Неткэт 5.8: контур безопасности

Начинаем рассказывать о новых функциях Неткэта, появившихся в выпущенной на этой неделе версии 5.8. Первое, с чего хочется начать – Контур безопасности – вероятно, самое важное нововведение.

Контур безопасности – это набор функций и модулей Неткэта, призванных защитить ваш сайт от целого ряда угроз, в первую очередь от взломов со стороны недоброжелателей, плохих людей или просто хулиганов.

«У нас не настолько серьезный бизнес, чтобы конкуренты взламывали наш сайт» – известное и очень большое заблуждение. Дело в том, что большинство взломов сайтов происходит не адресно и не с целью украсть секретные данные. Типичный среднестатистический взлом — это массовая попытка проникновения на большое количество сайтов при помощи программы-робота, которая обходит сайты по списку и проверяет, подвержен ли сайт известным роботу уязвимостям.

Что происходит с теми сайтами, которые оказываются уязвимы? Обычно они заражаются – на них размещается:

• чужой контент с целью поискового спама в пользу заказчика атаки (поисковые машины могут заблокировать весь сайт, если найдут такой контент)
• вирус, который будет пытаться заразить посетителей сайта (поисковые машины среагируют так же, да и популярные браузеры тоже)
• программы-скрипты, которые рассылают спам или пытаются взломать другой, уже конкретный сайт методом брутфорса (об этом термине ниже)

И теперь от подобных угроз ваш сайт будет защищать…

Чаще всего проникновение на сайт происходит одним из трех способов:

• межсайтовый скриптинг
• SQL-инъекция
• PHP-инъекция

Мы не будем подробно описывать эти типы уязвимостей, о них можно найти много информации в интернете. Скажем только, что причина наличия таких проблем – недостаточно защищенный программный код. Это может быть и код самой CMS (системы управления сайтами), и код, написанный разработчиком сайта уже «поверх» CMS, и код в дополнительном модуле, установленном на сайт. Даже если этот код пишут программисты очень высокого класса, никто не даст 100% гарантии отсутствия подобных уязвимостей.

Если такая уязвимость есть, злоумышленник (или программа, написанная им) может «дописать» к адресу страницы параметр, который заставит сайт выполнить запрос к базе данных или программный код, написанный злоумышленником. Что дальше произойдет с вашим сайтом – на усмотрение упомянутого нехорошего человека.

Веб-файрвол не пытается найти уязвимости в коде. Он работает на опережение: проверяет подаваемые на сайт параметры на наличие зловредного кода и блокирует его работу. То есть, даже если разработчик допустил дыру в коде, злоумышленник просто не сможет ею воспользоваться. Такой подход позволяет свести к минимуму риск взлома сайта через инъекции или межсайтовый скриптинг.

Проект SiteSecure предлагает услугу мониторинга сайта на наличие вредоносного кода (вирусов), поискового спама, проверяет, не заблокирован ли он браузерами и поисковиками, проверяет на другие типовые проблемы безопасности. И если таковые он найдет – сообщит вам об этом.

Для наших пользователей услуги SiteSecure бесплатны до конца июня 2017 года. С июля мы предложим как бесплатные, так и платные пакеты.

Брутфорс - это массовый перебор паролей, например, на странице входа в админку вашего сайта. Для этого злоумышленнику понадобится некий сайт или сервер (а лучше много сайтов, которые он предварительно заразит - см. выше). Специальная программа будет «стучаться» к вам в админку с огромной частотой, «вводя» разные пароли. Как только пароль подойдет, злоумышленник получит полный доступ к сайту самыми обычными средствами. Как много времени понадобится на подбор пароля - вопрос к его сложности.

В Неткэте же теперь есть функция защиты от брутфорса. Если система видит попытку брутфорса, она вместе с полем ввода логина и пароля показывает капчу (например, сервис reCAPTCHA от Google) — нарисованные символы и поле для их ввода. Если символы введены неправильно, то попытка входа (то есть проверка пароля на соответствие) не будет осуществлена. Человек такие символы распознает и введет, а программа – вряд ли. И даже если предположить, что программа сможет распознавать какой-то процент символов, на это уйдет на порядки больше времени, что лишит брутфорс смысла.

Об этом мы писали в отдельной статье.

В Неткэте и раньше были инструменты защиты от злоумышленников: развесистая система разграничения прав пользователей, авторизация через USB-токены. Но инструменты, появившиеся в версии 5.8, поднимают уровень защищенности сайта на совершенно новый уровень. Призываем всех наших пользователей обновить свой Неткэт до версии 5.8: для пользователей с активной технической поддержкой это совершенно бесплатно, а если срок техподдержки прошел, её можно продлить.