Стандарты безопасной разработки в электронной коммерции. Стратегии и советы от экспертов Simtech Development 

Если так, то проработка потенциальных рисков информационной безопасности — ваша приоритетная задача. 

Ритейлеры часто работают со множеством систем, внедрение и развитие которых поручают разным исполнителям. Это способствует развитию бизнеса, но повышает риск утечки личных данных покупателей и может негативно влиять на доступность проекта. В связи с этим у экспертов нашей компании совет: уделите внимание защищенности интернет-магазина, ведь согласно отчету Veracode «Состояние безопасности ПО 2023» («State of Software Security 2023»), 75% приложений имеют уязвимости, воспользоваться которыми могут хакеры.

Как действовать превентивно, рассказывает Александр Токарчук, руководитель группы разработчиков Simtech Development. 

Взлом интернет-магазина — это несанкционированный доступ к его данным или функциям с целью их изменения, кражи или повреждения. Хакер находит уязвимость в ПО (на сленге — дыру), а затем использует ее для нарушения целостности программы. 

Мотивы злоумышленников могут быть разные: финансовое мошенничество, шантаж, распространение вирусов, политический протест, сбор данных для конкурентов или даже развлечение — хакеры-новички любят упражняться на реальных проектах.

Если говорить об электронной коммерции, то наиболее распространенными в этой сфере можно считать следующие виды киберпреступлений:

SQL-инъекция или внедрение SQL-кода 

Это внедрение произвольных SQL-кодов в запросы приложения к базе данных. Если злоумышленник проведет инъекцию удачно, он сможет увидеть и скопировать локальные файлы, выполнить произвольные команды на атакуемом сервере или скачать данные пользователей, включая номера и пароли кредитных карт. 

Хакер может создавать “черный ход” в систему организации аккуратно и оставаться при этом незамеченным в течение долгого времени. 

XSS-атака 

Распространенная уязвимость, которую можно обнаружить на множестве веб-приложений. Суть проста: злоумышленник внедряет на сайт код, который не был предусмотрен разработчиками, и отныне он будет выполняться каждый раз, когда пользователи будут заходить на страницу. 

Так хакер взламывает личные кабинеты покупателей или перенаправляет их на заранее созданные страницы-клоны. Последние похожи на оригинальные страницы (магазина, банка, платежной системы), и если пользователь не заметит подмены, то введет свои конфиденциальные данные, которые тут же окажутся в распоряжении киберпреступника.

DDoS-атака 

Хакерское нападение, при котором большое количество компьютеров (или других устройств) бомбардируют сервер или сеть огромными объемами трафика. Система не может их переработать, в результате чего сайт “падает”.

Основная цель DDoS-атаки — прерывание нормального функционирования веб-сайта, которое неминуемо приведет к ущербу в бизнесе. Часто хакеры требуют от владельцев интернет-магазинов выкупа, угрожая тем, что иначе не прекратят кибератаку.

Вирусы

Размещение на страницах интернет-магазина кода, который заражает компьютеры посетителей вредоносными программами. Проникнув в гаджеты, вирус способен на многое: зашифровать файлы, перехватить и изменить поток данных или полностью заблокировать доступ к имеющимся системам.

Вредоносные боты 

Как сообщает DataDome, 30% трафика в сети приходится на ботов, способных заставить интернет-магазин “зависнуть” или “упасть”. Боты, имитирующие органический трафик, кажутся реальными пользователями: они выбирают товары, добавляют их в корзину, но не завершают сделку. В это время реальные покупатели получают уведомление, что интересующие их товары акончились. 

Поведение ботов отчасти напоминает DDoS-атаку, но в отличие от последней боты не “нападают” на инфраструктуру, а имитируют активность реальных пользователей и таким образом создают проблемы с обработкой заказов.

Атака посредника (англ. Man in the middle (MITM)) 

Вторжение хакера в диалог других пользователей, где злоумышленник может выступать в роли пассивного “слушателя”, незаметно крадущего какие-то сведения. Или активного участника, выдающего себя за представителя банка, интернет-магазина, платежного агента, клиента или просто хорошего знакомого — того, с кем ранее пользователь вел реальную переписку. 

Эту форму кибератаки хакеры используют в целях конкурентной разведки, вторжения в аккаунт пользователя или финансовых махинаций. 

Веб-скимминг 

Размещение вредоносного кода на странице оплаты магазина. Цель киберпреступника — украсть данные кредитной карты и другую платежную информацию, которая вводится в процессе чекаута. Коды сложно обнаружить, потому что обычно они вводятся как форма Javascript, и по факту взломанные сайты не демонстрируют никаких признаков кибермошенничества.

Примеры выше — лишь некоторые из распространенных методов взлома сайтов. Существуют и другие, более сложные и изощренные. Каждый из них требует разного времени и ресурсов для реализации: от несколько минут до множества месяцев. Но последствия одни и те же — серьезные финансовые и репутационные потери. 

