Полiт.ua Государственная сеть Государственные люди Войти
27 июля 2016, среда, 08:44
Facebook Twitter LiveJournal VK.com RSS

НОВОСТИ

СТАТЬИ

АВТОРЫ

ЛЕКЦИИ

PRO SCIENCE

ТЕАТР

РЕГИОНЫ

Цена прямого контакта

Фото: atooms.com
Фото: atooms.com

Ранее мы обсуждали возможность повышения безопасности интернет-пользователей – как частных, так и корпоративных. Было бы интересно оценить, насколько утопичными являются в этом вопросе планы правительства, и не только нашего, поскольку инициативы в области защиты от сетевых атак есть и за рубежом. 

Чем занимается обычный пользователь или сотрудник компании? Посылает и принимает письма, ищет информацию, пользуется сервисами. При этом, отправляя документ по сети Интернет, общаясь в форумах, оплачивая счета через системы дистанционного банковского обслуживания и выполняя рекомендованные меры безопасности, мы, в общем-то, чувствуем себя в достаточной степени защищенными. Мы полагаемся на создателей приложений, с помощью которых общаемся посредством Интернета.

Но странное дело: заглянем в политику конфиденциальности, прочитать которую нам предлагается при первом заходе практически на любой ресурс. Парадоксально - никто нам не дает гарантии безопасной работы и не обещает компенсаций в случае утечки наших данных или атак на наши документы. С другой стороны, и никто из тех, кому мы закажем разработать, скажем, новый сайт или сервис, тоже не будет давать гарантий его неуязвимости – только предложит обговорить доработку кода в случае необходимости (за дополнительную плату, естественно).

Статистика знает все. Согласно отчету компании Cenzic, уязвимости присутствуют почти в 99% веб-приложений.

 

Приведенная в отчете статистика показывает, что, несмотря на небольшие колебания по классам уязвимостей, прогресса в области безопасности не предвидится – на рынке, за редчайшими исключениями, не наблюдается роста вложений компаний-разработчиков в безопасную разработку.

Но, быть может, все не так плохо и все найденные уязвимости быстро закрываются, а хакеры не успевают ими воспользоваться?

К сожалению, нет. По разным оценкам, среднее время жизни одной уязвимости нулевого дня составляет примерно 300-350 дней. А учитывая то, что пользователи массово используют пиратское ПО и/или не обновляют программы по «мировоззренческим» причинам (если я обновлюсь, то вдруг все рухнет?), то хакеры смело используют давно закрытые производителями уязвимости – до сих пор у них в работе «дыры» от 2006 года!

Но даже если пользователи обновляются, то в большинстве случаев они обновляют операционную систему. Кто регулярно обновляет все установленные на компьютере приложения или хотя бы Adobe Flash и Adobe Acrobat – излюбленные цели хакеров?

Результат предсказуем.

 

В среднем время жизни вредоносной программы на зараженной машине – 8 месяцев!

Получается, что, работая со своими данными, общаясь по Интернету, мы не имеем никакой гарантии того, что за нами уже не следят, причем достаточно давно.

Почему же возникают уязвимости? Отвечает веб-проект OWASP.

  1. Недостаточная проверка параметров в HTTP-запросах, параметров из внешних сайтов и приложений позволяет криминалу  использовать произвольные параметры и, как следствие, выполнять нужный программный код. 
  2. Слабая аутентификация и авторизация, ошибки шифрования – можно легко обойти систему идентификации пользователя.
  3. Уязвимости кода в приложениях с межсайтовыми запросами.
  4. Переполнение буфера позволяет получить более высокие права или выполнить нужный код.

Ну и, конечно, неправильная конфигурация сервера – не нужно оставлять его с настройками по умолчанию.

Вся информация доступна и должна быть известна всем, кто обеспечивает безопасность компаний – тем более что все компании пользуются системами дистанционного банковского обслуживания, у большинства есть веб-сервисы для клиентов или открыта почта для работы из дома. Но… Какой процент из используемых приложений прошел аудит качества кода? Какой процент компаний, использующих это ПО периодически проверяет его на новые уязвимости?

По закону все приложения, которые обрабатывают персональные данные, должны находиться под защитой средств, прошедших процедуру оценки соответствия определенным требованиям. Какое количество пользователей защищается приложениями, прошедшими проверку на соответствие заявленному функционалу?

И не нужно думать, что найти уязвимости сложно. По статистике Web Application Security Statistics Project более 7% всех проанализированных сайтов может быть скомпрометировано полностью автоматически – эти уязвимости могли быть найдены и жертвами атак. Также статистика говорит нам, что при детальной ручной и автоматизированной оценке вероятность обнаружения уязвимости высокой степени риска достигает 96,85%.

Что делать? Нужно понимать, что веб-приложения несут те же угрозы бизнесу, что и обычные, и также требуют защиты. Скажем, внедрившись в приложения, злоумышленник может перехватывать и формировать платежи (если это приложение связано с финансами), перехватывать пароли доступа, содержимое переписки, снимать содержание экрана и веб-приложений (Form grabber), получать удаленный доступ к вашему компьютеру – и, возможно, через него ко всей сети – и это далеко не все. Даже банальная подмена информации на каком-либо сайте или изменение его внешнего вида несет угрозу для компании.

Пренебрегая защитой, бизнес может внезапно оказаться без денег – более половины атак на системы дистанционного банковского обслуживания оказались успешны, а средняя сумма похищенного составила более 400 тысяч рублей. И не нужно думать, что вы заметите факт заражения. Современные вредоносные программы рассчитаны на максимально долгое пребывание в системе – и не должны конфликтовать с иным ПО. Вредоносные программы даже устанавливают свои обновления и удаляют иных троянцев – выполняют работу системного администратора. Компьютер должен работать хорошо, чтобы бухгалтер ничего не заподозрил. А само хищение проходит за 1-3 минуты.

Наиболее распространенными уязвимостями являются Cross-Site Scripting, Information Leakage, SQL Injection и Predictable Resource Location. Как правило, уязвимости типа Cross-Site Scripting и SQL Injection возникают по причине ошибок в разработке систем, в то время как Information Leakage и Predictable Resource Location зачастую связаны с недостаточно эффективным администрированием (например, разграничением доступа) в системах. Не нужно пренебрегать системами разграничения доступа – один антивирус сейчас не способен обеспечить систему информационной защиты – в нее обязательно должны входить иные продукты безопасности.

 

Сколько сайтов уязвимо?:

 

Как говорится, без комментариев.

Мы постоянно жалуемся на правительство, которое заставляет нас инвестировать в безопасность. Да, зачастую меры правительства излишне политизированы, неадекватны и так далее. Но может ли быть иначе в ситуации тотальной уязвимости сети Интернет и повседневно используемых приложений?

 

Обсудите в соцсетях

Система Orphus

Главные новости

26.07 21:03 «Единая Россия» пообещала начать мониторинг роста тарифов ЖКХ
26.07 20:56 СМИ сообщили об изъятии у главы ФТС денег и ценностей
26.07 20:49 Роскомнадзор подтвердил штрафы школам за «глушилки» на ЕГЭ
26.07 20:37 Глава ФТС объяснил происхождение найденных у него миллионов
26.07 20:34 В крупных городах России прошли митинги против пакета Яровой
26.07 20:18 Премьер Абхазии написал заявление об отставке
26.07 20:14 В Турции объяснили ликвидацию Су-24 летным регламентом
26.07 19:59 Медведев поручил создать единую базу с данными всех россиян
26.07 19:38 Атаковавшие церковь во Франции исламисты сняли убийство священника на видео
26.07 19:30 ФСБ утвердила порядок сбора ключей шифрования по закону Яровой
26.07 19:25 Неизвестный устроил стрельбу в торговом центре в Швеции
26.07 19:12 На Украине объявили награду за помощь в поимке убийц Шеремета
26.07 19:07 Посол США на Украине рассказал об уничтожении энергетического оружия Москвы
26.07 18:56 СМИ сообщили об обнаружении 58 млн рублей при обыске в доме главы ФТС
26.07 18:46 Прокуратура запросила у «Эха Москвы» расшифровки передач с Радзиховским и Шендеровичем
26.07 18:40 В Азербайджане опровергли сообщения о жертвах взрыва на заводе
26.07 18:33 Экспертиза «Полит.ру»: Ученые не поддержат идею передать полномочия ФАНО Президиуму РАН
26.07 18:23 Пострадавший при стрельбе в Берлине врач скончался
26.07 18:21 СКР завершил расследование дела «гонщиков» на Gelandewagen
26.07 17:55 В РПЦ начали разработку православного мессенджера
26.07 17:45 Роскомнадзор заблокировал сайты с советами по уходу от налогов
26.07 17:35 ФТС отказалась комментировать сообщения об отставке Бельянинова
26.07 17:21 Адвокат обвиняемого в убийстве Немцова рассказал про алиби клиента
26.07 17:15 Активисты собрались установить в Сургуте бюст Сталина
26.07 16:57 От Олимпиады отстранены два российских пятиборца
26.07 16:53 СМИ сообщили о грядущем увольнении главы ФТС
26.07 16:42 В Следственном комитете подтвердили обыски у руководства ФТС
26.07 16:34 Боец «Азова» получил шесть лет за подготовку теракта в Крыму
26.07 16:32 Экспертиза «Полит.ру»: В РФ следует ввести минимальную цену и на «тихие вина»
26.07 16:10 «Антимайдан» вновь попросил Минюст признать «Левада-центр» «иностранным агентом»
26.07 15:55 «Исламское государство» взяло на себя oтветственность за нападение на церковь во Франции
26.07 15:41 Учёные полностью воссоздали процесс созревания яйцеклеток в пробирке
26.07 15:35 Нацгвардия Украины заблокировала участников крестного хода на Киев
26.07 15:33 СМИ сообщили о погибших при взрыве на военном заводе в Азербайджане
26.07 15:31 Путин запланировал встречу с российскими олимпийцами
26.07 15:13 Олланд заявил о связи напавших на церковь с ИГ
26.07 14:55 Фигурантам дела об убийстве Немцова продлили арест
26.07 14:49 В университетской клинике в Берлине произошла стрельба
26.07 14:40 Глава ОКР призвал не верить выдумкам о сокращении сборной РФ до 40 человек
26.07 14:31 СМИ сообщили о второй жертве захвата заложников в церкви во Франции
26.07 14:18 Ширшина возглавила список «Яблока» на выборах в горсовет Петрозаводска
26.07 14:10 Медведев поручил смягчить миграционное законодательство
26.07 14:07 В IAAF пообещали ответить на письмо Мутко
26.07 14:06 Организаторы перенесли митинг против пакета Яровой в Москве
26.07 13:55 Пятерых российских гребцов отстранили от Олимпиады в Рио
26.07 13:39 Власти США одобрили освобождение из Гуантанамо последнего россиянина
26.07 13:25 Эксперт Алексей Портанский: Альтернатива программе ЦСР не изменит делового климата в стране
26.07 13:14 В Кремле назвали безумием советы Польше на случай захвата Россией
26.07 13:02 Песков назвал обвинения в адрес Москвы традиционной забавой США
26.07 13:01 Экспертиза «Полит.ру»: Минимальная цена на шампанское защищает потребителей и производителей
Apple Boeing Facebook Google NATO PRO SCIENCE видео ProScience Театр Pussy Riot Twitter аварии на железной дороге авиакатастрофа Австралия Австрия автопром Азербайджан акции протеста Александр Лукашенко Алексей Кудрин Алексей Навальный Алексей Улюкаев алкоголь амнистия Анатолий Сердюков Ангела Меркель Антимайдан Армения армия Арсений Яценюк археология астрономия атомная энергия Афганистан Аэрофлот баллистические ракеты банковский сектор банкротство Барак Обама Башар Асад Башкирия беженцы Белоруссия Бельгия беспорядки бизнес биология ближневосточный конфликт бокс болельщики «болотное дело» большой теннис Борис Немцов Бразилия Великая Отечественная война Великобритания Венесуэла Верховная Рада Верховный суд взрыв взятка видеозаписи публичных лекций «Полит.ру» видео «Полит.ру» визовый режим Виктор Янукович вирусы Виталий Мутко «ВКонтакте» ВКС Владивосток Владимир Жириновский Владимир Путин ВМФ военная авиация Волгоград Вторая мировая война вузы выборы выборы губернаторов выборы мэра Москвы газовая промышленность «Газпром» генетика Генпрокуратура Германия ГИБДД Голливуд гомосексуализм госбюджет Госдеп Госдума гражданская авиация Греция Гринпис Грузия гуманитарная помощь гуманитарные и социальные науки Дагестан Дальний Восток деньги День Победы дети Дмитрий Медведев Дмитрий Песков Дмитрий Рогозин доллар Домодедово Донецк допинг дороги России драка ДТП Евгения Васильева евро Еврокомиссия Евромайдан Евросоюз Египет ЕГЭ «Единая Россия» Екатеринбург естественные и точные науки ЖКХ журналисты закон об «иностранных агентах» законотворчество здравоохранение в России землетрясение «Зенит» Израиль Индия Индонезия инновации Интервью ученых интернет инфляция Ирак Ирак после войны Иран Иркутская область ислам «Исламское государство» Испания история История человечества Италия Йемен Казань Казахстан казнь Камчатка Канада Киев кино Китай Климат Земли, атмосферные явления КНДР Книга. Знание Компьютеры, программное обеспечение кораблекрушение коррупция космодром Восточный космос КПРФ кража Краснодарский край Красноярский край кредиты Кремль крушение вертолета Крым крымский кризис Куба культура Латвия ЛГБТ ЛДПР легкая атлетика лесные пожары Ливия Литва литература Лондон Луганск Малайзия МВД МВФ медиа медицина междисциплинарные исследования Мексика Мемория метро мигранты МИД России Минздрав Минкомсвязи Минкульт Минобороны Минобрнауки Минтруд Минфин Минэкономразвития Минюст мировой экономический кризис «Мистраль» Михаил Саакашвили Михаил Ходорковский МКС Молдавия Мосгорсуд Москва Московская область мошенничество музыка МЧС наводнение Надежда Савченко налоги нанотехнологии наркотики НАСА наука Наука в современной России «Нафтогаз Украины» некоммерческие организации некролог Нерусский бунт нефть Нигерия Нидерланды Нобелевская премия Новосибирск Новые технологии, инновации Нью-Йорк «Оборонсервис» образование ОБСЕ общественный транспорт общество ограбление Одесса Олимпийские игры ООН оппозиция опросы оружие отставки-назначения Пакистан Палестинская автономия Париж пенсионная реформа Пентагон Петр Порошенко погранвойска пожар полиция Польша похищение правительство Право правозащитное движение «Правый сектор» преступления полицейских преступность Приморский край происшествия публичные лекции Рамзан Кадыров РАН Революция в Киргизии Реджеп Эрдоган рейтинги религия Реформа армии РЖД ритейл Роскомнадзор Роскосмос Роспотребнадзор Россельхознадзор Российская академия наук Россия Ростов-на-Дону Ростовская область РПЦ рубль русские националисты РФС Санкт-Петербург санкции Саудовская Аравия Сахалин Сбербанк Свердловская область связь связь и телекоммуникации Севастополь сельское хозяйство сепаратизм Сербия Сергей Лавров Сергей Собянин Сергей Шойгу Сирия Сколково Славянск Следственный комитет следствие Совбез ООН Совет Федерации сотовая связь социальные сети социология Социология в России Сочи Сочи 2014 «Спартак» «Справедливая Россия» спутники СССР Ставропольский край стихийные бедствия Стихотворения на случай стрельба строительство суды суицид США Таджикистан Таиланд Татарстан театр телевидение теракт терроризм технологии транспорт туризм Турция тюрьмы и колонии убийство УЕФА Украина ФАС Федеральная миграционная служба физика Финляндия ФИФА фондовая биржа Фоторепортаж Франсуа Олланд Франция ФСБ ФСИН ФСКН футбол Хабаровский край хакеры Харьков химическое оружие хоккей хулиганство Центробанк ЦИК Цикл бесед "Взрослые люди" ЦСКА Челябинская область Чечня ЧМ-2018 шахты Швейцария Швеция школа шпионаж Эбола Эдвард Сноуден экология экономика экономический кризис экстремизм Эстония Южная Корея ЮКОС Юлия Тимошенко ядерное оружие Япония

Редакция

Электронная почта: politru.edit1@gmail.com
Адрес: 129343, Москва, проезд Серебрякова, д.2, корп.1, 9 этаж.
Телефоны: +7 495 980 1893, +7 495 980 1894.
Стоимость услуг Полит.ру
Свидетельство о регистрации средства массовой информации
Эл. № 77-8425 от 1 декабря 2003г. Выдано министерством
Российской Федерации по делам печати, телерадиовещания и
средств массовой информации. Выходит с 21 февраля 1998 года.
При любом использовании материалов веб-сайта ссылка на Полит.ру обязательна.
При перепечатке в Интернете обязательна гиперссылка polit.ru.
Все права защищены и охраняются законом.
© Полит.ру, 1998–2014.