IPB

Здравствуйте, гость ( Вход | Регистрация )

> Кому нужна безопасность?
JoNy202
сообщение Aug 28 2005, 21:59
Сообщение #1


PAUK.NET.RU TEAM
Иконка группы

Группа: Admin
Сообщений: 1,672
Регистрация: 11.7.2005
Из: Чебоксары
Пользователь №: 1



Кому нужна безопасность?

©oded by offtopic & Hash

Как все изменилось за последние несколько лет. В специализированных изданиях чуть ли не ежедневно рапортуют о повышении внимания к вопросам информационной безопасности. Различные аналитические агентства констатируют рост рынка средств защиты и прогнозируют дальнейшее увеличение инвестиций в этой отрасли. Проводятся семинары, круглые столы, выставки, на которых серьезно обсуждаются проблемы обеспечения безопасности государственных информационных ресурсов и корпоративных сетей. Воодушевленные этими новостями, авторы решили проверить, насколько серьезно относятся к безопасности собственных ресурсов различные компании.



В ходе исследования было решено бегло оценить защищенность ряда сайтов, владельцы которых имеют прямое отношение к компьютерной безопасности, и в случае обнаружения уязвимостей – связаться с хозяевами. В качестве цели Web-сайты были выбраны как показательные ресурс, по которому многие судят о состоянии дел в компании в целом. Кроме того, содержимое Web-сервера – общедоступная информация, и для поиска уязвимостей не требуется нарушать какие-либо законы.



Методика исследования



Специального отбора целей не проводилось. Авторы использовали те серверы, на которые их «заносило» в ходе повседневной деятельности. Для каждого сервера проводилось беглый поиск наиболее распространенных уязвимостей Web-приложений, таких как Cross-Site Scripting, SQL Injection, file-inclusion и подобных. Уязвимости операционной системы и программного обеспечения самого Web-сервера не анализировались. Если уязвимость обнаруживалась в первом приближении, авторы не предпринимали дополнительных действий по уточнению критичности проблемы, но связывались с владельцами системы.

В качестве средства связи использовалась электронная почта. Письмо отправлялось на адреса, указанные в разделе контактов сайта, а так же на адреса, рекомендованные в политике разглашения уязвимостей RFPolicy (http://www.wiretrip.net/rfp/policy.html), такие как secure@example.com, security@example.com, administrator@example.com, admin@example.com.

Письмо отправлялось от основных электронных адресов авторов, чтобы снизить вероятность фильтрации спам-фильтрами. В случае если ответ не поступал в течение недели, письмо посылалось повторно. Как скидка на русскую безалаберность.



Шаблон письма



ВНИМАНИЕ! Если вы не являетесь лицом, отвечающим за информационную безопасность сервера www.example.com, перешлите это сообщение компетентному специалисту!



Здравствуйте, на сервере www.example.com присутствуют уязвимости, использование которых может привести к его компрометации (дефейсу) или краже идентификационных данных пользователей.

Примеры уязвимостей:

<описание обнаруженных уязвимостей>

Рекомендуется устранить данные уязвимости.

Дополнительные уязвимости могут быть обнаружены с помощью бесплатного сканирования:

http://www.freescan.ru/

Информация предоставлена согласно политике RFPolicy



http://www.wiretrip.net/rfp/policy.html



Давайте рассмотрим обнаруженные уязвимости и реакцию на них владельцев ресурсов. Но прежде чем перейти к этому разделу…



Отказ от обязательств



Данная информация предоставляется на условиях "КАК ЕСТЬ", без предоставления каких-либо гарантий и прав. Используя данную информацию, Вы соглашаетесь с тем, что авторы не несут ответственности за использование Вами данной информации, и Вы принимаете на себя весь риск, связанный с использованием данной информации. Авторы не несут ответственности за использование данной информации третьими лицами.



Результаты



Сервер www.infoforum.ru

Портал представляет собой электронную версию журнала «Бизнес + Безопасность».

Уязвимости: множественные SQL Injections, использование которых может привести к получению полного контроля над операционной системой. Множественные Cross-Site Scripting.

Степень риска: высокая.

Первый контакт: 14.06.2005.

Реакция владельцев ресурса: ответов по электронной почте не поступало.



Сервер www.mts.ru

Портал является официальным Internet-представительством компании Мобильные Телесистемы.

Уязвимости: множественные reflected Cross-Site Scripting в сервере службы ИССА, использование которых может привести к краже идентификационных данных и получении доступа к настройкам телефонов других пользователей.

Степень риска: низкая.

Первый контакт: 30.06.2005.

Реакция владельцев ресурса: ответов по электронной почте не поступало.



Сервер www.OXPAHA.ru

Онлайн издание о безопасности (не только компьютерной). Содержит функции Internet-магазина, неработающего на момент проведения исследования.

Уязвимости: множественные SQL Injection, позволяющие получать доступ к персональным данным других пользователей и содержимому баз данных сервера.

Степень риска: средняя

Первый контакт: 30.06.2005.

Реакция владельцев ресурса: ответов по электронной почте не поступало.



Сервер www.minsvyaz.ru

Официальный портал Министерства информационных технологий и связи Российской Федерации

Уязвимости: выполнение произвольного кода php через функцию сохранения документов.

Степень риска: высокая.

Первый контакт: 01.07.2005.

Реакция владельцев ресурса: ответов по электронной почте не поступало.



Сервер www.internetsecurity.ru

Сайт компании НПП 'ИнтернетБезопасность'.

Цитата с сайта: Наше предприятие организовано в начале 2004 года группой опытных специалистов в области компьютерных сетей и информационных технологий.

Уязвимости: множественные SQL Injection, позволяющие получать доступ к содержимому баз данных сервера.

Степень риска: средняя.

Первый контакт: 05.07.2005. Несмотря на громкое название, контактных адресов электронной почты обнаружено не было. Отчет был послан через Web-форму.

Реакция владельцев ресурса: ответов по электронной почте не поступало.



Сервер www.sec.ru

Интернет портал по безопасности

Уязвимости: Множественные reflected и stored Cross-Site Scripting.

Степень риска: средняя.

Первый контакт: 05.07.2005

Реакция владельцев ресурса: ответов по электронной почте не поступало.



Сервер www.globaltrus.ru

Сайт ООО «GlobalTrust Solutions». Цитата с сайта: «Основная цель деятельности Компании – оказание профессиональных консалтинговых услуг и услуг системной интеграции в сфере информационной безопасности»

Уязвимости: хранение имени пользователя и пароля в cookie в открытом виде, множественные stored Cross-Site Scripting в форуме.

Степень риска: средняя

Первый контакт: 08.07.2005

Реакция владельцев ресурса: ответов по электронной почте не поступало.



Сервер www.viruslist.com

Информационно – аналитический портал компании «Лаборатория Касперского»

Уязвимости: Множественные уязвимости типа reflected Cross-Site Scripting, использование которых может привести к краже идентификационных данных пользователей.

Степень риска: низкая

Первый контакт: 25.07.2005

Реакция владельцев ресурса: ответов по электронной почте не поступало.



С владельцами некоторых сайтов удалось связаться, используя личные контакты. В результате часть уязвимостей была устранена, а некоторые из владельцев попросили соблюдать конфиденциальность, и соответственно, их сайты не были включены в этот обзор.



Интересно, что в ряде случаев письмо было получено и прочитано администратором сайта, и он даже переслал его программистам для устранения уязвимостей. Но сообщить об этом факте отправителям сообщения «о каких-то скриптингах и инжекшенах» ни один из администраторов не удосужился.



Как там, за морем?



Чтобы определить, является ли такое отношение особенностью национального менталитета, поиск уязвимостей был предпринят и на сайтах зарубежных компаний, имеющих отношение к безопасности. Как и ожидалось, на заокеанских серверах было обнаружено гораздо меньше уязвимостей и для их обнаружения пришлось довольно серьезно попотеть. Кроме того, реакция зарубежных коллег отличалась коренным образом.



Специалисты компаний Application Security (www.appsecinc.com) и Foundstone (www.foundstone.com) связались с авторами в тот же бизнес-день. Первые сообщили об устранении обнаруженной уязвимости, вторые попросили предоставить дополнительную информацию об обнаруженной проблеме.



Служба security@microsoft.com отреагировала через несколько часов после отправки начального рапорта. На протяжении всего процесса исправления уязвимостей (который занял около недели) компания предоставляла детальные отчеты о ходе продвижения работ.



Единственным исключением были администраторы сайта www.blackwaterusa.com. Они никак не отреагировали на первое сообщение об обнаруженных уязвимостях. Видимо военщина, пускай и не государственная, накладывает свой отпечаток и в США. Реакция последовала только на «контрольную» рассылку по всем адресам в разделе «контакты».

На сообщение отреагировал HR департамент (видимо действительно, трудно у них с кадрами), и переслал сообщение отделу IT. Забавно было наблюдать за внутренней перепиской (естественно, не удаленной из сообщения, отправленного авторам) отображающей иерархию внутренней бюрократии компании. Порадовала и настороженная реакция специалистов IT-департамента, в которой так и читалось: «а чего эти русские хакеры потребуют взамен?».

Очень неприятно удивили хозяева сайта www.isc2.org. Господа, гордо носящие звание CISSP, этот «золотой стандарт» серди сертификаций для профессионалов высшего уровня в области информационной безопасности, видимо считают, что для защиты их сайта достаточно настроить SSL, и тогда различные SQL Injection и Cross-Site Scripting им не грозят. Наверное, вопросы об этих уязвимостях ещё не включили в сертификационный экзамен и braindumps, соответственно к безопасности они не имеют никакого отношения. Реакции на сообщение, отправленное 6го августа 2005 года, на момент публикации статьи не поступало.



Резюме



Выводы… Выводы делайте сами.

Собственно говоря, в уровне защищенности большинства Web-приложений составляющих Ru-Net авторы не сомневались. Основная цель исследования - попытка определить оценить уровень заинтересованности хозяев ресурсов в повышении защищенности этих ресурсов дала нулевой результат. Т.е. исследование, по мнению авторов, удалось, вот заинтересованность… Заинтересованность стремится к нулю.



З.Ы.



Пару лет назад, в ходе анализа защищенности Web-приложения один из авторов оценил высказывание «менеджера по безопасности продукта» компании, разработавшей «движок». Высказывание касается уязвимостей типа Cross-Site Scripting, которыми сайт прямо-таки кишел, и видимо может использоваться как показатель осведомленности типичного «безопасного менеджера» в области знаний об уязвимостях Web-приложений и на сегодняшний день.

«Значение подставленного URL выводится, а не исполняется. Данные можно посмотреть только из своих кук. Чтобы получить доступ к cookies, нужно получить физический доступ к машине. Уязвимости, связанные с необходимостью физического доступа почти так же «опасно», как автоматчики в масках, дознающие физически пароль»


--------------------
Вернуться к началу страницы
 
+Цитировать сообщение
 
Создать новую тему
Ответов (1 - 4)
Lenin
сообщение Jan 9 2006, 18:45
Сообщение #2


Продвинутый пользователь
Иконка группы

Группа: Local moder
Сообщений: 274
Регистрация: 22.12.2005
Из: КУГЕСИ
Пользователь №: 215



Спасибо smile.gif за полезную информацию cool.gif


--------------------
Товарищи, юноши, взгляд — на Москву,
на русский вострите уши!

Да будь я и негром преклонных годов,
и то без унынья и лени
я русский бы выучил только за то,
что им разговаривал Ленин
Владимир Маяковский
Вернуться к началу страницы
 
+Цитировать сообщение
el-
сообщение Nov 6 2007, 19:00
Сообщение #3


Продвинутый пользователь
***

Группа: Posters
Сообщений: 229
Регистрация: 31.8.2007
Пользователь №: 8,988



ухты как интерессно, а если на порталах более мение маленьких организаций, где админам меньше плотят smile.gif


--------------------


Вернуться к началу страницы
 
+Цитировать сообщение
shmigul
сообщение Nov 8 2007, 21:31
Сообщение #4


Настоящий ADSL'щик
****

Группа: Posters
Сообщений: 486
Регистрация: 12.9.2006
Из: р-он Новочебоксарск
Пользователь №: 1,706



Интересно, а почему паука нет в списке проверенных? smile.gif


--------------------
Вернуться к началу страницы
 
+Цитировать сообщение
Modest
сообщение Dec 28 2007, 01:54
Сообщение #5


Продвинутый пользователь
***

Группа: Posters
Сообщений: 200
Регистрация: 20.10.2006
Из: Чубосраки
Пользователь №: 2,578



Ровно потому, что и любого форума на популярном движке нет в списке. А про остальное на пауке - видимо исследователей не интересовали сайты с посещением менее 500 человек в день.


--------------------
Мы ищем талантыЗа что я полюбил FireFox?
Хорошие люди не комплексуют по каждому поводу.
Вернуться к началу страницы
 
+Цитировать сообщение

ОтветитьСоздать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



RSS Текстовая версия Сейчас: 29th March 2024 - 03:57