Буквально на днях на на ресурсе www.securelist.com появилась следующая публикация:
Цитата
Сезон летних скидок и распродаж снова радует сердца милых дам и огорчает кошельки их кавалеров. Многие известные брэнды распродают коллекции уходящего сезона за сущие копейки, чтобы освободить место на складе для свежих поступлений.
Естественно, это касается не только магазинов, торгующих маечками и платьицами, но и магазинов кожаных и меховых изделий. Получить в конце августа — начале сентября рассылку безымянной фирмы «Шубы и дубленки по ценам ниже рыночных» — это не сюрприз, а такая традиция. Шубу ведь надо готовить летом.
Но вот когда получаешь подобную СПАМЕРСКУЮ рассылку от уважаемого брэнда — приходится призадуматься. Сегодня мы получили такую рассылку от известного магазина «Снежная Королева».
Далее аналитик повествует о том, что написание целевого сайта в спамерской рассылке не www.SNOWqueen.ru, который принадлежит компании “Снежная Королева”, а www.SNVVqueen.ru, который зарегистрирован на работников Черкизона. Оригинальный контент спам-рассылки можно посмотреть здесь. Соответственно, вывод сделан воистину чарующий - это злостные конкуренты компании потратили сколько-то килодолларов, чтобы очернить таким способом честного конкурента. Жалко, мол, что спамерский сайт уже перестал существовать:
Мы оказались немного удачливее и совершили необычайное открытие - в поисковых системах сохранились копии сайта, исчезнувшего после 13 августа 2009 года, как раз под закрытие рекламируемой кампании.
Современный террорист разительно отличается от членов Ирландской Республиканской Армии 80-х годов - он также совершенно уверен, что он не преступник, но сейчас это уже и весьма прибыльный бизнес. Для многих, кто раньше собирал черемшу, этот бизнес - единственный шанс выжить, жениться, прокормить свою семью и родителей. Следует констатировать, что у современного “российского” терроризма в его нынешнем виде слишком сильные экономические корни - именно по этой причине с ним очень тяжело бороться. Только не подумайте, что в этом посте (или вообще, в жизни) мы полностью ассоциируем терроризм и “южные республики” России - вовсе нет, ведь фашизм неонацистов тоже исповедует политику террора. Даже сайты наподобие уже закрытой www.russigra.org у них ничуть не хуже печально знаменитых ресурсов www.kavkazcenter.com и www.chechenpress.org.
Как ответ на проведение Blackhat с весьма сатирическими заметками был осуществлен deface нескольких сайтов, в том числе
сайта Дэна Камински, автора нескольких весьма громких уязвимостей в архитектуре DNS и реализациях DNS-серверов BIND.
Хакеры разместили на главной странице сайта Каминского пост со следующим содержанием:
Цитата
We hacked Dan’s assets first through finding bugs and writing 0day, and then through abusing him giving away passwords and his silly password scheme. Check out just some of his passes: fuck.hackers, 0hn0z (root account on his mail box), fuck.omg, fuck.vps, ohhai
Five character root password? Niiiiiiice.
From .mysql_history:
SET PASSWORD FOR ‘root’@'localhost’ = PASSWORD(’fuck.mysql’);
Похоже, что отсутствие новостей в летний период крайне негативно отражается на нашей способности адекватно реагировать на информационные ресурсы.
Те, в свою очередь, стараются высосать новость из любого бита, пробегающего по витой паре рядом… Так, на прошлой неделе появилась (и, кстати, бешено
раскручивалась отечественным потоком СМИ) новость про цифровые данные, которые якобы уничтожают себя сами. Отличный заокеанский
бред (по-нашему, security hoax) очень сильно похож на прошло-летние новости о поиске террористов в чате игры Warcraft On-line. Смеем напомнить,
что тогда деньги американских налогоплательщиков осваивали ученые, получившие небольшой грант на проверку отсутствия Бен Ладена в чатах онлайновых игр.
Вот и сейчас в сети Интернет снова паника - правда угрозы террориста уже не так волнует обывателя, да и новый грант на ту же тему взять (продлить) тяжело.
