Сайтты бұзу деген не және ол неге орын алады? Web-серверді қорғау жоспары.

Сайтты бұзу— бұл зиянкестің сайттың файлдарына немесе сайтты басқару жүйесін әкімшілендіру бөліміне рұқсатсыз қол жеткізуі.

Бұзулардың екі түрі болады:

Мақсатты — мұндай жағдайда зиянкес нақты бір сайтты бұзуды міндетіне алады, мәселен, сайтқа кірушілердің немесе иесінің құпия деректеріне қол жеткізу үшін. Бұзудың бұл түрі сирек кездеседі және одан әрі қаралмайды, алайда оған қарсы іс-қимыл жасау үшін жалпы бұзуға қарсы іс-қимыл жасауда пайдаланылатын құралдар қолданылады.

Жалпы — бұл жағдайда нақты бір сайт маңызды болмайды. Зиянкес алдағы уақытта өз мақсаттарында пайдалану үшін еркін сайттардың барынша көп санына қол жеткізуге тырысады. Баяндалатын тақырып бұзудың осы түрі туралы.

Бұзудың нәтижесінде зиянкес сайтқа еркін файлдарды жүктей алады, скриптерді енгізе алады, сайттың мазмұнын өзгерте алады, сондай-ақ сайт кірушілермен алмасатын деректерді ұстап қалу мүмкіндігі болады. Зиянкес сайтты бұзып, біріншіден, бұзылған сайт шегінде кез келген скрипттерді орындау мен кез келген ақпаратты орналастыру үшін немесе спам таратуға арналған тегін және анонимді хостинг алады, ал екіншіден, ол сайтқа кірушілерге қол жеткізе алады және сайттың парақтарынан кірушілердің компьютерлерін зақымдайды немесе оларды зиянды сайттарға бағыттай алады.

Сонымен қатар бұзылған сайттар DDoS шабуылдарды, басқа сайттарды бұзуды жүзеге асыру мен басқа кез келген зиянды бағдарламаларды іске қосу үшін пайдаланылады, себебі сайт орналасатын хостинг аккаунты – бұл хостинг серверіндегі операциялық жүйенің кез келген қосымшаларды іске қосуға мүмкіндік беретін толық пайдаланушылық аккаунты.

Зиянкес сайтты бұзу үшін оған сайттың файлдарын өзгертуге мүмкіндік беретін кез келген әдісті қолдануы мүмкін.

Бұзудың ең жиі кездесетін әдістері:

1. Сайттың иесі немесе әзірлеуші FTP арқылы сайтқа қосылатын компьютердегі вирустың көмегімен зиянкес FTP аккаунтының паролін ұрлайды, содан кейін аккаунтқа қосылып, еркін файлдарды өзгерте немесе жүктей алады. Сайт атауы сайттың атауына ұқсас папкада жиі орналастырылатыны себепті зиянкес ол бұзып енген сайтты тез анықтайды. Сондай-ақ сайттың атауы туралы ақпарат зиянкес ұрлаған FTP-ны іске қосудың күйге келтірулерінде жиі орналастырылады.

2. FTP бойынша қол жеткізуге ұқсас ұрланған SSH бойынша қол жеткізу әдісі де қолданылады. Бірақ одан ерекшелігі еркін бағдарламаларды іске қосу үшін SSH бойынша жұмыс істеу кезінде аккаунтта орналасқан сайтты пайдалану талап етілмейді.

3. Сонымен қатар зиянкес сайттың парақтарын редакциялауға арналған оның әкімшілендіру панелінің паролін ұрлай алады. Әдетте, әкімшілендіру панелі сайтқа еркін файлдарды жүктеуге мүмкіндіктер береді. Зиянкес оны пайдалана отырып, сайтқа зиянды скрипт жүктейді және ол арқылы әкімшілендіру панеліне кіру қажеттілігісіз сайтпен одан әрі жұмыс істеуді жүзеге асырады.

4. FTP, SSH немесе сайттың әкімшілендіру панелінің паролін зиянкес пароль айтарлықтай күрделі болмаса, сөздік бойынша теру арқылы біле алады.

