ГлавнаяНовостиСтатьиКаталогВендорыСтандартыОбучениеКонтакты  +7 (495) 231-4831    © 


[ Список статей ] ...


WatchGuard Technoligies. Новые возможности сервисов Network Discovery и Mobile Security позволили WatchGuard значительно увеличить "Прозрачность" cети

С-Терра СиЭсПи. Защита удаленного доступа. Доверенный сеанс связи

CNews. Fortinet включает защиту уровней доступа в систему обеспечения ИБ

CNews. ИТ-подразделениям всё труднее контролировать корпоративные данные в «облаке»

Jammer.ru. Apple следит за своими поль-зователями через Yosemite

Lenta.ru. Разоблачение «Корпорации добра»

Securelist. Доставка от спамеров: опасность гарантирована

Lenta.ru. Интернет-Мерфи

3DNews. Сноуден как повод

Компьютерра. Plug&Pray: скрытая атака через USB

SecurityLab. Как я взломал роутер

Securelist. Дыры в защите корпоративной сети: облачные сервисы

Андрей Козенко, Султан Сулейманов. «Не понимают, как работает интернет»

Евгений Царев. Впечатление от PHDays 2013 или кто заказчик кибербезопасности в России?

Олег Парамонов. Десять страхов: крах интернета, Big Data, утрата знаний и другие вещи, которые пугают учёных и футурологов

Brian Donohue. Альтернативные браузеры с улучшенной защитой

Бёрд Киви. Специалисты предупреждают...

Андрей Шуклин. Big Data: новый рынок, новые перспективы

Luis Corrons. Twitter, Facebook, Apple, Microsoft… кто следующий?

Антон Носик. Лохотрон в зоне .рф

Cio.com (перевод — Елена Фирсова). Самые опасные работы в области технологий

 Виталий Краснов 

  

Бизнес под ударом: веб-приложения остаются «дырявыми»


  Многолетняя экспертиза аналитического центра PT Research, а также опыт компании Positive Technologies по проведению тестов на проникновение и аудита информационной безопасности показывают, что ошибки в защите веб-приложений по-прежнему остаются одним из наиболее распространенных недостатков обеспечения защиты информации.

  При создании приложений основные усилия разработчика обычно направлены на обеспечение требуемой функциональности. При этом вопросам безопасности и качества программного кода уделяется недостаточно внимания. В результате подавляющее большинство веб-приложений содержит уязвимости различной степени критичности. Простота протокола HTTP позволяет разрабатывать эффективные методы автоматического анализа веб-приложений и выявления в них уязвимостей. Это значительно упрощает работу нарушителя, позволяя ему обнаружить большое число уязвимых веб-сайтов, чтобы затем провести атаку на наиболее интересные из них.

  Кроме того, уязвимость веб–приложений зависит от методов их организации и взаимодействия между собой. А также от ошибок и недосмотра системных администраторов, обслуживающих сервера (использование стандартных настроек, мест расположения системных файлов и каталогов и так далее). Таким образом, при подготовке атаки на информационную инфраструктуру компании, нарушители в первую очередь исследуют ее веб-приложения. Недооценка риска, который могут представлять уязвимости в веб-приложениях, доступные из интернета, возможно, является основной причиной низкого уровня защищенности большинства из них.

Методика исследования

  Экспертами компании Positive Technologies в 2009 году были проведены тесты по уязвимости веб-приложений на проникновение, аудиты безопасности и другие работы. В ходе тестирования было проверено 5560 веб–приложений путем 6239 автоматических сканирований и проведен детальный анализ 77 веб–приложений. Применялись различные методы исследования, от автоматизированного инструментального исследования методом "черного ящика", до проведения всех проверок вручную методом "белого ящика".

  Обнаруженные уязвимости квалифицировались согласно системе Web Application Security Consortium Web Security Threat Classification (WASC WSTCv2), в разработке которой активно принимали участие эксперты компании Positive Technologies. Данная система представляет собой попытку классифицировать все угрозы безопасности веб–приложений. В приводимой статистике учитываются только уязвимости веб–приложений и не рассматриваются такие проблемы, как недостатки процесса управления обновлениями программного обеспечения. Степень критичности уязвимости оценивалась согласно CVSSv2 (Common Vulnerability Scoring System version 2).

Портрет участников

  В исследовании рассматривались приложения сферы нефтегазового комплекса, телекоммуникаций, финансового сектора и компаний прочих отраслей.

Доли исследуемых отраслей, 2009

Источник: Positive Technologies, 2010

  Подобное распределение компаний связано с тем, что наибольший интерес в 2009 г. к работам по анализу защищенности своих веб-ресурсов проявили телекоммуникационные компании (35%) и представители нефтегазового комплекса (40%). В то время как финансовый сектор и компании других сфер были заинтересованы в этом меньше.

Основные типы ошибок, повышающих уязвимость систем

  Наиболее распространенными являются ошибки, допускаемые системными администраторами при обслуживании серверов (Server Misconfiguration и Fingerprinting). Основной ошибкой администраторов является использование стандартной конфигурации сервера, что во многом упрощает задачу проведения и развития атаки.

  Другая существенная причина уязвимостей, связанных с проблемами администрирования серверов, - предсказуемость расположения ресурсов (Predictable Resource Location). Такие уязвимости были обнаружены на 47% исследованных сайтов. Это ошибка зачастую связана с использованием легко угадываемых названий файлов и каталогов в корневой директории веб–сервера (например, панель администратора чаще всего находится в директории "admin", в корневом каталоге).

Статистика уязвимости веб-приложений, 2009

Источник: Positive Technologies, 2010

  Следующая немаловажная проблема, приводящая к уязвимости на сайтах – проблема передачи конфиденциальных данных без какой либо криптографической защиты (Insufficient Transport Layer Protection). Уязвимость связана с тем, что многие важные данные, в том числе и личная информация пользователей, передаются по протоколу HTTP, который является открытым, что облегчает задачу перехвата данных. Для решения этой проблемы рекомендуется использовать защищенный протокол SSL 3.0 или TLS 1.0 при обмене конфиденциальной информацией между сервером и клиентом.

  Менее распространена уязвимость "Межсайтовое выполнение сценариев" (Cross – Site Scripting, XSS), на долю которой приходится около 34% всех обнаруженных недостатков. Данная уязвимость была обнаружена в 23% исследованных приложений. В отличие от выше рассмотренных недостатков, проблема "Межсайтового выполнения сценариев" связана в первую очередь с ошибками, допущенными при разработке приложений. По оценкам CWE/SANS это наиболее распространенная ошибка, допускаемая разработчиками.

Степень распространения уязвимостей на сайтах, 2009

Источник: Positive Technologies, 2010

  Последняя, но не менее значимая уязвимость, о которой хотелось бы упомянуть, связана с использованием SQL-серверов, без которых не обходится ни один современный сайт. На долю уязвимости "Внедрение операторов SQL" (SQL Injection) приходится приблизительно 8% всех обнаруженных ошибок. Данная уязвимость была зарегистрирована в 11% проанализированных приложений. В большинстве случаев правильная и успешная эксплуатация уязвимости "Внедрение операторов SQL" позволяет злоумышленнику нарушить все свойства обрабатываемой информации в атакуемой системе. Данная уязвимость, согласно оценке CWE/SANS является второй по распространенности ошибкой, допускаемой разработчиками приложений.

Анализ уязвимости на зараженных сайтах

  Присутствие вредоносного кода на сайте свидетельствует о том, что веб-приложение содержит инфицированный код (Trojan-Spy backdoor, Code.JS, Code.I и т.д.), из-за чего на компьютеры посетителей такого сайта может быть установлено вредоносное программное обеспечение, которое в дальнейшем может выкрасть и отослать своему создателю личную информацию жертвы (например логины и пароли). Статистика уязвимостей с высоким уровнем опасности, обнаруженных на сайтах, которые содержат инфицированный код, показывает, что наиболее вероятным путем распространения вредоносного кода в этих приложениях является эксплуатация следующих уязвимостей: внедрение операторов SQL (SQL Injection) и серверных расширений (SSI Injection), выполнение команд ОС (OS Commanding), выход за корневой каталог веб-сервера (Path Traversal).

Распространенность уязвимостей на зараженных сайтах, 2009

Источник: Positive Technologies, 2010

  Процесс эксплуатации подобных уязвимостей достаточно легко автоматизируется, а широкая распространенность таких ошибок в веб-приложениях позволяет проводить массовые "дефейсы", добавлять инфицированный код на страницы уязвимых веб-узлов.

  При сравнении критических ошибок на зараженных и не зараженных сайтах видно, что практически все сайты, содержащие уязвимости, которые позволяют непосредственно выполнять команды на сервере, были автоматизированно заражены вредоносным кодом.

Распределение критических уязвимостей на сайтах, 2009

Источник: Positive Technologies, 2010

  При анализе результатов более детальных тестов по технологии "белой" коробки, проявляются новые типы ошибок и угроз.

Статистика уязвимостей веб-приложений, 2009

Источник: Positive Technologies, 2010

  По результатам теста методом "белого" ящика видно, что часто встречаются ошибки допускаемые администраторами при обслуживании серверов. Кроме того, при детальном анализе наиболее часто встречались ошибки, связанные с уязвимостью "Внедрение операторов SQL".

Распределение уязвимостей по сайтам, 2009

Источник: Positive Technologies, 2010

  Подводя итог представленным результатам, можно сказать, что наиболее распространенными ошибками, допускаемыми разработчиками приложений, являются уязвимости "Межсайтовое выполнение сценариев" и "Внедрение операторов SQL". При этом уязвимостей, связанных с недостатками администрирования, встречается на 10% больше, чем уязвимостей, связанных с ошибками при разработке систем.

Взгляд в будущее

  Результаты тестов аналитического центра PT Research и компании Positive Technologies показали, что динамика уязвимости сайтов снижается, а процент устранения обнаруженных по сравнению с 2008 годом возрос почти в несколько раз, что положительно сказывается на защищенности веб–приложений. Также надежность сайтов повышает использование средств администрирования со встроенными механизмами защиты. Что же касается будущего, есть все основания полагать, что дальнейшее развитие средств защиты и систем шифрования данных позволит сохранить темпы роста надежности веб–приложений. А новые системы администрирования и методы настройки оборудования позволят снизить число уязвимостей, связанных с человеческими факторами.

Источник: CNews  




Рейтинг @Mail.ru

Rambler's Top100
Rambler's Top100