Полiт.ua Государственная сеть Государственные люди Войти
24 февраля 2018, суббота, 05:33
Facebook Twitter LiveJournal VK.com RSS

НОВОСТИ

СТАТЬИ

АВТОРЫ

ЛЕКЦИИ

PRO SCIENCE

СКОЛКОВО

РЕГИОНЫ

Цена прямого контакта

Фото: atooms.com
Фото: atooms.com

Ранее мы обсуждали возможность повышения безопасности интернет-пользователей – как частных, так и корпоративных. Было бы интересно оценить, насколько утопичными являются в этом вопросе планы правительства, и не только нашего, поскольку инициативы в области защиты от сетевых атак есть и за рубежом. 

Чем занимается обычный пользователь или сотрудник компании? Посылает и принимает письма, ищет информацию, пользуется сервисами. При этом, отправляя документ по сети Интернет, общаясь в форумах, оплачивая счета через системы дистанционного банковского обслуживания и выполняя рекомендованные меры безопасности, мы, в общем-то, чувствуем себя в достаточной степени защищенными. Мы полагаемся на создателей приложений, с помощью которых общаемся посредством Интернета.

Но странное дело: заглянем в политику конфиденциальности, прочитать которую нам предлагается при первом заходе практически на любой ресурс. Парадоксально - никто нам не дает гарантии безопасной работы и не обещает компенсаций в случае утечки наших данных или атак на наши документы. С другой стороны, и никто из тех, кому мы закажем разработать, скажем, новый сайт или сервис, тоже не будет давать гарантий его неуязвимости – только предложит обговорить доработку кода в случае необходимости (за дополнительную плату, естественно).

Статистика знает все. Согласно отчету компании Cenzic, уязвимости присутствуют почти в 99% веб-приложений.

 

Приведенная в отчете статистика показывает, что, несмотря на небольшие колебания по классам уязвимостей, прогресса в области безопасности не предвидится – на рынке, за редчайшими исключениями, не наблюдается роста вложений компаний-разработчиков в безопасную разработку.

Но, быть может, все не так плохо и все найденные уязвимости быстро закрываются, а хакеры не успевают ими воспользоваться?

К сожалению, нет. По разным оценкам, среднее время жизни одной уязвимости нулевого дня составляет примерно 300-350 дней. А учитывая то, что пользователи массово используют пиратское ПО и/или не обновляют программы по «мировоззренческим» причинам (если я обновлюсь, то вдруг все рухнет?), то хакеры смело используют давно закрытые производителями уязвимости – до сих пор у них в работе «дыры» от 2006 года!

Но даже если пользователи обновляются, то в большинстве случаев они обновляют операционную систему. Кто регулярно обновляет все установленные на компьютере приложения или хотя бы Adobe Flash и Adobe Acrobat – излюбленные цели хакеров?

Результат предсказуем.

 

В среднем время жизни вредоносной программы на зараженной машине – 8 месяцев!

Получается, что, работая со своими данными, общаясь по Интернету, мы не имеем никакой гарантии того, что за нами уже не следят, причем достаточно давно.

Почему же возникают уязвимости? Отвечает веб-проект OWASP.

  1. Недостаточная проверка параметров в HTTP-запросах, параметров из внешних сайтов и приложений позволяет криминалу  использовать произвольные параметры и, как следствие, выполнять нужный программный код. 
  2. Слабая аутентификация и авторизация, ошибки шифрования – можно легко обойти систему идентификации пользователя.
  3. Уязвимости кода в приложениях с межсайтовыми запросами.
  4. Переполнение буфера позволяет получить более высокие права или выполнить нужный код.

Ну и, конечно, неправильная конфигурация сервера – не нужно оставлять его с настройками по умолчанию.

Вся информация доступна и должна быть известна всем, кто обеспечивает безопасность компаний – тем более что все компании пользуются системами дистанционного банковского обслуживания, у большинства есть веб-сервисы для клиентов или открыта почта для работы из дома. Но… Какой процент из используемых приложений прошел аудит качества кода? Какой процент компаний, использующих это ПО периодически проверяет его на новые уязвимости?

По закону все приложения, которые обрабатывают персональные данные, должны находиться под защитой средств, прошедших процедуру оценки соответствия определенным требованиям. Какое количество пользователей защищается приложениями, прошедшими проверку на соответствие заявленному функционалу?

И не нужно думать, что найти уязвимости сложно. По статистике Web Application Security Statistics Project более 7% всех проанализированных сайтов может быть скомпрометировано полностью автоматически – эти уязвимости могли быть найдены и жертвами атак. Также статистика говорит нам, что при детальной ручной и автоматизированной оценке вероятность обнаружения уязвимости высокой степени риска достигает 96,85%.