5. Зиянкес парольді пайдаланбай сайтты басқару жүйесінде (CMS) немесе оның кеңейтулерінің беруінде қолданылатын осалдық арқылы сайтқа кіре алады. Мұндай жағдайда зиянкес бағдарламаның логикасындағы қатені пайдаланады және жүйені оны әзірлеуші көздеген қалыпта жұмыс істеуге мәжбүрлейді. Осы іс-қимылдардың нәтижесінде зиянкес сайтқа жұмысты одан әрі жалғастыруға арналған скриптті жүктей алады. Қандай да бір CMS қатысты қандай болсын осалдық қалай қолданылатынын білгісі келген кез келген адамға көмектесетін осалдықтар қоры болады. Бұзудың бұл әдісі өте жиі қолданылады, себебі осалдықтар қоры CMS-тегі жаңа қателер туралы хабарламалармен үнемі толықтырылады, ал сайттардың иеленушілері сайтты немесе олардың кеңейтулерін басқару жүйесін осалдықтарға ұшырамайтын өзекті нұсқаларына дейін сирек жаңартады.

6. Сайтқа кіргеннен кейін зиянкес ол арқылы хостингтің сол аккаунтында орналасқан басқа сайттарға да қол жеткізе алады. Демек, сайтта осалдықтар болмаған және FTP немесе SSH бойынша оған қол жеткізу мүмкін болмаса да – осал сайтпен бір аккаунтта орналасқанына байланысты сайт бұзылуы мүмкін.

Сайтты қандай да бір әдіспен бұзғаннан кейін зиянкес, көптеген жағдайларда, оған осалдық жабылған, ал барлық парольдер өзгертілген болса да сайтқа алдағы уақытта кіруге мүмкіндік беретін бір немесе бірнеше скрипт жүктейді. Әдетте, зиянкес мұндай скрипттерді сайт папкаларының құрылымына терең орнатып немесе CMS скрипттеріне ұқсас атаулармен оларды жасыруға тырысады. Сонымен қатар басып енуге арналған код CMS қолданыстағы файлдарының біреуіне енгізілуі мүмкін – осылайша зиянкес зиянды кодты айқындауды қиындатып, жаңа файлдар құрудан аулақ болады.

Зиянкестің мақсаты нақты бір сайтты емес, барынша көп сайтты зақымдау болатыны себепті ол түгелдей барлық сайттарға қол жеткізуге тырысады. Іріктеу үшін сайттардың тізімін алуға іздестіру жүйесін пайдалану жеткілікті болады. Егер қандай да бір сайт бұзылса, бұған зиянкес кенеттен оны іздестіру жүйесінен немесе атауларын теру арқылы тауып алғанына және сайтта осалдықтың орын алуына байланысты, не сайтқа қол жеткізу парольдері жария етілгені себепті жол беріледі.

Осымен, «ол туралы ешкім білмейді» деген себеппен сайтқа қауіп төнбейді деп ойлауға болмайды. Сайттың қауіпсіздігін қамтамасыз ету үшін мына шараларды қолдану қажет:

CMS және оның кеңейтулерін уақытылы жаңартуды жүргізу, вирусқа қарсы БҚ қорғалған компьютерлерден сайттармен жұмыс істеу және сайт пен хостинг аккаунтына қол жеткізуге арналған парольдердің жария етілуіне жол бермеу.

Web-серверді қорғаудың жалпы әдістері

Серверге арналған үш қауіпсіздік деңгейін ерекшелендіруге болады:

1-деңгей. Ең төменгі қауіпсіздік деңгейі.

1. Қолданыстағы бағдарламалық қамтылымды жаңғырту және патчтер орнату.

2. Барлық серверлер үшін бірыңғай күйге келтірулер (саясаттар) қолдану.

3. Артық қосымшаларды жою.

2-деңгей. Басып енуге қарсы іс-қимыл жасау.

1. Сыртқы желіаралық экран орнату.

2. Қауіпсіздік жүйелерін қашықтықтан әкімшілендіру.

3. Скрипттерді пайдалануды шектеу.

4. Пакеттерді фильтрлеуді пайдалана отырып, Web-серверлерді қорғау.

5. Персоналды оқыту мен қол жеткізу құқықтарының аражігін ажырату.

6. 1-деңгейде аталған шешімдерді қолдану.

