5-те основни термина в уебсайт сигурността

Уеб, сайтове, заплахи, хакване… всички сме чували тези думи, но знаем ли всъщност какво се крие зад тях? В поредица от статии сме Ви разказвали за това как пазим Вашите сайтове и пощи. Темата за сигурността винаги се радва на голям интерес сред читателите на блога и провокира редица въпроси.

За да я разбираме по-добре, решихме да се върнем към нейната „азбука“, а именно основната терминология, която се използва за описание на заплахите, причините и последствията от хакване и злонамерени действия към сайта.

Този кратък наръчник с термини може да се използва от уебмастърите и разработчиците в разговорите за уебсайт сигурността със своите клиенти. Както и от всички, които приемат сериозно темата за сигурността на своя сайт и искат да разберат кое е атака, кое е заплаха за сайта им и кое е опасен файл или действие.

Нека видим кои са най-често използваните термини, събрани на едно място, удобно за бърза проверка, ако ни се наложи.

5 основни термина, описващи последствията и причините за хакване на сайта:

#1 Хакер (hacker)

Като чуем или прочетем хакер, може да си представим онзи младеж, който сяда пред компютъра и набързо пробива иначе непробиваемата защита на някоя система за сигурност. Например такава, охраняваща изстрелването на ядрени ракети или пък пазеща достъпа до данните на някоя агенция по сигурността.

С помощта на медиите и филмите през годините се е оформила следната представа за хакера: киберпрестъпник, който създава вируси и хаква програми и компютри и отделно може да е дигитален крадец, който се промъква в компютъра ни за нашите чувствителни данни.

Тази представа обаче описва само злонамерените хакери:

Злонамерен хакер (the bad guys)

  • Злонамереният хакер (Black Hat хакер, черен хакер) е лице, което действа с цел да навреди или да добие някакви облаги. Нарича се още кракер (cracker). Това е най-често срещаният тип хакер във филмите и медиите.

Етичен (добронамерен) хакер (the good guys)

  • Етичният хакер (White Hat хакер, бял хакер) е човек с добри намерения и много добри познания и разбиране за работата на дадено приложение, софтуер, компютър или мрежа. Използвайки експертните си познания, той може да открие гениални и нестандартни подходи за разрешаването на даден проблем (в сигурността, приложението, системата…).
  • Етични хакери са например експертите по компютърна сигурност, които подлагат на тестове и проверки системите, с цел откриване на пробойни и закърпването им навреме (преди да дойдат the bad guys).

#2 Зловреден код (website malware)

Зловредният код е част от файл или може да е цял файл (зловреден скрипт), намиращ се в уебсайта, чиято функция е изпълнението на злонамерени действия. Зловредните скриптове в сайта са инструментите на злонамерения хакер, с които той постига определени цели.

Примерни злонамерени действия и последствия от добавянето на зловредни файлове в сайта:

  • Backdoor (бекдор)
    Злонамерен код или скрипт, който отваря задна вратичка за неоторизиран достъп до файловете и данните в сайта за трети лица.
  • Phishing (фишинг)
    Добавяне на злонамерени страници в сайта, които имитират друг сайт. Злонамерената страница е копие на страница от някой легитимен сайт. В страницата обикновено има логин форма, в която заблудените жертви въвеждат данните си за достъп, без да подозират, че това е измамна страница. Например страница за логин в онлайн банкиране, уебмейл и други видове услуги и акаунти.
  • Defacing (обезличаване)
    Обезличаването е промяна на външния вид на сайта, включваща изображения и съобщение на началната страница (оставено от злонамерения хакер, с цел предаване на послание или доказване пред неговата общност).
  • Drive-by-Downloads
    Изпращане на зловреден софтуер (вируси, троянски коне, задни врати и много други) към устройствата на посетителите и инсталирането му.
  • Malicious Redirects (злонамерени пренасочвания)
    Пренасочване на посетителите към злонамерени и фишинг сайтове. 
  • Blacklist (блеклист или черен списък)
    Това са списъци, в които се записват компрометирани сайтове. Списъците са публични и браузърите имат достъп до тях, така предупреждават за потенциална опасност посетителите на сайтовете. Примерни черни списъци: Google Safe Browsing, PhishTank, Yandex Safety
  • SPAM (спам)
    Например в сайта може да има скрипт (mailer), който да разпраща имейли от името на Вашия домейн. Друг вид е SEO спамът, при който в съдържанието на страниците се добавят думи, линкове, реклами и други.
  • Извличане на данни
    Източване на данните от базата данни, с цел изнудване и продажбата им на черните пазари. Силно засегнати от това са онлайн магазините и други сайтове, които пазят чувствителни данни за клиентите си в базата данни.