Что делать? Нужно понимать, что веб-приложения несут те же угрозы бизнесу, что и обычные, и также требуют защиты. Скажем, внедрившись в приложения, злоумышленник может перехватывать и формировать платежи (если это приложение связано с финансами), перехватывать пароли доступа, содержимое переписки, снимать содержание экрана и веб-приложений (Form grabber), получать удаленный доступ к вашему компьютеру – и, возможно, через него ко всей сети – и это далеко не все. Даже банальная подмена информации на каком-либо сайте или изменение его внешнего вида несет угрозу для компании.

Пренебрегая защитой, бизнес может внезапно оказаться без денег – более половины атак на системы дистанционного банковского обслуживания оказались успешны, а средняя сумма похищенного составила более 400 тысяч рублей. И не нужно думать, что вы заметите факт заражения. Современные вредоносные программы рассчитаны на максимально долгое пребывание в системе – и не должны конфликтовать с иным ПО. Вредоносные программы даже устанавливают свои обновления и удаляют иных троянцев – выполняют работу системного администратора. Компьютер должен работать хорошо, чтобы бухгалтер ничего не заподозрил. А само хищение проходит за 1-3 минуты.

Наиболее распространенными уязвимостями являются Cross-Site Scripting, Information Leakage, SQL Injection и Predictable Resource Location. Как правило, уязвимости типа Cross-Site Scripting и SQL Injection возникают по причине ошибок в разработке систем, в то время как Information Leakage и Predictable Resource Location зачастую связаны с недостаточно эффективным администрированием (например, разграничением доступа) в системах. Не нужно пренебрегать системами разграничения доступа – один антивирус сейчас не способен обеспечить систему информационной защиты – в нее обязательно должны входить иные продукты безопасности.

 

Сколько сайтов уязвимо?:

 

Как говорится, без комментариев.

Мы постоянно жалуемся на правительство, которое заставляет нас инвестировать в безопасность. Да, зачастую меры правительства излишне политизированы, неадекватны и так далее. Но может ли быть иначе в ситуации тотальной уязвимости сети Интернет и повседневно используемых приложений?

 

