Полiт.ua Государственная сеть Государственные люди Войти
20 августа 2018, понедельник, 04:46
Facebook Twitter VK.com Telegram

НОВОСТИ

СТАТЬИ

АВТОРЫ

ЛЕКЦИИ

PRO SCIENCE

СКОЛКОВО

РЕГИОНЫ

Цена прямого контакта

Фото: atooms.com
Фото: atooms.com

Ранее мы обсуждали возможность повышения безопасности интернет-пользователей – как частных, так и корпоративных. Было бы интересно оценить, насколько утопичными являются в этом вопросе планы правительства, и не только нашего, поскольку инициативы в области защиты от сетевых атак есть и за рубежом. 

Чем занимается обычный пользователь или сотрудник компании? Посылает и принимает письма, ищет информацию, пользуется сервисами. При этом, отправляя документ по сети Интернет, общаясь в форумах, оплачивая счета через системы дистанционного банковского обслуживания и выполняя рекомендованные меры безопасности, мы, в общем-то, чувствуем себя в достаточной степени защищенными. Мы полагаемся на создателей приложений, с помощью которых общаемся посредством Интернета.

Но странное дело: заглянем в политику конфиденциальности, прочитать которую нам предлагается при первом заходе практически на любой ресурс. Парадоксально - никто нам не дает гарантии безопасной работы и не обещает компенсаций в случае утечки наших данных или атак на наши документы. С другой стороны, и никто из тех, кому мы закажем разработать, скажем, новый сайт или сервис, тоже не будет давать гарантий его неуязвимости – только предложит обговорить доработку кода в случае необходимости (за дополнительную плату, естественно).

Статистика знает все. Согласно отчету компании Cenzic, уязвимости присутствуют почти в 99% веб-приложений.

 

Приведенная в отчете статистика показывает, что, несмотря на небольшие колебания по классам уязвимостей, прогресса в области безопасности не предвидится – на рынке, за редчайшими исключениями, не наблюдается роста вложений компаний-разработчиков в безопасную разработку.

Но, быть может, все не так плохо и все найденные уязвимости быстро закрываются, а хакеры не успевают ими воспользоваться?

К сожалению, нет. По разным оценкам, среднее время жизни одной уязвимости нулевого дня составляет примерно 300-350 дней. А учитывая то, что пользователи массово используют пиратское ПО и/или не обновляют программы по «мировоззренческим» причинам (если я обновлюсь, то вдруг все рухнет?), то хакеры смело используют давно закрытые производителями уязвимости – до сих пор у них в работе «дыры» от 2006 года!

Но даже если пользователи обновляются, то в большинстве случаев они обновляют операционную систему. Кто регулярно обновляет все установленные на компьютере приложения или хотя бы Adobe Flash и Adobe Acrobat – излюбленные цели хакеров?

Результат предсказуем.

 

В среднем время жизни вредоносной программы на зараженной машине – 8 месяцев!

Получается, что, работая со своими данными, общаясь по Интернету, мы не имеем никакой гарантии того, что за нами уже не следят, причем достаточно давно.

Почему же возникают уязвимости? Отвечает веб-проект OWASP.

  1. Недостаточная проверка параметров в HTTP-запросах, параметров из внешних сайтов и приложений позволяет криминалу  использовать произвольные параметры и, как следствие, выполнять нужный программный код. 
  2. Слабая аутентификация и авторизация, ошибки шифрования – можно легко обойти систему идентификации пользователя.
  3. Уязвимости кода в приложениях с межсайтовыми запросами.
  4. Переполнение буфера позволяет получить более высокие права или выполнить нужный код.

Ну и, конечно, неправильная конфигурация сервера – не нужно оставлять его с настройками по умолчанию.

Вся информация доступна и должна быть известна всем, кто обеспечивает безопасность компаний – тем более что все компании пользуются системами дистанционного банковского обслуживания, у большинства есть веб-сервисы для клиентов или открыта почта для работы из дома. Но… Какой процент из используемых приложений прошел аудит качества кода? Какой процент компаний, использующих это ПО периодически проверяет его на новые уязвимости?

По закону все приложения, которые обрабатывают персональные данные, должны находиться под защитой средств, прошедших процедуру оценки соответствия определенным требованиям. Какое количество пользователей защищается приложениями, прошедшими проверку на соответствие заявленному функционалу?

И не нужно думать, что найти уязвимости сложно. По статистике Web Application Security Statistics Project более 7% всех проанализированных сайтов может быть скомпрометировано полностью автоматически – эти уязвимости могли быть найдены и жертвами атак. Также статистика говорит нам, что при детальной ручной и автоматизированной оценке вероятность обнаружения уязвимости высокой степени риска достигает 96,85%.