Так как обезопасить себя от хакерских атак? Лично я “топлю” за надежную CMS, хостинг-решение с подключением к мониторингу безопасности и регулярные код-ревью. Расскажу об этом подробнее. 

Выбор надежной CMS 

Для начала напомню, что CMS (Content Management System, или система управления контентом)  —  это программное обеспечение, которое позволяет создавать, наполнять и администрировать сайт. Она является его основой, двигателем, поэтому ее нередко называют “движком” или “платформой”. 

CMS — масштабное программное обеспечение, и как и другие виды ПО содержит уязвимости, найдя которые злоумышленники могут взломать сайт. 

Платформы, которая бы гарантировала 100% безопасность вашему бизнесу, нет, т.к. это живой организм с постоянными изменениями функционала и интеграциями с внешними системами. Но выбирая движок для своего магазина, следует рассматривать те, у которых: 

• большое коммьюнити разработчиков, 
• постоянные и запланированные релизы новых версий, 
• сильная техническая команда, заинтересованная в качестве и продвижении продукта. 

Вы также можете узнать, как выбрать CMS для торговой площадки с множеством продавцов: Сердце маркетплейса: как выбрать платформу и не ошибиться.

Что безопаснее: готовая CMS или самописная? 

Платформа для еком-проекта может быть написана с нуля (на языке программирования PHP или на одном из фреймворков, например, Laravel), а может существовать в коробочном готовом решении. В качестве примеров можно привести CS-Cart, OpenCart, Shop-Script или UMI.CMS. 

Самописная платформа может показаться более безопасной, поскольку ее код уникальный, но на месте владельца бизнеса я бы озадачился вопросом, сможет ли ее команда разработчиков на постоянной основе обновлять CMS? Это принципиально важно: апгрейды, или обновления, жизненно необходимы для повышения надежности и безопасности проекта, потому что делают систему более устойчивой к новым, практически ежедневно появляющимся, вредоносным программам. 

В защиту готовых CMS можно сказать, что их разработчики выпускают обновления регулярно. Информацию о новой доступной версии можно найти прямо в панели администратора.

Продуктовые компании также ведут постоянный мониторинг возможных уязвимостей, и если их обнаруживают, оперативно сообщают клиентам, сопровождая сообщение инструкциями, что делать дальше. У CS-Cart, например, есть форум, где специалисты анонсируют подобные события. Там же можно скачать обновленные CMS или патчи безопасности.

Что безопаснее: CMS с открытым или закрытым исходным кодом? 

Любое приложение состоит из кода, и изначально он открыт, то есть доступен для неограниченного круга лиц, однако при желании доступ к нему можно ограничить. В этом случае мы говорим о платформе с закрытым исходным кодом.  

Доступный код — палка о двух концах. С одной стороны, хакеры могут вплотную заниматься его анализом и поиском уязвимостей. С другой стороны, им противостоит сообщество профессиональных разработчиков, цель которых — обнаружить и исправить дефект ПО до того, как его обнаружат злоумышленники. Поэтому, с точки зрения безопасности данных, оптимально выбирать готовую CMS с открытым исходным кодом. Как один из вариантов, с которым мы работаем, — CS-Cart, отечественная платформа для запуска интернет-магазинов и маркетплейсов, которая входит в реестр рекомендованного Минцифры российского ПО. CMS также популярна и за рубежом — с 2005 года на ней работает более 35 000 еком-проектов в 170 странах мира. 

Имея дело с закрытой системой, потребитель будет полностью зависим от способности поставщика быстро обнаруживать уязвимости, разрабатывать и рассылать исправления. Сам же он (равно как и команда его технических специалистов) из-за отсутствия доступа к коду участвовать в этом процессе не смогут. 

Код-ревью магазина

Код-ревью — это инспекция кода на предмет потенциальных уязвимостей, чистоты и соблюдения установленных разработчиками платформы стандартов. Проводят его специалисты IT-компаний: техлиды, тимлиды, опытные разработчики. 

Особо хотелось бы остановится на чистоте кода. Это его ясность, простота, модульность. Спросите, как это влияет на безопасность? Напрямую. Если перед разработчиком понятная логика и структура, поля, идентификаторы, видны полученные результаты, даты/время создания и изменений, то найти потенциальные или уже реальные утечки данных относительно быстро. Искать недочеты в грязном коде — значит погружаться в долгий процесс кропотливого анализа и осмысления. А время в момент хакерского нападения имеет решающее значение. 

В Simtech Development после проверки кода мы предоставляем клиентам отчет  о проблемах, которые зафиксировали. Помимо возможных уязвимостей он содержит сведения о производительности, совместимости стандартных функциональностей со сторонними модулями, а также простоты/сложности обновлений. 

