Полiт.ua Государственная сеть Государственные люди Войти
19 января 2017, четверг, 22:20
Facebook Twitter LiveJournal VK.com RSS

НОВОСТИ

СТАТЬИ

АВТОРЫ

ЛЕКЦИИ

PRO SCIENCE

ТЕАТР

РЕГИОНЫ

Цена прямого контакта

Фото: atooms.com
Фото: atooms.com

Ранее мы обсуждали возможность повышения безопасности интернет-пользователей – как частных, так и корпоративных. Было бы интересно оценить, насколько утопичными являются в этом вопросе планы правительства, и не только нашего, поскольку инициативы в области защиты от сетевых атак есть и за рубежом. 

Чем занимается обычный пользователь или сотрудник компании? Посылает и принимает письма, ищет информацию, пользуется сервисами. При этом, отправляя документ по сети Интернет, общаясь в форумах, оплачивая счета через системы дистанционного банковского обслуживания и выполняя рекомендованные меры безопасности, мы, в общем-то, чувствуем себя в достаточной степени защищенными. Мы полагаемся на создателей приложений, с помощью которых общаемся посредством Интернета.

Но странное дело: заглянем в политику конфиденциальности, прочитать которую нам предлагается при первом заходе практически на любой ресурс. Парадоксально - никто нам не дает гарантии безопасной работы и не обещает компенсаций в случае утечки наших данных или атак на наши документы. С другой стороны, и никто из тех, кому мы закажем разработать, скажем, новый сайт или сервис, тоже не будет давать гарантий его неуязвимости – только предложит обговорить доработку кода в случае необходимости (за дополнительную плату, естественно).

Статистика знает все. Согласно отчету компании Cenzic, уязвимости присутствуют почти в 99% веб-приложений.

 

Приведенная в отчете статистика показывает, что, несмотря на небольшие колебания по классам уязвимостей, прогресса в области безопасности не предвидится – на рынке, за редчайшими исключениями, не наблюдается роста вложений компаний-разработчиков в безопасную разработку.

Но, быть может, все не так плохо и все найденные уязвимости быстро закрываются, а хакеры не успевают ими воспользоваться?

К сожалению, нет. По разным оценкам, среднее время жизни одной уязвимости нулевого дня составляет примерно 300-350 дней. А учитывая то, что пользователи массово используют пиратское ПО и/или не обновляют программы по «мировоззренческим» причинам (если я обновлюсь, то вдруг все рухнет?), то хакеры смело используют давно закрытые производителями уязвимости – до сих пор у них в работе «дыры» от 2006 года!

Но даже если пользователи обновляются, то в большинстве случаев они обновляют операционную систему. Кто регулярно обновляет все установленные на компьютере приложения или хотя бы Adobe Flash и Adobe Acrobat – излюбленные цели хакеров?

Результат предсказуем.

 

В среднем время жизни вредоносной программы на зараженной машине – 8 месяцев!

Получается, что, работая со своими данными, общаясь по Интернету, мы не имеем никакой гарантии того, что за нами уже не следят, причем достаточно давно.

Почему же возникают уязвимости? Отвечает веб-проект OWASP.

  1. Недостаточная проверка параметров в HTTP-запросах, параметров из внешних сайтов и приложений позволяет криминалу  использовать произвольные параметры и, как следствие, выполнять нужный программный код. 
  2. Слабая аутентификация и авторизация, ошибки шифрования – можно легко обойти систему идентификации пользователя.
  3. Уязвимости кода в приложениях с межсайтовыми запросами.
  4. Переполнение буфера позволяет получить более высокие права или выполнить нужный код.

Ну и, конечно, неправильная конфигурация сервера – не нужно оставлять его с настройками по умолчанию.

Вся информация доступна и должна быть известна всем, кто обеспечивает безопасность компаний – тем более что все компании пользуются системами дистанционного банковского обслуживания, у большинства есть веб-сервисы для клиентов или открыта почта для работы из дома. Но… Какой процент из используемых приложений прошел аудит качества кода? Какой процент компаний, использующих это ПО периодически проверяет его на новые уязвимости?

По закону все приложения, которые обрабатывают персональные данные, должны находиться под защитой средств, прошедших процедуру оценки соответствия определенным требованиям. Какое количество пользователей защищается приложениями, прошедшими проверку на соответствие заявленному функционалу?