Обсудите в соцсетях

Система Orphus

Главные новости

23.02 19:23 Меркель и Макрон написали Путину письмо из-за Сирии
23.02 18:54 В Новосибирске автомобиль въехал в толпу
23.02 18:21 Россияне сыграют с немцами в финале по хоккею на ОИ
23.02 17:54 Стивену Фраю удалили раковую опухоль
23.02 17:06 МИД РФ подтвердил обнаружение 400 кг кокаина в посольстве в Аргентине
23.02 16:26 Кадыров проклял Сталина
23.02 15:54 Зам шерифа во Флориде уволился из-за бездействия во время массового убийства в школе
23.02 15:23 Вице-спикер ГД потребовал лишить аккредитации журналистов «Дождя» из-за материала о Слуцком
23.02 14:47 Путин наградил звездой Героя России вдову погибшего в Сирии летчика
23.02 14:12 СМИ сообщили о перехвате переговоров Пригожина с чиновниками Сирии перед атакой на базу США
23.02 13:33 Олимпийская делегация РФ назвала найденное у бобслеистки запрещенное вещество
23.02 13:03 Российские хоккеисты вышли в финал Олимпиады
23.02 12:46 Бобслеистку из РФ заподозрили в употреблении допинга
23.02 12:17 Роскомнадзор пригрозил заблокировать «Яндекс.Дзен» из-за «МБХ Медиа»
23.02 11:59 Умер князь Владимир Голицын
23.02 11:34 Украина создаст тестовый участок Hyperloop в Днепре
23.02 11:14 Столичные морозы побили рекорд
23.02 10:36 Вместо Дерипаски президентом «Русала» станет гендиректор
23.02 10:11 Фигуристка Загитова принесла России первое золото Олимпиады
22.02 21:10 В Петербурге задержан организатор убийства антифашиста Тимура Качаравы
22.02 20:48 Журналистка рассказала об отъезде 106 чеченских геев за границу
22.02 20:25 Россельхознадзор ввел запрет на поставки молока из Белоруссии
22.02 20:08 МТС устранила претензии ФАС по внутрироссийскому роумингу
22.02 19:53 Суд отправил в СИЗО подозреваемого в хищении при строительстве Театра Европы
22.02 19:28 ЦИК сообщил о тратах кандидатов в президенты на свои кампании
22.02 19:03 Синоптики предупредили о морозах до -35 градусов в Центральной России
22.02 18:49 Для поиска средства против паразитического червя ученые заражают им добровольцев
22.02 18:36 Штраф за показ «Смерти Сталина» вырос до 280 тысяч рублей
22.02 18:21 ФСБ сообщила о задержании планировавшего теракт в Петербурге мигранта
22.02 18:06 SpaceX запустила на орбиту первые спутники для раздачи интернета
22.02 17:51 Американская коалиция признала гибель 840 мирных жителей в Сирии и Ираке
22.02 17:28 Альтернативные Играм российские соревнования стартуют на этой неделе
22.02 17:14 «Открытие» объединят с «Трастом» и Бинбанком
22.02 16:52 Российская сборная на Играх опустилась на 21-е место
22.02 16:30 Власти Москвы разрешили установить памятную доску Немцову
22.02 16:19 Зоологи научились различать самцов и самок королевского пингвина
22.02 16:14 В Петербурге задержан забивший до смерти водителя маршрутки
22.02 15:58 Шестеро таджиков осуждены за попытку взорвать маршрутку в Люберцах
22.02 15:31 Греция выдала России участника банды убийц 60 человек
22.02 15:14 Навальному вручили административный протокол и отпустили из полиции
22.02 15:01 Facebook и Instagram оказались частично недоступны для пользователей
22.02 14:43 Amnesty International раскритиковала ситуацию с правами человека в России
22.02 14:25 Кинотеатр «Пионер» оштрафован на 100 тысяч рублей за «Смерть Сталина»
22.02 14:12 Суд увеличил срок участнику убийства Немцова
22.02 14:06 Для обезьян-носачей размер носа имеет значение
22.02 13:54 СКР назвал мотив совладельца «дочки» «Газпрома» при организации покушения
22.02 13:51 Алексей Навальный сообщил о своем задержании
22.02 13:34 Суд продолжил производство по делу показа «Смерти Сталина» в «Пионере»
22.02 13:08 В Кремле подтвердили перенос места оглашения послания Путина
22.02 12:55 Генштаб Украины переименовал АТО в Донбассе
Apple Bitcoin Boeing Facebook Google iPhone IT NATO PRO SCIENCE видео ProScience Театр Pussy Riot Twitter Абхазия аварии на железной дороге авиакатастрофа Австралия Австрия автопром администрация президента Азербайджан акции протеста Александр Лукашенко Александр Турчинов Алексей Кудрин Алексей Навальный Алексей Улюкаев алкоголь амнистия Анатолий Сердюков Ангела Меркель Антимайдан Аргентина Аркадий Дворкович Арктика Армения армия Арсений Яценюк археология астрономия атомная энергия аукционы Афганистан Аэрофлот баллистические ракеты банковский сектор банкротство Барак Обама Башар Асад Башкирия беженцы Белоруссия Белый дом Бельгия беспилотник беспорядки биатлон бизнес биология бокс болельщики «болотное дело» большой теннис Борис Немцов борьба с курением Бразилия Валентина Матвиенко вандализм Ватикан ВВП Великая Отечественная война Великобритания Венесуэла Верховная Рада Верховный суд взрыв взятка видеозаписи публичных лекций «Полит.