Зловредният код може да попадне в сайта или чрез инсталирането на пиратски добавки (nulled scripts) като плъгини и теми, или в резултат на хакване.

Всички сайтове при СуперХостинг.БГ се пазят от хакване денонощно от системата ни за сигурност SH Protect, вижте още: СуперЗащитите или как пазим вашите сайтове и пощи | Blog

SH Protect сканира периодично файловете в хостинг акаунтите за зловреден код, в случай че бъде открит такъв, ние го изчистваме, вижте още: Компрометираните сайтове и решението ни за тях | Blog

Картинка или троянски кон в сайта е файлът social.png? Толкова неразпознаваеми може да са зловредните файлове, вижте още: Пиратски теми и плъгини крият злонамерен скрипт в WordPress, Joomla и Drupal | Blog

#3 Зловреден софтуер (malware)

Malware (малуер) означава зловреден софтуер (от malicious software). Терминът се използва в сферата на компютърната сигурност. Това е общ термин за всякакъв вид зловреден софтуер, който е предназначен да навреди или експлоатира устройството или компютъра ни.

Зловредният компютърен софтуер е предназначен за компрометиране на устройства и компютри, не на уебсайтове. Връзката с уебсайт сигурността е, че компрометираните сайтове може да разпространяват такъв зловреден софтуер.

Примери за зловреден компютърен софтуер:

  • Virus (вирус)
    Опасен софтуер, който се прикрепва към някоя програма. Когато програмата се стартира, вирусът се размножава, заразявайки други програми в компютъра. Вирусите причиняват различни щети – повреждане или кражба на файлове и информация, разстройване работата на системата, загуба на компютърни ресурси и други.
  • Trojan horse (троянец, троянски кон)
    Опасна програма, която се представя за легитимна и полезна. Отварянето на съмнителни изпълними файлове (.exe, .bat) е все едно да отворите портите и да пуснете дървения кон в крепостта. След като програмата се стартира на компютъра, тя го превзема отвътре, но незабелязано. За разлика от вирусите, троянският кон не се самовъзпроизвеждаща чрез заразяване на други програми. След като поеме контрола над системата, работейки на заден фон, така че да не е видимо за потребителя, може да променя файлове и настройки, да се включва в организирани атаки към други компютри, да отваря портата за злонамерени лица и други страшни работи. Никога не отваряйте файлове, с които сте се сдобили от неудостоверен източник.  
  • Backdoor (бекдор, задна врата)
    Бекдор означава метод за отдалечен достъп до системата, без нужда от нормалното идентифициране (с данни за достъп). При този достъп се добива контрол върху системата. Опасният софтуер може да е част от друга програма или да е самостоятелна програма. Вирусите и троянските коне инсталират бекдор програми.
  • Още подробности в Wikipedia: Малуер.

Термините вирус и троянски кон може да се използват и в сферата на уебсайт сигурността. В този случай значението им е – зловреден код или скрипт, който се намира в самия сайт. Терминът бекдор също може да се използва, за да се посочи, че чрез злонамерения скрипт може да се осъществява отдалечен неоторизиран достъп до файловете на сайта.

#4 Уязвимост (vulnerability)

Уязвимостта е пролука или пропуск в сигурността на приложението, който крие потенциален риск за компрометиране на сайта. Може да се намира в кода на самото приложение или в кода на плъгин/тема. 

Уязвимостите в сигурността на приложенията са един от най-често използваните методи за хакване на сайтовете. Другият най-употребяван път, водещ до пробив и компрометиране на сайта, е чрез неоторизиран достъп (до акаунта, администрацията и други). 

