Чим довше живе програма, тим більше багів, дірок і вразливостей в ній знаходять хакери. Причому програми, на базі яких працює інтернет, хакерам найбільш цікаві: це веб-сервери, системи управління базами даних, веб-фреймворки, бібліотеки і так далі. Найстрашніші уразливості - це так звані «zero-day». Це способи зламати програму, які стають загальновідомими до того, як розробники закривають проблему за допомогою оновлення свого софта. Часто, до речі, «хакери в білих капелюхах» (white hat hackers), що борються на стороні добра, не публікують спосіб злому, а відсилають його розробникам програми - і отримують за це грошову винагороду. Але є і «чорні хакери», які не беруть гроші від розробників, а публікують відомості про уразливість в даркнета - або ж користуються діркою самі, в гордій самоті.
Найсумніше, що цей страхітливий розповідь про «слабкі місця нульового дня» є актуальним для дуже істотного відсотка сайтів (а то й більшість)! Для багатьох все уразливості РОКАМИ є «нульовими», тобто вкрай небезпечними. Справа в тому, що багато сайтовладельцев навіть і не думають про оновлення. Добре, що хостери вчасно оновлюють операційні системи і софт на віртуальних хостингах, але часто вони можуть оновити далеко не всі компоненти, на яких крутиться ваш сайт.
Всі відмічені червоним помилки потрібно виправити. Жовті теж варто показати фахівцям, але з набагато менш високим пріоритетом. Варто відзначити, що на скріншоті результат перевірки сайту з буквально двох-трьох сторінок. На більших проектах помилок буде набагато більше.
Пара слів про DDoS
Як нещодавно стало відомо, найнятий МВС підрядник, Центральний науково-дослідний інститут економіки, інформатики та систем управління (ЦНДІ ЕІСУ), хоче відмовитися від контракту на злом мережі для анонімізації Tor. І навіть мріє виплатити МВС неустойку в розмірі 10 млн рублів. Простіше кажучи, анонімність в мережі існує. Доступними навіть п'ятикласникові інструкціями з налаштування Tor забитий весь інтернет. За допомогою Tor і деякої вступної інформації, яку також дуже просто нагугліть, можна потрапити в даркнет (він же Deep Web) - тобто зайти на анонімні приховані сайти, де продаються і купуються найрізноманітніші незаконні товари та послуги.
У числі таких послуг - недорогі, але здатні вирубати ваш сайт DDoS-атаки. Принцип DDoS-атаки досить простий: хакер активує свій ботнет (тобто заражені вірусом комп'ютери, власники яких нічого про це не підозрюють), і ці десятки і сотні тисяч машин починають ломитися на ваш сайт. Ваш сервер, звичайно, не витримує такої уваги і падає - чи просто перестає відповідати на запити звичайних живих відвідувачів. Ви втрачаєте гроші, а ваш конкурент, який замовив атаку в даркнета, диявольськи регоче.
висновок
Перевірте свій сайт на уразливості, усуньте їх, виберіть підрядника для захисту від DDoS-атаки на чорний день - і, звичайно, робіть щоденні бекапи свого сайту. І зберігайте їх на іншому сервері.