кому нужна безопасность?
Как все изменилось за последние несколько лет. В специализированных изданиях чуть ли не ежедневно рапортуют о повышении внимания к вопросам информационной безопасности. Различные аналитические агентства констатируют рост рынка средств защиты и прогнозируют дальнейшее увеличение инвестиций в этой отрасли. Проводятся семинары, круглые столы, выставки, на которых серьезно обсуждаются проблемы обеспечения безопасности государственных информационных ресурсов и корпоративных сетей. Воодушевленные этими новостями, авторы решили проверить, насколько серьезно относятся к безопасности собственных ресурсов различные компании.
В ходе исследования было решено бегло оценить защищенность ряда сайтов, владельцы которых имеют прямое отношение к компьютерной безопасности, и в случае обнаружения уязвимостей – связаться с хозяевами. В качестве цели веб-сайты были выбраны как показательные ресурс, по которому многие судят о состоянии дел в компании в целом. Кроме того, содержимое веб-сервера – общедоступная информация, и для поиска уязвимостей не требуется нарушать какие-либо законы.
методика исследования
Специального отбора целей не проводилось. Авторы использовали те серверы, на которые их «заносило» в ходе повседневной деятельности. Для каждого сервера проводилось беглый поиск наиболее распространенных уязвимостей веб-приложений, таких как Cross-Site Scripting, SQL Injection, file- inclusion и подобных. Уязвимости операционной системы и программного обеспечения самого веб-сервера не анализировались. Если уязвимость обнаруживалась в первом приближении, авторы не предпринимали дополнительных действий по уточнению критичности проблемы, но связывались с владельцами системы.
В качестве средства связи использовалась электронная почта. Письмо отправлялось на адреса, указанные в разделе контактов сайта, а так же на адреса, рекомендованные в политике разглашения уязвимостей RFPolicy (сайттакие как secure@example.com, security@example.com, administrator@example.com, admin@example.com.
Письмо отправлялось от основных электронных адресов авторов, чтобы снизить вероятность фильтрации спам-фильтрами. В случае если ответ не поступал в течение недели, письмо посылалось повторно. Как скидка на русскую безалаберность.
шаблон письма
ВНИМАНИЕ! Если вы не являетесь лицом, отвечающим за информационную безопасность сервера www.example.com, перешлите это сообщение компетентному специалисту!
Здравствуйте, на сервере www.example.com присутствуют уязвимости, использование которых может привести к его компрометации (дефейсу) или краже идентификационных данных пользователей.
Примеры уязвимостей:
<описание обнаруженных уязвимостей>
Рекомендуется устранить данные уязвимости.
Дополнительные уязвимости могут быть обнаружены с помощью бесплатного сканирования:сайт
Информация предоставлена согласно политике RFPolicy
сайт
Давайте рассмотрим обнаруженные уязвимости и реакцию на них владельцев ресурсов. Но прежде чем перейти к этому разделу...
отказ от обязательств
Данная информация предоставляется на условиях "КАК ЕСТЬ", без предоставления каких-либо гарантий и прав. Используя данную информацию, вы соглашаетесь с тем, что авторы не несут ответственности за использование вами данной информации, и вы принимаете на себя весь риск, связанный с использованием данной информации. Авторы не несут ответственности за использование данной информации третьими лицами.
результаты
www.infoforum.ru
Портал представляет собой электронную версию журнала «Бизнес + Безопасность».
Уязвимости: множественные SQL Injections, использование которых может привести к получению полного контроля над операционной системой. Множественные уязвимости Cross-Site Scripting.
Степень риска: высокая.
Первый контакт: 14.06.2005.
Реакция владельцев ресурса: ответов по электронной почте не поступало.
www.mts.ru
Портал является официальным Internet-представительством компании «Мобильные Телесистемы».
Уязвимости: множественные reflected Cross-Site Scripting в сервере службы ИССА, использование которых может привести к краже идентификационных данных и получении доступа к настройкам телефонов других пользователей.
Степень риска: низкая.
Первый контакт: 30.06.2005.
Реакция владельцев ресурса: ответов по электронной почте не поступало.
www.OXPAHA.ru
Онлайн издание о безопасности (не только компьютерной). Содержит функции Internet-магазина, неработающего на момент проведения исследования. Уязвимости: множественные SQL Injection, позволяющие получать доступ к персональным данным других пользователей и содержимому баз данных сервера.
Степень риска: средняя.
Первый контакт: 30.06.2005.
Реакция владельцев ресурса: ответов по электронной почте не поступало.
www.minsvyaz.ru
Официальный портал Министерства информационных технологий и связи Российской Федерации.
Уязвимости: выполнение произвольного кода php через функцию сохранения документов.
Степень риска: высокая.
Первый контакт: 01.07.2005.
Реакция владельцев ресурса: ответов по электронной почте не поступало.
www.internetsecurity.ru
Сайт компании НПП «ИнтернетБезопасность».
Цитата с сайта: «Наше предприятие организовано в начале 2004 года группой опытных специалистов в области компьютерных сетей и информационных технологий.»
Уязвимости: множественные SQL Injection, позволяющие получать доступ к содержимому баз данных сервера.
Степень риска: средняя.
Первый контакт: 05.07.2005. Несмотря на громкое название, контактных адресов электронной почты обнаружено не было. Отчет был послан через веб- форму.
Реакция владельцев ресурса: ответов по электронной почте не поступало.
www.sec.ru
Интернет портал по безопасности.
Уязвимости: множественные reflected и stored Cross-Site Scripting.
Степень риска: средняя.
Первый контакт: 05.07.2005.
Реакция владельцев ресурса: ответов по электронной почте не поступало.
www.globaltrus.ru
Сайт ООО «GlobalTrust Solutions». Цитата с сайта: «Основная цель деятельности Компании – оказание профессиональных консалтинговых услуг и услуг системной интеграции в сфере информационной безопасности».
Уязвимости: хранение имени пользователя и пароля в cookie в открытом виде, множественные stored Cross-Site Scripting в форуме.
Степень риска: средняя.
Первый контакт: 08.07.2005.
Реакция владельцев ресурса: ответов по электронной почте не поступало.
www.viruslist.com
Информационно-аналитический портал компании «Лаборатория Касперского».
Уязвимости: множественные уязвимости типа reflected Cross-Site Scripting, использование которых может привести к краже идентификационных данных пользователей.
Степень риска: низкая.
Первый контакт: 25.07.2005.
Реакция владельцев ресурса: ответов по электронной почте не поступало.
С владельцами некоторых сайтов удалось связаться, используя личные контакты. В результате часть уязвимостей была устранена, а некоторые из владельцев попросили соблюдать конфиденциальность, и, соответственно, их сайты не были включены в этот обзор.
Интересно, что в ряде случаев письмо было получено и прочитано администратором сайта, и он даже переслал его программистам для устранения уязвимостей. Но сообщить об этом факте отправителям сообщения «о каких-то скриптингах и инжекшенах» ни один из администраторов не удосужился.
как там, за морем?
Чтобы определить, является ли такое отношение особенностью национального менталитета, поиск уязвимостей был предпринят и на сайтах зарубежных компаний, имеющих отношение к безопасности. Как и ожидалось, на заокеанских серверах было обнаружено гораздо меньше уязвимостей и для их обнаружения пришлось довольно серьезно попотеть. Кроме того, реакция зарубежных коллег отличалась коренным образом.
Специалисты компаний Application Security и Foundstone связались с авторами в тот же бизнес-день. Первые сообщили об устранении обнаруженной уязвимости, вторые попросили предоставить дополнительную информацию об обнаруженной проблеме.
Служба security@microsoft.com отреагировала через несколько часов после отправки начального рапорта. На протяжении всего процесса исправления уязвимостей (который занял около недели) компания предоставляла детальные отчеты о ходе продвижения работ.
Единственным исключением были администраторы сайта www.blackwaterusa.com. Они никак не отреагировали на первое сообщение об обнаруженных уязвимостях. Видимо военщина, пускай и не государственная, накладывает свой отпечаток и в США. Реакция последовала только на «контрольную» рассылку по всем адресам в разделе «контакты».
На сообщение отреагировал HR-департамент (видимо действительно, трудно у них с кадрами) и переслал сообщение отделу IT. Забавно было наблюдать за внутренней перепиской (естественно, не удаленной из сообщения, отправленного авторам) отображающей иерархию внутренней бюрократии компании. Порадовала и настороженная реакция специалистов IT-департамента, в которой так и читалось: «а чего эти русские хакеры потребуют взамен?». Очень неприятно удивили хозяева сайта www.isc2.org. Господа, гордо носящие звание CISSP, этот «золотой стандарт» серди сертификаций для профессионалов высшего уровня в области информационной безопасности, видимо считают, что для защиты их сайта достаточно настроить SSL, и тогда различные SQL Injection и Cross-Site Scripting им не грозят. Наверное, вопросы об этих уязвимостях еще не включили в сертификационный экзамен и braindumps, соответственно, к безопасности они не имеют никакого отношения. Реакции на сообщение, отправленное 6 августа 2005 года, не поступало.
резюме
Выводы... Выводы делайте сами.
Собственно говоря, в уровне защищенности большинства веб-приложений, составляющих Ru-Net, авторы не сомневались. Основная цель исследования - попытка определить оценить уровень заинтересованности хозяев ресурсов в повышении защищенности этих ресурсов - дала нулевой результат. То есть исследование, по мнению авторов, удалось, а вот заинтересованность... Заинтересованность стремится к нулю.
З.Ы.: Пару лет назад в ходе анализа защищенности веб-приложения один из авторов оценил высказывание «менеджера по безопасности продукта» компании, разработавшей «движок». Высказывание касается уязвимостей типа Cross-Site Scripting, которыми сайт прямо-таки кишел, и, видимо, может использоваться как показатель осведомленности типичного «безопасного менеджера» в области знаний об уязвимостях веб-приложений и на сегодняшний день.
«Значение подставленного URL выводится, а не исполняется. Данные можно посмотреть только из своих кук. Чтобы получить доступ к cookies, нужно получить физический доступ к машине. Уязвимости, связанные с необходимостью физического доступа – это почти так же «опасно», как автоматчики в масках, дознающие физически пароль».
offtopic & Hash
В ходе исследования было решено бегло оценить защищенность ряда сайтов, владельцы которых имеют прямое отношение к компьютерной безопасности, и в случае обнаружения уязвимостей – связаться с хозяевами. В качестве цели веб-сайты были выбраны как показательные ресурс, по которому многие судят о состоянии дел в компании в целом. Кроме того, содержимое веб-сервера – общедоступная информация, и для поиска уязвимостей не требуется нарушать какие-либо законы.
методика исследования
Специального отбора целей не проводилось. Авторы использовали те серверы, на которые их «заносило» в ходе повседневной деятельности. Для каждого сервера проводилось беглый поиск наиболее распространенных уязвимостей веб-приложений, таких как Cross-Site Scripting, SQL Injection, file- inclusion и подобных. Уязвимости операционной системы и программного обеспечения самого веб-сервера не анализировались. Если уязвимость обнаруживалась в первом приближении, авторы не предпринимали дополнительных действий по уточнению критичности проблемы, но связывались с владельцами системы.
В качестве средства связи использовалась электронная почта. Письмо отправлялось на адреса, указанные в разделе контактов сайта, а так же на адреса, рекомендованные в политике разглашения уязвимостей RFPolicy (сайттакие как secure@example.com, security@example.com, administrator@example.com, admin@example.com.
Письмо отправлялось от основных электронных адресов авторов, чтобы снизить вероятность фильтрации спам-фильтрами. В случае если ответ не поступал в течение недели, письмо посылалось повторно. Как скидка на русскую безалаберность.
шаблон письма
ВНИМАНИЕ! Если вы не являетесь лицом, отвечающим за информационную безопасность сервера www.example.com, перешлите это сообщение компетентному специалисту!
Здравствуйте, на сервере www.example.com присутствуют уязвимости, использование которых может привести к его компрометации (дефейсу) или краже идентификационных данных пользователей.
Примеры уязвимостей:
<описание обнаруженных уязвимостей>
Рекомендуется устранить данные уязвимости.
Дополнительные уязвимости могут быть обнаружены с помощью бесплатного сканирования:сайт
Информация предоставлена согласно политике RFPolicy
сайт
Давайте рассмотрим обнаруженные уязвимости и реакцию на них владельцев ресурсов. Но прежде чем перейти к этому разделу...
отказ от обязательств
Данная информация предоставляется на условиях "КАК ЕСТЬ", без предоставления каких-либо гарантий и прав. Используя данную информацию, вы соглашаетесь с тем, что авторы не несут ответственности за использование вами данной информации, и вы принимаете на себя весь риск, связанный с использованием данной информации. Авторы не несут ответственности за использование данной информации третьими лицами.
результаты
www.infoforum.ru
Портал представляет собой электронную версию журнала «Бизнес + Безопасность».
Уязвимости: множественные SQL Injections, использование которых может привести к получению полного контроля над операционной системой. Множественные уязвимости Cross-Site Scripting.
Степень риска: высокая.
Первый контакт: 14.06.2005.
Реакция владельцев ресурса: ответов по электронной почте не поступало.
www.mts.ru
Портал является официальным Internet-представительством компании «Мобильные Телесистемы».
Уязвимости: множественные reflected Cross-Site Scripting в сервере службы ИССА, использование которых может привести к краже идентификационных данных и получении доступа к настройкам телефонов других пользователей.
Степень риска: низкая.
Первый контакт: 30.06.2005.
Реакция владельцев ресурса: ответов по электронной почте не поступало.
www.OXPAHA.ru
Онлайн издание о безопасности (не только компьютерной). Содержит функции Internet-магазина, неработающего на момент проведения исследования. Уязвимости: множественные SQL Injection, позволяющие получать доступ к персональным данным других пользователей и содержимому баз данных сервера.
Степень риска: средняя.
Первый контакт: 30.06.2005.
Реакция владельцев ресурса: ответов по электронной почте не поступало.
www.minsvyaz.ru
Официальный портал Министерства информационных технологий и связи Российской Федерации.
Уязвимости: выполнение произвольного кода php через функцию сохранения документов.
Степень риска: высокая.
Первый контакт: 01.07.2005.
Реакция владельцев ресурса: ответов по электронной почте не поступало.
www.internetsecurity.ru
Сайт компании НПП «ИнтернетБезопасность».
Цитата с сайта: «Наше предприятие организовано в начале 2004 года группой опытных специалистов в области компьютерных сетей и информационных технологий.»
Уязвимости: множественные SQL Injection, позволяющие получать доступ к содержимому баз данных сервера.
Степень риска: средняя.
Первый контакт: 05.07.2005. Несмотря на громкое название, контактных адресов электронной почты обнаружено не было. Отчет был послан через веб- форму.
Реакция владельцев ресурса: ответов по электронной почте не поступало.
www.sec.ru
Интернет портал по безопасности.
Уязвимости: множественные reflected и stored Cross-Site Scripting.
Степень риска: средняя.
Первый контакт: 05.07.2005.
Реакция владельцев ресурса: ответов по электронной почте не поступало.
www.globaltrus.ru
Сайт ООО «GlobalTrust Solutions». Цитата с сайта: «Основная цель деятельности Компании – оказание профессиональных консалтинговых услуг и услуг системной интеграции в сфере информационной безопасности».
Уязвимости: хранение имени пользователя и пароля в cookie в открытом виде, множественные stored Cross-Site Scripting в форуме.
Степень риска: средняя.
Первый контакт: 08.07.2005.
Реакция владельцев ресурса: ответов по электронной почте не поступало.
www.viruslist.com
Информационно-аналитический портал компании «Лаборатория Касперского».
Уязвимости: множественные уязвимости типа reflected Cross-Site Scripting, использование которых может привести к краже идентификационных данных пользователей.
Степень риска: низкая.
Первый контакт: 25.07.2005.
Реакция владельцев ресурса: ответов по электронной почте не поступало.
С владельцами некоторых сайтов удалось связаться, используя личные контакты. В результате часть уязвимостей была устранена, а некоторые из владельцев попросили соблюдать конфиденциальность, и, соответственно, их сайты не были включены в этот обзор.
Интересно, что в ряде случаев письмо было получено и прочитано администратором сайта, и он даже переслал его программистам для устранения уязвимостей. Но сообщить об этом факте отправителям сообщения «о каких-то скриптингах и инжекшенах» ни один из администраторов не удосужился.
как там, за морем?
Чтобы определить, является ли такое отношение особенностью национального менталитета, поиск уязвимостей был предпринят и на сайтах зарубежных компаний, имеющих отношение к безопасности. Как и ожидалось, на заокеанских серверах было обнаружено гораздо меньше уязвимостей и для их обнаружения пришлось довольно серьезно попотеть. Кроме того, реакция зарубежных коллег отличалась коренным образом.
Специалисты компаний Application Security и Foundstone связались с авторами в тот же бизнес-день. Первые сообщили об устранении обнаруженной уязвимости, вторые попросили предоставить дополнительную информацию об обнаруженной проблеме.
Служба security@microsoft.com отреагировала через несколько часов после отправки начального рапорта. На протяжении всего процесса исправления уязвимостей (который занял около недели) компания предоставляла детальные отчеты о ходе продвижения работ.
Единственным исключением были администраторы сайта www.blackwaterusa.com. Они никак не отреагировали на первое сообщение об обнаруженных уязвимостях. Видимо военщина, пускай и не государственная, накладывает свой отпечаток и в США. Реакция последовала только на «контрольную» рассылку по всем адресам в разделе «контакты».
На сообщение отреагировал HR-департамент (видимо действительно, трудно у них с кадрами) и переслал сообщение отделу IT. Забавно было наблюдать за внутренней перепиской (естественно, не удаленной из сообщения, отправленного авторам) отображающей иерархию внутренней бюрократии компании. Порадовала и настороженная реакция специалистов IT-департамента, в которой так и читалось: «а чего эти русские хакеры потребуют взамен?». Очень неприятно удивили хозяева сайта www.isc2.org. Господа, гордо носящие звание CISSP, этот «золотой стандарт» серди сертификаций для профессионалов высшего уровня в области информационной безопасности, видимо считают, что для защиты их сайта достаточно настроить SSL, и тогда различные SQL Injection и Cross-Site Scripting им не грозят. Наверное, вопросы об этих уязвимостях еще не включили в сертификационный экзамен и braindumps, соответственно, к безопасности они не имеют никакого отношения. Реакции на сообщение, отправленное 6 августа 2005 года, не поступало.
резюме
Выводы... Выводы делайте сами.
Собственно говоря, в уровне защищенности большинства веб-приложений, составляющих Ru-Net, авторы не сомневались. Основная цель исследования - попытка определить оценить уровень заинтересованности хозяев ресурсов в повышении защищенности этих ресурсов - дала нулевой результат. То есть исследование, по мнению авторов, удалось, а вот заинтересованность... Заинтересованность стремится к нулю.
З.Ы.: Пару лет назад в ходе анализа защищенности веб-приложения один из авторов оценил высказывание «менеджера по безопасности продукта» компании, разработавшей «движок». Высказывание касается уязвимостей типа Cross-Site Scripting, которыми сайт прямо-таки кишел, и, видимо, может использоваться как показатель осведомленности типичного «безопасного менеджера» в области знаний об уязвимостях веб-приложений и на сегодняшний день.
«Значение подставленного URL выводится, а не исполняется. Данные можно посмотреть только из своих кук. Чтобы получить доступ к cookies, нужно получить физический доступ к машине. Уязвимости, связанные с необходимостью физического доступа – это почти так же «опасно», как автоматчики в масках, дознающие физически пароль».
offtopic & Hash
Сетевые решения. Статья была опубликована в номере 08 за 2005 год в рубрике save ass…
