Вооружиться до зубов и выйти в интернет

В категориях: Общество, Церковь и власть

030112_1233_1.jpg


Мария Гайдар, Григорий Соловьев

Еще не так давно информационная защита была актуальна только в крупных компаниях, секретных государственных структурах и активных политических организациях. Общественные сайты, которые создаются «для себя», для обмена информацией между людьми объединенными общим интересом, как правило, могли не волноваться о взломах, DDoS-аттаках и административных санкциях. Совсем недавно, это было так, но в конце прошлого года, жизнь в рунете изменилась. Дело не только в том, что кибер-бандитство стало инструментом политического давления, но и в том, что рядовой пользователь, как и рядовой владелец сайта, не умеет пользоваться современными инструментами информационной защиты.

Личная информационная защита

Тема защиты серверов скорее уместна для таких сообществ как xakep.ru, opennet.ru и habrahabr.ru, но о защите собственных почтовых ящиков и электронных кошельков сегодня волнуются не только сисадмины и президенты корпораций. Последнее время можно каждый день читать про то, что взломали почту какого-нибудь политика, общественного деятеля, или просто известной личности. За последние три месяца были взломаны почты Потупчик, Навального, Мелконьянца и многих других. Мы сумели обезопасить себя, сайт Гракон нельзя положить больше, чем на час. Есть несколько правил и сервисов, которые позволяют себя обезопасить, и в них может разобраться обычный пользователь.

Пароли

Мы понимаем, что как бы не были настроены фаерволы, слабым звеном любой системы защиты информации всегда является человек. Если пароль на вашу почту – ваша девичья фамилия, а пин-код на пластиковую карту – год рождения, то никакие технологии вас не спасут. С другой стороны, никто не любит запоминать длинные последовательности ничего не значащих символов.

Фишинг

Даже если вы умудрились запомнить бессмысленную комбинацию из 10-ти знаков, ваш пароль можно украсть послав вам фальшивое письмо замаскированное под легитимное. Последний способ называется фишинг, он довольно распространен. Сейчас, на каждый популярный сайт каждый день проводится, как минимум, одна фишинг атака. Практически половина интернет-пользователей, получающих фальшивые электронные письма от фишеров, попадаются на эту уловку, и сдают свои пароли злоумышленникам . Выглядит это примерно так или так.

Что же может сделать обычный пользователь? Во-первых, конечно же, не стоит открывать такие письма и жать на ссылки. Если же вы даже открыли фальшивое письмо и нажали на поддельную ссылку – проверьте адрес страницы, на которой вы вводите пароль. Еще более эффективно использовать двухшаговые системы авторизации, которые сравнительно недавно стали доступны рядовым пользователям.

Как защитить свою почту?

Существует корпоративная защита почтовых серверов, для этого есть специалисты по Zimbra (VMware) и Exchange (Microsoft). Последнее время стала актуальной проблема защиты личных почтовых ящиков. Год назад GMail включил двухэтапную авторизацию для всех пользователей. Суть этой авторизации в том, что для входа в почту помимо пароля требуется ввести специальный код, который высылается вам по sms или через специальное приложения на iPhone или Android. Для приложений, которые проверяют почту в автономном режиме, GMail генерирует уникальные 16-значные пароли, чтобы ваш телефон не спрашивал вас о коде подтверждения каждый раз, когда он проверяет вашу почту. К слову сказать, из 16-ти символов можно составить порядка 60-ти триллионов паролей, что займет примерно 3 миллиона дней перебора у одного современного компьютера. Более того, каждый из этих паролей вам нужно будет ввести только один раз, и каждый пароль работает только для одного приложения. То есть, пароль вашего почтового клиента на компьютере отличается от пароля вашего почтового клиента на телефоне. Подробные инструкции вы можете прочитать на сайте GMail.

Как защитить свои электронные кошельки?

Крупнейшая российская сеть интернет-кошельков Webmoney уже давно предоставляет бесплатную услугу двухшаговой авторизации через sms. Альтернативно, Webmoney позволяет использовать пару открытый-секретный ключ, хранящуюся на внешнем носителе.

Крупнейшая международная сеть интернет платежей PayPal также предоставляет услугу двухшаговой авторизации. Для пользователей PayPal есть два варианта. В первом варианте вам высылается специальный ключ-карта или ключ-брелок. Этот ключ по нажатию кнопки генерирует 6-тизначное число, которое используется для авторизации в PayPal в дополнение к паролю. Число, генерируемое ключом, меняется каждую минуту и синхронизировано с сервером авторизации PayPal.

С прошлого года, подобную услугу предоставляет также сервис «Яндекс-Деньги». После включения «Усиленной авторизации» вам будет выслана карта-ключ, подобная ключу PayPal. Работает «Усиленная авторизация» «Яндекса» также как PayPal и GMail.

Атаки на сайты

Если вы открываете сайт, способствующий самоорганизации граждан без наивысшего благословения правительства, у вас, могут отобрать домен, отказать в хостинге, взломать вашу базу данных, и завалить ваш веб-сервер DDoS-атаками. Атаки на ЖЖ давно уже никого не удивляют, и в прошлом году стали, как бы, нормальным явлением. Но это – ЖЖ, одна из крупнейших блогинговых платформ в мире.

