"Наказать хакера!". Ожидание и реальность.

Наша компания специализируется на лечении сайтов от вирусов и защите от взлома. Но часто мы получаем запросы от владельцев взломанных интернет-магазинов, где пострадавшие просят не только восстановить сайт, но и найти злоумышленника, чтобы написать заявление в полицию и привлечь правонарушителя к ответственности. Желание это вполне разумно и объяснимо: на ваш бизнес совершили покушение и допустить мысль о том, что взломщик будет безнаказанно бродить по просторам интернета, абсолютно неприемлима для бизнесмена. 

Однако столкнувшись с реальностью владелец сайта часто разочаровывается, поскольку на деле все выходит не так, как в фильмах про шпионов и хакеров.

  • Первая проблема – технические ограничения. Да, узнать IP, с которого был выполнен взлом, в большинстве случаев не составит никакого труда. Но хакеры это знают и работают с подставных адресов: они используют для проведения атак VPN сервисы, скрывающие реальные адреса, подключаются через взломанные серверы и предоставляют ворованные аккаунты, чтобы не подставляться. Причем живые люди взламывают сайты редко (разве что по заказу). Большая часть сайтов атакуется автоматизированными программными комплексами (ботами). Киберпреступники один раз их настроили и запустили, а дальше работают “машины”, взламывая и заражая сотни, а то и тысячи сайтов. Поэтому процесс поиска злоумышленника, увы, сводится к поиску сервера атакующего бота, а не реального человека. И, как вы понимаете, бота нельзя арестовать.
    К сожалению, виртуальная среда позволяет “замести следы” намного проще и быстрее, чем это происходит в реальном мире. Как правило, при анализе инцидента на руках имеется только IP адрес какого-нибудь германского хостинга или африканского VPN сервиса, и найти по нему реального пользователя невозможно. Злоумышленники на это и рассчитывают. А случаи, когда хакер совершает ошибку и оставляет “отпечаток” своего реального IP, кошелька или email адреса практически исключены.
    Кроме того, “плохие парни” могут удалить логи, по которым обычно отслеживаются операции взлома и вся вредоносная активность. Если в логах пусто, то анализировать попросту нечего.

    Кстати, с IP адресами есть важный момент: их сбором для правоохранительных органов должен заниматься специалист. Например, если владелец сайта запросит у хостера IP адреса всех подключений, то в этот список могут попасть и легитимные адреса сотрудников, подрядчиков и самого владельца сайта. В итоге спросят со всех.
  • Вторая проблема – отсутствие необходимых административных ресурсов  и высокая стоимость расследования. Когда взламывают банковские ресурсы, сайты госструктур и корпораций, бюджет на расследование инцидентов выделяется существенный. В этом случае подключаются центры реагирования на инциденты и компании, специализирующиеся на расследовании и предотвращении киберпреступлений с их мощными административными и техническими ресурсами. Если стоимость лечения и технической защиты интернет-магазина порядка 5000 руб, то стоимость заказа расследования в специализированной компании в десятки раз выше. Обычно, владелец сайта к такому не готов, а бесплатно заниматься сбором доказательной базы и поиском хулигана коммерческие структуры не будут.

    Конечно, есть отдел «К», задача которого искать и наказывать киберпреступников. Но проблема в том, что на руках владельца сайта есть только подставные IP адреса (обычно, иностранные), с ними он приходит в правоохранительные органы, пишет заявление и ждет результатов. Но искать хакера по иностранным IP будут только в том случае, если последний пытался совершить гос. переворот, атаковал банки или сделал что-то действительно серьезное и масштабное, а не просто взломал коммерческий сайта (даже если владелец считает свой бизнес самым крупным и важным в Рунете). Поэтому формально заявление у вас примут, но без российских IP адресов, реальных аккаунтов, кошельков, профилей ВКонтакте и других «зацепок», результат расследования будет нулевой.
  • Третья проблема – позднее обращение. Когда взломанный сайт попадает к специалисту по информационной безопасности, часто с ним уже успели поработать и “наследить” веб-мастер, служба тех. поддержки хостинга и другие специалисты в попытках вернуть сайт к жизни или восстановить из резервной копии. Вместо того, чтобы в момент инцидента немедленно обратиться к “безопасникам”, веб-мастера начинают тянуть время или самостоятельно “лечить” сайт. В результате старые логи с критически важными данными удаляются и хакерские файлы с временными метками исчезают бесследно, а специалистам по ИБ остается только гадать на кофейной гуще.

    К сожалению, в настоящее время раскрытие интернет-преступлений, связанных со взломом сайтов, остается для нашего общества все еще сложной задачей.

Как же быть? Неужели совсем ничего нельзя сделать? Отнюдь.  Оптимальным решением для владельцев интернет-магазинов на сегодняшний день являются превентивные меры защиты и регулярная диагностика сайта на предмет взлома и заражения. То есть не ждать, пока сайт взломают, и затем пытаться совершить акт возмездия, а позаботиться о безопасности веб-ресурса заранее и исключить сам факт взлома.

Стоимость услуги защиты чистого, незавирусованного сайта обойдется в пределах 3000 руб (единоразово). А сервисы по проверке интернет-магазина на наличие на нем вредоносного кода и хакерских шеллов – вообще бесплатны. Мы рекомендуем проверенные и надежные инструменты: сканер файлов AI-BOLIT и веб-сканер ReScan.Pro.

Обращаем внимание на то, что сейчас услуги лечения и защиты сайтов предлагает большое число компаний, занимающихся веб-разработкой и поддержкой сайтов. Но профессионально оказать ее могут только те, у кого информационная безопасность сайтов – основная специализация.

Наши услуги ИБ

Акция «2 по цене 1»
Подключите 2 сайта к услуге "Сайт под наблюдением" всего за 5000 2500 / мес. Скидка 50% только в январе.
Акция действует только до 31 января.
При подключении услуги "Сайт под наблюдением" для одного сайта, второй на том же аккаунте подключается бесплатно. Последующие сайты на аккаунте — 1500 руб в месяц за каждый сайт.