3-деңгей. Шабылдарды айқындау және олардың ықпалын нашарлату.

1. Басымдылықтарды бөлу.

2. Аппараттық қорғау жүйелері.

3. Ішкі желіаралық экран.

4. Басып енулерді айқындаудың желілік жүйелері.

5. Серверлерде (хосттарда) орнатылатын басып енулерді айқындау жүйелері.

6. 2-деңгейде аталған шешімдерді қолдану.

Web-серверлердің қауіпсіздігін қамтамасыз ету нұсқалары. Web-серверлерді қорғаудың мына анағұрылым ортақ әдістерін атауға болады:

артық бағдарламалық қамтылымды (қосымшаларды) жою;

Web-серверлердің қорғалуын бұзу әрекеттерін айқындау;

орнатылған бағдарламалық қамтылымдағы ақауларды түзету;

желіге ажасалған шабуылдардың салдарын азайту;

Web-сервер жария етілген жағдайда, желінің қалған бөлігін қорғау.

Бағдарламалық қамтылымды жаңғырту/ Патчтер орнату

Бұл тәуекелдерді азайтудың ең қарапайым, бірақ сонымен бірге ең тиімді әдістерінің бірі. Барлық қолданыстағы Web-серверлер орнатылған бағдарламалық қамтылымды жаңарту және патчтер орнатуға қатысты үнемі тексерілуге тиіс.

Бағдарламалық қамтылымды жаңартуға қойылатын талап Web-серверде орнатылған кез келген бағдарламалық қамтылымды хакер жүйеге ену үшін пайдалана алуына байланысты енгізілді. Бұл желілік пакеттермен жұмыс істейтін немесе желі әкімшілері мен қауіпсіздік жүйелері пайдаланатын операциялық жүйелер, бағдарламалық қамтылым.

Бағдарламалық қамтылымды тексеру мына алгоритм бойынша жүргізілуге тиіс:

нұсқаларының нөмірлерін көрсете отырып, бағдарламалық қамтылымның тізбесін құраңыз;

- серверіңізге бағдарламалық өнімдердің соңғы нұсқаларының орнатылғанына көз жеткізіңіз;

- өнім беруші қоса берген нұсқаулықты ескере отырып, бағдарламалық қамтылымның тиісті нұсқаларына арналған патчтар тауып орнатыңыз. Бұл ретте жүйенің жұмысқа қабілеттілігін қамтамасыз ету үшін пачтер олардың нөмірлерінің өсу тәртібімен орнатылуға тиіс;

- пачтердің қалыпты жұмыс істеп тұрғанын тексеріңіз.

Тар шеңберде мамандандырылған серверлерді қолдану

Ақпараттық қауіпсіздігін қамтамасыз ету әрбір міндетке жеке ресурс (компьютер) бөлуді талап етеді. Керісінше жағдайда қауіпсіздік жүйесіндегі қате бірден бірнеше сервистің жұмысын бұза алады. Мәселен, электрондық пошта серверін, Web-сервер мен дерекқорлар серверін бір компьтерде орнатқан дұрыс емес. Алайда, әрбір жаңа сервер қорғау жүйесімен жабдықталуға тиіс, әйтпесе ол хакердің оңай табысына айналуы ықтимал.

Артық қосымшаларды жою

Web-сервер үшін міндетті емес барлық артықшылықты бағдарламалық қамтылым жойылуы керек. Бұл жағдайда артықшылықты бағдарламалық қамтылым ретінде желілік пакеттермен жұмыс істейтін немесе әкімші құқықтарымен іске қосылатын БҚ түсініледі. Кейбір операциялық жүйелер артықшылықты бағдарламаларды белгіленуі бойынша іске қосады, ал әкімшілер көптеген жағдайларда олардың бар болуы туралы мүлдем білмейді. Сол кезде кез келген осындай бағдарламаны хакер Web-серверге шабуыл жасау үшін пайдалана алады. Көптеген жағдайларда әкімшілер қауіпсіздік деңгейін арттыру үшін Web-сервердің жұмысқа қабілеттілігін қамтамасыз ету мақсатында пайдаланылмайтын барлық бағдарламалық қамтылымды (артықшылықтыларды ғана емес) жояды.