Приведу пример из реальной практики. Наш клиент, владелец мультипродуктового маркетплейса из Доминиканы, обратился с проблемой низкой производительности сайта и попросил проверить код — писали его разработчики сторонней компании. 

После аудита наша команда обнаружила проблемы с оптимизацией структуры исходного кода. Многие участки были задублированы, что осложняло его поддержку и увеличивало вероятность возникновения ошибок. Отсутствие четкой архитектуры и непонятные логические связи между различными модулями приводили к замедлению работы сайта. 

Кроме того, мы обнаружили уязвимости в области информационной безопасности. Некоторые формы не проверяли введенные пользователем данные на наличие вредоносного кода, что могло привести к возникновению различных видов атак (например, SQL-инъекций или XSS-атак).

В качестве резюме еще раз подчеркну: код-ревью помогает легко выявить случайно или специально оставленные дыры в коде, провоцирующие угрозу утечки данных. Поэтому мой совет — проводите такие проверки регулярно.

Хостинг-решение, настроенное под электронную коммерцию

Безопасность интернет-магазина — это также ответственность хостинг-провайдера. Добросовестный исполнитель будет принимать все необходимые меры для защиты собственных и клиентских данных: устанавливать фильтры, межсетевые экраны и системы обнаружения вредоносных атак. Будет проводить мониторинг трафика и следить за подозрительной или аномальной активностью. Так он сможет своевременно блокировать запросы от потенциально опасных источников.

Выбрать надежного хостинг-провайдера действительно важно. Хотите реальный кейс из практики нашей компании? Весной 2022 года российские интернет-магазины, хостинг которых обеспечивался одной из иностранных компаний, оказались заблокированы. На их сайтах появился огромный баннер-заглушка с политическим контекстом, и магазины оказались парализованными. После инцидента в Simtech Development посыпались массовые обращения владельцев сайтов с просьбами срочно перенести данные на российские серверы. Наша команда около двух недель в круглосуточном режиме “тушила” эти “пожары”, и в итоге спасла бизнес почти 60 предпринимателей. 

Если говорить о требованиях к хостинг-провайдеру, то помимо качественных услуг, он должен предоставлять оперативную техническую поддержку и быть доступен 24/7. И еще идеально, если он работает с фокусом на электронную коммерцию. Тогда он будет способен предложить решения, адаптированные под конкретную платформу интернет-магазина. 

Советы для обеспечения безопасности данных интернет-магазина 

В заключение мне хочется перечислить основные рекомендации по обеспечению безопасности данных на сайте электронной коммерции. Некоторые из них покажутся вам банальными, но в вопросах информационной безопасности на бывает мелочей:

• Регулярно обновляйте платформу. 
• Попросите IT-специалиста скрыть тип и версию установленной CMS и её плагинов, не указывайте их в коде страницы. 
• Не используйте контрафактные версии CMS – в некоторых случаях в них умышленно снижена степень безопасности или даже внедрены вредоносные программы. 
• Используйте сложные пароли для аккаунтов администратора и пользователя. 
• Уберите за VPN системы планирования, ведения проектов, мониторинги.
• Любые доступы должны быть персонализированы. Если злоумышленником окажется сотрудник вашей же компании, легкость идентификации личности может сдержать его от слива данных.
• Не используйте одинаковые пароли для разных сайтов. 
• Не передавайте пароли в публичных чатах: для таких задач должны использоваться менеджеры паролей.
• Используйте по возможности двухфакторную аутентификацию.
• Используйте шифрование для передачи данных между вашим сервером и браузерами посетителей. 
• Применяйте фильтры и проверку всех данных, которые получаете от посетителей сайта. Не доверяйте всему, что они вводят в формы или отправляют через запросы.
• Используйте резервное копирование для данных вашего интернет-магазина. Сохраняйте копии на отдельном носителе или облачном сервисе. 

В целом, правильнее всего ставить вопрос не о соблюдении правил, а о создании и развитии в вашей компании культуры осознанного отношения к безопасности. Соблюдение базовых мер, описанных выше, должно стать гигиенической нормой, и тогда оно поможет обеспечить защиту интернет-магазина.

Итоги 

Электронная коммерция активно развивается. Она привлекает огромные инвестиции и миллионы пользователей, а интернет-магазины и маркетплейсы превращаются в точки притяжения для киберпреступников. 

Методы их работы с каждым годом эволюционируют, становятся более изощренными и целенаправленными. Однако инструменты для борьбы с хакерскими атаками есть. Если вопрос безопасности проекта для вас актуален, свяжитесь с нами: команда Simtech Development подберет надежную CMS и поможет осуществить бесшовный реплатформинг с устаревшего ПО, проведет ревью кода и подключит сайт к хостинг-решению, заточенному под требования электронной коммерции.