Кому нужна безопасность?

(c)oded by offtopic & Hash

 

Как все изменилось за последние несколько лет. В специализированных изданиях чуть ли не ежедневно рапортуют о повышении внимания к вопросам информационной безопасности. Различные аналитические агентства констатируют рост рынка средств защиты и прогнозируют дальнейшее увеличение инвестиций в этой отрасли. Проводятся семинары, круглые столы, выставки, на которых серьезно обсуждаются проблемы обеспечения безопасности государственных информационных ресурсов и корпоративных сетей. Воодушевленные этими новостями, авторы решили проверить, насколько серьезно относятся к безопасности собственных ресурсов различные компании.

 

В ходе исследования было решено бегло оценить защищенность ряда сайтов, владельцы которых имеют прямое отношение к компьютерной безопасности, и в случае обнаружения уязвимостей – связаться с хозяевами. В качестве цели Web-сайты были выбраны как показательные ресурс, по которому многие судят о состоянии дел в компании в целом. Кроме того, содержимое Web-сервера – общедоступная информация, и для поиска уязвимостей не требуется нарушать какие-либо законы.

 

Методика исследования

 

Специального отбора целей не проводилось. Авторы использовали те серверы, на которые их «заносило» в ходе повседневной деятельности. Для каждого сервера проводилось беглый поиск наиболее распространенных уязвимостей Web-приложений, таких как Cross-Site Scripting, SQL Injection, file-inclusion и подобных. Уязвимости операционной системы и программного обеспечения самого Web-сервера не анализировались. Если уязвимость обнаруживалась в первом приближении, авторы не предпринимали дополнительных действий по уточнению критичности проблемы, но связывались с владельцами системы.

В качестве средства связи использовалась электронная почта. Письмо отправлялось на адреса, указанные в разделе контактов сайта, а так же на адреса, рекомендованные в политике разглашения уязвимостей RFPolicy (http://www.wiretrip.net/rfp/policy.html), такие как secure@example.com, security@example.com, administrator@example.com, admin@example.com.

Письмо отправлялось от основных электронных адресов авторов, чтобы снизить вероятность фильтрации спам-фильтрами. В случае если ответ не поступал в течение недели, письмо посылалось повторно. Как скидка на русскую безалаберность.

 

Шаблон письма

 

ВНИМАНИЕ! Если вы не являетесь лицом, отвечающим за информационную безопасность сервера www.example.com, перешлите это сообщение компетентному специалисту!

 

Здравствуйте, на сервере www.example.com присутствуют уязвимости, использование которых может привести к его компрометации (дефейсу) или краже идентификационных данных пользователей.

Примеры уязвимостей:

 <описание обнаруженных уязвимостей>

Рекомендуется устранить данные уязвимости.

Дополнительные уязвимости могут быть обнаружены с помощью бесплатного сканирования:

http://www.freescan.ru/

Информация предоставлена согласно политике RFPolicy

 

http://www.wiretrip.net/rfp/policy.html  

 

Давайте рассмотрим обнаруженные уязвимости и реакцию на них владельцев ресурсов. Но прежде чем перейти к этому разделу…

 

Отказ от обязательств

 

Данная информация предоставляется на условиях "КАК ЕСТЬ", без предоставления каких-либо гарантий и прав. Используя данную информацию, Вы соглашаетесь с тем, что авторы не несут ответственности за использование Вами данной информации, и Вы принимаете на себя весь риск, связанный с использованием данной информации. Авторы не несут ответственности за использование данной информации третьими лицами.

 

Результаты

 

Сервер www.<имя домена 1>.ru

Уязвимости: множественные SQL Injections, использование которых может привести к получению полного контроля над операционной системой. Множественные Cross-Site Scripting.

Степень риска: высокая.

Первый контакт: 14.06.2005.

Реакция владельцев ресурса: ответов по электронной почте не поступало.

 

Сервер www.<имя домена 2>.ru

Уязвимости: множественные reflected Cross-Site Scripting в сервере службы ИССА, использование которых может привести к краже идентификационных данных и получении доступа к настройкам телефонов других пользователей.

Степень риска: низкая.

Первый контакт: 30.06.2005.