Уязвимостите в сигурността отварят възможности за различни злонамерени действия в сайта като:

  • Remote/Local File Inclusion
    Атака чрез полетата за попълване на данни в сайта, която позволява на злонамереното лице да изпълни код в сайта, намиращ се в зловреден файл. Remote – файлът се намира на отдалечен сървър и Local – файлът се намира на същия сървър със сайта.
  • Privilege Escalation
    Атака, чрез която злонамереното лице добива разширени права за достъп в системата, например административни права.
  • SQL Injection
    Атака, при която се подават SQL (Structured Query Language) заявки през някое поле за попълване в сайта, например търсачка, контактна или друга форма. От изпълнението на заявките злонамереният хакер може да свали съдържание от базата данни, да инжектира SPAM съдържание и други. 
  • Remote Code Execution
    Атака, при която злонамереното лице изпълнява команди в сайта отдалечено. При такава атака се добиви пълен достъп и контрол върху сайта.
  • Cross-Site Request Forgery (CSRF)
    Атака, при която логнатият потребител в системата кликва на злонамерено съобщение, което изпълнява неоторизирани команди в сайта.

Свързани термини с уязвимостите:

  • Bug (бъг)
    Бъг означава грешка или недостатък в изработката на кода за приложението. Бъговете може да са причина за неочаквано поведение в работата на приложението или пък да са причина за уязвимости.
  • Exploit (експлойт)
    Exploit в превод от англ. е: експлоатирам, използвам нещо или някого за постигането на собствена изгода, често злонамерено или непочтено. Експлойтът е начин, процес или инструмент, чрез който злонамерените лица се възползват от даден бъг или уязвимост в сигурността на системата.
  • Zero-Day
    Zero-Day уязвимост се отнася до наскоро открита уязвимост, за която няма налична корекция (patch), която да я защити. Докато уязвимостта не бъде защитена, злонамерените хакери може да я използват за компрометиране на сайтовете. Използването на такава уязвимост се нарича zero-day exploit или zero-day attack.

Системата за сигурност при СуперХостинг.БГ защитава WordPress, Joomla и други CMS платформи от различни открити уязвимости в сигурността им, вижте още: СуперЗащитите или как пазим вашите сайтове и пощи | Blog

#5 Неоторизиран достъп (unauthorized access)

Неоторизиран достъп означава, че злонамереният хакер е влязъл в системата, като се е удостоверил (authentication) с потребителско име и парола, но той няма позволението (authorization) да достъпва ресурсите и функционалностите ѝ.

Неоторизираният достъп до системата е другият най-често срещан метод за компрометиране на сайтовете. 

Термини в компютърната сигурност, свързани с контрола на достъп:

  • Access (достъп)
    Действието на достъпване се отнася освен за влизане в системата, но и за консумиране или използване на ресурсите и функционалностите ѝ. 
  • Authentication (удостоверяване, автентикация, идентификация)
    Удостоверяването се използва за верифициране на идентичността на потребителя. Процесът, чрез който доказвате, че Вие сте достоверен потребител на системата. Например за достъп до административния панел на сайта, удостоверяването се извършва с потребителско име и парола.
  • Authorization (упълномощаване, оторизиране)
    Упълномощаването се използва за контрол върху достъпа до ресурсите и функционалностите на системата. Например администраторът на сайта има пълни права и неограничен достъп до всички функционалности, докато обикновеният потребител е с ограничени права, например не е оторизиран да редактира статиите и не може да променя настройките на сайта. При хакване чрез неоторизиран достъп се има предвид, че злонамереният хакер се е идентифицирал с данните за достъп, но няма право и позволение за влизане и използване на системата като цяло.

Уебсайтът не е изолиран компонент и за да може да съществува и работи, с него са свързани множество други компоненти (технологии, приложения, услуги и т.н.), които също изискват достъп. Например:

  • файловете на сайта може да се качат в хостинг акаунта през FTP достъп;
  • управлението на файловете се извършва с достъп до контролния панел на хостинг акаунта;
  • управлението на съдържанието в сайта се извършва с достъп до административния панел;
  • за да възстановите забравената си парола за някой профил или акаунт, осъществявате достъп до пощенската си кутия.

Прихващането на данните за достъп до който и да е компонент или система, свързана по някакъв начин със сайта, може да разкрие възможности за неоторизиран достъп.