И не нужно думать, что найти уязвимости сложно. По статистике Web Application Security Statistics Project более 7% всех проанализированных сайтов может быть скомпрометировано полностью автоматически – эти уязвимости могли быть найдены и жертвами атак. Также статистика говорит нам, что при детальной ручной и автоматизированной оценке вероятность обнаружения уязвимости высокой степени риска достигает 96,85%.

Что делать? Нужно понимать, что веб-приложения несут те же угрозы бизнесу, что и обычные, и также требуют защиты. Скажем, внедрившись в приложения, злоумышленник может перехватывать и формировать платежи (если это приложение связано с финансами), перехватывать пароли доступа, содержимое переписки, снимать содержание экрана и веб-приложений (Form grabber), получать удаленный доступ к вашему компьютеру – и, возможно, через него ко всей сети – и это далеко не все. Даже банальная подмена информации на каком-либо сайте или изменение его внешнего вида несет угрозу для компании.

Пренебрегая защитой, бизнес может внезапно оказаться без денег – более половины атак на системы дистанционного банковского обслуживания оказались успешны, а средняя сумма похищенного составила более 400 тысяч рублей. И не нужно думать, что вы заметите факт заражения. Современные вредоносные программы рассчитаны на максимально долгое пребывание в системе – и не должны конфликтовать с иным ПО. Вредоносные программы даже устанавливают свои обновления и удаляют иных троянцев – выполняют работу системного администратора. Компьютер должен работать хорошо, чтобы бухгалтер ничего не заподозрил. А само хищение проходит за 1-3 минуты.

Наиболее распространенными уязвимостями являются Cross-Site Scripting, Information Leakage, SQL Injection и Predictable Resource Location. Как правило, уязвимости типа Cross-Site Scripting и SQL Injection возникают по причине ошибок в разработке систем, в то время как Information Leakage и Predictable Resource Location зачастую связаны с недостаточно эффективным администрированием (например, разграничением доступа) в системах. Не нужно пренебрегать системами разграничения доступа – один антивирус сейчас не способен обеспечить систему информационной защиты – в нее обязательно должны входить иные продукты безопасности.

 

Сколько сайтов уязвимо?:

 

Как говорится, без комментариев.

Мы постоянно жалуемся на правительство, которое заставляет нас инвестировать в безопасность. Да, зачастую меры правительства излишне политизированы, неадекватны и так далее. Но может ли быть иначе в ситуации тотальной уязвимости сети Интернет и повседневно используемых приложений?

 

Обсудите в соцсетях

Система Orphus
Loading...