Сыртқы Firewall

Корпоративтік (ішкі) желі мен ортақ пайдаланымдағы Web-серверлер арасына желіаралық экран орнату ұйымның желісіне «көлденең» пакеттердің енуіне жол бермеуге мүмкіндік береді: зиянкес сыртқы Web-серверге енген жағдайда, ұйымның корпоративтік желісіне firewall арқылы енуге қиындыққа түседі. Егер Web-сервер корпоративтік желінің ішінде болса, хакер оған еніп, жаулап алынған ресурсты плацдарм ретін пайдаланып, барлық желінің жұмысқа қабілеттілігін бұза алады және оны толық бақылауға алады.

Қашықтықтан әкімшілендіру

Жеке консольден серверді басқару көптеген жағдайларда қолайсыз болатынына байланысты жүйе әкімшілері Web-серверлерге қашықтықтан әкімшілендіруді жүзеге асыруға мүмкіндік беретін бағдарламалық қамтылым орнатады. Қауіпсіздікті қамтамасыз ету тұрғысынан мұндай тәжірибе күрделі қателерге әкеп соғуы мүмкін.

Қашықтықтан әкімшілендіру шарасыз болған жағдайларда оны мына іс-қимылдармен сүйемелдеу қажет:

- қашықтықтан әкімшілендіру трафигін шифрлау (зиянкеске желі трафигін басқаруды ұстап алуға, парольдерді алуға немесе «зиянды» командалар енгізуге мүмкіндік бермеу үшін);

- қашықтықтан әкімшілендіру кезінде осыған арналған хост конфигурациясындағы пакеттерді фильтрлеуді (төмендегі сипаттамасын қарау) пайдалану;

- аталған конфигурация үшін қауіпсіздіктің жоғарырақ деңгейін қолдау;

- пакетерді шифрлаудың орнына фильтрлеуді пайдалданбау, себебі хакерлер жалған

IP-мекенжайларын жасай алады (өз IP-мекенжайын басқа мәнмен жасырып, хабарламалар жіберу).

Скрипттерді пайдалануды шектеу

Көптеген сайттар ерекше параққа көшкен кезде іске қосылатын скрипттерді (шағын бағдарламалар) қамтиды. Хакер осындай скрипттерді сайтқа ену үшін пайдалана алады (кодта айқындалған ақаулардың көмегімен). Мұндай ақауларды айқындау үшін бастапқы кодты білу міндетті емес, осыға байланысты скрипттерді сайтқа орналастырудың алдында оларды мұқият тексеру қажет. Скрипттер кездейсоқ командалардың немесе бөгде (қауіпті) бағдарламалардың енуіне жол бермеуге, пайдаланушыларға белгілі тар шеңберде мамандандырылған міндеттер орындауға мүмкіндік бермеуге, сондай-ақ кіріс ағынның параметрлері санын шектемеуге тиіс. Соңғысы буфердің шамадан тыс толуына қатысты шабуылдарды болдырмау үшін қажет (Мұндай сипаттағы шабуылдар кезінде зиянкес қосымша ақпарат алу мақсатында жүйені арбитраж бағдарламасын іске қосуға мәжбүрлеуге тырысады). Соңында скрипттерде әкімші құқықтары болмау керек.

Пакеттерді фильтрлейтін маршрутизаторлар

Маршрутизаторлар Web-серверлерді желінің қалған бөлігінен бөлу үшін орнатылады. Бұл қадам «бөгде» (дұрыс емес) пакеттердің енуіне жол бермей, көптеген шабуылдардың алдын алуға көмектеседі. Әдетте маршрутизаторлар қашықтықтан әкімшілендіру кезінде падаланылатын Web-серверге (мәселен 80 портқа) немесе порттарға сәйкес келмейтін барлық пакеттерді жояды. Қаіпсіздік деңгейін артыру үшін өткізуге жататын пакеттердің тізбесін құруға болады. Осылай, хакердің желіге ену мүмкіндігі азаяды. Пакеттерді фильтрлеу функциясы бар маршрутизатор серверден барлық қажетті емес бағдарламалық қамтылымы жойылған жағдайда шабуылдардың алдын алу үшін барынша тиімді болады (зиянкес стандартты емес сервиске сұрау сала алмайды). Алайда, пакеттік фильтрлеуді қолдану маршрутизатордың өткізу қабілетін төмендетеді және «дұрыс» пакеттерді жоғалту тәуекелін ұлғайтады.