Начини за добиване или прихващане на данните за достъп:

  • Brute Force (брутфорс)
    Атака за налучкване и откриване на пароли, като се изпробват множество комбинации от пароли и/или потребителски имена, докато се открие комбинацията, която работи. Целта на атаката може да е за достъп до администрацията на сайта. 
  • Social Engineering (социално инженерство)
    Атака, която се използва за манипулиране и заблуда на жертвите с цел добиване на чувствителни данни. Измамите се базират на очаквано поведение или мислене на хората. След като злонамереният хакер е разбрал какво мотивира действията им, той може да измъкне нужната му информация. Често срещан метод са фишинг имейлите, които насочват към фишинг страници, в които потребителят си въвежда данните за достъп.
  • Man-in-the-Middle (човек-по-средата)
    Атака, при която данните между клиент и сървър се прихващат от злонамерено лице. Злонамереният хакер се намира между двете страни, например уеб сървър и уеб браузър, прихваща и препредава съобщенията им един на друг. Тази атака е възможна, когато връзката със сайта не е подсигурена с TLS/SSL сертификат.
  • Cross Site Scripting (XSS)
    Атаката използва всички възможни места за въвеждане на текст в сайта. В полетата се добавя линк със зловреден код (най-често JavaScript), хостван от друг сайт. Този код се инжектира директно в кода, с който оперира сайтът, и по този начин става възможна промяна на страницата и заблудата посетителят да кликне на линк и да бъдат прихванати логин данните.

Свързани термини с удостоверяването:

  • Login (логин, логване, влизане)
    Логин означава да се впишеш или да влезеш в системата, след идентификация с данни за достъп (потребител и парола). Процесът се нарича влизане или логин.

SH Protect защитава акаунтите, имейлите и сайтовете при СуперХостинг.БГ от Brute Force атаки.

#+ Защита

Защитата на сайта означава да се приложат превантивни мерки и действия за ограничаване на възможни пробиви в сигурността. 

Термини в защитата от уязвимости в сигурността:

  • Web Application Firewall (защитна стена за уеб приложения)
    Защитната стена за уеб приложения е система, която следи и блокира злонамерен трафик към сайта. Тези системи действат като щит и инспектират трафика за потенциално опасно поведение. Блокират атаките преди да са достигнали самия сайт. 
  • Patch (пач)
    Пач означава допълнителен код, който се прилага за закърпване на някой недостатък или уязвимост в сигурността на приложението. 

Термини в защитата на данните:

  • Encryption (шифриране, криптиране)
    Шифрирането или криптирането е процесът на преобразуване на данни или текст в неразбираем низ от символи. При криптирането на данните се използва криптографски ключ. Този процес е обратим, като неразбираемият код може да се декриптира с помощта на същия ключ (симетрична криптография) или друг ключ (асиметрична криптография). Използва се за защита на данните от неоторизиран достъп – само този, който има декриптиращия ключ може да възстанови данните в оригиналния им вид и да ги види. Примерни алгоритми за криптиране са AES, RSA, Diffie-Hellman (който например се използва към протоколи като TLS, Transport Layer Security).
  • Hash (хеширане, хеш алгоритми)
    Хеширането е процес, при който се генерира цифров идентификатор (неразбираем низ от символи) на някакви данни. Този процес е необратим, като от получения хеш код не може да се възстановят данните, които са го генерирали. Хеширането се използва за удостоверяване на целостта на данните (използва се за пароли, блокчейн и др.). Примерни алгоритми за хеширане са MD5 и SHA-256.
  • Encoding (кодиране)
    Кодирането на символи няма нищо общо със сигурността, но го добавяме тук защото понякога се бърка с криптирането. Кодирането е процес, при който данните се трансформират от един формат в друг. Процесът е обратим. Целта на кодирането е, едни и същи данни да могат да се представят и използват в различни системи. Примерни механизми за кодиране са ASCII, Unicode, Base64, URL encoding.
  • TLS/SSL сертификат
    TLS/SSL сертификатите се използват за удостоверяване на автентичността на сървъра пред клиента (уеб браузъра). За да се осъществи сигурна HTTPS връзка между сървър и браузър, сървърът трябва да представи валиден TLS/SSL сертификат.
  • HTTPS
    HTTPS (Hypertext Transfer Protocol Secure) е сигурната версия на HTTP протокола. Когато сървърът е предоставил валиден TLS/SSL сертификат на браузъра, връзката между тях (и предаваните данни по нея) се криптират с TLS протокола.
  • Strong Password (силна парола)
    Парола, която ще е почти невъзможно за злонамереният хакер да отгатне или налучка. Съдържа символи, цифри, големи и малки букви и е дълга.
  • CAPTCHA и reCAPTCHA (тест за различаване на бота от човека)
    CAPTCHA тестът се поставя като защита от Brute Force атаки на формите за логин в сайта. И като защита от SPAM коментари и съобщения на формите за коментиране и контакт. 
  • Two-Factor Authentication (двуфакторно/двустъпково удостоверяване)
    Двуфакторно идентифициране е още един фактор, удостоверяващ идентичността на потребителя, освен потребителското име и паролата му. Използва се за защита от неоторизиран достъп – злонамереният хакер освен данните за достъп, ще трябва да открие и секретния код, който обаче се генерира на момента на мобилното устройство на потребителя.