ру» визовый режим Виктор Янукович вирусы Виталий Мутко «ВКонтакте» ВКС Владивосток Владимир Жириновский Владимир Маркин Владимир Мединский Владимир Путин ВМФ военная авиация Волгоград ВТБ Вторая мировая война вузы ВЦИОМ выборы выборы губернаторов выборы мэра Москвы Вячеслав Володин гаджеты газовая промышленность «Газпром» генетика Генпрокуратура Германия ГИБДД ГЛОНАСС Голливуд гомосексуализм госбюджет Госдеп Госдума госзакупки гражданская авиация Греция Гринпис Грузия гуманитарная помощь Дагестан Дальний Восток декларации чиновников деньги День Победы дети Дмитрий Медведев Дмитрий Песков Дмитрий Рогозин доллар Домодедово Дональд Трамп Донецк допинг дороги России драка ДТП Евгения Васильева евро Евровидение Еврокомиссия Евромайдан Евросоюз Египет ЕГЭ «Единая Россия» Екатеринбург ЕСПЧ естественные и точные науки ЖКХ журналисты Забайкальский край закон об «иностранных агентах» законотворчество здравоохранение в России землетрясение «Зенит» Израиль Ингушетия Индия Индонезия инновации Интервью ученых интернет инфляция Ирак Ирак после войны Иран Иркутская область искусство ислам «Исламское государство» Испания история История человечества Италия Йемен Казань Казахстан казнь Калининград Камчатка Канада Кемеровская область Киев кино Киргизия Китай климат Земли КНДР Книга. Знание Компьютеры, программное обеспечение Конституционный суд Конституция кораблекрушение коррупция космодром Восточный космос КПРФ кража Краснодарский край Красноярский край кредиты Кремль крушение вертолета Крым крымский кризис Ксения Собчак Куба культура Латвия ЛГБТ ЛДПР Левада-Центр легкая атлетика Ленинградская область лесные пожары Ливия лингвистика Литва литература Лондон Луганск Малайзия Мария Захарова МВД МВФ медиа медицина междисциплинарные исследования Мексика Мемория метро мигранты МИД России Минздрав Минкомсвязи Минкульт Минобороны Минобрнауки Минпромторг Минсельхоз Минтранспорта Минтруд Минфин Минэкономразвития Минэнерго Минюст «Мистраль» Михаил Саакашвили Михаил Ходорковский МКС мобильные приложения МОК Молдавия монархия Мосгорсуд Москва Московская область мошенничество музыка Мурманская область МЧС наводнение Надежда Савченко налоги нанотехнологии наркотики НАСА наука Наука в современной России «Нафтогаз Украины» недвижимость некоммерческие организации некролог Нерусский бунт нефть Нигерия Нидерланды Нобелевская премия Новосибирск Новые технологии, инновации Новый год Норвегия Нью-Йорк «Оборонсервис» образование обрушение ОБСЕ общественный транспорт общество ограбление Одесса Олимпийские игры Ольга Голодец ООН ОПЕК оппозиция опросы оружие отставки-назначения офшор Пакистан палеонтология Палестинская автономия Папа Римский Париж ПДД педофилия пенсионная реформа Пентагон Петр Порошенко пищевая промышленность погранвойска пожар полиция Польша похищение Почта России права человека правительство Право правозащитное движение православие «Правый сектор» преступления полицейских преступность Приморский край Продовольствие происшествия публичные лекции Рамзан Кадыров РАН Революция в Киргизии Реджеп Эрдоган рейтинги религия Республика Карелия Реформа армии РЖД ритейл Росавиация Роскомнадзор Роскосмос «Роснефть» Роспотребнадзор Россельхознадзор Российская академия наук Россия Ростов-на-Дону Ростовская область РПЦ рубль русские националисты РФС Санкт-Петербург санкции Саудовская Аравия Сахалин Сбербанк Свердловская область связь связь и телекоммуникации Севастополь сельское хозяйство сепаратизм Сербия Сергей Лавров Сергей Нарышкин Сергей Полонский Сергей Собянин Сергей Шойгу Сирия Сколково Славянск Следственный комитет следствие смартфоны СМИ Совбез ООН Совет по правам человека Совет Федерации сотовая связь социальные сети социология Социология в России Сочи Сочи 2014 «Спартак» спецслужбы «Справедливая Россия» спутники СССР Ставропольский край стихийные бедствия Стихотворения на случай страхование стрельба строительство суды суицид Счетная палата США Таджикистан Таиланд тарифы Татарстан театр телевидение телефонный терроризм теракт терроризм технологии Трансаэро транспорт туризм Турция тюрьмы и колонии убийство уголовный кодекс УЕФА Узбекистан Украина Условия труда фармакология ФАС ФБР Федеральная миграционная служба физика Филиппины Финляндия ФИФА фондовая биржа фоторепортаж Франсуа Олланд Франция ФСБ ФСИН ФСКН футбол Хабаровский край хакеры Харьков Хиллари Клинтон химическое оружие химия хоккей хулиганство цензура Центробанк ЦИК ЦРУ ЦСКА Челябинская область Чехия Чечня ЧМ-2018 Швейцария Швеция школа шоу-бизнес шпионаж Эбола эволюция Эдвард Сноуден экология экономика экономический кризис экстремизм Эстония этология Южная Корея ЮКОС Юлия Тимошенко ядерное оружие Якутия Яндекс Япония

Редакция

Электронная почта: politru.edit1@gmail.com
Адрес: 129090, г. Москва, Проспект Мира, дом 19, стр.1, пом.1, ком.5
Телефон: +7 495 980 1894.
Яндекс.Метрика
Свидетельство о регистрации средства массовой информации
Эл. № 77-8425 от 1 декабря 2003г. Выдано министерством
Российской Федерации по делам печати, телерадиовещания и
средств массовой информации. Выходит с 21 февраля 1998 года.
При любом использовании материалов веб-сайта ссылка на Полит.ру обязательна.
При перепечатке в Интернете обязательна гиперссылка polit.ru.
Все права защищены и охраняются законом.
© Полит.ру, 1998–2014.