Что делать? Нужно понимать, что веб-приложения несут те же угрозы бизнесу, что и обычные, и также требуют защиты. Скажем, внедрившись в приложения, злоумышленник может перехватывать и формировать платежи (если это приложение связано с финансами), перехватывать пароли доступа, содержимое переписки, снимать содержание экрана и веб-приложений (Form grabber), получать удаленный доступ к вашему компьютеру – и, возможно, через него ко всей сети – и это далеко не все. Даже банальная подмена информации на каком-либо сайте или изменение его внешнего вида несет угрозу для компании.

Пренебрегая защитой, бизнес может внезапно оказаться без денег – более половины атак на системы дистанционного банковского обслуживания оказались успешны, а средняя сумма похищенного составила более 400 тысяч рублей. И не нужно думать, что вы заметите факт заражения. Современные вредоносные программы рассчитаны на максимально долгое пребывание в системе – и не должны конфликтовать с иным ПО. Вредоносные программы даже устанавливают свои обновления и удаляют иных троянцев – выполняют работу системного администратора. Компьютер должен работать хорошо, чтобы бухгалтер ничего не заподозрил. А само хищение проходит за 1-3 минуты.

Наиболее распространенными уязвимостями являются Cross-Site Scripting, Information Leakage, SQL Injection и Predictable Resource Location. Как правило, уязвимости типа Cross-Site Scripting и SQL Injection возникают по причине ошибок в разработке систем, в то время как Information Leakage и Predictable Resource Location зачастую связаны с недостаточно эффективным администрированием (например, разграничением доступа) в системах. Не нужно пренебрегать системами разграничения доступа – один антивирус сейчас не способен обеспечить систему информационной защиты – в нее обязательно должны входить иные продукты безопасности.

 

Сколько сайтов уязвимо?:

 

Как говорится, без комментариев.

Мы постоянно жалуемся на правительство, которое заставляет нас инвестировать в безопасность. Да, зачастую меры правительства излишне политизированы, неадекватны и так далее. Но может ли быть иначе в ситуации тотальной уязвимости сети Интернет и повседневно используемых приложений?

 

Обсудите в соцсетях

Система Orphus
Loading...