Реакция владельцев ресурса: ответов по электронной почте не поступало.

 

Сервер www.<имя домена 3>.ru

Уязвимости: множественные SQL Injection, позволяющие получать доступ к персональным данным других пользователей и содержимому баз данных сервера.

Степень риска: средняя

Первый контакт: 30.06.2005.

Реакция владельцев ресурса: ответов по электронной почте не поступало.

 

Сервер www.<имя домена 4>.ru

Уязвимости: выполнение произвольного кода php через  функцию сохранения документов.

Степень риска: высокая.

Первый контакт: 01.07.2005.

Реакция владельцев ресурса: ответов по электронной почте не поступало.

 

Сервер www.<имя домена 5>.ru

Цитата с сайта: Наше предприятие организовано в начале 2004 года группой опытных специалистов в области компьютерных сетей и информационных технологий.

Уязвимости: множественные SQL Injection, позволяющие получать доступ к содержимому баз данных сервера.

Степень риска: средняя.

Первый контакт: 05.07.2005. Несмотря на громкое название, контактных адресов электронной почты обнаружено не было. Отчет был послан через Web-форму.

Реакция владельцев ресурса: ответов по электронной почте не поступало.

 

Сервер www.<имя домена 6>.ru

Уязвимости: Множественные reflected и stored Cross-Site Scripting.

Степень риска: средняя.

Первый контакт: 05.07.2005

Реакция владельцев ресурса: ответов по электронной почте не поступало.

 

Сервер www.<имя домена 7>.ru

Уязвимости: хранение имени пользователя и пароля в cookie в открытом виде, множественные stored Cross-Site Scripting в форуме.

Степень риска: средняя

Первый контакт: 08.07.2005

Реакция владельцев ресурса: ответов по электронной почте не поступало.

 

Сервер www.<имя домена 8>.ru

Уязвимости: Множественные уязвимости типа reflected Cross-Site Scripting, использование которых может привести к краже идентификационных данных пользователей.

Степень риска: низкая

Первый контакт: 25.07.2005

Реакция владельцев ресурса: ответов по электронной почте не поступало.

 

С владельцами некоторых сайтов удалось связаться, используя личные контакты. В результате часть уязвимостей была устранена, а некоторые из владельцев попросили соблюдать конфиденциальность, и соответственно, их сайты не были включены в этот обзор.

 

Интересно, что в ряде случаев письмо было получено и прочитано администратором сайта,  и он даже переслал его программистам для устранения уязвимостей. Но сообщить об этом факте отправителям сообщения «о каких-то скриптингах и инжекшенах» ни один из администраторов не удосужился.

 

Как там, за морем?

 

Чтобы определить, является ли такое отношение особенностью национального менталитета, поиск уязвимостей был предпринят и на сайтах зарубежных компаний, имеющих отношение к безопасности. Как и ожидалось, на заокеанских серверах было обнаружено гораздо меньше уязвимостей и для их обнаружения пришлось довольно серьезно попотеть. Кроме того, реакция зарубежных коллег отличалась коренным образом.

 

Специалисты компаний Application Security (www.appsecinc.com) и Foundstone (www.foundstone.com) связались с авторами в тот же бизнес-день. Первые сообщили об устранении обнаруженной уязвимости, вторые попросили предоставить дополнительную информацию об обнаруженной проблеме.

 

Служба security@microsoft.com отреагировала через несколько часов после отправки начального рапорта. На протяжении всего процесса исправления уязвимостей (который занял около недели) компания предоставляла детальные отчеты о ходе продвижения работ.   

 

Единственным исключением были администраторы сайта www.blackwaterusa.com. Они никак не отреагировали на первое сообщение об обнаруженных уязвимостях. Видимо военщина, пускай и не государственная, накладывает свой отпечаток и в США. Реакция последовала только на «контрольную» рассылку по всем адресам в разделе «контакты».

На сообщение отреагировал HR департамент (видимо действительно, трудно у них с кадрами), и переслал сообщение отделу IT. Забавно было наблюдать за внутренней перепиской (естественно, не удаленной из сообщения, отправленного авторам) отображающей иерархию внутренней бюрократии компании. Порадовала и настороженная реакция специалистов IT-департамента, в которой так и читалось: «а чего эти русские хакеры потребуют взамен?».

