Полiт.ua Государственная сеть Государственные люди Войти
1 июня 2016, среда, 06:32
Facebook Twitter LiveJournal VK.com RSS

НОВОСТИ

СТАТЬИ

АВТОРЫ

ЛЕКЦИИ

PRO SCIENCE

ТЕАТР

РЕГИОНЫ

Цена прямого контакта

Фото: atooms.com
Фото: atooms.com

Ранее мы обсуждали возможность повышения безопасности интернет-пользователей – как частных, так и корпоративных. Было бы интересно оценить, насколько утопичными являются в этом вопросе планы правительства, и не только нашего, поскольку инициативы в области защиты от сетевых атак есть и за рубежом. 

Чем занимается обычный пользователь или сотрудник компании? Посылает и принимает письма, ищет информацию, пользуется сервисами. При этом, отправляя документ по сети Интернет, общаясь в форумах, оплачивая счета через системы дистанционного банковского обслуживания и выполняя рекомендованные меры безопасности, мы, в общем-то, чувствуем себя в достаточной степени защищенными. Мы полагаемся на создателей приложений, с помощью которых общаемся посредством Интернета.

Но странное дело: заглянем в политику конфиденциальности, прочитать которую нам предлагается при первом заходе практически на любой ресурс. Парадоксально - никто нам не дает гарантии безопасной работы и не обещает компенсаций в случае утечки наших данных или атак на наши документы. С другой стороны, и никто из тех, кому мы закажем разработать, скажем, новый сайт или сервис, тоже не будет давать гарантий его неуязвимости – только предложит обговорить доработку кода в случае необходимости (за дополнительную плату, естественно).

Статистика знает все. Согласно отчету компании Cenzic, уязвимости присутствуют почти в 99% веб-приложений.

 

Приведенная в отчете статистика показывает, что, несмотря на небольшие колебания по классам уязвимостей, прогресса в области безопасности не предвидится – на рынке, за редчайшими исключениями, не наблюдается роста вложений компаний-разработчиков в безопасную разработку.

Но, быть может, все не так плохо и все найденные уязвимости быстро закрываются, а хакеры не успевают ими воспользоваться?

К сожалению, нет. По разным оценкам, среднее время жизни одной уязвимости нулевого дня составляет примерно 300-350 дней. А учитывая то, что пользователи массово используют пиратское ПО и/или не обновляют программы по «мировоззренческим» причинам (если я обновлюсь, то вдруг все рухнет?), то хакеры смело используют давно закрытые производителями уязвимости – до сих пор у них в работе «дыры» от 2006 года!

Но даже если пользователи обновляются, то в большинстве случаев они обновляют операционную систему. Кто регулярно обновляет все установленные на компьютере приложения или хотя бы Adobe Flash и Adobe Acrobat – излюбленные цели хакеров?

Результат предсказуем.

 

В среднем время жизни вредоносной программы на зараженной машине – 8 месяцев!

Получается, что, работая со своими данными, общаясь по Интернету, мы не имеем никакой гарантии того, что за нами уже не следят, причем достаточно давно.

Почему же возникают уязвимости? Отвечает веб-проект OWASP.

  1. Недостаточная проверка параметров в HTTP-запросах, параметров из внешних сайтов и приложений позволяет криминалу  использовать произвольные параметры и, как следствие, выполнять нужный программный код. 
  2. Слабая аутентификация и авторизация, ошибки шифрования – можно легко обойти систему идентификации пользователя.
  3. Уязвимости кода в приложениях с межсайтовыми запросами.
  4. Переполнение буфера позволяет получить более высокие права или выполнить нужный код.

Ну и, конечно, неправильная конфигурация сервера – не нужно оставлять его с настройками по умолчанию.

Вся информация доступна и должна быть известна всем, кто обеспечивает безопасность компаний – тем более что все компании пользуются системами дистанционного банковского обслуживания, у большинства есть веб-сервисы для клиентов или открыта почта для работы из дома. Но… Какой процент из используемых приложений прошел аудит качества кода? Какой процент компаний, использующих это ПО периодически проверяет его на новые уязвимости?

По закону все приложения, которые обрабатывают персональные данные, должны находиться под защитой средств, прошедших процедуру оценки соответствия определенным требованиям. Какое количество пользователей защищается приложениями, прошедшими проверку на соответствие заявленному функционалу?

И не нужно думать, что найти уязвимости сложно. По статистике Web Application Security Statistics Project более 7% всех проанализированных сайтов может быть скомпрометировано полностью автоматически – эти уязвимости могли быть найдены и жертвами атак. Также статистика говорит нам, что при детальной ручной и автоматизированной оценке вероятность обнаружения уязвимости высокой степени риска достигает 96,85%.

Что делать? Нужно понимать, что веб-приложения несут те же угрозы бизнесу, что и обычные, и также требуют защиты. Скажем, внедрившись в приложения, злоумышленник может перехватывать и формировать платежи (если это приложение связано с финансами), перехватывать пароли доступа, содержимое переписки, снимать содержание экрана и веб-приложений (Form grabber), получать удаленный доступ к вашему компьютеру – и, возможно, через него ко всей сети – и это далеко не все. Даже банальная подмена информации на каком-либо сайте или изменение его внешнего вида несет угрозу для компании.

Пренебрегая защитой, бизнес может внезапно оказаться без денег – более половины атак на системы дистанционного банковского обслуживания оказались успешны, а средняя сумма похищенного составила более 400 тысяч рублей. И не нужно думать, что вы заметите факт заражения. Современные вредоносные программы рассчитаны на максимально долгое пребывание в системе – и не должны конфликтовать с иным ПО. Вредоносные программы даже устанавливают свои обновления и удаляют иных троянцев – выполняют работу системного администратора. Компьютер должен работать хорошо, чтобы бухгалтер ничего не заподозрил. А само хищение проходит за 1-3 минуты.

Наиболее распространенными уязвимостями являются Cross-Site Scripting, Information Leakage, SQL Injection и Predictable Resource Location. Как правило, уязвимости типа Cross-Site Scripting и SQL Injection возникают по причине ошибок в разработке систем, в то время как Information Leakage и Predictable Resource Location зачастую связаны с недостаточно эффективным администрированием (например, разграничением доступа) в системах. Не нужно пренебрегать системами разграничения доступа – один антивирус сейчас не способен обеспечить систему информационной защиты – в нее обязательно должны входить иные продукты безопасности.

 

Сколько сайтов уязвимо?:

 

Как говорится, без комментариев.

Мы постоянно жалуемся на правительство, которое заставляет нас инвестировать в безопасность. Да, зачастую меры правительства излишне политизированы, неадекватны и так далее. Но может ли быть иначе в ситуации тотальной уязвимости сети Интернет и повседневно используемых приложений?

 

Обсудите в соцсетях

Система Orphus

Главные новости

00:59 На Дальнем Востоке стартовал первый этап распределения земли
00:51 Экс-директора ГЦСИ и его заместителя задержали после обысков
00:43 В Национальном рейтинге университетов МГУ победил по двум статьям
31.05 23:59 Кудрин оценил санкционный ущерб ВВП России
31.05 23:45 Жена Джонни Деппа заявила на него в полицию
31.05 23:36 Северокорейские СМИ назвали Трампа «мудрым политиком»
31.05 23:28 «Полит.ру» проводит опрос об эмбарго в ответ на антироссийские санкции
31.05 23:20 Осужденный за нападение на Филина вышел на волю по УДО
31.05 23:08 Из-под завалов в Междуреченске извлекли тело второй жертвы обрушения
31.05 22:41 Гималайскую гору назвали «Надией» в честь Савченко
31.05 22:31 Минтруд нашел альтернативу налогу для тунеядцев
31.05 22:15 Глава МЭР предсказал рост ключевой ставки ФРС США
31.05 21:49 США резко осудили запуск северокорейской ракеты
31.05 21:21 В руинах пятиэтажки в Междуреченске найдено тело женщины
31.05 21:09 Навальный выразил уверенность в получении новой судимости
31.05 20:50 Медведев посоветовал россиянам брать пример с бизнесменов
31.05 20:49 Аленичев остался на посту главного тренера «Спартака»
31.05 20:29 Поправки в ПДД об опасном вождении вступят в силу 8 июня
31.05 20:11 Власти Кузбасса заявили об отсутствии жертв обрушения пятиэтажки
31.05 20:03 Facebook и Twitter пообещали ЕК удалять ксенофобский контент за 24 часа
31.05 19:46 Госдеп предостерег американцев по поводу терактов в Европе
31.05 19:32 Русская служба «Радио Свобода» прекратит вещание на коротких волнах
31.05 19:09 Иркутский квартал имени Рамзана Кадырова достроят к концу 2017 года
31.05 18:58 Белый дом отклонил петицию об отмене закона Магнитского
31.05 18:39 «Газпром» пожелал Польше не остаться у разбитого корыта
31.05 18:17 ФСБ устроила обыск в Государственном центре современного искусства
31.05 18:14 Эрдоган заявил о непонимании требований России
31.05 17:57 Медведев подтвердил скорое возвращение к трехлетнему бюджету
31.05 17:36 Маркин рассказал о двух уголовных делах против сына вице-президента «Лукойла»
31.05 17:15 Медведев назвал «убитыми» волгоградские дороги
31.05 17:14 Оснащение квартир депутатов Госдумы «всем необходимым» закрепят законодательно
31.05 17:06 СМИ назвали финансовые требования Эмбер Херд к Джонни Деппу
31.05 16:54 Читатели «Полит.ру» выступили за безусловное восстановление отношений с Турцией
31.05 16:49 Вице-губернатору Петербурга пригрозили вотумом недоверия за мост имени Кадырова
31.05 16:39 Число погибших в Междуреченске увеличилось до двух человек
31.05 16:32 Ющенко обвинили в передаче власти Януковичу за 1 млрд долларов
31.05 16:32 Препарат против гепатита B успешно проходит клинические испытания
31.05 16:16 Аваков пообещал отправить украинскую полицию в Крым и Донбасс
31.05 16:13 Лавров прокомментировал свою нецензурную реплику
31.05 16:03 В ЦБ назвали главный фактор влияния на экономику России
31.05 16:02 Из бюджета ЕС за год украли почти миллиард долларов
31.05 15:51 Российские ComfortWay и AVO отменяют роуминг
31.05 15:31 Найдена самая большая морская губка
31.05 15:30 Акцию Павленского выдвинули на премию ФСБ
31.05 15:28 В Кемеровской области обрушился подъезд жилого дома
31.05 15:10 Эмблемой Нацгвардии станет царский двуглавый орел
31.05 15:01 «Мисс Турция» получила условный срок за оскорбление Эрдогана
31.05 14:51 Промоутер Поветкина объявил повторные допинг-пробы чистыми
31.05 14:31 Лавров отказался протягивать Турции «оливковую ветвь»
31.05 14:18 Минобороны опровергло удары ВКС РФ в Идлибе
Apple Boeing Facebook Google NATO PRO SCIENCE видео ProScience Театр Pussy Riot Twitter аварии на железной дороге авиакатастрофа Австралия Австрия автопром Азербайджан акции протеста Александр Лукашенко Алексей Навальный Алексей Улюкаев алкоголь амнистия Анатолий Сердюков Ангела Меркель Антимайдан Армения армия Арсений Яценюк археология астрономия атомная энергия Афганистан Аэрофлот баллистические ракеты банковский сектор банкротство Барак Обама Башар Асад Башкирия беженцы Белоруссия Бельгия беспорядки бизнес биология ближневосточный конфликт бокс болельщики «болотное дело» большой теннис Борис Немцов Бразилия Великая Отечественная война Великобритания Венесуэла Верховная Рада Верховный суд взрыв взятка видеозаписи публичных лекций «Полит.ру» видео «Полит.ру» визовый режим Виктор Янукович вирусы Виталий Мутко «ВКонтакте» ВКС Владимир Жириновский Владимир Путин ВМФ военная авиация Волгоград Вторая мировая война вузы выборы выборы губернаторов выборы мэра Москвы газовая промышленность «Газпром» генетика Генпрокуратура Германия ГИБДД гомосексуализм госбюджет Госдеп Госдума гражданская авиация Греция Гринпис Грузия гуманитарная помощь гуманитарные и социальные науки Дагестан Дальний Восток деньги День Победы дети Дмитрий Медведев Дмитрий Песков Дмитрий Рогозин доллар Домодедово Донецк допинг дороги России драка ДТП Евгения Васильева евро Евромайдан Евросоюз Египет ЕГЭ «Единая Россия» Екатеринбург естественные и точные науки ЖКХ журналисты закон об «иностранных агентах» законотворчество здравоохранение в России землетрясение «Зенит» Израиль Индия Индонезия инновации Интервью ученых интернет инфляция Ирак Ирак после войны Иран Иркутская область ислам «Исламское государство» Испания история История человечества Италия Йемен Казань Казахстан казнь Камчатка Канада Киев кино Китай Климат Земли, атмосферные явления КНДР Книга. Знание Компьютеры, программное обеспечение кораблекрушение коррупция космодром «Восточный» космос КПРФ кража Краснодарский край Красноярский край кредиты Кремль крушение вертолета Крым крымский кризис Куба культура Латвия ЛГБТ ЛДПР лесные пожары Ливия Литва литература Лондон Луганск Малайзия МВД МВФ медиа медицина междисциплинарные исследования Мексика Мемория метро мигранты МИД России Минздрав Минкомсвязи Минкульт Минобороны Минобрнауки Минтруд Минфин Минэкономразвития Минюст мировой экономический кризис «Мистраль» Михаил Саакашвили Михаил Ходорковский МКС Молдавия Мосгорсуд Москва Московская область мошенничество музыка МЧС наводнение Надежда Савченко налоги нанотехнологии наркотики НАСА наука Наука в современной России «Нафтогаз Украины» некоммерческие организации некролог Нерусский бунт нефть Нигерия Нидерланды Нобелевская премия Новосибирск Новые технологии, инновации Нью-Йорк «Оборонсервис» образование ОБСЕ общественный транспорт общество ограбление Одесса Олимпийские игры ООН оппозиция опросы оружие отставки-назначения Пакистан Палестинская автономия Париж пенсионная реформа Пентагон Петр Порошенко погранвойска пожар полиция Польша правительство Право правозащитное движение «Правый сектор» преступления полицейских преступность Приморский край происшествия публичные лекции Рамзан Кадыров РАН Революция в Киргизии Реджеп Эрдоган рейтинги религия Реформа армии РЖД ритейл Роскомнадзор Роскосмос Роспотребнадзор Россельхознадзор Российская академия наук Россия Ростов-на-Дону Ростовская область РПЦ рубль русские националисты Санкт-Петербург санкции Саудовская Аравия Сбербанк Свердловская область связь связь и телекоммуникации Севастополь сельское хозяйство сепаратизм Сербия Сергей Лавров Сергей Собянин Сергей Шойгу Сирия Сколково Славянск Следственный комитет следствие Совбез ООН Совет Федерации сотовая связь социальные сети социология Социология в России Сочи Сочи 2014 «Спартак» «Справедливая Россия» спутники СССР Ставропольский край стихийные бедствия Стихотворения на случай стрельба строительство суды суицид США Таджикистан Таиланд Татарстан театр телевидение теракт терроризм технологии транспорт туризм Турция тюрьмы и колонии убийство УЕФА Украина ФАС Федеральная миграционная служба физика Финляндия ФИФА фондовая биржа Фоторепортаж Франсуа Олланд Франция ФСБ ФСИН ФСКН футбол Хабаровский край хакеры Харьков химическое оружие хоккей Центробанк ЦИК Цикл бесед "Взрослые люди" ЦСКА Челябинская область Чечня ЧМ-2018 шахты Швейцария Швеция школа шпионаж Эбола Эдвард Сноуден экология экономика экономический кризис экстремизм Эстония Южная Корея ЮКОС Юлия Тимошенко ядерное оружие Япония

Редакция

Электронная почта: politru.edit1@gmail.com
Адрес: 129343, Москва, проезд Серебрякова, д.2, корп.1, 9 этаж.
Телефоны: +7 495 980 1893, +7 495 980 1894.
Стоимость услуг Полит.ру
Свидетельство о регистрации средства массовой информации
Эл. № 77-8425 от 1 декабря 2003г. Выдано министерством
Российской Федерации по делам печати, телерадиовещания и
средств массовой информации. Выходит с 21 февраля 1998 года.
При любом использовании материалов веб-сайта ссылка на Полит.ру обязательна.
При перепечатке в Интернете обязательна гиперссылка polit.ru.
Все права защищены и охраняются законом.
© Полит.ру, 1998–2014.