Главные новости

19.08 20:57 Экс-глава ЦРУ допустил судебное разбирательство с Трампом
19.08 20:31 Власти Афганистана объявили перемирие с талибами
19.08 20:03 Новый фильм со Спейси собрал в день премьеры 126 долларов
19.08 19:32 Продажи телефонов без доступа в интернет выросли впервые за годы
19.08 19:10 Суд арестовал главу ФОМС Дагестана
19.08 18:40 ФК «Локомотив» одержал первую победу в текущем чемпионате России
19.08 18:09 Иран обвинил США в подготовке нового госпереворота
19.08 17:42 Болтон назвал Россию в числе желающих вмешаться в выборы-2018 в США
19.08 17:18 Трамп сменил выбранную женой меблировку Белого дома
19.08 16:43 Удальцова госпитализировали из спецприемника
19.08 16:11 Модернизированный тяжелый вертолет Ми-26Т2В совершил первый полет
19.08 15:35 Песков опроверг решение Путина приехать на свадьбу Шредера
19.08 15:12 Рогозин велел содействовать следствию в деле «Энергии»
19.08 14:46 Сумма взысканий по кредитам в России превысила 2 трлн рублей
19.08 14:12 КНДР согласилась принять экспертов ИКАО
19.08 13:40 Замглавы РКК «Энергия» обвинили в мошенничестве
19.08 13:20 СМИ показали тостующего Путина на австрийской свадьбе
19.08 12:58 Матвиенко констатировала провал «либерального проекта» миропорядка
19.08 12:32 «Роскосмос» рассказал о взяточниках в РКК «Энергия»
19.08 12:11 Иран придумал способ завлечь иностранных туристов
19.08 11:40 Кадыров призвал не героизировать убийцу Буданова
19.08 11:14 Российский ритейл пообещал рост цен на еду вдвое быстрее инфляции
19.08 10:53 Жительница Твери стала «Миссис Россия 2018»
19.08 10:31 Внешний долг России сократился до шестилетнего минимума
19.08 10:11 У Александра Овечкина родился сын
19.08 09:53 Российские дипломаты обвинили США в пытках Бутиной
19.08 09:32 Путин не примет участие в обсуждении идеи Белоусова о сверхдоходах
19.08 09:14 Путин и Меркель провели трехчасовые переговоры
18.08 21:13 Главный евроскептик Британии возвращается в политику ради Brexit
18.08 20:43 Рухнувший мост в Генуе решили восстановить
18.08 19:55 Путин и Меркель начали переговоры в резиденции под Берлином
18.08 19:01 Марию Бутину неожиданно перевели в другую тюрьму
18.08 18:12 Украина заблокировала российский танкер на три года
18.08 17:24 Летевшего в Ставрополь на чужом месте пассажира забрали в полицию
18.08 17:10 Сын экс-депутата Шингаркина и его подруга найдены мертвыми
18.08 16:52 Эдуарда Успенского похоронили на Троекуровском кладбище
18.08 16:05 Президент Utair предупредил об убытке по итогам года
18.08 15:32 Путин приехал на свадьбу главы МИД Австрии
18.08 14:17 Лукашенко сменил «верхушку» правительства и министров
18.08 13:53 Главу ФОМС Дагестана задержали за мошенничество на 210 млн рублей
18.08 12:52 Экс-генсек ООН Кофи Аннан умер в возрасте 80 лет
18.08 12:15 Украинская чиновница призвала отключить в стране горячую воду
18.08 11:28 ЦБ РФ рассказал об атаках хакеров на банки во время ЧМ-2018
18.08 10:44 Мадуро в 60 раз повысил МРОТ в Венесуэле
18.08 10:09 Fitch отметило стойкость экономики РФ перед санкциями США
18.08 09:54 Число жертв обрушения моста в Генуе достигло 41 человека
18.08 09:27 Reuters узнал о попытке США прослушивать Facebook Messenger
17.08 20:52 РФС потребовал у УЕФА расследовать нападение болельщиков ПАОК на журналистов
17.08 20:20 Меркель приготовилась к непростым переговорам с Путиным
17.08 19:50 Лукашенко пообещал не «вешать и терзать» чиновников
Apple Bitcoin Boeing Facebook Google iPhone IT NATO PRO SCIENCE видео ProScience Театр Pussy Riot Telegram Twitter Абхазия аварии на железной дороге авиакатастрофа Австралия Австрия автопром администрация президента Азербайджан акции протеста Александр Лукашенко Александр Турчинов Алексей Кудрин Алексей Навальный Алексей Улюкаев алкоголь амнистия Анатолий Сердюков Ангела Меркель Антимайдан Антон Силуанов Аргентина Аркадий Дворкович Арктика Армения армия Арсений Яценюк археология астрономия атомная энергия аукционы Афганистан Аэрофлот баллистические ракеты банковский сектор банкротство Барак Обама Басманный суд Башар Асад Башкирия беженцы Белоруссия Белый дом Бельгия беспилотник беспорядки биатлон бизнес биология бокс болельщики «болотное дело» большой теннис Борис Немцов борьба с курением Бразилия Валентина Матвиенко вандализм Ватикан ВВП Великая Отечественная война Великобритания Венесуэла Верховная Рада Верховный суд взрыв взятка видеозаписи публичных лекций «Полит.ру» визовый режим Виктор Янукович вирусы Виталий Мутко «ВКонтакте» ВКС Владивосток Владимир Жириновский Владимир Маркин Владимир Мединский Владимир Путин ВМФ Внуково военная авиация Волгоград ВТБ Вторая мировая война вузы ВЦИОМ выборы выборы губернаторов выборы мэра Москвы Вячеслав Володин гаджеты газовая промышленность «Газпром» генетика Генпрокуратура Германия ГИБДД ГЛОНАСС Голливуд гомосексуализм госбюджет Госдеп Госдума госзакупки госизмена гражданская авиация Греция Гринпис Грузия гуманитарная помощь Дагестан Дальний Восток декларации чиновников деньги День Победы дети Дмитрий Медведев Дмитрий Песков Дмитрий Рогозин доллар Домодедово Дональд Трамп Донецк допинг дороги России драка ДТП Евгения Васильева евро Евровидение Еврокомиссия Евромайдан Евросоюз Египет ЕГЭ «Единая Россия» Екатеринбург ЕСПЧ естественные и точные науки ЖКХ журналисты Забайкальский край закон об «иностранных агентах» законотворчество здравоохранение в России землетрясение «Зенит» Израиль импорт инвестиции Ингушетия Индия Индонезия инновации Интервью ученых интернет инфляция ипотека Ирак Ирак после войны Иран Иркутская область искусство ислам «Исламское государство» Испания история История человечества Италия Йемен Казань Казахстан казнь Калининград Камчатка Канада Каталония Кемерово Киев Ким Чен Ын кино Киргизия Китай климат Земли КНДР Книга. Знание Компьютеры, программное обеспечение Конституционный суд Конституция кораблекрушение коррупция Космодром Байконур космодром Восточный космос КПРФ кража Краснодарский край Красноярский край кредиты Кремль крушение вертолета Крым Ксения Собчак Куба культура Латвия ЛГБТ ЛДПР Левада-Центр легкая атлетика Ленинградская область лесные пожары Ливия лингвистика Литва литература Лондон Луганск Малайзия Мария Захарова МВД МВФ медиа медицина междисциплинарные исследования Мексика Мемория метро мигранты МИД России Минздрав Минкомсвязи Минкульт Минобороны Минобрнауки Минпромторг Минсельхоз Минтранспорта Минтруд Минфин Минэкономразвития Минэнерго Минюст «Мистраль» Михаил Прохоров Михаил Саакашвили Михаил Ходорковский МКС мобильные приложения МОК Молдавия монархия Мосгорсуд Москва Московская область мошенничество музыка Мурманская область МЧС наводнение Надежда Савченко налоги нанотехнологии наркотики НАСА наука «Нафтогаз Украины» недвижимость некоммерческие организации некролог нефть Нигерия Нидерланды Нобелевская премия Новосибирск Новые технологии, инновации Новый год Норвегия Нью-Йорк «Оборонсервис» образование обрушение ОБСЕ общественный транспорт общество ограбление Одесса Олимпийские игры Ольга Голодец ООН ОПЕК оппозиция опросы оружие отставки-назначения офшор Павел Дуров Пакистан палеонтология Палестинская автономия Папа Римский Париж ПДД педофилия пенсионная реформа Пентагон Первый канал Петр Порошенко пищевая промышленность погранвойска пожар полиция Польша похищение Почта России права человека правительство Право правозащитное движение православие «Правый сектор» преступления полицейских преступность Приморский край Продовольствие происшествия публичные лекции Рамзан Кадыров РАН Революция в Киргизии Реджеп Эрдоган рейтинги реклама религия Республика Карелия РЖД ритейл Росавиация Роскомнадзор Роскосмос «Роснефть» Роспотребнадзор Россельхознадзор Российская академия наук Россия Росстат Ростов-на-Дону Ростовская область РПЦ рубль русские националисты РФС Санкт-Петербург санкции Саудовская Аравия Сахалин Сбербанк Свердловская область связь связь и телекоммуникации Севастополь сельское хозяйство сепаратизм Сербия Сергей Лавров Сергей Нарышкин Сергей Полонский Сергей Собянин Сергей Шойгу Сирия Сколково Славянск Следственный комитет следствие смартфоны СМИ Совбез ООН Совет по правам человека Совет Федерации сотовая связь социальные сети социология Сочи Сочи 2014 «Спартак» спецслужбы «Справедливая Россия» спутники СССР Ставропольский край стихийные бедствия Стихотворения на случай страхование стрельба строительство суды суицид Счетная палата США Таджикистан Таиланд тарифы Татарстан театр телевидение телефонный терроризм теракт терроризм технологии Трансаэро транспорт туризм Турция тюрьмы и колонии убийство уголовный кодекс УЕФА Узбекистан Украина фармакология ФАС ФБР Федеральная миграционная служба физика Филиппины Финляндия ФИФА фондовая биржа фоторепортаж Франсуа Олланд Франция ФСБ ФСИН ФСКН футбол Хабаровский край хакеры Харьков Хиллари Клинтон химическое оружие химия хоккей хулиганство цензура Центробанк ЦИК ЦРУ ЦСКА Челябинская область Чехия Чечня ЧМ-2018 Швейцария Швеция школа шоу-бизнес шпионаж Эбола эволюция Эдвард Сноуден экология экономика экономический кризис экстремизм Эстония этология Южная Корея ЮКОС Юлия Тимошенко «Яблоко» ядерное оружие Якутия Яндекс Япония

Редакция

Электронная почта: politru.edit1@gmail.com
Адрес: 129090, г. Москва, Проспект Мира, дом 19, стр.1, пом.1, ком.5
Телефон: +7 495 980 1894.
Яндекс.Метрика
Свидетельство о регистрации средства массовой информации
Эл. № 77-8425 от 1 декабря 2003г. Выдано министерством
Российской Федерации по делам печати, телерадиовещания и
средств массовой информации. Выходит с 21 февраля 1998 года.
При любом использовании материалов веб-сайта ссылка на Полит.ру обязательна.
При перепечатке в Интернете обязательна гиперссылка polit.ru.
Все права защищены и охраняются законом.
© Полит.ру, 1998–2014.