Персоналды оқыту

Желі әкімшілерінің қауіпсіздікті қамтамасыз ету саласы бойынша білімі болмағаны немесе олар қорғау мәселелеріне немқұрайлы қарағаны себепті хакерлер желіге жиі енеді. Осыған байланысты аталған лауазымдағы қызметкерлер желі қауіпсіздігі жүйелерін зерттеп және алған білімдерін іс жүзінде пайдалана отырып, үнемі жетілуге тиіс. Бірнеше өте жақсы кітап пен оқу семинарлары да сіздің әкімшілердің көмекшісі болады.

Басылымдықтарды бөлу

Web-сервердің қауіпсіздігін қамтамасыз ету үшін қабылданған шаралардың күрделігіне байланыссыз басып ену ықтималдығын мүлдем жоққа шығаруға болмайды. Дегенмен, мұндай жағдай орын алса, шабуылдың салдарын барынша ықшамдау маңызды болады. Басымдылықтарды бөлу аталған мақсатқа қол жеткізудің тиімді әдісі болып табылады: әр пайдаланушы тек қана белгілі бағдарламаларды іске қоса алады. Осыған байланысты жеке пайдаланушының жария етілген деректері бойынша желіге кірген хакер жүйеге шектелген зиян келтіре алады. Мәселен, пайдаланушылардың сайтта өз парақтары бар, ал басқа парақтар ол үшін қолжетімсіз. Демек, бірінші пайдаланушының деректеріне ие болып, хакер өзге ресурстарға (парақтарға) қалай болсын ықпал ете алмайды. Бағдарламалық қамтылымға қатысты да жағдай ұқсас болады. Жазу құқығы бар пайдаланушылардың қауіпсіздік деңгейін арттыру мақсатында дербес кіші директорийлер құруға болады.

Аппараттық шешімдер

Аппаратураның басымдылықтарды бөлуге қатысты қауіпсіздік деңгейі анағұрылым жоғары болады, себебі бағдарламалық қамтылыммен салыстырғанда оңай түрлендірілмейді. Бірақ бағдарламалық қамтылымдағы осалдықтар арқылы хакер аппараттық құралдарға да қол жеткізе алады. Бұл қатерден қорғаудың ең танымал әдістерінің бірі сыртқы қатты дискілерге, магниттік-оптикалық дискілерге және т.б. жазу режиміне тыйым салу болып табылады. Әдетте, шабуылдарға жол бермеу үшін Web-сервер «тек қана оқу» режиміне конфигурацияланады.

Ішкі желіаралық экрандар

Заманауи Web-серверлер бөлінген жүйелермен жиі жұмыс істейді, олар басқа хосттармен өзара іс-қимыл жасай алады, деректерді алады немесе жібере алады. Мұндай жағдайда бұл компьютерлерді оларда сақталатын деректердің қауіпсіздігін қамтамасыз ете отырып, ұйым желісі ішіндегі желіаралық экранның артына орнатуға қызығушылық болады. Алайда, зиянкес Web-серверді жария ете алса, ол осы жүйелерге шабуыл жасауды бастау алаңы ретінде пайдаланылуы мүмкін. Осындай жағдайды болдырмау үшін Web-сервермен араласатын жүйелерді басқа желіден ішкі желіаралық экранмен бөлу қажет. Онда Web-серверге және одан онымен араласатын жүйелерге ену корпоративтік желіні толығымен жария етуге әкеп соқпайды.

