Исследователи: Сайты со знаками безопасности уязвимее ресурсов, не проходивших проверку на наличие брешей

image

Теги: уязвимость, исследование, знаки безопасности

По данным ИБ-экспертов, свидетельствующие о высоком уровне защиты баннеры не стоят даже тех денег, которые были уплачены за проверку.

Специальные опознавательные баннеры (так называемые знаки безопасности) на сайтах интернет-магазинов и прочих сервисов, свидетельствующие о наличии высококачественной защиты, уже давно вызывают подозрения у ИБ-экспертов. Многие исследователи уверены, что содержащие данные знаки сайты куда более уязвимы к хакерским атакам, нежели ресурсы, не проходившие подобной сертификации.

Отметим, что наличие знака безопасности свидетельствует о том, что ресурс прошел платный аудит на наличие уязвимостей и его защищенность гарантируется компанией, выдавшей сертификат-баннер. Стоимость такой услуги (как правило, проверки проводятся ежегодно) может составлять от $100 до $1000. При этом в число компаний, проводящих аудит безопасности, входят такие известные бренды, как Symantec, McAfee, Trust-Guard и Qualys.

В отчете «Clubbing Seals: Exploring the Ecosystem of Third-party Security Seals» исследователи заявляют, что подавляющее большинство таких знаков не стоят тех денег, которые были за них уплачены. В подтверждение своим словам, эксперты раскрыли результаты проверки 10 компаний, специализирующихся на предоставлении услуг аудита безопасности. Как выяснилось, проведенная каждой из этих организаций работа была совершенно не тщательной.

В ходе некоторых экспериментов, даже именитые вендоры упустили из виду более половины брешей, которые были специально оставлены на тестируемом ресурсе. При этом большинство из таких уязвимостей хакеры обнаруживают в течение одних суток.

Более того, в ходе сбора информации о пользе знаков безопасности был выявлен метод атаки с их использованием. Другими словами, в одном из случаев размещение данного знака на web-сайте сделало ресурс не только более привлекательным для хакеров, но и более уязвимым.

«Данное исследование очень близко к правде, но следует учитывать некоторые факторы, - поясняет глава High-Tech Bridge и главный архитектор ImmuniWeb Илья Колошенко. – Большинство сайтов, размещающих подобные знаки - это довольно крупные ресурсы, которые заботятся о своей безопасности и вкладывают деньги в ее обеспечение. Однако, как известно, чем больше и сложнее портал, тем выше вероятность обнаружения уязвимостей».

По словам эксперта, автоматическое сканирование и проверки уже давно не могут гарантировать нахождение всех уязвимостей, несмотря на то, что продающие их компании упорно утверждают обратное.

«Только ручное тестирование в сочетании с регулярными автоматическими проверками может гарантировать необходимый уровень безопасности, - подчеркивает Колошенко. - Знаки безопасности довольно часто служат «красной тряпкой» для хакеров. Чтобы убедиться в этом, достаточно посетить xssposed.org, где хакеры иногда соревнуются в количестве обнаруженных XSS на сайтах ИБ-компаний и/или их клиентов».

Напомним, что сертификацию на соответствие требованиям безопасности проходила компания Target. Всего несколько месяцев спустя после того как в сентябре 2013 года эксперты PCI DSS провели аудит на ресурсах ритейлера, сети компании поверглись хакерскому нападению.

Ознакомиться с отчетом «Clubbing Seals: Exploring the Ecosystem of Third-party Security Seals» можно здесь

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.