Дефейс и DDoS-атаки на российские сайты: что известно об организаторах
Движение «Анонимус» — международная сеть кибер-активистов, действующая на территории разных стран. Название ассоциируется с символом движения — маской Гая Фокса, персонажа комикса и фильма «V — значит Vendetta», выступающего против ограничения свободы слова и коррупционеров во власти. После выхода фильма среди пользователей интернета маска превратилась в мем, олицетворяющий анонимность в сети.
Движение выступает против цензуры и надзора в интернете, а также против какого-либо преследования за распространению информации. У группировки нет единого лидера, Анонимус определяют себя как децентрализованное сообщество. Члены движения принимают участие в акциях протеста по всему миру, но специализируются на кибер-атаках: взломах сайтов, похищении данных, DDoS-атаках. Самые известные действия членов Анонимуса за последние несколько лет: взлом пяти тысяч аккаунтов в Твиттере, связанных с террористами ИГИЛ (запрещена на территории России), после серии терактов в Париже в 2015 году, протест против антипиратских действий по блокировке крупнейшего торрента The Pirate Bay, протест против цензуры в интернете после начала рассмотрения в США законопроекта о «О противодействии онлайновому пиратству».
25 февраля члены движения Анонимус объявили о намерении выступить против президента России Владимира Путина. После этого стало известно о серии кибератак на сайт Роскомнадзора, Кремля и правительства. Ответственность за падение сайта телеканала RT хакеры из Анонимуса также взяли на себя, согласно их твиттер-аккаунту. В то же время, члены группировки объявили о взломе сайта Министерства обороны РФ и публикации персональных данных сотрудников в открытый доступ, но в Минобороны это заявление опровергли, так как данные военнослужащих и сотрудников по закону не могут храниться на серверах сайта ведомства.
28 февраля движение Анонимус взломало сайты многих российских медиа, в числе которых — глянцевые СМИ и благотворительный фонд. Вместо привычного контента на главных страницах появилось обращение, написанное членами группировки. Многие пользователи не поняли, что случился взлом, хотя под обращением расположилась официальная эмблема Анонимуса, а сам текст на русском языке был написан с ошибкой. В экспертных сообществах появилось мнение, что взлом удалось осуществить с помощью «измененного скрипта тэг-менеджера в рекламной сети», предполагая, что пользователям, браузеры которых блокируют рекламу на сайтах, страницы отображались в обычном режиме.
Исследователи, изучающие активность хакеров и моральную сторону их действий, склонны причислять группировку Анонимус к хактивистам, нежели к киберпреступникам в первоначальном смысле этого слова. Специально для Hi-Tech Mail.ru российская исследовательница хактивизма Екатерина (имя изменено) объясняет, что основное отличие хактивистов от хакеров заключается в мотивации. «Последние преимущественно ищут финансовой выгоды, хактивисты же используют хакинг для продвижения определенных политических или социальных идей и ценностей. Хактивисты обращаются к тем же незаконным методам взлома, к которым обращаются крупные группировки киберпреступников. Из-за того, что их работа зачастую направлена на привлечение внимания к крупным социальным проблемам (коррупция, расизм), а также на продвижение свободы слова, информации и защиты прав, то они в глазах общества и многих медиа пользуются популярностью; более того, многие оправдывают вредоносные действия их «благородными» посылами».
Эксперт подчеркивает, что ранее жертвами хактивистов из Анонимус становились музыкальный лейбл Universal Music, сервис PayPal, ЦРУ и НАТО. С технической точки зрения члены группировки не используют сложных методов взлома. К их основным методам относятся дефейс — то, что произошло с некоторыми сайтами российских СМИ 28 февраля, — и DDoS атаки. DDoS атака — бомбардировка сервера множественными запросами. Члены Анонимуса посылают столько запросов, сколько сервер уже не может обработать, системы выводятся из строя и деятельность организации или компании прерывается. Такие атаки могут продлиться от нескольких минут до нескольких дней. Самая долгая такая атака длилась 280 часов.
«Анонимус — это бренд. Нет ни одной группировки, которая была бы настолько узнаваема. Они активно используют традиционные маркетинговые приемы: делают яркие заявления в твиттере, снимают видео на YouTube, общаются с прессой, создают узнаваемый образ», — подчеркнула эксперт. При этом, действия Анонимуса нельзя характеризовать как строго положительные: акции членов группировки часто подвергаются критике не только с точки зрения права и закона, но и в профессиональном сообществе.
