По следам DDOS-атаки на портал Hotelier.PRO Наталия Дьяконова, директор департамента телекоммуникаций компании КРОК, рассказала редакции об основах информационной безопасности, техниках взломов и вариантах защиты от ущерба.
Предыстория интервью. 20 января в 13.16 московского времени Hotelier.PRO подвергся DDOS-атаке. Автоматика нашего (теперь уже бывшего) провайдера NIC.RU отключила сайт от обслуживания, сообщив, что услуги по защите от DDOS-атак не предоставляет. Касперский выставил 100 тысяч рублей. Редакции, столкнувшейся с подобным впервые, пришлось в срочном порядке учить матчасть, проводить тендер на нового хостера и переносить сайт в другой дата-центр с соответствующим ПО.
Вячеслав Сапожников, Hotelier.PRO: Наталия, спасибо, что согласились проконсультировать нас и наших читателей на предмет информационной безопасности. Как только мы подверглись атаке, мне пришлось в срочном порядке искать в интернете материалы на эту тему. И одна из первых статей, найденных мной, была статья Андрея Врублевского, руководителя направления оптимизации и контроля сети компании КРОК. В ней он рассказывал и про гостиничную индустрию в качестве примера отрасли, подвергающийся хакерским атакам.
Наталия Дьяконова / КРОК: В нашем информационно-зависимом мире стать объектом взлома или DDOS-атаки может любой бизнес. Цели разные – от коммерческого заказа конкурентов до банального баловства хакеров. «Положить», т.е. вывести из строя на какое-то время, не защищенный сайт сегодня может каждый студент, более-менее разбирающийся в вопросе и осваивающий тему безопасности и защиты информации в любом ВУЗе.
Вячеслав Сапожников, Hotelier.PRO: С чем связана такая легкость взломов и атак? Это технологии настолько уязвимы? Издержки открытой архитектуры? Что-то еще?
Наталья Дьяконова / КРОК: Во-первых, практически в любом коде программного обеспечения содержится много т.н. уязвимостей. Существуют целые сообщества и хакерские сайты, где люди изучают эти уязвимости, часто более подробно, чем сами производители ПО, обмениваются информацией и способами использования таких уязвимостей. Любой поисковик сегодня выдаст вам множество ссылок на сайты, на которых можно узнать, как «положить» тот или иной ресурс. Получается, что при желании такую информацию можно найти, это не тайна за семью печатями. Но проблема в другом – в том, что есть люди, которые зарабатывают на этом. Как правило, отследить их непросто. И несмотря на то, что у нас в правоохранительных органах есть Управление «К», которое занимается подобными вопросами, профессионалов, заметающих следы, часто найти невозможно. IP-адреса компьютеров можно спрятать, подключение к сети можно производить в общественных местах через открытый и незащищенный Wi-Fi, управлять инфицированными компьютерами можно на расстоянии – способов остаться незамеченным у злоумышленников масса.
Вячеслав Сапожников, Hotelier.PRO: Если софт такой незащищенный – юридически его производитель несет какую-либо ответственность за то, что его могут взломать и нанести мне ущерб?
Наталия Дьяконова / КРОК: Никто ответственность за это не несет. При обнаружении уязвимостей и выпуске обновлений производитель ПО сообщает об этом на своем сайте. С этого момента ответственность лежит на вас, если вы не установили это обновление. Судебных перспектив подобные дела, как правило, не имеют. Такова сложившаяся практика.
Вячеслав Сапожников, Hotelier.PRO: Вы упомянули защищённый Wi-Fi и не защищённый Wi-Fi, можно более подробно про это?
Наталия Дьяконова / КРОК: Во многих отелях, например, каждому гостю выдается один общий пароль на доступ к Wi-Fi. Как правило, этот пароль не меняют месяцами, а число людей, которые его знают, может составлять несколько тысяч.
Каждому проживающему необходимо выделять собственной пароль для доступа, делать привязку к номеру телефона. Незащищенный Wi-Fi можно взломать в течение суток, поэтому нужно использовать наиболее безопасные механизмы защиты и аутентификации беспроводной сети. На сегодня — это протокол 802.1х. Однако, это только первый этап защиты. Мы советуем выключить неиспользуемые сетевые порты, т.к. по умолчанию в большинстве ПО и настройках оборудования все открыто. Ограничить физический доступ к оборудованию, фильтровать трафик, который не нужен, обязательно выполнять обновление ПО, мониторить оборудование на предмет разных угроз. И ещё очень важно защищать внутренние ИТ-сервисы, с которыми может взаимодействовать беспроводное оборудование.
Когда мы начинаем проектировать Wi-Fi сеть в отеле, первое, что мы делаем — это радиоразведка помещений, расставляем точки доступа оптимальным образом, чтобы переключение было автоматическим, а мертвые зоны отсутствовали. Причем, делаем мы этот аудит и замеры непосредственно перед вводом объекта в эксплуатацию. Почему? Знаете, как это бывает – вдруг собственник или управляющий в последний момент неожиданно решили поставить где-то стеклянную стену с жалюзи – для декора, скажем. Но жалюзи-то железные, да и про то, что стекло влияет на сигнал, тоже никто не думал. Вот и случилось экранирование сигнала в чистом виде. Поэтому все необходимо предусматривать заранее – и толстые железобетонные стены, и железные конструкции, и этажи.
Вячеслав Сапожников, Hotelier.PRO: По большим отелям история ясна – все понимают, что надо приглашать специалистов, платить и так далее. Но если говорить про малые отели, то история совсем иная, как мне представляется. Собственник, инвестор или GM часто в целях экономии мыслят следующим образом – у себя дома я же Wi-Fi поставил. Купил какой-нибудь трехсотый D-Link, все летает, все замечательно…
Наталия Дьяконова / КРОК: Да, и это история про то, как соседи могут пользоваться вашим интернетом бесплатно. Это совершенно простая задача – мало того, что люди ставят общие пароли и оставляют их на всю жизнь, так они и предустановленные дефолтные пароли не меняют – те, с которыми вы купили железку. Ничто не мешает злоумышленнику взять документацию по оборудованию и получить к нему доступ через предустановленный пароль.
На самом деле, для малых отелей есть масса решений. У любого провайдера интернета есть b2b-отдел, который за небольшие деньги делает инсталляции с защитой. Более того, сегодня уже можно заказать услугу из облака — существуют облачные Wi-Fi-решения. В этом случае вы вообще не занимаетесь аппаратной частью, все стоит у провайдера, а контроллер управления инфраструктурой будет стоять, например, в КРОКе. И мы, соответственно, будем управлять всеми вашими политиками, мониторить вашу сеть. Это будет дешевле, чем все делать самостоятельно.
Вячеслав Сапожников, Hotelier.PRO: К чему может привести небрежность с доступом в интернет в отеле?
Наталия Дьяконова / КРОК: Наверное, самой известный случай – с DarkHotel. Вы в курсе, что на всех телефонах с определенной регулярностью происходят обновления – операционных систем, программ, приложений и т.п. Условно: если выходит некое обновление, вендор присылает уведомление о нем, а поскольку вы в большинстве случаев по умолчанию соглашаетесь на установку такого обновления, все делается автоматически. В этом и была суть такой атаки DarkHotel – тысячи пользователей установили себе на устройства вирусного трояна вместо настоящего обновления софта. Соответственно, посредством трояна злоумышленники получали доступ ко всей вашей информации, файловой системе, биллингу и т.п. Все это привело к тому, что в течение семи лет в премиальных отелях действовала группа преступников, которая получала доступ ко всем целевым и не целевым гостям. Кого-то они мониторили, кого-то взламывали под заказ и забирали нужную информацию для заказчика. Чьи-то данные перепродавали. Абсолютно коммерческая история, люди долго зарабатывали на этом деньги, просуществовали семь лет. Скомпрометировали огромное количество отелей. Это к вопросу о том, что можно долго жить и не знать, что гостям кто-то постоянно наносит ущерб из-за твоего пренебрежения к технологиям.
Вячеслав Сапожников, Hotelier.PRO: Среди отельеров периодически возникают дискуссии – каким должен быть Wi-Fi в отеле? Бесплатным или платным? И часто есть понимание, что поскольку это история бесплатная, то и финансируется она по остаточному признаку. Есть ли решения, которые каким-либо образом помогают монетизировать доступ в интернет, оставляя его при этом бесплатным?
Наталия Дьяконова / КРОК: Бесплатный интернет в гостинице, безусловно, надо монетизировать. Самое простое решение – размещать рекламу: магазинов, которые присутствуют на территории отеля, туристических компаний, городских мероприятий, ресторанов и других точек интереса. Как это выглядит? Гость подключается к гостиничному Wi-Fi, открывает браузер и на первой же странице видит рекламный блок с обязательным просмотром или действием (перейти, закрыть, согласен и т.п.). Задача это совершенно тривиальная, недорогая в реализации и эффективная. Обращайтесь, сделаем.
Вячеслав Сапожников, Hotelier.PRO: С Wi-Fi разобрались, вернемся к DDoS-атакам. Конкуренция усиливается, мы вот частично стали ее жертвой. Я читал в сети материалы про войну пиццерий, которые глушили сайты друг друга, чтобы обрушить сервис доставки. Гипотетически можно представить и конкурирующие отели, стоящие на одной территории и выводящие сайты друг друга из строя… Мало ли…
Наталия Дьяконова / КРОК: Вообще, DDOS-атаки накрывают всех. Думаю, гостиничная индустрия не станет исключением. Что делать? В большинстве случаев, отель не содержит у себя на площадке собственный веб-сервер. Как правило, сайт размещают у хост-провайдера. Поэтому надо выбрать себе ресурс для хостинга, который будет максимально защищен. Почитать отзывы, посмотреть рейтинги, почитать про дополнительные функции. По сути, главное – наличие у хостера специализированного программного обеспечения, анализирующего трафик и имеющего алгоритмы по отключению запросов, явно идущих от бот-нетов или зараженных компьютеров.
Разумеется, важный момент – лицензионное программное обеспечение. Все, без исключения. Ситуация, когда вы купили дорогую систему автоматизации гостиницы или серверное ПО и поставили все это на компьютер под «крэкнутой» Windows – по определению, фатальна. Защита – либо комплексна, либо ее просто нет. Оправданны ли усилия по ее внедрению – решать вам, вы либо никогда этого не узнаете, потому что бизнес не пострадает, либо внезапный крах выльется в копеечку. Как мне представляется, грамотный управленец, собственник, инвестор допускать такого не должен принципиально.
Редакция рекомендует: Сергей Фомин, Libra Hospitality: Служба безопасности отеля. Конфликты, воровство, информационный и репутационный ущерб.
Чтобы всегда оставаться в курсе новостей и событий гостиничной индустрии, а также следить за обновлениями на Hotelier.PRO – подпишитесь на еженедельную рассылку. Это бесплатно.