Басып енулерді айқындаудың желілік жүйелері

Web-серверге патчтерді орнату мен қауіпсіз конфигурацияны іске асырудың барлық талаптарына қарамастан, барлық осалдықтарды кепілдікті жоққа шығару мүмкін емес. Оған қоса сыртқы шабуылдардан қорғалған Web-серверді серверлердің біреуінің жұмысын бұзумен істен шығаруға болады. Бұл жағдайда шабуылдың салдарын оқшаулау немесе сервистің жұмысқа қабілеттілігін дереу қалпына келтіру үшін мұндай оқиғалар туралы ақпаратты шұғыл алу маңызды болады. Көрсетілген ақпаратты алу үшін басып енулерді айқындаудың желілік жүйелері пайдаланылады. Басып енулерді айқындаудың желілік жүйелері (IDS) желінің барлық трафигін сканерлейді және рұқсатсыз белсенділікті, сервердің қорғауын немесе бұғаттауды бұзуды айқындайды. Заманауи IDS ақпаратты пейджерге, электрондық пошта жәшігіне немесе мониторға шығару жолымен олар туралы бір уақытта әкімшілерді хабардар ете отырып, барлық айқындалған бұзулар туралы есеп құрады. Сонымен қатар үлгілік автоматтандырылған есептер желілік қосылулардағы кідірулер мен бұғатталған IP-мекенжайларының тізімін қамтиды.

Серверлерде (хосттарда) орналастырылатын басып енулерді айқындау жүйелері

Серверлерде орналастырылатын басып енулерді айқындау жүйелері желілік IDS қарағанда, желінің жай-күйін анықтау міндетін жақсырақ атқарады. Желілік IDS барлық мүмкіндіктеріне ие болып, серверлік IDS көптеген жағдайларда қорғауды бұзу әрекеттерін дұрыс айқындайды, себебі Web-сервердің жай-күйіне қол жеткізу деңгейі жоғарырақ. Алайда, бұл әдістің де өз кемшіліктері бар. Егер хакер Web-серверге кірсе, ол әкімшінің шабуыл туралы хабарламалар алу мүмкіндігін бұғаттай отырып, серверлік IDS ажырата алады. Сервистің жұмыс істемей қалуына қатысты қашықтықтан жасалған шабуылдар (DoS шабуылдар) да сервердің істен шығу уақытына IDS жиі бұғаттайды. Ал DoS- шабуылдар зиянкестерге серверді оған кірмей бұғаттауға мүмкіндік беретеніне байланысты серверде орналасқан IDS басып енулерді айқындаудың желілік жүйесімен толықтырылуы тиіс.

Қолданыстағы шешімдерді шектеулер мен қосымша шаралар

Қауіпсіздік жөніндегі барлық мамандар қорғалған бағдарламалық қамтылымды пайдалануға кеңес береді, бірақ қымбат болуына немесе уақыттың тығыздығына байланысты оны кейбір жағдайларда орнату мүмкін емес. Онымен қоса, қауіпсіз бағдарламалық қамтылым біршама уақыттан кейін ескіреді және жаңа нұсқасын орнату қажет болады. Сондықтан ескірген БҚ мен қауіпсіздікті қамтамасыз етудің стандартты әдістерін пайдалану серверлердің қорғалған болуына кепіл бола алмайды. Алайда, Web-сервердің шабуылдарға қатысты тұрақтылығына біз осы жағдайда белгілі қауіпсіздік деңгейі бар кейбір бағдарламалық қамтылымды түсінетін сенімді бағдарламалық қамтылыммен бірлескен қауіпсіздікті қамтамасыз етудің тұжырымдалған шешімдерін пайдалану шартымен қол жеткізіледі.

Бағдарламалық қамтылымның қауіпсіздік деңгейі, біріншіден, осындай (немесе ұқсас) БҰ орнатылған серверлерге бұрын жасалған шабуылдарды талдау жолымен бағаланады. Шабуылдар саны БҚ оларға қатысты тұрақтылығын көрсетеді. Сонымен бірге бағдарламалық қамтылымның сенімділігі тікелей оның сапасына байланысты болады. Сапасыз бағдарламалық қамтылым қауіпсіздік жүйесіне қойылатын барлық талаптарды ескермейді және сондықтан сенімсіз болады. Екіншіден, бағдарламалық қамтылымның қауіпсіздік деңгейін оны осалдықтардың орын алуына қатысты тестілеу жолымен бағалауға болады. Серверлердің қорғалуын тексерумен айналысатын көптеген аудиторлық компаниялар бар. Аталған компаниялардың қолданысында қауіпсіздік жүйесіндегі осалдықтарды айқындауға мүмкіндік беретін мамандандырылған бағдарламалық қамтылым бар.

KZ-CERT қызметі материалдарды құрастырған кезде ашық ақпарат көздерінен алынған ақпаратты пайдаланды.