Для многих приложений, особенно, если это приложения, предназначенные для публичного доступа, существует практика сокрытия типа и версии используемого программного и аппаратно-программного обеспечения. Администраторы убирают баннеры сетевых служб, стирают или заменяют версии сетевого и прикладного программного обеспечения. И рождается…



Давайте разберемся, действительно ли дело обстоит таким образом. Для этого, нам на секунду предстоит представить себе злоумышленника. Для удобства будем рассматривать всего два типа из перечисленных ранее - “суперхакер” и “недоучка”. Предположим, что мы защищаем наш сетевой ресурс с помощью метода “security by obscurity”, то есть прячем название веб-сервера и его версию. Рассмотрим два случая - в первом мы будем наблюдать за сервером, а во втором - нет (полагаемся на его безукоризненную безопасность).

Вариант № 1. Хакер-недоучка, который все еще учится “взламывать” сайты, подключается к нашему ресурсу и пытается идентифицировать тип и версию сетевой службы. У него ничего не получается, потому что стандартные простые методы не работают… И тогда он пробует все, что у него есть или все, что он может найти в “свободном” доступе. Как правило, это не очень большой арсенал программ, реализующих не самые свежие уязвимости.

Но кто даст гарантию, что в нашем ресурсе нет уязвимостей, реализации которых могут найтись у этого скрипт-кидди? “Шанс - он не получка, не аванс… хитрый шанс” (с) м/ф “Остров сокровищ”.

[URL=http://www.nosecure.info]Результат:[/URL] Совершенно неконкретная прибавка к уровню безопасности. Не ясность степени доверия к защищаемым ресурсам. Что хуже всего - иллюзия безопасности.

Вариант №2. Супер-профи, который сначала проделает тот же путь, что “недоучка”, только в десятки раз быстрее, а затем достанет из “закромов” специализированное программное обеспечение, которое обычно недоступно не только хакерам-недоучкам, но и администратору безопасности, который наивно полагает, что просто удаление приветственных баннеров лишает возможности идентифицировать сетевую службу. Вуаля! Версия и тип уязвимых программ определены - мы просто “вылили воду из чайника” и можем теперь приступить к реализации атаки также, как в варианте №1. Вот только инструментарий будет пошире и опыта, возможностей побольше.

Пример “на живую” - система WordPress, установленная на ресурсе, который Вы читаете - позволяет убрать сведения о своей версии, но тут же устанавливает cookie, формат которых изменялся от версии к версии. Читаем cookie, видим их формат (они незашифрованы), определяем версию в течении 30 секунд “на глаз”.

[URL=http://www.nosecure.info]Результат:[/URL] Не ясность степени доверия к защищаемым ресурсам. Иллюзия безопасности и отсутствие путей реагирования.

Вывод. Миф существует и активно эксплуатируется. Конечно, если Вы не используете программных средств, которые все время дорабатываются и обновляются постоянно, например, из службы SVN, то сокрытие версий не причинит неудобств. Но и не прибавит безопасности - ни на йоту.