Вы нам писали: Информационная безопасность — не самый развитый сектор в Ижевске

avatar Павел
Овчинников
19.06.2014, 20:38
комментировать

От редакции: Сегодня после долгого перерыва вновь рубрика «Вы нам писали». Нам уже писал Максим Попов, Вера Шишкина, Руслан Гиззатуллин. Сегодня у нас послание от Александра Дроздова, который захотел поговорить о том, что в Ижевске знают об информационной безопасности. Как-то о ней мало у нас говорится, действительно. Слово читателю, чей слог в тексте сохранен.

atkritka_1359724954_249

Я обычный системный администратор и не являюсь разработчиком web-приложений. Возможно, вижу все только с одной стороны, но считаю, что информационная безопасность — не самый развитый и востребованный вид услуг Удмуртии в сфере IT. И в этой небольшой статье я опишу самые яркие примеры.

Все компании в Удмуртии пытаются показать себя с лучшей стороны, у многих есть свой сайт, у некоторых даже не один. А что будет если сайт взломают? Об этом, наверное, никто не задумывается: «восстановим из резервной копии (если она есть), а дырку прикрывать не будем». Вот несколько примеров, к чему может привести взлом сайта:

  • Дефейс сайта (конкуренты пошутили и воткнули свое лого вместо оригинала);
  • Использование сайта для распространения вредоносного ПО;
  • Кража клиентской базы с логинами и паролями(многие пользователи используют одни и те же пароли к различным сервисам);
  • Проникновение во внутреннюю сеть компании(один из самых страшных последствий);
  • Подпорченная репутация.

Рынок ИБ в Удмуртии предоставлен только анализом на соответствие требованиям и внедрением шифрования. И никто не предоставляет полный аудит ИБ, в том числе анализ исходных кодов программ, анализ защищенности периметра внутренней и внешней сети и, наконец, анализ рисков. Конечно, есть такие гиганты как Positive Technologies, но маленьким конторкам они не по карману, да и зачем? Ведь закончился дедлайн, и проект сдан заказчику, деньги получены и распилены, теперь сохранность сайта в руках заказчика.

Эти мысли мне никак не давали покоя, и я решил провести небольшой аудит web-безопасности платформ, которые используют в Ижевске:

  1. Bitrix я проверять не стал, долго, кропотливо, да и мало что найдется.
  2. WordPress, Joomla, MOD-X — очень хорошие системы для разработки сайта. Красиво, быстро, удобно и, главное, бесплатно! Правда, у них есть одно «НО» — они очень распространены, и злоумышленники находят все больше уязвимостей в этих CMS. Да и плагины к ним не всегда отличного качества.
  3. Самописные CMS вот к ним самая большое внимание, код пишут разные разработчики и например с уходом главного разработчика никто не знает как залатать дырку да и не видит дырку.

Небольшой список уязвимостей на которые я наткнулся при осмотре сайтов
1) Bitrix -XSS
2) WordPress, Joomla,MODX — XSS, SQL-инъекция, LFI
3) Самописные- XSS, SQL инъекция, LFI

В список не входят более мелкие уязвимости. Если обратить внимание, то все уязвимости из OWASP Top 10.

При нахождении критической уязвимости типа SQL-инъекции или LFI, я старался сразу написать в службу поддержки. Скажу сразу, из всех моих писем ответили на 2 и уязвимости закрыли только 2 сайта. Остальные либо не прочитали моих писем, либо просто не обратили внимания.

Вот такую плачевную статистику я заметил. И самое главное — все понимают как это плохо, но никто не хочет брать на себя дополнительную работу (аудит кода), тем самым облегчая жизнь злоумышленнику.

Не скупитесь на ретвиты ↓
  • http://extremefrost.wordpress.com/ Алексей Евдокимов

    Ну и чо? где амбула? где список проверенных сайтов, статистика версий CMS в разбивке по CVE, и вообще, цифры?

    Мы как бы и так все в курсе, что в провинции сайты — решето в большинстве, а XSS почти везде встречается. Конкретика интересна.

    • http://www.evilcorp.ml Александр

      Я писал данное письмо что бы обратить на это внимание на эту проблему, да и для полноценных цифр нужно проводить полный аудит, а на это естественно никто разрешения не дал((

      • Андрей Михайлов

        Какое разрешение требуется?

        • http://www.evilcorp.ml Александр

          Письменное наверное, устное не приложить никуда, т.к если подадут на Вас в суд то лучше бумажка официальная, чем разговор в скайпеНу во первых не каждому админу понравится 100500 запросов с 1 ип например для получения информации о хосте, во вторых можно положить сайт тем же спайдером, Люди должны быть готовы к сотням фиктивных запросов в веб формах. Да и без разрешения некрасиво получается)))

    • http://www.evilcorp.ml Александр

      Если настоль критично я подготовлю цифры. CVE описывать можно описывать только для CMS типа wordPress или Joomla, а Bitrix или самописные не подходят под этот критерий. Да и раскрытие уязвимостей на сайтах, до их фикса не самая лучшая практика для кармы, а их не фиксят.

  • Denis Krylov

    >не самый развитый и востребованный вид услуг Удмуртии в сфере IT

    Потому что нет спроса.

    • http://www.evilcorp.ml Александр

      Полностью с Вами согласен, а спроса нет потому что практически всем наплевать((

      • Vai

        Бизнес не платит за что то эфемерное и ненужное. Если нет спроса на ИБ, значит нет потребности в защите, значит мало прецедентов. Ну это до поры до времени я думаю

        • http://www.evilcorp.ml Александр

          Или же нет фирм которые предлагают такие услуги

          • Vai

            Фирмы — следствие, если бы было что заработать. Посмотрите вакансии в иже по ИБ, спецов набирают на ЗП 15-20 тыс ИжГТУ даже своих специалистов выпускает, однако где все эти специалисты?

            • http://www.evilcorp.ml Александр

              Киньте ссылку на вакансии по ИБ, Наверное руководство просто не ценит важность таких спецов и критичность данных вопросов

  • Павел

    Мне кажется, что проще поставить Битрикс или другую обновляемую систему с приемлемым уровнем безопасности, чем тратиться на подобное тестирование, вот поэтому оно и не нужно. А кто не хочет тратиться на платные CMS, тот явно не будет платить за такие фичи.

    • http://www.evilcorp.ml Александр

      Но тут встает вопрос актуальности версии и кто должен поддерживать актуальность, проект сдан и теперь это проблема заказчика, Битрикс тоже не идеален.

      • http://vk.com/v.s.sentyakov Виталий Сентяков

        Указать в руководстве пользоваться инструкцию как Обновлять систему по нажатию кнопки и прокомментировать для чего это необходимо. У 1С-Битрикс 1 год обновлений бесплатно, по истечению этого периода можно продлить систему по льготной цене.

        • http://www.evilcorp.ml Александр

          Я с каждым годом все больше поражаюсь как Российские студии все больше зацикливаются на Битрикс ! Битрикс не решает всех проблем.

          Да и это я писал в общих чертах кто будет обновлять PHP Apache Mysql в этих продуктах тоже есть уязвимости.

          • http://vk.com/v.s.sentyakov Виталий Сентяков

            Ответственность за это берут на себя хостинг компании.

            Я вам Битрикс навязываю?

            В этом продукте есть все что мне необходимо для решения задач клиента и даже кнопка обновить систему, которая все делает сам, какая другая система может этим похвастаться из коробки? Работал с MODX Revo и Evo — ни в одной нет данного функционала.

            Что плохого в Битртксе? У них есть вменяемая тех. поддержка с номером телефона и офисом в Мск. У системы есть обучающие курсы с помощью которых можно обучать клиентов и даже разработчиков.

            Конечно можно сделать это для любой другой системы и делайте, пожалуйста! Я хочу зарабатывать бабки и 1С-Битрикс даёт мне эту возможность :))

            • http://www.evilcorp.ml Александр

              Я ни в коем случае не ругаю Битрикс. Хостинг компании это еще тот случай. Ну а если клиент у себя размещает. WP обновляется из админки насколько я помню. Ну если Битрикс Вам приносит доход, тогда это хорошо

          • Павел

            А какая CMS лучше?

            • http://www.evilcorp.ml Александр

              Я Вам не могу сказать какая лучшая, да и я не эксперт в этом.

            • http://vk.com/v.s.sentyakov Виталий Сентяков

              Не знаю)))

              Мне удобно работать с MODX и Битрикс (потому что опыта много, привычно). Мне Битрикс и MODX очень напоминают друг друга.

              Добавлю что работал с Joomla, DIEM, WordPress, Simpla, mediacore, dle да и еще куча cms, где то как разработчик, где-то просто что-то поломалось надо исправить.

  • Rishat Muhametshin

    Однажды я абсолютно случайно получил доступ от имени администратора на неком сайте доставки еды в Ижевске. Написал на email, который был написан на сайте, а мне в очень некрасивых выражениях сказали, как плохо я поступил, и как за мной уже выехали.

    • http://www.evilcorp.ml Александр

      Абсолютно случайно? Бывает и такое, Судя по тому что Вы еще комментируете, значит не доехали))

      • Rishat Muhametshin

        Этой истории уже три года. Не знаю, может, не дозвонились до милиции в тот день.

        • http://www.evilcorp.ml Александр

          Если вы не совершили никаких противоправных действий то и милиция не может ничего поделать, так постращают. White Hack

  • http://vk.com/v.s.sentyakov Виталий Сентяков

    Если находятся уязвимости в крупных проектах Google, Facebook, Habrhabr, то просто обычные сайты даже вопрос поднимать — ну странно что ли :))

    Всех ситуация предусмотреть крайне сложно (+ есть человеческий фактор), оптимальное решение — по мере поступления задач, да не круто кому то покажется и конечно тестировать-тестировать-тестировать.

    • http://www.evilcorp.ml Александр

      Конечно странно сравнивать Google и например Izh-it, количество сервисов и работников разное. Тут главное как реагируют на все это, Гугл быстро заделает дырку и отблагодарят(щедро причем ) а Izh-it Отругают и вызовут милицию(пример. они кстати быстро заделали дырку и поблагодарили)

      • http://vk.com/v.s.sentyakov Виталий Сентяков

        Так вы что хотите обсудить?

        Реагирование администраторов сайта на баги или как уменьшить кол-во богов и исправлять их?

        Реакция вполне обычная и это в других сферах проявляется -так реагируют и на обычные предложения, замечания люди, потому что «У нас все збс» и не надо лезть в наш огород :))

        На сайте могут быть контакты администратора сайта (не тот кто информацию на нем обновляет), а реально компетентный специалист, который сможет адекватно отреагировать.

        А то вы может отправили сообщение с багом человеку у которо итак до х проблем и что вы от него ожидаете? Да какать он хотел на этот сайт — это не его зона ответственности. Прошу прощения за через чур эмоциональный текст.

        • http://www.evilcorp.ml Александр

          Ничего страшного. Но почему прохожий натыкается на баги а разработчик нет? Пофигизм, ЗП, дедлайн? Была история у меня история с одной конторой, нашел sql иньекцию в их CMS они отблагодарили даже 1000 выслали)) И эту дырку прикрыли на всех сайтах заказчиков а их было много. Так что потратили свое время зато всех защитили.

  • http://ok.ru iamkasha

    Так, а почему Шишкина замужем?

    • http://www.evilcorp.ml Александр

      ХЗ...

      • http://ok.ru iamkasha

        Мне грустно, поговорите со мной об этом.

        • http://www.evilcorp.ml Александр

          Говорю

        • http://www.evilcorp.ml Александр

          А о чем?

    • Denis Krylov

      Зависть?

  • http://atarity.ru/ Mikhail Sannikov

    Интересная тема. Продолжай. Скептиков не слушай.

    Местные ИТ-компании могли бы предлагать награды за поиск уязвимостей в своих продуктах/сайтах. Стоит это не дорого: деньги на награды, поддержку процесса, исправление дыр. Особенно в сравнении с репутационными издержками, когда твой сайт внезапно начинает распространять вирусы, или база пользователей куда-то утекает и производитель как дурачёк начинает слать письма типа «мимо нас тут проходили злые хакеры, поэтому смените пароль».

    Могли бы. Но они веками живут в ситуации: «Чувак, у нас 500 сотрудников, а задач на 800 сотрудников даже без учёта того о чём ты тут толкуешь» и, наверное, не стоит их винить за то, что такой bounty hunt for bugs они не практикуют просто потому что гром пока ещё не грянул.

    У крупных компаний уже сейчас есть понимание того почему ИБ это важно (не верю, что крупные компании не реагируют на твои письма, как бы сильно не были заняты их специалисты). К мелким компаниям оно тоже рано или поздно придёт. Пусть даже через боль в заднице.

    • http://www.evilcorp.ml Александр

      Тут смысла продолжать нет, если наткнусь напишу тем кому еще не писал а если писал и мне не ответили, то пропущу мимо глаз.

  • Андрей Михайлов

    Тут дело не только в ИБ, дело в том, что сам экспертный рынок в целом и рынок аудита в частности развит слабо. Есть люди, которые пытались развивать тему аудита, к примеру Валерий Сентябов, когда был в Пикоме пытался. Но как-то не идет аудит. Более того, не идет деятельность связанная с разработкой проектных ИТ решений. Что меня, если честно, ставит в тупик. Если, что был опыт заказа проектов, за деньги.

    К слову, если есть желание потестировать на бесплатной основе, могу предоставить такую возможность. :)

    ps. am[]udm.ru

  • Смирнов Вячеслав

    Знаю, что закрывают. Не отвечают на письма, но закрывают (если проверить месяца через два).

Get Cloud PHP Hosting on CatN