Гвоздем нынешнего жаркого сезона стали цифровые данные, которые “по слухам” могут самоуничтожаться. Самостоятельно и по истечении заданного их
владельцем срока. Почему-то сразу вспомнилось “преобразование Фурье, которое преодолевает наш межсетевой экран“.
Собственно, оригинальная новость выглядит так:
Цитата
Vanish is a research system designed to give users control over the lifetime of personal data stored on the web or in the cloud.
Specifically, all copies of Vanish encrypted data — even archived or cached copies — will become permanently unreadable at a specific time,
without any action on the part of the user or any third party or centralized service.
For example, using the Firefox Vanish plugin, a user can create an email, a Google Doc document, a Facebook message, or a blog
comment — specifying that the document or message should “vanish” in 8 hours. Before that 8-hour timeout expires, anyone who has access to
the data can read it; however after that timer expires, nobody can read that web content — not the user, not Google, not Facebook, not a
hacker who breaks into the cloud service, and not even someone who obtains a warrant for that data. That data — regardless of where stored
or archived prior to the timeout — simply self-destructs and becomes permanently unreadable.
Однако, отечественные ресурсы все-таки сделали героя из портного. Особо порадовали CNews и RBC. Самоликвидация, самоуничтожение… в общем, данные
живут сами по себе, люди и машины - сами по себе. Скайнет близко и все такое… Не отстают и наши эксперты - одни только комментарии по поводу того,
что “ПО для шифровки и дешифровки” есть не у всех, “шифрование сообщений не дает 100-процентной гарантии конфиденциальности переписки, но точно
сделает ее на порядок более приватной” и предложения по усовершенствованию системы - стоят присуждения коллективной Пулитцеровской премии в области
информационной безопасности (могли бы уж ради приличия отличать в комментариях для серых масс процессы расширования и дешифрования).
Ближе всех к источнику оказались англичане (они видимо попытались-таки найти карпа в этой мутной воде):
Цитата
Self-destructing code developed by researchers that automatically deletes files
A code has been developed by researchers at the University of Washington that will automatically delete files after a pre-set time limit.
As reported by itnews.com.au, the software is named Vanish and will be presented next month at USENIX Security ‘09 exhibition in Canada.
It allows the user of any web-based service to specify to encrypt messages.
The key does not need to be managed as it is put into a global P2P network for a specified time before disappearing, rending the
message unencryptable.
The system currently uses the Vuze BitTorrent distributed hash table as its P2P network and sets default time limits on messages as eight
hours, although longer periods should be possible. The team is also reported to be developing a Firefox application for Vanish.
Тем не менее, все становится на свои места, если прочесть отчет и тезисы уважаемых авторов чудо-разработки, посланные на конференцию Usenix’09.
Данные, конечно же, никуда не исчезают чудесным образом, не стираются они сами из почтовых ящиков и не являются электронными письмами. (-:
Пользователь сети Интернет может, используя специальный сервис Vanish (и плагин веб-браузера Firefox), зашифровать и передать/переслать
шифрованное сообщение адресату. Случайно сгенерированный ключ разделяется на несколько частей с перекрытиями, а затем эти части раздаются
известным “неизвестным” серверам, составляющим сеть типа “Peer-to-Peer” (как, например, Kazaa или BitTorrent). В момент “Ч” все серверы,
хранящие ключ, должны уничтожить его.
Почему-то во время исследования никто не задался вопросом, а что будет, если:
* записать ключ во время расшифрования и потом использовать этот ключ в момент, когда это необходимо;
* сохранить расшифрованное сообщение в открытом виде
Как выразился бы секретарь какого-нибудь ученого совета “не очень ясна актуальность этой работы, проясните”. Собственно, зачем (кроме как
освоить деньги по гранту) было создавать колосса на глиняных ногах, непонятно. Но тем не менее, это сделали новостью месяца. Зато понятно
зачем добавили в исследование p2p-технологию - это модно. В общем, очередной hoax - не поддавайтесь, до всеобщей киборгизации нам еще очень далеко.
Несколько лет уже существующий www.viruslist.com обзавелся новыми зеркалами www.securelist.com и www.securelist.ru. Владельцем новоявленного триптиха является “Лаборатория Касперского”, ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама (в этот же портал влился и www.spamtest.ru господина Ашманова). Главным редактором сайта стал Александр Гостев, руководитель Центра глобальных исследований и анализа угроз “Лаборатории Касперского”.
Как это обычно бывает в российском сегменте информационной безопасности, о безопасности веб-ресурса “про безопасность” можно слагать песни - как говорил известный поэт-песенник, “столько песен сложено, слажаю еще одну…”
Давайте посмотрим, чему может нас научить этот на самом деле замечательный информационный портал. Во-первых, пароли пользователей на нем хранятся в открытом виде, что будет весьма приятно тому, кто доберется до базы данных (интересно, пароль администратора сайта тоже в открытом виде? в таблице users?). Такой вывод можно сделать, банально запросив утерянный пароль.
Итак, урок от avschool №1 - храните пароли пользователей в Интернет-базах данных в открытом виде, чтобы их было легче украсть и использовать, когда украдете.
Адрес страницы с пользовательским профилем: “http://www.securelist.com/ru/userinfo/номер_UID_пользователя“. Путь к профилям статичен и информацию о пользователях можно собрать с помощью автоматических средств (благо разметка стилей позволяет быстро автоматизировать процесс). Немного посканировав, можно увидеть, что пользователи добавлялись блоками (видимо для разных исходных сайтов - spamtest.ru, viruslist.com). Текущие регистрации открыты с позиций с номерами 19000.
В процессе регистрации пользователю предлагают указать два имени - одно для наглядного отображения на этой странице и еще одно в качестве имени учетной записи (login) для входа… Контроля качества пароля при этом нет. Контроля совпадения имени учетной записи и отображаемого имени пользователя также нет. Зачем это нужно? Резонный вопрос в ответ - а зачем тогда различать эти имена? Думаете, чтобы труднее было угадать “login” для входа? Запомним в уме этот коварный ход и смотрим дальше...
Проблемы, связанные с XSS (”cross-site scripting” или “межсайтовый скриптинг”), специалисты информационной безопасности склонны зачастую недооценивать. Особенно, если это так называемые пассивные XSS - мало того, что вместо непосредственной атаки сервера, злоумышленник использует его самого в качестве средства атаки, так еще и сам пользователь должен каким-то образом запустить переданный ему URI/URL.
Успешному взлому препятствует множество проблем - украденные авторизационные данные (как правило в виде “cookie“) могут быть привязаны к конкретному сетевому адресу пользователя, имеют ограниченное время действия, не дают возможности восстановить пароль и т.д.
Однако, на самом деле, большинство ресурсов предоставляет бонусы наиболее внимательным злоумышленникам. При определенной подготовке специальной инфраструктуры заранее, хорошем понимании того, как устроены механизмы аутентификации и авторизации на разных ресурсах можно добиться желаемого результата. Например, украсть немного со счета или подсмотреть список звонков у мобильного оператора, разослать адресную рекламу в “дошкольниках.ру” или прочитать/отправить личную почту через веб-форму… Но хуже всего дело обстоит с определением наличия такого рода уязвимостей. Для этого юному “скрипткидди” даже не понадобится специальных программ - только браузер и заветная строчка “<script>alert(document.cookie);</script>“, которую можно опробовать разными способами.
Еще одна проблема - автоматизация. Да, большинство XSS-атак заметны невооруженным глазом - пользователь может довольно быстро осознать, что то, что он делает не является вполне себе корректной работой привычного веб-ресурса. Вот только, автоматизированное вредоносное средство, которое уже получило к этому моменту его авторизационные данные, как правило не думает - оно реагирует и явно быстрее, чем человек. Реакция как правило заключается в очистке украденных данных у пользователя (в этом случае он не может корректно завершить сеанс работы), и последующем постоянном поддержании этих данных в актуальном состоянии. Последняя операция достигается путем постоянного взаимодействия с веб-ресурсом, а первая - с помощью сценариев на “Javascript“.
Давайте рассмотрим живой пример (по состоянию на 17.07.2009 г.) - информационный ресурс “Система управления услугами “Мой Билайн” компании “Билайн“. Используя простую строку “><script>alert(”NOSECURE.INFO”);</script>” мы подставляем ее в форму для ввода имени учетной записи и пароля… Вуаля! Веб-браузер получает ответ и выполняет Javascript. Что еще надо?
Мировой известностью в сфере ИБ обладает консорциум International Information Systems Security Certifications Consortium, (ISC)2. Консорциум (ISC)2 был создан в качестве фильтра-решета для отбора среди специалистов ИБ тех, кто может продолжать карьерный рост в компаниях, образовавших консорциум, и так или иначе связанных с государственными структурами США.
В России также создано представительство (ISC)2 — ассоциация RISSPA (Russian Information Systems Security Professional Association). Информационный ресурс раскрывает вот такую информацию об Ассоциации:
«Данная Ассоциация создана летом 2006 года в целях создания и развития системы сертификации российских профессионалов по информационной безопасности, популяризации идей информационной безопасности, а также повышения уровня знаний специалистов. Консорциум (ISC)2 является мировым лидером в области международной сертификации специалистов по безопасности информационных систем. Принципы сертификации основаны на общепринятом объеме знаний CBK, разработанном Международным советом институтов управленческого консультирования ICMC, для специалистов по информационной безопасности.»
На сайте открыта регистрация посетителей. В моменты, когда доступна регистрация, посетители сайта могут пользоваться своими учетными записям для регистрации участия в проводимых RISSPA семинарах. К сожалению, на данный момент сайт RISSPA.ORG сконфигурирован таким образом, что с помощью полученных авторизационных данных нельзя никуда попасть, кроме как в административную панель 1C:Битрикс.
С ее помощью можно получить персональную информацию о всех участниках проведенных семинаров. Для спам-рассылок и конкурентных DDOS-атак пригодится персональная информация и списки всех зарегистрированных на семинарах пользователей с указанием телефонов, адресов электроной почты и компании-нанимателя. Примечательный факт — в перечнях персональных данных присутствуют и сами сотрудники RISSPA.ORG.
Ни на минуту не усомнившись в профессионализме и качестве всех вышеупомянутых систем сертификаций и Ассоциаций, можно предположить, что в общем итоге, смысл существования сегодняшних общественных организаций, тренингов и сертификатов, посвященных теме "популяризации" информационной безопасности следует свести к одной простой народной мудрости: "Плати и получай". Но станете ли Вы получать сертификат у людей, которые так относятся к собственной безопасности и имиджу партнеров Ассоциации (ISC)2?
Давайте посмотрим на экономический фактор, оказывающий брутальное влияние на проблемы информационной безопасности. Экономика и, в частности, экономическая целесообразность всегда являлись определяющими факторами в вопросах безопасности. В самом деле, есть ли смысл нанимать сотню охранников для конвоирования почтового поезда в Небраску, если их зарплата будет больше, чем половина стоимости перевозимых грузов? Необходимо ли покупать итальянский сувальдный замок с ручным набором за $1700, если дверь в которую его могут врезать стоит $30? Зачем платить за MaxPatrol или XSpider почти 2 миллиона рублей, если сотрудник, имеющий дело с самой ценной частью защищаемой информации, получает всего 12 000 руб.? Ну и что, что вокруг хакеры? Самый главный - обязательно сидит внутри. Правда, этот миф про инсайдера мы постараемся развеять чуть позже.
Роль тестов на проникновение на сегодняшний день больше похожа роль страшилок. Каждая организация-пентестер пытается показать “игру мышц”, рассказывая страшные истории о сотнях и тысячах взломов, использованных для проникновения уязвимостях, собственном профессионализме и тотальной некомпетенции частных системных администраторов. Да и как иначе? С одной стороны - кризис и неготовность владельцев инфраструктуры к принятию аутсорсинга услуг защиты информации, а с другой - отсутствие практической возможности продемонстрировать свои реальные возможности (если они, конечно, есть).
“Кадры решают все…” — это крылатая фраза, принадлежащая генералиссимусу Советского Союза, можно сказать является панацеей от многих бед. В том числе и в области обеспечения информационной безопасности. Многие компании, создавая какой-либо ресурс, “бросают” финансовые и человеческие ресурсы на организацию защищенных сайтов, серверов и хранилищ. Им это удается, но извечное “безопасность — это процесс, а не результат”, которое так любит Брюс Шнайер, всегда дает о себе знать. Вычислительная инфраструктура без должного надзора и мониторинга на самом деле, все равно, что моментальный снимок в развлекательном парке — не более, чем приятная память. И никто здесь не исключение — увы, время не жалеет никого. Даже такие компании, которые сами задают моду в нашей технологической области.
Кадр №1. Один из главных сайтов компании “Инфосистемы Джет” JETSOFT.RU уже неделю как взломан и его владельцы, похоже, даже не подозревают об этом.
Вместо главной страницы сайта — упрощенная версия индексного файла “index.html” и скрытый тег “”, указывающий на сайт с вредоносным содержимым (типичная ситуация — связка сплоитов, лоадер и пара вредоносных программ). Пользователь, пришедший на сайт, видит вместо главной страницы — страницу с адресом “http://jetsoft.ru/product/product.html“. Многим везет — из-за того, что заражение носило видимо массовый (автоматизированный) характер, тег “refresh” не дает времени для загрузки вредоносного содержимого с “brugeni.net“.
Кадр №2. Веб-браузер Mozilla Firefox приходится останавливать “на лету”, чтобы не успевала срабатывать переадресация.
Что интересно, например, известный вредоненавистник Google.com не считает сам ресурс уязвимым и вредоносным. Зато загружаемый контент определяет весьма точно.
До устранения вирусного заражения, мы рекомендуем Вам для доступа к “http://www.jetsoft.ru” использовать веб-браузер Mozilla Firefox и плагин “NoScript“.
PS. Компания “Инфосистемы Джет” уведомлена о данном инциденте.
Вопросы классификации угроз информационной безопасности до сих пор активно исследуются. Закрепленного законодательным образом вида классификации угроз не существует, а потому каждый аудитор строит удобную для себя классификацию угроз информационной безопасности (ИБ). Основная же задача разработки классификации угроз состоит в том, чтобы обеспечить удобство использования данной классификации на практике и обеспечить возможность связывания этой классификации с событиями безопасности, о которых упоминалось выше.
Под разработкой классификации угроз информационной безопасности мы понимаем составление такого вида классификационной схемы, при которой изначальное действие, несущее вредоносных характер в рамках информационной системы (ИС) может быть отнесено к определенному виду угроз. Понятие угрозы мы трактуем согласно нормативам ФСТЭК, то есть угроза информационной безопасности - совокупность условий и факторов, создающих потенциальную (но реализуемую фактически) опасность, связанную с утечкой информации, несанкционированными или преднамеренными воздействиями на нее.
Для многих приложений, особенно, если это приложения, предназначенные для публичного доступа, существует практика сокрытия типа и версии используемого программного и аппаратно-программного обеспечения. Администраторы убирают баннеры сетевых служб, стирают или заменяют версии сетевого и прикладного программного обеспечения. И рождается…
Цитата
Миф. О том, что сокрытие “версий” повышает безопасность, потому что злоумышленник не может найти соответствующую уязвимость.
Давайте разберемся, действительно ли дело обстоит таким образом. Для этого, нам на секунду предстоит представить себе злоумышленника. Для удобства будем рассматривать всего два типа из перечисленных ранее - “суперхакер” и “недоучка”. Предположим, что мы защищаем наш сетевой ресурс с помощью метода “security by obscurity”, то есть прячем название веб-сервера и его версию. Рассмотрим два случая - в первом мы будем наблюдать за сервером, а во втором - нет (полагаемся на его безукоризненную безопасность).
Вариант № 1. Хакер-недоучка, который все еще учится “взламывать” сайты, подключается к нашему ресурсу и пытается идентифицировать тип и версию сетевой службы. У него ничего не получается, потому что стандартные простые методы не работают… И тогда он пробует все, что у него есть или все, что он может найти в “свободном” доступе. Как правило, это не очень большой арсенал программ, реализующих не самые свежие уязвимости.
Но кто даст гарантию, что в нашем ресурсе нет уязвимостей, реализации которых могут найтись у этого скрипт-кидди? “Шанс - он не получка, не аванс… хитрый шанс” (с) м/ф “Остров сокровищ”.
Результат: Совершенно неконкретная прибавка к уровню безопасности. Не ясность степени доверия к защищаемым ресурсам. Что хуже всего - иллюзия безопасности.
Вариант №2. Супер-профи, который сначала проделает тот же путь, что “недоучка”, только в десятки раз быстрее, а затем достанет из “закромов” специализированное программное обеспечение, которое обычно недоступно не только хакерам-недоучкам, но и администратору безопасности, который наивно полагает, что просто удаление приветственных баннеров лишает возможности идентифицировать сетевую службу. Вуаля! Версия и тип уязвимых программ определены - мы просто “вылили воду из чайника” и можем теперь приступить к реализации атаки также, как в варианте №1. Вот только инструментарий будет пошире и опыта, возможностей побольше.
Пример “на живую” - система WordPress, установленная на ресурсе, который Вы читаете - позволяет убрать сведения о своей версии, но тут же устанавливает cookie, формат которых изменялся от версии к версии. Читаем cookie, видим их формат (они незашифрованы), определяем версию в течении 30 секунд “на глаз”.
Результат: Не ясность степени доверия к защищаемым ресурсам. Иллюзия безопасности и отсутствие путей реагирования.
Вывод. Миф существует и активно эксплуатируется. Конечно, если Вы не используете программных средств, которые все время дорабатываются и обновляются постоянно, например, из службы SVN, то сокрытие версий не причинит неудобств. Но и не прибавит безопасности - ни на йоту.
Мы почти каждый день публикуем аналитические заметки об уровне информационной безопасности российской (и не только) части сети Интернет. Заметки эти не связаны с какими-то конкретными вендорами и трендами, а оттого иногда носят несколько саркастический характер - сложно писать об информационной безопасности серьезно, если ее практически никто не обеспечивает должным образом. По этой причине, сегодня у нас две темы для размышлений:
1. Мы пытаемся привлечь внимание к проблеме “security awareness” и для этого создали несколько зеркал нашего блога. Теперь Вы можете видеть наши новости на порталах www.secureblog.ru и www.securitylab.ru. Мы также будем стараться распространять информацию и далее.
2. Настало время для самопроверки. Об этом нам напомнило сообщество специалистов по безопасности, а также желание убедить Вас, что безопасность - “это процесс, а не результат”. И никто здесь не является исключением - и те, кто встречаются с защитой информации спорадически, и профессионалы знают, что им время от времения нужна контрольная самопроверка.
Вспоминая замечательную (теперь уже довольно древнюю) историю о том, как “взломали” www.antichat.ru - один из лучших ресурсов, посвященных веб-безопасности, мы решили в этот раз не “разглядывать” чужие ресурсы, а подвести небольшой итог по своему собственному.
Для того, чтобы разглядеть “бревно в своем глазу” мы будем использовать следующий “джентельменский” набор пентестера веб-ресурсов:
* nikto
* sipt
* nmap
* dirbuster
* webscarab
Набор, конечно, не полный, но и тест будет не всеобъемлющий. Кроме того, мы старались использовать только программное обеспечение с открытыми исходными текстами и немного hackware.
Цель нашего теста на проникновение - убедиться в безопасности “заводских” настроек от провайдера хостинг-площадки и разработчиков нашего блог-движка.
Исходные условия контрольной проверки:
1. Мы полагаемся на безопасность только нескольких доверенных приложений (в конфигурации, но при этом проверяем их) - веб-сервера Apache, почтового сервера sendmail, базы данных mysql, сервера openssh и named.
2. Мы НЕ используем идею “security by obscurity” (ее мы обсуждали ранее), соответственно, НЕ прячем версии и типы программного обеспечения. Наше мнение таково, что актуальных причин скрывать эти службы НЕТ - поскольку доступ к ним неограничен, а функционал достаточно широк, возможность узнать подлинную тип и версию программы для злоумышленника остается всегда.
3. Никаких изменений и security-патчей на систему после установки необходимых для работы приложений не устанавливалось.
Знаменитое “пентестер” (pentester) родом из словаря заимствованных иностранных слов (раздел сленговые обозначения и неословоформы). Родной английский вариант “penetration testing“, конечно, не имеет ничего общего с фильмами эротического жанра, но сюжет самого процесса неуловимо близок к этому стереотипному оригиналу.
Надо полагать, термин “пентестинг” (тест проникновением) прижился с легкой руки “безопасников” (или “секурити”). По сути он обозначает симуляцию атаки методами, которые практикуют те, от кого построена система защиты. Тесты на проникновение популярны не только в информационной безопасности, но и (даже в первую очередь!) в безопасности физической (пожарной, охранной, радиоэлектронной и пр.)
Зачастую “пентест” путают с аудитом информационной безопасности. Но это, как у нас новорят, две большие разницы. Дело в том, что тест на проникновение подразумевает использование таких приемов и технических средств, которые должны быть неведомы людям, построившим систему защиту. Кратко говоря, это должны быть супер-хакеры, которые “порвут” Ваш межсетевой экран или почтовый сервер, а затем влезут в самые дебри ядра Linux самбы, достанут оттуда пароли, зальют на компьютер Директора троянскую программу и похитят самое ценное.
Разницу между “пентестом” и “аудитом” объяснить достаточно просто.
Аудит информационной безопасности начинается с анализа рисков и угроз информационной безопасности. Он призван выявлять наиболее опасные угрозы с точки зрения системы защиты. Аудит должен дать вразумительный ответ на вопрос “если где-нибудь взломают защиту, то где будет больнее всего для бизнеса?”. Именно эти места “залатывают” в первую очередь.
Тесты на проникновение (пентест) переворачивают все, что называется, “с ног на голову”. Специалист “по проникновению” опирается в первую очередь на видение систем защиты как бы “со стороны”. Его задача - ответить на вопросы “как проще всего попасть вовнутрь, нарушить работоспособность или что-нибудь получить?” и “какова минимальная цена взлома?”. Вообще говоря, настоящий хакер может и не анализировать безопасность Ваших веб-приложений или файловых серверов. Ему может быть проще запустить вредоносную программу через почтовый сервер или зараженный внешний веб-сайт.
К сожалению, следование “букве закона” в аудите приводит к тому, что цели для проверки пентестами и проведения аудита значительно отличаются. Именно поэтому, тест на проникновение - необходимая часть анализа безопасности современной системы. Но если с аудитом более менее всего понятно - его проводят “по книжкам”, используя как правило уже составленные и апробированные методики, то как быть с пентестом? Как правило, здесь исследователи стараются использовать в качестве базового набора тестов технические средства сканирования и вскрытия уязвимостей - сканеры безопасности. Причем, как коммерческие и платные, так и бесплатные с открытыми исходными текстами.
Именно здесь кроется самая большая ошибка - настоящее проникновение всегда осуществляется человеком и, как правило, он применяет весь свой опыт для преодоления установленных систем защиты. Использование только технических средств и расчет на их пробивную силу как правило заканчивается тем, что в системе остаются довольно простые, легко эксплуатируемые уязвимости, которые попросту не были замечены автоматическими средствами проверки. Большинство пентестеров же на основании автоматически сгенерированных отчетов говорят о полной безопасности системы.
Именно по этой причине высококвалифицированных специалистов, которые могут качественно провести тест на проникновение, крайне мало. Этот процесс - настоящий state of the art. Да еще и весьма трудоемкий - ведь зачастую приходится разрабывать вспомогательные средства обхода систем защиты, что называется, “на коленках”.
По данным компании “Яндекс“, наиболее популярным сайтом по информационной безопасности является ресурс “Sec.ru“. Многоуважаемый портал существует достаточно давно по праву являетс первым Главным. Как и многие другие ресурсы, он порождает дочерние проекты - например, “SecurityDay.ru“. Поскольку управление большим количеством информационных ресурсов (один из которых к тому же сам по себе целый Портал со множеством сервисов и несколькими тысячами пользователей) является трудоемкой задачей, каждый новый проект “отпочковывается” от основного на близкое расстояние - они разделяют одну базу данных, а зачастую и вычислительные ресурсы. Это логично и экономически эффективно.
Так происходит и с “SecurityDay.ru” - родившись на День специалиста по безопасности в прошлом году, ресурс остался “на плаву”… и без присмотра.