Дефейс — это не так страшно. С сайта могут пропасть все данные, без возможности восстановления
Чтобы узнать, как избежать блокировки сайтов, а также как вести себя, если страница все же подверглась хакерской атаке, редакция Hi-Tech Mail.ru поговорила с экспертами по информационной безопасности. Комментируя действия Анонимуса по дефейсу сайтов СМИ 28 февраля, Антон Бочкарев, основатель стартапа «Третья сторона», подчеркивает, что при создании сайта неизбежно используются сторонние Java-script сценарии, например, для метрик, управления рекламой.
«В случае, если злоумышленникам удастся взломать ваших партнеров, которые управляют этим сценарием (например, для рекламы), на вашем сайте может появиться нечто очень неожиданное. Злоумышленники не получат доступ к самому сайту, и это лишь будет баннер поверх него, но эффект наверняка будет весьма значительный, как и получилось с сайтами ряда СМИ».
При дефейсе работу страницы можно восстановить за пару часов, а вот восстановление из резервных копий происходит гораздо медленнее. Если же резервных копий нет вовсе, то полноценное восстановление будет затруднено или вовсе невозможно.
Эксперт выделяет три основных типа уязвимости сайтов: небезопасные конфигурации (от SSH до веб-серверов), уязвимости в самописном ПО или отдельных элементах страницы и уязвимости сервера — с последним типом помогает справиться своевременная установка обновлений.
Разработчики платформы кибербезопасности TheWall из компании «Синезис» считают, что базовые действия по защите сайта можно предпринять еще на этапе написания кода и разработки.
«Во время тестирования, перед запуском в продакшн, сайт должен быть проверен на уязвимости. Такая проверка должна стать регулярным действием. В процессе эксплуатации сайта необходимо выполнять так называемый анализ защищенности или в лучшем случае пентест — это легальный взлом сайта, который позволяет обнаружить уязвимости информационной системы. Обычно этим занимаются специалисты, которых называют этичными хакерами, — они ищут уязвимости в ПО с согласия и по просьбе разработчиков сайта, их работа оплачивается».
Артем Мышенков, инженер по безопасности хостинг-провайдера и регистратора доменных имен REG.RU, обращает внимание, что существуют автоматические сканеры уязвимостей, которые хорошо справляются с поиском.
«Если на вашем сайте есть аккаунты пользователей, то необходимо позаботиться о надежном хранении их паролей. Они обязательно должны быть зашифрованы с помощью хэш-функций. Для этого рекомендуется использовать современные алгоритмы хэширования с “солью”, например pbkdf2. Алгоритмы MD5 и SHA1 уже не являются самыми надёжными.»
Не помешает и использовании двухфакторной аутентификации на сайте. Метод перебора пользовательских паролей, например, с использованием лимитов на запросы и CAPTCHA, также сможет обеспечить защиту от взлома.
Эксперты предлагают разные способы, как уберечь себя или сайт своей компании от взлома, а также дают практические рекомендации, что делать, если такая ситуация все же произошла. Разработчик сайтов Александр Шулепов призывает коллег внимательно относиться к выбору хостинга и использовать сертификат безопасности SLL — протокол, который создает зашифрованный канал связи, а также не бояться потратить лишние средства на сервисы по защите от DDoS-атак.
«Чем популярнее система управления контентом (CMS) сайта, тем чаще ее пытаются взломать. Самые известные на сегодняшний день — это Битрикс и Wordpress. Важно вовремя устанавливать все обновления — именно так системы самостоятельно устраняют уязвимости. Права пользователей тоже лучше ограничить, а также закрыть доступ к хостингу сторонним статистическим IP-адресам».
По мнению Александра Шулепова, минимум каждые полгода необходимо делать резервную копию сайта. Среди сервисов, предлагающих скачивать шаблоны или плагины, лучше выбрать проверенные, но платные, чтобы не попасть на вшитые ссылки с вредоносным контентом.
Разработчики компании «Синезис» добавляют, что сайт лучше размещать за специальными средствами защиты информации — файерволами веб-приложений. «Файервол — это межсетевой экран, предназначенный для обнаружения и защиты веб-приложений от интернет-угроз. Такой межсетевой экран стоит перед веб-приложением, он анализирует весь трафик и предоставляет доступ либо отклоняет его при наличии угрозы».
Антон Бочкарев обращает внимание, что у каждой организации должен быть собственный Data Recovery Plan — план по восстановлению. При этом можно как улучшить, так и усугубить ситуацию, поэтому не стоит пренебрегать помощью профильных специалистов.
«Эксперты по работе со взломами и кибератаками помогут минимизировать последствия действий хакеров, удостовериться, что злоумышленники не сохранили контроль на сайтом или сервером, и восстановить зашифрованные данные, если это возможно».
Это тоже интересно:
