Защита битрикс от вирусов

Чем сайту грозят вирусы? Не только изменением информации или файлов. В большинстве случаев страдает бизнес. Компания МастерКласс узнала о проблемах с сайтом в первую очередь потому, что в 3 раза снизилось количество заявок на ремонтные услуги! Вместо 10 звонков в день поступали 1 - 3. Трафик на сайт снизился до минимума.

Если на вашем сайте проявляется подозрительная активность, описанная в статье, рекомендуем немедленно обратиться в отдел сопровождения сайтов к специалистам для проведения исследования.

Подозрение на вирусы

15 марта — начало истории. Клиент заметил падение трафика и через несколько дней обратился к нам.

Проблема видна невооруженным взглядом по Метрике. С начала марта посещаемость сайта поползла вниз.

Мы нашли подтверждение проблемы в вебмастере — снижение числа проиндексированных страниц в 4 раза. Трафик просел.

Внимательно посмотрев на сайт, обнаружили, что файл настроек адресов страниц urlrewrite.php и конфигурационный файл .htaccess изменились. Из-за этого все страницы каталога поменяли адреса. Поисковик не успел их проиндексировать, а старые удалил.

Тревожным звонком было то, то при первой попытке изменить файл .htaccess, он через несколько минут вернулся в прежнее состояние. Напоминаю, мы грешили на хостинг, и эту проблему устранили настройкой прав доступа к .htaccess.

На тот момент решили, что, возможно, клиент или хостинг случайно поменяли настройки. Мы починили файлы и отчитались клиенту о результате.

Через несколько дней файл сломался вновь, равно как и адреса страниц.

Первая попытка — Разговор дипломатов

Причина падения трафика и выпадения страниц из индекса.

В недрах сайта был специальный php-файл, который делал 2 вещи:

1. Собрали небольшое семантическое ядро и сгруппировали фразы по категориям каталога.
2. Проверили и исправили все рекомендации в Яндекс.Вебмастере, добавили сайт в Search Console для ускорения индексации Google и возврата трафика.
3. Нашли существующие 404-е ошибки, составили список страниц, отдали заказчику на исправление.
4. Нашли дубли META-информации, настроили шаблоны для меты с помощью SEO-свойств 1С-Битрикс.

1. Нашли последний рабочий архив (делали после SEO-реанимации).
2. Развернули на поддомене, проверили, работает.
3. Заменили сайты.

Прошло несколько дней, проблема повторилась. В этот раз решили провести тщательное исследование.

Артподготовка — Применили тяжелую артиллерию

После сканирования файлов сайта антивирусом AVG было обнаружено 4 файла вирусов-троянов.

Один из файлов отличался размером, после проверки выяснили, что этот файл попал на сайт в то же время, что и не заражённые файлы сайта. Вероятно, этот файл был добавлен ещё в старую версию сайта. Остальные 3 файла были созданы позже. То есть, сайт долгое время был заражен, но это никак не проявлялось.

Отчет антивирусной программы

Содержимое зараженного файла

Далее выполнили ручной анализ в папке /bitrix/admin и найдено еще несколько файлов с вредоносным кодом.

Выполнили поиск по сайту по подстрокам из вирусных файлов, но больше ничего не нашли.

Зараженные файлы находились в ядре битрикса.

Версии возникновения вирусов:

1) в старую версию сайта несколько лет назад был добавлен (вручную или автоматически) файл /bitrix/admin/mobile/bitrixcloud_monitoring_ini.php который использовался злоумышленником для добавления остальных файлов (для спама, рассылки и пр.). Этот файл не является частью ядра 1С-Битрикс.

1. просканировали файлы (AVG + Касперский) сайта на наличие вирусов;
2. вручную сделали анализ некоторых подозрительных файлов;
3. выполнили поиск по подстрокам из зараженных файлов;
4. удалили все найденные файлы с вредоносным кодом;
5. усилили безопасность сайта через настройки проактивной защиты;
6. проверили все файлы tools.php, о котором сообщил сотрудник хостинга (источник рассылки спама):
   /bitrix/modules/catalog/general/tools.php и подобные.
7. развернули сайт из очищенной резервной копии.
8. Затаились, стали ждать.

Прошло ровно 5 дней, проблема повторилась. Вирус (или злоумышленник) каждый раз оказывался хитрее нас. На этот раз:

1) в файлы index.php в начало добавляется include файла из /upload, инклудится файл вида favicon- .ico

2) в подключаемом файле после расшифровки оказался код загрузки вирусных плагинов через POST-запрос.

У всех измененных файлов дата изменения устанавливается в find ./ -mtime +6 -type f -printf '%TY-%Tm-%Td %TT %p\n' | sort -r

Зачистка — высадили десант

1. Восстановили сайт из свежей чистой резервной копии.
2. Поменяли все пароли от всех хостингов, админок, итд.
3. Оставили только одного пользователя в админах, остальным ограничили доступ к структуре.
4. Проверили ядро на наличие изменений.
5. Удалили все сторонние модули.
6. Руками и глазами проверили все подозрительные места.

Сайт работает без проблем, попросили хостинг включить отправку почты. Трафик удалось удержать. Выдохнули.

1. Храните пароли как зеницу ока на бумажке под подушкой.
2. Обновляйте платформу и всегда продлевайте лицензию 1С-Битрикс.
3. Если даете доступы фрилансерам или подрядчикам, всегда заводите для них временные пароли и ограничивайте доступ.
4. Храните резервные копии отдельно от сайта.

Благодарим Евгения Молчанова (ООО “МастерКласс”) за терпение и участие в совместном решении проблемы!

Безопасность веб-сайта — один из важнейших аспектов, который нельзя игнорировать и пускать на самотек. Компания Битрикс очень серьезно относится к проблемам безопасности и предлагает ряд эффективных инструментов для защиты сайта от вирусов и взлома.

Ниже мы рассмотрим встроенные инструменты безопасности 1С-Битрикс, а также расскажем как с ними работать для получения максимальной эффективности.

• Проактивный фильтр
• Сканер безопасности веб-сайта
• Веб-антивирус
• Аудит безопасности PHP-кода
• Защита от DDoS
• Стоп-лист
• Контроль активности
• Защита административного раздела
• Контроль целостности файлов
• Защита сессий
• Панель безопасности
• Безопасная авторизация без SSL
• Журнал вторжений
• Двухэтапная авторизация и одноразовые пароли
• Защита редиректов от фишинга
• Защита от фреймов
• Хосты/домены

Рассмотрим каждый инструмент подробнее.

Проактивный фильтр защищает от большинства известных атак. Он распознает потенциальные угрозы и блокирует вторжения на сайт, анализирует и фильтрует данные, которые поступают от посетителя через переменные и куки.

Проактивный фильтр – это наиболее эффективный способ защиты от возможных ошибок безопасности, допущенных при реализации интернет-проекта (XSS, SQL Injection, PHP Including и ряда других).

Все попытки атак Проактивный фильтр фиксирует в специальном журнале и при этом информирует администратора сайта о случаях вторжения. Фильтр может заблокировать атакующего, добавив его IP-адрес в стоп-лист.

Администрирование - Настройки - Проактивная защита - сканер безопасности

Сканер безопасности — это сервис для мониторинга уязвимостей сайта. Вместе с модулем Проактивная защита сервис Сканер безопасности выполняет полную диагностику угроз безопасности веб-ресурса и своевременно их предотвращает.

Сканер проверяет окружение проекта, настройки всех систем безопасности находит, а также находит потенциальные уязвимости в коде.

Запустить сканирование можно одной кнопкой "Запустить сканирование".

Возможности сканера безопасности Битрикс:

1. Выполняет внутреннее сканирование окружения проекта. Например, насколько безопасно хранятся сессии.
2. Выполняет проверку настроек сайта. Например, включен ли WAF, установлен ли пароль к БД и т. д.
3. Выполняет поиск потенциальных уязвимостей в коде проекта с помощью статического анализа.
4. Запускает внешнее сканирование.

В результатах проверки сайта на уязвимости даются также рекомендации по их устранению. Особо важные пункты красным цветом и обозначены восклицательным знаком.

Администрирование - Настройки - Проактивная защита - Веб-антивирус

Веб-антивирус препятствует внедрению вредоносного кода в веб-сайт. Он выявляет в HTML коде потенциально опасные участки и вырезает подозрительные объекты из кода сайта.

Веб-антивирус также уведомляет администратора сайта о найденных вирусах или подозрительных частей кода.

В настройках этого инструмента можно добавить исключения, чтобы Веб-антивирус не срабатывал на безопасные, но подозрительные части кода.

Администрирование - Настройки - Инструменты - Монитор качества

Этот удобный, точный и понятный инструмент подсказывает потенциально опасные места в безопасности кода. Он не только предотвращает эксплуатацию уязвимости, но и устраняет ее источник. Проверка показывает в отчете возможные уязвимости в коде и усиливает защиту сайта от взлома.

DDoS-атака или иначе распределенная атака на сайт с помощью большого числа мусорных запросов. Справится с такой атакой может только специализированная защита.

Напомним, что на нашем хостинге для Битрикс на всех тарифах уже присутствует аппаратная и программная защита от DDoS атак.

Очень полезный инструмент, который позволяет забанить неугодных посетителей. Возможности Стоп-листа:

• Перенаправляет посетителей, параметры которых содержатся в стоп-листе;
• Блокирует пользователей по IP адресам;
• Есть ручное пополнение стоп-листа новыми записями;
• Ведется учет статистики пользователей, которым запрещен доступ к сайту;
• Можно установить период действия запрета на доступ к сайту для пользователя, IP-сети, маски сети, UserAgent и ссылки, по которой пришел пользователь;
• Можно изменять сообщение, которое будет показано пользователю при попытке доступа к сайту.

Контроль активности установливает защиту от слишком активных пользователей, программных роботов, некоторых категорий DDoS-атак, а также отсекает попытки подбора паролей перебором.

В настройках инструмента можно установить максимальную активность пользователей для сайта (например, число запросов в секунду, которые может выполнить пользователь).

Возможности инструмента Контроля активности:

• Защищает от чрезмерно активных пользователей, программных роботов и некоторых категорий DDoS-атак;
• Отсекает попытки подбора паролей перебором;
• Устанавливает максимальную активность пользователей для сайта (нормальной для человека);
• Фиксирует превышение лимита активности пользователя в Журнале вторжений;
• Блокирует пользователя, превысившего количество запросов в заданный временной интервал;
• Выводит для заблокированного пользователя специальную информационную страницу.

Этот инструмент позволяет строго ограничивать сети, которым разрешается доступ к административной части сайта. В нем можно задать список разрешенных IP, из которых можно управлять административной частью.

Это делает бессмысленными любые XSS/CSS атаки на компьютер администратора, а также перехват пароля, потому что доступ и авторизация с чужого компьютера будут невозможны.

В инструмент включена также защита от блокировки доступа самого администратора.

Администрирование - Настройки - Проактивная защита - Контроль целостности

Контроль целостности файлов помогает быстро выяснить, вносились ли изменения в файлы системы. В любой момент вы можете проверить целостность ядра, системных областей, публичной части продукта.

Система также позволяет выполнять проверку скрипта контроля на наличие изменений.

Также очень полезный инструмент защиты. Цель большинства атак на сайты — получение данных об авторизованной сессии пользователя. Включение защиты сессий делает такое похищение бесполезным.

Хранение данных сессий в таблице модуля позволяет избежать чтения этих данных через скрипты других сайтов на том же сервере, исключив ошибки конфигурирования виртуального хостинга, ошибки настройки прав доступа во временных каталогах и ряд других проблем настройки операционной среды.

Кроме того, это разгружает файловую систему, перенося нагрузку на сервер базы данных.

Панель безопасности позволяет установить и настроить уровень требуемой безопасности сайта: начальный, стандартный, высокий или повышенный. Система попутно дает рекомендации, какое действие необходимо установить для каждого параметра на выбранном текущем уровне.

Стандартный уровень безопасности — для тех проектов, где задействованы стандартные инструменты проактивной защиты продукта;

Высокий уровень безопасности — это рекомендованный уровень защиты, который получают проекты, выполнившие требования стандартного уровня, и дополнительно включающие:

• Журналирование событий главного модуля;
• Защиту административной части;
• Хранение сессий в базе данных;
• Смену идентификатора сессий.

Повышенный уровень безопасности включает специальные средства защиты, обязательные для сайтов, содержащих конфиденциальную информацию пользователей. В дополнение к высокому уровню сюда входит:

• Включение одноразовых паролей;
• Проверка целостности скрипта контроля.

Этот инструмент делает невозможным взлом паролей с формы авторизации, т.к. они шифруются по алгоритму RSA с ключом 1024 бит и в таком виде передаются на корпоративный сайт.

Безопасная авторизация с шифрованием пароля позволяет избежать передачи пароля в открытом виде без SSL. При этом все инструменты, которые использовались ранее для авторизации, продолжают работать.

Журнал вторжений регистрирует все события, происходящие в системе, в том числе необычные или злонамеренные. События регистрируются в оперативном режиме, что позволяет просматривать соответствующие записи в Журнале сразу же после их генерации.

Такая оперативность позволяет обнаруживать атаки и попытки атак в момент их проведения. Это означает, что у вас есть возможность немедленно принимать ответные меры и предупреждать возможные атаки.

Система одноразовых паролей дополняет стандартную систему авторизации и значительно усиливает систему безопасности сайта. Так реализуется двухэтапная авторизация — сначала обычный логин и пароль, а затем дополнительно еще и одноразовый пароль.

Подобную защиту можно реализовать как аппаратными средствами (аппаратные устройства-брелоки типа eToken PASS), так и программно с помощью Персонального генератора одноразовых паролей для сайта (ОТР).

В Битриксе, как и в любой CMS, для подсчета числа кликов, есть возможность реализации ссылок через редиректы. Для безопасной работы данного функционала, чтобы исключить подмену ссылок, необходимо использовать защиту от фишинга:

• Проверять наличие HTTP заголовка описывающего ссылающуюся страницу - при отмеченной опции будет проверяться наличие HTTP заголовка, описывающего страницу;
• HTTP заголовок, описывающий ссылающуюся страницу, должен содержать текущий сайт - при отмеченной опции будет проверяться наличие в HTTP заголовке записи о текущем сайте, который описывает ссылающуюся страницу;
• Добавлять цифровую подпись к перечисленным ниже URL - при отмеченной опции к адресам, перечисленным в поле Подписываемые URLs, будет добавляться цифровая подпись.

Опция позволяет разрешить/запретить загружать страницы сайта через / за счет проставление заголовка X-Frame-Options в значение SAMEORIGIN. При активиции защиты от фреймов не будет работать Вебвизор в Яндекс.Метрике. Есть способы обойти это ограничение, если добавить блокировку iframe через Nginx, в котором можно исключить блокировку для Вебвизора, в этом вам помогут в поддержке хостинга.

Опция блокирует открытие сайта по адресам, которые отличаются от разрешенных вами. Это делается за счет проверки и запрета подмены HTTP-заголовка Host.

Вы можете настроить блокировку таких попыток открытия сайта, или просто сделать переадресацию на нужный адрес.

В идеале это первое, о чем нужно позаботиться владельцу сайта. Резервное копирование позволяет восстановить рабочую версию сайта после каких-либо поломок или вторжения извне.

На нашем хостинге Джихост резервное копирование происходит в автоматическом режиме раз в неделю. Копии хранятся на независимых серверах и не занимают места на дисках клиентов.

Для создания резервной копии сайта на хостинге зайдите в свою Панель управления (https://my.jehost.ru), в меню Инструменты – Резервные копии – Новый. Будет создана текущая резервная копия.

В Битриксе резервное копирование реализовано в различных вариантах.

• Полное резервное копирование. Как следует из названия, будет создана полная резервная копия сайта со всем его содержимым.
• Выборочное копирование. Можно выбрать, какую часть сайта копировать — контент /ядро / база данных. Часто это удобнее, особенно если сайт занимает много места. Есть также настройка, которая позволяет отключить копирование отдельной папки или файла.
• Автоматическое регулярное резервное копирование. В Битриксе можно настроить автоматическое резервное копирование по расписанию. А чтобы бакапы со временем не занимали все место, можно настроить автоматическое удаление старых копий.
• Автоматический backup в облако. Еще более надежный вариант. В облаке копии хранятся независимо, поэтому надежность такого бэкапа гораздо выше.

Доступен в лицензиях:

Подключить защиту от DDoS
Панель безопасности с уровнями защищенности
Проактивный фильтр (Web Application FireWall)
Инструмент для аудита безопасности PHP-кода
Веб-антивирус
Технология одноразовых паролей (OTP)
Генератор одноразовых паролей (Bitrix OTP)
Защита авторизованных сессий
Контроль активности
Безопасная авторизация без SSL
Журнал вторжений
Защита административных разделов по IP
Стоп-листы
Контроль целостности скрипта
Рекомендации по настройке
Монитор обновлений
Внешний контроль инфосреды
Защита редиректов от фишинга

Проактивная защита – это целый комплекс технических и организационных мер, которые объединены общей концепцией безопасности и позволяют значительно расширить понятие защищенности и реакции веб-приложений на угрозы.

Это целый ряд технических решений по обеспечению безопасности продукта и разработанных веб-приложений. Несколько уровней защиты от большинства известных атак на веб-приложения включает этот модуль. И каждый уровень серьезно повышает безопасность разработанных вами интернет-проектов.

Защита от DDoS

Даже атака небольшой интенсивности потребует знаний грамотного технического специалиста для ее отражения. Справиться же с более серьезными атаками невозможно без специализированной защиты.

Проактивный фильтр (Web Application Firewall)

Проактивный фильтр (WAF - Web Application Firewal) обеспечивает защиту от большинства известных атак на веб-приложения. В потоке внешних запросов пользователей проактивный фильтр распознает большинство опасных угроз и блокирует вторжения на сайт. Проактивный фильтр – наиболее эффективный способ защиты от возможных ошибок безопасности, допущенных при реализации интернет-проекта (XSS, SQL Injection, PHP Including и ряда других). Действие фильтра основано на анализе и фильтрации всех данных, поступающих от пользователей через переменные и куки.

* Обратите внимание, что некоторые действия пользователей, не представляющие угрозы, тоже могут выглядеть подозрительно и вызывать ложное срабатывание фильтра.

• защита от большинства известных атак на веб-приложения;
• экранирование приложения от наиболее активно используемых атак;
• создание списка страниц-исключений из фильтрации (по маске);
  
• распознавание большинства опасных угроз;
• блокировка вторжений на сайт;
• защиты от возможных ошибок безопасности;
• фиксирование попыток атак в журнале;
• информирование администратора о случаях вторжения;
• настройка активной реакции - действий системы при попытке вторжения на сайт:
  • сделать данные безопасными;
  • очистить опасные данные;
  • добавить IP адрес атакующего в стоп-лист на ХХ минут;
  • занести попытку вторжения в журнал.
• обновления вместе с продуктом.

Аудит безопасности PHP-кода

Веб-антивирус

Веб-антивирус встроен непосредственно в сам продукт - систему управления сайтами. Этот компонент защиты полностью соответствует общей концепции безопасности системы и в разы повышает защищенность и скорость реакции веб-приложения на веб-угрозы.

Панель безопасности с уровнями защищенности

• проактивный фильтр (на весь сайт без исключений);
• ведется журнал вторжений за посление 7 дней;
• включен контроль активности;
• повышенный уровень безопасности для группы администраторов;
• использование CAPTCHA при регистрации;
• режим вывода ошибок (только ошибки).высокий уровень – рекомендованный уровень защиты, получают проекты, выполнившие требования стандартного уровня, и дополнительно включившие:

• журналирование событий главного модуля;
• защита административной части;
• хранение сессий в базе данных;
• смена идентификатора сессий.

• повышенный уровень – специальные средства защиты, обязательные для сайтов, содержащих конфиденциальную информацию пользователей, для интернет-магазинов, для тех, кто работает с критичной информацией.Дополнительно к высокому уровню:
  

• включение одноразовых паролей;
• контроль целостности скрипта контроля.

Журнал вторжений

Одноразовые пароли

Система одноразовых паролей дополняет стандартную систему авторизации и позволяет значительно усилить систему безопасности интернет-проекта. Для включения системы необходимо использовать аппаратное устройство(например,

Контроль целостности файлов

Контроль целостности файлов необходим для быстрого выяснения - вносились ли изменения в файлы системы. В любой момент вы можете проверить целостность ядра, системных областей, публичной части продукта.

отслеживание изменений в файловой системе;

проверка целостности ядра;

проверка системных областей;

проверка публичной части продукта.

Проверка целостности скрипта контроля

проверка скрипта контроля на наличие изменений;

защита целостности скрипта ключом - символьным паролем.

Защита административного раздела

Эта защита позволяет компаниям строго регламентировать сети, которые считаются безопасными и из которых разрешается сотрудникам администрировать сайт. Перед вами простой специальный интерфейс, в котором все это и делается - задается список или диапазоны IP адресов, из которых как раз и позволяется управление сайтом. Не бойтесь закрыть себе доступ в момент установки блокировки - этот момент проверяется системой.

Каков эффект от использования данной защиты? Любые XSS/CSS атаки на компьютер пользователя становятся неэффективными, а похищение перехваченных данных для авторизации с чужого компьютера - абсолютно бесполезным.

• ограничение доступа к административной части всех IP адресов, кроме указанных;
• автоматическое определение системой IP адреса пользователя;
• ручной ввод разрешенного IP адреса;
  
• установка диапазона IP адресов, с которых разрешен доступ к административной части.

Защита сессий

Большинство атак на веб-приложения ставят целью получить данные об авторизованной сессии пользователя. Включение защиты сессий делает похищение авторизованной сессии неэффективным. И, если речь идет об авторизованной сессии администратора, то ее надежная защита с помощью данного механизма является особо важной задачей. Какие инструменты использует этот защитный механизм? В дополнение к стандартным инструментам защиты сессий, которые устанавливаются в настройках группы, механизм защиты сессий включает специальные - и в некотором роде уникальные.

Хранение данных сессий в таблице модуля позволяет избежать чтения этих данных через скрипты других сайтов на том же сервере, исключив ошибки конфигурирования виртуального хостинга, ошибки настройки прав доступа во временных каталогах и ряд других проблем настройки операционной среды. Кроме того, это разгружает файловую систему, перенося нагрузку на сервер базы данных.

• защита сессий несколькими способами:
  • время жизни сессии (минуты);
  • смена идентификатора сессии раз в несколько минут;
  • маска сети для привязки сессии к IP;
  • хранение данных сессий в таблице модуля.
• исключение ошибок конфигурирования виртуального хостинга;
• исключение ошибок настройки прав доступа во временных каталогах;
• исключение проблем настройки операционной среды;
• разгрузка файловой системы;
• бесполезность похищения сессий злоумышленниками.

Контроль активности

Контроль активности позволяет установить защиту от чрезмерно активных пользователей, программных роботов, некоторых категорий DDoS-атак, а также отсекать попытки подбора паролей перебором. В настройках можно установить максимальную активность пользователей для вашего сайта (например, число запросов в секунду, которые может выполнить пользователь).

• защита от чрезмерно активных пользователей;
• защита от программных роботов;
• защита от некоторых категорий DDoS-атак;
• отсекание попыток подбора паролей перебором;
• установка максимальной активности пользователей для сайта (нормальной для человека);
• фиксирование превышения лимита активности пользователя в Журнале вторжений;
  
• блокирование пользователя, превысившего количество запросов в заданный временной интервал;
• вывод для заблокированного пользователя специальной информационной страницы.
  

Контроль активности пользователей ведется на основе средств модуля Веб-аналитика и, следовательно, доступен только в тех редакциях продукта, в которые входит этот модуль.

Стоп лист

Стоп-лист - таблица, содержащая параметры, используемые для ограничения доступа посетителей к содержимому сайта и перенаправлению на другие страницы. Все пользователи, которые попытаются зайти на сайт с IP адресами, включенными в стоп-лист, будут блокированы.

• перенаправление посетителей, параметры которых содержатся в стоп-листе;
  
• блокировка пользователей по IP адресам из стоп-листа;
  
• ручное пополнение стоп-листа новыми записями;
• учет статистики пользователей, которым запрещен доступ к сайту ;
• установка периода действия запрета на доступ к сайту для пользователя, IP-сети, маску сети, UserAgent и ссылку, по которой пришел пользователь;
• изменяемое сообщение, которое будет показано пользователю при попытке доступа к сайту.

Сегодня мы поговорим о защите персональных данных клиентов и других, не менее важных, аспектах информационной безопасности веб-проектов.

В последнее время область разработки переживает довольно стремительный переход от классических практик создания программного обеспечения — долгого, медленного, обстоятельного, досконального подхода, при котором все тщательно проектируется, продумывается, испытывается десятки раз — к Agile методикам, обеспечивающим быстрое создание продукта с одновременным постоянным потоком изменений в его функционал как во время разработки, так и после выхода первого релиза.

Платформа Битрикс — просто нашпигована эффективными инструментами обеспечения информационной безопасности веб-проектов.

Наверно многие знают, что в нашей компании имеется отдел информационной безопасности, в задачи которого входит тщательный аудит всего создаваемого программного кода платформы Битрикс. Поэтому ядро платформы — максимально защищено, о чем свидетельствуют в том числе хорошие результаты на фестивале хакеров CC9 и результаты независимого аудита от известного эксперта в области безопасности — Positive Technologies.

Также, специалисты отдела информационной безопасности проводят постоянный мониторинг внешних информационных угроз и создают/развивают проактивные инструменты защиты веб-проектов — которые мы далее рассмотрим.

Выглядит эта панелька так:

И конечно, все атаки — регистрируются в журнале событий.

Вот так это работает:

Этот инструмент работает несколько иначе, чем предыдущий — он фильтрует информацию, передаваемую в браузер клиентов веб-проекта.

К сожалению, нередко компьютеры администраторов и менеджеров веб-проектов — заражены вирусами. Вирусы достают пароли из браузеров, FTP-клиентов и других инструментов управления веб-проектом и… заражают сами файлы веб-проекта. Утром вам начинают звонить клиенты и говорить, что на сайт нельзя зайти, т.к. он заражен и вместо сайта открывается красное окно с предупреждением — а все из-за того, что один из менеджеров веб-проекта ночью из дома зашел с персонального зараженного компьютера и добавил… зараженную новость на сайт.

Данный инструмент, конечно, не заменяет антивирусное программное обеспечение, а действует с ним в унисон и определенно страхует вас от ошибок в политике безопасности эксплуатации веб-проекта. И, как любой антивирус — периодически обновляется через Интернет.

Идея тут в том, что учетные записи пользователей и администраторов веб-проекта привязываются к группам, имеющим разные уровни безопасности (чем выше безопасность, тем как правило ниже удобство работы с системой).

После авторизации между клиентом и веб-проектом начинает гулять идентификатор сессии, который нередко является целью хакеров. Для защиты сессии на разделяемых хостингах мы предлагаем их хранить в базе данных, а для затруднения атак на сессию мы даем возможность менять ее идентификатор.

Полезно разрешить доступ к административному разделу веб-проекта с определенных подсетей средствами системного администрирования — но мы также предоставляем инструмент, облегчающий эту задачу. Инструмент достаточно популярный и удобный — особенно на разделяемых хостингах:

А это как вам удобно. Весь трафик клиентов с веб-проектом шифровать — расточительно и неудобно (хотя для обеспечения секьюрности это некоторым очень хочется сделать). А вот определенные разделы, содержащие персональные данные и точки авторизации — весьма полезно.
Напрямую в платформе мы не занимаемся этим — возлагая задачу обеспечения SSL на службу системного администрирования и проектировщика веб-решения.

На летней партнерской конференции мы анонсировали выход в ближайшем релизе платформы технологии защиты от передачи пароля в открытом виде (не у всех есть возможность настроить SSL) — на базе асимметричной криптографии (шифруем пароль JavaScript-ом в браузере клиента, RSA 1024 bit).

Конечно, вы можете защитить процедуру авторизации на веб-проекте посредством SSL от перехвата паролей грозными хакерами, но… это не спасет от утечки паролей, особенно административных, по другим каналам — е-мейл, бумажечки на столе и в тумбочке, записи на рабочем столе и т.п.

Создавая веб-проект на 1С-Битриксе вы (или наш Партнер) можете сконцентрировать усилия и бюджет на решаемой задаче, доверяя вопросы обеспечения безопасности платформе и ее инструментам.

Однако, нужно хорошо понимать, что борьба за безопасность веб-проекта должна постоянно идти по всем фронтам, серебряной пули нет и только системный подход, четко продуманные бизнес-процессы и политики обеспечения информационной безопасности сделают ваш веб-проект неприступной крепостью на… 99.9%.

С уважением, руководитель направления контроля качества интеграции и внедрений
Александр Сербул