Главные новости

20:59 Трамп попросил сотрудников уходящей администрации временно поработать с ним
20:40 McDonalds впервые за 50 лет представил новые «Биг-Маки»
20:23 На востоке Москвы мужчина открыл огонь по полицейским
20:16 В Минобороны рассказали о работающем в плазме гиперзвуковом оружии
20:05 СМИ узнали о завершении расследования смертельного ДТП с Tesla
20:00 В ходе поисков Ту-154 найден американский самолет времен войны
19:50 Facebook вернул RT возможность публиковать мультимедиа
19:47 В Харьковской области кончились деньги на возведение забора с Россией
19:34 Шувалов рассказал о стерильности в российской экономике
19:32 ИГ возобновило массовые казни в амфитеатре Пальмиры
19:16 Блогеру Соколовскому добавили еще одну статью
19:16 CNN рассказал о возвращении власти к команде Обамы в случае убийства Трампа
18:56 В Бразилии сгорела исполнительница «Ламбады»
18:49 BBC признал утечку серии «Шерлока» непреднамеренной
18:40 Украина провела военную инспекцию в Ростовской области
18:36 В Управделами президента РФ подтвердили строительство нового корпуса ЦКБ в Москве
18:24 Глава МОК вывел вопрос участия России в Играх из области политики
18:17 В Еврокомиссии рассказали о готовности Украины покупать российский газ‍
18:04 В Германии разрешили покупать марихуану по рецепту
17:59 Минздрав попросил не допустить продажу лекарств в супермаркетах
17:43 Эксперты правительства отклонили петицию об отмене «закона Яровой»
17:26 СМИ анонсировали строительство больницы для Путина за 2,9 млрд рублей
17:25 Саблерогие ориксы снова живут в Сахаре
17:13 ЕЦБ сохранил базовую процентную ставку на нулевом уровне‍
17:08 Банки опровергли обращение к ЦБ по поводу карты «Мир»
17:03 Роскомнадзор пригрозил ответить на ограничения работы RT
16:54 Депутат попросил СКР проверить закупку новогодних украшений в Москве
16:45 США при Обаме 35 раз расширяли санкции против России
16:36 Минкомсвязи оценило затраты хранения данных по «закону Яровой»
16:21 Трамп предложил проводить в столице военные парады
16:06 При обрушении новосибирского конного клуба погибли женщина и ребенок
15:56 Видеоигра помогла объяснить танцы скворцов
15:56 Минкомсвязи предложило урезать объем хранения данных по «пакету Яровой» в 10 раз
15:51 Горбачева вызвали в суд Вильнюса по делу о событиях 1991 года
15:39 СК завершил следствие по делу «хабаровских живодерок»
15:20 «АвтоВАЗ» запланировал за год увеличить экспорт в полтора раза
15:18 Полиция Испании объяснила задержание российского программиста
15:05 В Москве объявлено экстренное предупреждение из-за ухудшения погоды
14:59 В Новосибирской области обрушился конный клуб
14:47 Глава избиркома Мытищ отправился в отставку
14:36 Песков опроверг стремление России разрушать другие страны «целиком»
14:31 В Петербурге представили эмблему города-организатора Евро-2020
14:07 Еще один вид акул оказался способен к партеногенезу
14:01 Медведев анонсировал перевод экономики России в устойчивый рост
13:48 Песков подтвердил намерение России отстаивать свои интересы по «делу ЮКОСа»
13:40 Шувалов рассказал о подготовке плана по стабилизации рубля
13:29 Правительство запретило вывоз шкур из России
13:22 ФАС высказалась против обязательного перевода бюджетников на карту «Мир»
12:56 Избранный вице-президент США раскритиковал помилование Мэннинг
12:49 «Зенит-Арене» для готовности к ЧМ-2018 потребовалось еще 2 млрд рублей
Apple Boeing Facebook Google IT NATO PRO SCIENCE видео ProScience Театр Pussy Riot Twitter аварии на железной дороге авиакатастрофа Австралия Австрия автопром администрация президента Азербайджан акции протеста Александр Лукашенко Алексей Кудрин Алексей Навальный Алексей Улюкаев алкоголь амнистия Анатолий Сердюков Ангела Меркель Антимайдан Армения армия Арсений Яценюк археология астрономия атомная энергия аукционы Афганистан Аэрофлот баллистические ракеты банковский сектор банкротство Барак Обама Башар Асад Башкирия беженцы Белоруссия Бельгия беспорядки бизнес биология ближневосточный конфликт бокс болельщики «болотное дело» большой теннис Борис Немцов Бразилия ВВП Великая Отечественная война Великобритания Венесуэла Верховная Рада Верховный суд взрыв взятка видеозаписи публичных лекций «Полит.ру» видео «Полит.