
Проблема уязвимости веб-сайтов чрезвычайно актуальна, особенно в среде бесплатных CMS, где уязвимости находят гораздо чаще в силу их распространенности, универсальности и доступности.
В своей работе мы часто сталкиваемся со случаями массового взлома сайтов с движком от Joomla! или WordPress, а также их плагинов, теми же ботами, указанными в статье. Большая часть заражений случается из-за довольно-таки банальных причин:
в первую очередь, это отсутствие последних обновлений безопасности для CMS;
использование небезопасных плагинов для CMS, использование старых или неактуальных версий плагинов;
отсутствие регулярных (не реже
использование небезопасного, а зачастую и неумело «самонастроенного» хостинга;
использование слабых или распространенных паролей для административной части сайта.
И самое главное, отсутствует понимание, что сайту, особенно на бесплатной CMS, необходим контроль и ежемесячное административное, а иногда и техническое обслуживание.
На мой взгляд, среднестатистическому владельцу сайта не стоит особо рассчитывать на поимку взломщика и получение от него компенсаций. Взлом сайта — это прежде всего недоработка его владельца, чем «заслуга» хакера, и состоит она в следующем:
Вы неаккуратно пользуетесь имеющимися у вас инструментами управления сайтом: не используете HTTPS-подключение, антивирус на своем компьютере, программы для безопасного хранения паролей, используете легко подбираемые имена пользователей и пароли.
В программном коде вашего сайта есть уязвимость. Для создания сайта нужно либо использовать CMS с большим «возрастом» обновлений, где с большой долей вероятности уже устранена подавляющая часть возможностей проникновения, либо заказывать индивидуальное создание сайта разработчику, который может убедительным для вас способом подтвердить отсутствие «лазеек».
В обоих случаях имеет смысл дополнительно выполнить индивидуальную проверку на наличие возможностей взлома, обратившись в специализированную компанию.
Что касается наказания для хакера, то сразу после обнаружения случая взлома нужно, конечно, обратиться в полицию и предоставить максимальный объем информации, которая может помочь в расследовании. Даже если ваш личный случай взлома полностью расследовать не удастся, ваши данные помогут правоохранителям учитывать их при расследовании других аналогичных случаев. Таким образом, не получив прямой компенсации, вы тем не менее будете способствовать поимке преступника и его наказанию в конечном итоге.
Во многих случаях без сотрудничества с органами/провайдерами других стран найти злоумышленника невозможно. Это ограничивает возможности среднестатистического владельца сайта по поиску и наказанию виновного.
Однако, иногда возможно самостоятельно собрать достаточно информации, даже когда злоумышленник использовал цепочку подставных IP адресов в странах третьего мира, а наши правоохранительные органы не спешат выходить с ними на контакт. Особенно, если ваш сайт был взломан целенаправленно. В таких случаях, до самой атаки злоумышленник анализирует сайт и не всегда предпринимает серьезные меры предосторожности, при этом ранее он мог быть пользователем или даже администратором сайта. Здесь важно выявить взаимосвязи.
К нам обратился клиент с подозрением на взлом сайтов, размещенных на одном сервере. Быстрый аудит выявил 3 сайта со следами несанкционированного доступа. Помимо устранения последствий и реализации плана по их предотвращению в будущем, клиент хотел установить причины. Его специфика была такова: за отдельные работы по каждому из сайтов отвечали разные подрядчики/субподрядчики. Предстояло оценить степень вины и ответственности каждого.
Изначально мы искали единую первопричину, но расследование инцидента привело нас к трём разным. И если в первом случае проблема была в автоматизированном взломе распространенной бесплатной системы управления, которую использовали разработчики, то два других оказались интереснее.
Наличие логов (журналов доступа) и бекапов (резервных копий) за последние 5 лет помогло выявить сотрудников агентства, забывших удалить один из служебных установочных файлов системы управления. Спустя несколько недель файл был удален, но их было достаточно для заливки вредоносного кода, который был использован намного позже.
Взломавшего третий сайт выдала неудачная попытка авторизации незадолго до взлома. Обратив на это внимание, удалось выяснить, что чуть менее года назад он действительно имел доступ к панели управления сайта. Один из IP адресов в логах авторизации указывал на экзотическую локацию, по которой, в совокупности со спецификой использования взломанного ресурса, удалось однозначно установить ФИО фрилансера, который работал в то время на субподряде у обслуживающего сайт агентства.
Примечательно, что до нас клиент обратился в компанию, которая за несколько тысяч рублей обещает вылечить и защитить любой сайт. Их отчёт начинался со слов «сайт просканирован на наличие всех видов хакерских скриптов», при этом проблема не была выявлена и устранена, равно как и её причины. Зато установленная «типовая защита» нарушила работоспособность сайта и вызвала ещё больше вопросов у клиента.
Большинству владельцев сайтов рассчитывать на бесплатную или недорогую помощь не приходится, но зачастую извлечь полезную информацию из произошедшего можно. Важно хранить логи и бекапы на внешнем изолированном ресурсе настолько долго, насколько это возможно.
Лучше размещать сайт на выделенном сервере в компании, у которой есть свои системные администраторы, разработчики и специалисты по информационной безопасности. Заключив договор на обслуживание, вы передадите им все полномочия и ответственность за инфраструктуру.
Конечно, вы не сможете полностью исключить взломов, но наличие компетенций и единого ответственного поможет своевременно обнаружить попытки взлома, оперативно устранить последствия. В некоторых случаях вы даже сможете определить виновных/злоумышленников. Но, несмотря на наличие автоматизированных инструментов, для этого понадобится существенное количество времени работы специалистов.
Проведите конкурс среди участников CMS Magazine
Узнайте цены и сроки уже завтра. Это бесплатно и займет ≈5 минут.
Генеральный директор ООО «АРТВЕЛЛ»
Все верно написано. Комерсу надеяться не на что. Расследование будет стоить колоссальных денег. И большинству магазинов такое расследование не по карману.
Про 5 000 улыбнулся, специалисты берут в час значительно больше. Речь о профи в этой области, а их мало.
В случае взлома госзаказчика — как раз отдел К не дремлет, как и другие специальные службы. И взламывать госсектор опасно, так как можно (в 90% случаев) огрести в гости большого брата, который может увидеть всё и вся. И расследовать будут не потому, что заплатили, а потому что это государственная безопасность.
Мы знаем прецедент, когда через одну страну ХХХ пытались взломать одну государственную структуру. И подставные прокси и всё было скрыто.... Но, коллеги из силовых структур той страны оказали содействие нашим коллегам, далее соединили все данные.... И, стоит отметить, виновный получил свое наказание.
Также можно припомнить случай, когда ддосили сайт Аэрофлота. Это — одно из немногих уголовных дел, где найден заказчик ДДОС-атаки.