Очень неприятно удивили хозяева сайта еще одной крупной компании. Господа, гордо носящие звание CISSP, этот «золотой стандарт» среди сертификаций для профессионалов высшего уровня в области информационной безопасности, видимо считают, что для защиты их сайта достаточно настроить SSL, и тогда различные SQL Injection и Cross-Site Scripting им не грозят. Наверное, вопросы об этих уязвимостях ещё не включили в сертификационный экзамен и braindumps, соответственно к безопасности  они не имеют никакого отношения. Реакции на сообщение, отправленное 6го августа 2005 года, на момент публикации статьи не поступало.

 

Резюме

 

Выводы… Выводы делайте сами.   

Собственно говоря, в уровне защищенности большинства Web-приложений составляющих Ru-Net авторы не сомневались. Основная цель исследования - попытка определить оценить уровень заинтересованности хозяев ресурсов в повышении защищенности этих ресурсов дала нулевой результат. Т.е. исследование, по мнению авторов, удалось, вот заинтересованность… Заинтересованность стремится к нулю.

 

З.Ы.

 

Пару лет назад, в ходе анализа защищенности Web-приложения один из авторов оценил высказывание «менеджера по безопасности продукта» компании, разработавшей «движок». Высказывание касается уязвимостей типа Cross-Site Scripting, которыми сайт прямо-таки кишел, и видимо может использоваться как показатель осведомленности типичного «безопасного менеджера» в области знаний об уязвимостях Web-приложений и на сегодняшний день.

«Значение подставленного URL выводится, а не исполняется. Данные можно посмотреть только из своих кук. Чтобы получить доступ к cookies, нужно получить физический доступ к машине. Уязвимости, связанные с необходимостью физического доступа почти так же «опасно», как автоматчики в масках, дознающие физически  пароль»

"Лаборатория Касперского" - международная компания-разработчик программного обеспечения для защиты от вирусов, хакеров и спама. Продукты компании предназначены для широкого круга клиентов - от домашних пользователей до крупных корпораций. В активе "Лаборатории Касперского" 16-летний опыт непрерывного противостояния вирусным угрозам, позволивший компании накопить уникальные знания и навыки и стать признанным экспертом в области создания систем антивирусной зашиты.

Компания SoftKey – это уникальный сервис для покупателей, разработчиков, дилеров и аффилиат–партнеров. Кроме того, это один из лучших Интернет-магазинов ПО в России, Украине, Казахстане, который предлагает покупателям широкий ассортимент, множество способов оплаты, оперативную (часто мгновенную) обработку заказа, отслеживание процесса выполнения заказа в персональном разделе, различные скидки от

Академия Информационных Систем (АИС) создана в 1996 году и за время работы обучила свыше 7000 специалистов различного профиля. АИС предлагает своим партнерам десятки образовательных программ, курсов, тренингов и выездных семинаров. Сегодня АИС представлена направлениями: «Информационные технологии», «Дистанционное обучение в области ИТ», «Информационная безопасность, «Управление проектами», «Бизнес-образование», «Семинары и тренинги», «Экологические промышленные системы», «Конференции», «Консалтинг» и «Конкурентная разведка на основе Интернет». АИС является организатором конференций по информационной безопасности, которые стали общепризнанными научно-практическими мероприятиями федерального значения. Ближайшая из них - четвёртая всероссийская конференция «Обеспечение информационной безопасности. Региональные аспекты» - пройдет в Сочи с 13 по 17 сентября текущего года. http://www.infosystem.ru/longconf.php?fid=1119938331389056

Интернет-магазин www.watches.ru входит в состав крупной специализированной сети часовых салонов МОСКОВСКОЕ ВРЕМЯ, которая насчитывает более 40 торговых точек по Москве и регионам России. В нашем магазине представлены более 3000 моделей часов производства Швейцарии, Германии, Франции и Кореи. Доставка по Москве - бесплатно. Для постоянных клиентов существует гибкая система скидок и выдается накопительная дисконтная карта «Московское время».