ру» визовый режим Виктор Янукович вирусы Виталий Мутко «ВКонтакте» ВКС Владивосток Владимир Жириновский Владимир Маркин Владимир Мединский Владимир Путин ВМФ военная авиация Волгоград ВТБ Вторая мировая война вузы выборы выборы губернаторов выборы мэра Москвы газовая промышленность «Газпром» генетика Генпрокуратура Германия ГИБДД ГЛОНАСС Голливуд гомосексуализм госбюджет Госдеп Госдума госзакупки гражданская авиация Греция Гринпис Грузия гуманитарная помощь гуманитарные и социальные науки Дагестан Дальний Восток деньги День Победы дети Дмитрий Медведев Дмитрий Песков Дмитрий Рогозин доллар Домодедово Дональд Трамп Донецк допинг дороги России драка ДТП Евгения Васильева евро Еврокомиссия Евромайдан Евросоюз Египет ЕГЭ «Единая Россия» Екатеринбург ЕСПЧ естественные и точные науки ЖКХ журналисты Забайкальский край закон об «иностранных агентах» законотворчество здравоохранение в России землетрясение «Зенит» Израиль Индия Индонезия инновации Интервью ученых интернет инфляция Ирак Ирак после войны Иран Иркутская область искусство ислам «Исламское государство» Испания история История человечества Италия Йемен Казань Казахстан казнь Калининград Камчатка Канада Киев кино Киргизия Китай Климат Земли, атмосферные явления КНДР Книга. Знание Компьютеры, программное обеспечение кораблекрушение коррупция космодром Восточный космос КПРФ кража Краснодарский край Красноярский край кредиты Кремль крушение вертолета Крым крымский кризис Куба культура Латвия ЛГБТ ЛДПР Левада-Центр легкая атлетика лесные пожары Ливия лингвистика Литва литература Лондон Луганск Малайзия МВД МВФ медиа медицина междисциплинарные исследования Мексика Мемория метро мигранты МИД России Минздрав Минкомсвязи Минкульт Минобороны Минобрнауки Минтранспорта Минтруд Минфин Минэкономразвития Минюст мировой экономический кризис «Мистраль» Михаил Саакашвили Михаил Ходорковский МКС Молдавия Мосгорсуд Москва Московская область мошенничество музыка МЧС наводнение Надежда Савченко налоги нанотехнологии наркотики НАСА наука Наука в современной России «Нафтогаз Украины» некоммерческие организации некролог Нерусский бунт нефть Нигерия Нидерланды Нобелевская премия Новосибирск Новые технологии, инновации Новый год Норвегия Нью-Йорк «Оборонсервис» образование обрушение ОБСЕ общественный транспорт общество ограбление Одесса Олимпийские игры ООН оппозиция опросы оружие отставки-назначения Пакистан палеонтология Палестинская автономия Папа Римский Париж ПДД педофилия пенсионная реформа Пентагон Петр Порошенко погранвойска пожар полиция Польша похищение права человека правительство Право правозащитное движение «Правый сектор» преступления полицейских преступность Приморский край происшествия публичные лекции Рамзан Кадыров РАН Революция в Киргизии Реджеп Эрдоган рейтинги религия Реформа армии РЖД ритейл Роскомнадзор Роскосмос Роспотребнадзор Россельхознадзор Российская академия наук Россия Ростов-на-Дону Ростовская область РПЦ рубль русские националисты РФС Санкт-Петербург санкции Саудовская Аравия Сахалин Сбербанк Свердловская область связь связь и телекоммуникации Севастополь сельское хозяйство сепаратизм Сербия Сергей Лавров Сергей Собянин Сергей Шойгу Сирия Сколково Славянск Следственный комитет следствие смартфоны СМИ Совбез ООН Совет по правам человека Совет Федерации сотовая связь социальные сети социология Социология в России Сочи Сочи 2014 «Спартак» спецслужбы «Справедливая Россия» спутники СССР Ставропольский край стихийные бедствия Стихотворения на случай страхование стрельба строительство суды суицид США Таджикистан Таиланд Татарстан театр телевидение телефонный терроризм теракт терроризм технологии транспорт туризм Турция тюрьмы и колонии убийство УЕФА Украина Условия труда ФАС Федеральная миграционная служба физика Филиппины Финляндия ФИФА фондовая биржа фоторепортаж Франсуа Олланд Франция ФСБ ФСИН ФСКН футбол Хабаровский край хакеры Харьков Хиллари Клинтон химическое оружие хоккей хулиганство Центробанк ЦИК Цикл бесед "Взрослые люди" ЦСКА Челябинская область Чехия Чечня ЧМ-2018 шахты Швейцария Швеция школа шоу-бизнес шпионаж Эбола Эдвард Сноуден экология экономика экономический кризис экстремизм Эстония Южная Корея ЮКОС Юлия Тимошенко ядерное оружие Япония

Редакция

Электронная почта: politru.edit1@gmail.com
Адрес: 129343, Москва, проезд Серебрякова, д.2, корп.1, 9 этаж.
Телефоны: +7 495 980 1893, +7 495 980 1894.
Стоимость услуг Полит.ру
Свидетельство о регистрации средства массовой информации
Эл. № 77-8425 от 1 декабря 2003г. Выдано министерством
Российской Федерации по делам печати, телерадиовещания и
средств массовой информации. Выходит с 21 февраля 1998 года.
При любом использовании материалов веб-сайта ссылка на Полит.ру обязательна.
При перепечатке в Интернете обязательна гиперссылка polit.ru.
Все права защищены и охраняются законом.
© Полит.ру, 1998–2014.