Задължително в защитата на сайта участва и хостинг доставчикът. Например при нас по подразбиране повечето защити са интегрирани към хостинг услугата и са част от системата ни за сигурност.

Ето някои от защитите на Вашите сайтове:

  • SH Protect – Системата ни за сигурност защитава Вашите сайтове и имейли от Brute Force атаки и пробиви чрез уязвимости в сигурността на приложенията. Системата ежедневно извършва мониторинг на цялата инфраструктура за компрометирани сайтове.
  • Защита срещу DDoS атаки – Системата ни за защита от DDoS атаки работи на цялата ни инфраструктура и предпазва Вашите сайтове на 95% от познатите начини за насочване на изкуствен трафик към трети страни. 
  • СуперЕкипът е винаги насреща – 24/7/365 дни в годината. Нашият СуперЕкип веднага се отзовава, ако имате нужда от съдействие или се съмнявате, че нещо странно се случва със сайта Ви. Благодарение на SH Protect екипът получава информация, ако на нашата инфраструктура има компрометиран сайт. Колегите веднага премахват зловредния код, като добавят ново правило в системата за сигурност, което не позволява бъдещо хакване по същия начин за всички сайтове на инфраструктурата.
  • WordPress Manager проверки за сигурност – СуперИнструментът WordPress Manager by SuperHosting.BG Ви помага лесно да управлявате своя WordPress сайт. В менюто „Проверки за сигурност“ ще откриете множество защити за активация. Използвайки пълния капацитет на сигурност за платформата, ще защитите сайта си от радарите на злонамерените хакери.

Заключение

Тези основни 5 термина в уебсайт сигурността дават една по-лесна представа и разбиране на сложната материя. Почти всички останали термини са свързани по някакъв начин с основните.

Злонамереният хакер е човек, който може да компрометира сайта Ви – или чрез уязвимост в сигурността на кода му, или чрез неоторизиран достъп до файловете му. А последствията са добавен злонамерен код в сайта, който освен за злонамерени действия, може да се използва за подаване на зловреден софтуер към посетителите.

Абонирайте се за СуперБлога, за да получавате навреме новини и помощна информация, свързана със защитата и сигурността на Вашите сайтове и пощи.

Мадлена Методиева
Мадлена Методиева
Меган е част от СуперМаркетинг екипа. Мисията ѝ е старателно да попълва е-библиотеката на СуперХостинг.БГ с полезни и помощни статии.
4 2 votes
.
Абониране
Уведоми ме при
guest

0 Коментара
Inline Feedbacks
View all comments

Black Friday: 5 работещи тактики за задържане на клиентите след Черния петък

0
Ако искате да бъдете един ход пред конкурентите си, време е да помислите как да задържите вече спечелените клиенти по време на кампанията. 
Блог статия - популяризация на съдържание

Написах статия: 9 идеи за повече посетители на Вашия блог

0
Написахте блог статия. Поздравления! А сега накъде? Вижте нашите предложения за успешна популяризация на блог статии. Повече в СуперБлога!
Вече е време да си имате сайт!

Кога разбирате, че Вашият бизнес се нуждае от сайт?

0
Нямате сайт? Но имате бизнес… И все повече усещате, че имате нужда от сайт. Е, тази статия ще Ви помогне да вземете решение. Прочетете повече!