Почему же такие сайты как: «Карта нарушений», «РосВыборы», «Большой белый круг», «Геликс» и многие другие подвергаются подобным атакам? У таких сайтов нечего красть, они никому не мешают жить, не отнимают клиентов у крупных корпораций и не переманивают голоса у жаждущих власти политиков. Эти сайты помогают людям общаться друг с другом. Тем не менее, кому-то это явно невыгодно. Невыгодно достаточно сильно, чтобы организовывать дорогие распределенные атаки. Например, сайты kartanarusheniy.ru, bg.ru и Slon.ru заваливали распределенной SYN flood-атакой, предположительно запущенной через сеть анонимизации Tor. «Большой белый круг» выгнали с хостинга, у «Геликса» отобрали домен. Новые примеры технического и административного давления появляются каждый день.

В декабре прошлого года, у нас родилась идея создать социальную сеть, которая позволяет координироваться избирателям, наблюдателям, кандидатам, юристам, и прессе – в общем, всем гражданам участвующим в выборах. Глядя на то, что происходило с «Картой нарушений», «Голосом», Slon.ru и «Большим городом», стало понятно, что без серьезной защиты, все наши старания могут оказаться напрасны. Как только «Гракон» наберет популярность, его тут же прикроют.

Как защитить свой сайт?

Что можно порекомендовать для защиты сайта в предстоящую неделю выборов? Теоретически, завалить можно любой сайт, даже Google и Amazon. Практически – это потребует либо сильные административные ресурсы, как это делается в Китае и Иране, либо почти неограниченные технические ресурсы. Против первого, к сожалению, противостоять невозможно, но есть надежда, что в России мы еще не докатились до того же уровня репрессивности, что в Китае и Иране.

Сайтов для наблюдателей и избирателей делаются волонтерами и финансируются из личных кошельков организаторов и на пожертвования. Бред про деньги госдепа сильно удивляет. Мы, например, тратим свое личное время и свои личные средства на сайт «Гракон», и никакой ГосДеп не помогает. То, что Госдепартаменту США, вообще-то, не выгодно дестабилизировать политическую ситуацию в России, довольно не сложно понять, если хоть ненадолго отключиться от пропаганды. Впрочем, это отдельная тема.

Распределенная сеть серверов

Когда мы создавали «Гракон», родилась идея «плавающего сервера». Мы распространили наши сервера по нескольким хостинговым облакам. В каждом из облаков, мы настроили балансировщик нагрузки, отделили сервера баз данных от веб-серверов. Такая система помогает минимизировать уязвимость каждого из компонентов и позволяет быстро заменить любое вышедшее из строя звено системы. К счастью, многие сервисы хостинга в облаке позволяют арендовать сервера и балансировщики по часам, что значительно уменьшает расходы на такую систему. Хостинг на таких площадках как Rackspace, Amazon AWS и Clodo сегодня доступен всем, и сравним по цене с обычным VPS-хостингом. Оличная обзорная статья про хостинг в облаке есть на «Хабрахабре».

Гибкий DNS

Для того, чтобы можно было эффективно перебрасывать сайт с одного сервера на другой, необходимо пользоваться гибкой системой DNS, позволяющей оперативно менять адрес вашего домена. В традиционных системах DNS смена IP адреса домена занимает от 8и до 24 часов. Сравнительно недавно появились более гибкие DNS сервисы, позволяющие менять IP адрес домена в течение одной минуты. Один из таких сервисов: http://durabledns.com/.

Firewall

Не ленитесь и настройте на своих серверах Firewall. Закройте все порты, кроме HTTP и HTTPS, ограничьте SSH доступ несколькими IP адресами или под-сетями, чтобы никто кроме вас не мог даже попробовать зайти на ваш сервер. Если вы пользуетесь панелями управления типа cPanel, то также ограничьте доступ к ним по IP под сетям.

Пароли

Про сложные пароли на почту я уже написал выше, но для авторизации пользователей на сервер, лучше всего вообще не использовать пароль! Настройте доступ по паре RSA ключей и запретите доступ на SSH по паролю. Если вам необходимо пользоваться веб-интерфейсом вроде cPanel, то доступ к ним должен осуществляться только через SSH туннель.

DDoS-фильтры

Самая эффективная защита – DDoS-фильтр. Этот сервис может обойтись довольно дорого (более тысячи долларов за месяц), но если вы ожидаете реальных атак, то он того стоит. Подключение DDoS-фильтра можно осуществить за несколько часов. Единственные недостаток этих сервисов в том, что некоторые из них могут значительно замедлить скорость загрузки вашего сайта, так как они пропускают весь трафик через свою сеть. Отличная статья про DDoS-защиты, опять же на «Хабрахабре».

Есть надежда, что такие сайты как «Карта нарушений» и «РосВыборы» подготовились к президентским выборам и озадачились вопросом защиты так же, как и мы.

slon.ru

Добавьте свой комментарий

Подтвердите, что Вы не бот — выберите человечка с поднятой рукой: