Чи є безпечним Уанет?

22:57 27.03.2008

Відповідь на питання поставлене у заголовку доволі банальна: ні, Уанет не є безпечним. Це добре видно по моїм новинам і знайденим мною уразливостям, про які я пишу в себе на сайті. Більш цікаве інше питання - чи зміниться ситуація з безпекою найближчим часом? В цьому в мене є деякі сумніви і для цього наведу вам наочний приклад.

Сьогодні розпочалася (і буде проводитися 27 та 28 березня) конференція UA WEB 2008 - перша українська конференція для веб розробників. І я бажаю конференції, її організаторам та всім доповідачам успіху. В даному випадку розглянемо зазначену конференцію в контексті безпеки.

Чи піднімаються на конференції питання веб безпеки? Майже зовсім не піднімаються. І це звична ситуація, я вже давно звертаю увагу, що всі Інтернет-орієнтовані конференції в Україні зовсім не приділяють увагу безпеці. В даному випадку ситуація подібна - тема безпеки не винесена як окремий напрямок і слова “безпека” ви в назвах доповідей не побачите ;-) .

Серед шести категорій доповідей дві доповіді, які стосуються безпеки, були віднесені до категорій “Серверная часть, базы данных, системы управления контентом” та “Тестирование”. Але тестування сайта та аудит безпеки сайта - це принципово різні речі, а категорія “Серверна частина” також лише опосередковано пов’язана з безпекою. І тому безпека потребує окремої категорії і детального розгляду. Всього пов’язаними з безпекою будуть дві доповіді: “Тестирование Уязвимости Вебсайтов и Web-Приложений” та “Теория и практика CAPTCHA-защиты интерфейсов”. Але дані доповіді лише частково (лише по деяким напрямкам) описують сучасні проблеми з безпекою в Інтернеті, що видно по їх тезисам. Тому в цілому сучасний стан веб безпеки не буде розглянутий.

Зі своєї сторони я ще в минулому році написав організаторам конференції і запронував свою тему для виступу - щоб розповісти про сучасний стан безпеки в Уанеті та Інтернеті. Але відповіді не отримав. Зовсім їм не цікава дана тема (що добре видно по фінальному розкладу конференції). Більш того сам сайт конференції уразливий :-) (що є звичним явищем для сайтів конференцій, як можна побачити з моїх новин). На сайті має місце Persistent XSS уразливість. І я ще в минулому році повідомив про це адмінам. Але жодної відповіді не отримав і дірка по сьогодні так і не була виправлена. Так що тема безпеки та безпека власного сайта організаторів конференції зовсім не цікавить.

Виходячи з вищесказаного, ще раз повторю риторичне запитання: чи зміниться ситуація з безпекою в Уанеті найближчим часом? З подібним підходом, як у випадку конференції UA WEB, наврядчи щось зміниться на краще. Але незвачаючи на апатію в Уанеті до питань безпеки, зі своєї сторони я щодня працюю для покращення безпеки в Мережі. Тому зміни на краще будуть обов’язково, лише строки цього процесу напряму залежать від громадськості.


7 відповідей на “Чи є безпечним Уанет?”

  1. voa каже:

    Ти типовий white-hat хакер, але не тямиш у методах захисту від атак на Layer7. Я говорю про сучасні техніки захисту, що базуються на IDS/IPS системах. Я наприклад будую периметр інформаційної безпеки в одному з найбільших інет-порталів - і vulnerability assessment - це лише незначна частина тих заходів які потрібно вживати для забезпечення ІТ- безпеки.
    А розповідати про них на конференціях - це те саме, що розповідати про СПАМ-фільтри - це прерогатива одиниць, а у випадках великої компанії це прерогатива виділеної людини - і це зазвичай не цікавить людей…
    Буде цікаво поспілкуватись - пиши в мило )

  2. akella каже:

    Там был отдельный доклад целиком посвященный проблеме безопасности веб-приложений, рассказывал Юрий Козлов. Делать два доклада - мне кажется преувеличением важности этой проблемы. Как бы мы ни рассматривали ее под микроскопом - сама разработка всегда будет на порядок интересней безопасности. =(

    Вашего письма я (ответственный за подбор докладов) к сожалению не получал, если можно, пошлите его еще раз.

    Что же касается XSS уязвимости - то я лично ее, как веб-разработчик, не склонен воспринимать всерьез. Чисто не там где убирают, а там где не сорят. Это и является настоящей проблемой ЮА НЕТа, и хакерства в том числе. ИМХО.

  3. voa каже:

    Akella? Це твій логін недавно запалився в похаченому конфігу урк нету? :) ))

    Є пропозиція попити пива з чимось міцним та власником цього блогу - і обговорити сучасні напрямки та тенденції в розвитку атак на web-applications, тому що в УАнеті одиниці, які знають про існування проблем в безпеці вебу )

    ІМХО на блозі це не обговориш :)

  4. akella каже:

    Да, мой :) мне показывали, забавно.
    Но там ресурс написан в 2002 году на php 3, и я его только немного правил, там очевидно дыра на дыре сидит и дыру погоняет :) Потому мне даже и не обидно)) но очень забавно. Известность приятна любая :D

    Попить пива не проблема. ;)

  5. MustLive каже:

    Хлопці, я ще ваші коменти прокоментую (як знайду час) ;-) .

    Компанії Укр.нет звісно варто більше приділяти уваги безпеці, як я вже неодноразово наголошував. Як і всім іншим компаніям в Уанеті та в Інтернеті.

    Попить пива не проблема. ;)

    Я не вживаю алкоголю. Але можна вжити мініралки :-) (як я це за звичай роблю в таких випадках).

    тому що в УАнеті одиниці, які знають про існування проблем в безпеці вебу

    З цієї причини я в основному й обговорюю проблеми безпеки вебу з західними секюріті фахівцями. А також виступаю на конференціях та виступаю на телебаченні, щоб розповідати людям про існуючі проблеми безпеки в Інтернеті. І власне мій проект для того й призначений, щоб розповідати людям про сучасний стан веб безпеки.

  6. MustLive каже:

    voa

    З приводу твого коментаря.

    Ти типовий white-hat хакер, але не тямиш у методах захисту від атак на Layer7.

    Я вважаю, що і у веб уразливостях, і в методах атаки і захисту від атак я розуміюся добре. І в цьому кожен може впевнитися уважно читаючи мій сайт, де я щодня публікую інформацію на тему веб безпеки і ділюся власним досвідом. І тематику IDS/IPS і регулярно освітлюю - як про дірки і методи обходу подібних систем (на прикладах сайтів, що їх використовують), так і про свої власні дослідження методів обходу WAF :-) .

    Дані методи я постійно розробляю і використовую для обходу ламерських WAF (в даному випадку IPS). Нагадуючи тим самим, що IPS - це недостатньо ефективний метод і дуже несерйозно сподіватися лише на IPS у захисті веб сайтів. Бо від багатьох типів атак WAF взагалі не захистить, а від інших може захистити неефективно (бо фільтри можна обійти). Тому WAF я не поважаю (лише IPS, до IDS я ставлюся прихильно).

    Я наприклад будую периметр інформаційної безпеки в одному з найбільших інет-порталів - і vulnerability assessment - це лише незначна частина тих заходів які потрібно вживати для забезпечення ІТ- безпеки.

    Аудит безпеки - це єдине надійне рішення проблем безпеки веб сайтів. Якщо для локальних машин firewall - річ потрібна, поширена і невелика користь від нього є (лише невелика і варто не перебільшувати його користь), то WAF позиціонують як панацею (хоча користь від них також обмежена). Що тільки створює оманливе відчуття захищенності й при цьому зменшує її рівень (із-за відмови чи економії на VA). Тому я не поважаю ні WAF, ні його виробників і тих хто їх використовує (ховаючись за ними і ігноруючи VA). А те, що в тебе Vulnerability Assessment є лише незначною частиною заходів безпеки, то і рівень безпеки твого порталу відповідний ;-) .

    А розповідати про них на конференціях - це те саме, що розповідати про СПАМ-фільтри

    Я розповідаю на конференціях про різні цікаві речі на тему веб безпеки, зокрема наводжу дані власних досліджень. В тому числі згадую і про спам - про використання емайла як одного зі шляхів проведення атак. Зазначу, що тема спам-фільтрів і заходів захисту від спаму теж є цікавою, і її також можна піднімати на конференціях (розглядаючи її комплексно). Мої доповіді на конференціях в жовтні та в лютому цілком засвідчили, що людям цікава дана інформація.

  7. MustLive каже:

    akella

    Стосовно вісвітлення теми веб безпеки на вашій конференціі я висловився в своєму пості.

    Там был отдельный доклад целиком посвященный проблеме безопасности веб-приложений, рассказывал Юрий Козлов.

    Всього було дві доповіді на тему безпеки, як я вже писав: про безпеку веб додатків та про капчі. Про що я дізнався з вашого прес-релізу з коротким описом доповідей. І з опису доповіді Юрія Козлова я зрозумів, що у виступі він торкнеться малої кількості питань веб безпеки (тому що і галузь ця доволі об’ємна, і обмежений час виступу). Тому висвітлити проблему з різних сторін зовсім не завадило.

    До речі, мою впевненість в тому, що тема Юрієм буде не розкрита, нещодавно підтвердила людина, яка відвідала вашу конференцію, і зокрема доповідь про безпеку веб додатків.

    Делать два доклада - мне кажется преувеличением важности этой проблемы.

    Робити одну чи більше доповідей (а в даному випадку їх було дві, які розкидали по різним розділам конференції) - це справа організаторів. Але твоя заява про перебільшення важливості проблеми - є доволі несерйозною (іншої я й не очікував, враховуючи склад доповідей на конференції). В світі ця проблема є недооціненою, а в Україні й Уанеті - тим паче. Ситуація з безпекою в Уанеті мені добре відома з власного досвіду: і відносна кількість дірявих сайтів вище ніж в багатьох інших сегментах Мережі, і хакерська активність щороку зростає високими темпами, і кількість заражених вірусами сайтів дуже висока (за даними різних компаній Україна в останні роки входить в п’ятірку “лідируючих” країн). Про що я регулярно пишу в себе на сайті.

    Тому ігнорування проблеми безпеки веб сайтів - це звичайна ситуація в Україні. І ваша конференція наочно продемонструвала відношення в Україні до теми webappsec. Більше двох років (після запуску свого проекту) я активно працюю над зміною даної ситуації, і вона змінюється доволі повільно (але зрушення є). В осному в Україні зустрічаю лише апатію, ігнорування й несерйозне відношення - при тому, що в інших країнах я зустрічаю набагато більше серйозного ставлення і розуміння важливості даної проблеми.

    Как бы мы ни рассматривали ее под микроскопом - сама разработка всегда будет на порядок интересней безопасности. =(

    Ясна річ, що розробка цікавіша. Знаю це, як веб девелопер (з 1999). Безпека веб додатку - є лише однією складовою його розробки, але важливою складовою.

    Діряві веб додакти - це біч Інтернету. І вони створють ризики як для власників сайтів, так і для користувачів й відвідувачів сайтів. Й чим раніше власники сайтів та веб розробники це зрозуміють, тим раніше ситуація зміниться на краще.

    Вашего письма я (ответственный за подбор докладов) к сожалению не получал, если можно, пошлите его еще раз.

    Я вислав свій лист з пропозицією про доповідь та про дірку на uaweb.in.ua 21.10.2007 на 4 емайли (на profyclub.ru), що були вказані на вашому сайті (в тому числі й на твій). І те, що жоден з вас чотирьох не отримав його (або проігнорував) - це неповага до мене і проблема ваших поштових фільтрів.

    Необхідності пересилати листа особливої немає. Пропозиція про доповідь вже не актуальна, бо конференція в 2008 році вже пройшла. А про дану XSS дірку я напишу в новинах (як іще про іншу XSS, яку я знайшов додатково), так що слідкуй за новинами і дізнаєшся про уразливості на uaweb.in.ua.

    Что же касается XSS уязвимости - то я лично ее, как веб-разработчик, не склонен воспринимать всерьез.

    Це поширена помилкова позиція в Україні - часто з нею стикаюся. Зі своєї сторони я людям повідомляю про уразливості на їх сайтах, але лише вони повинні вирішити чи виправляти їх, чи залишити дірки на сайті. І я не поважаю людей, що окрім ігнорування та не виправлення дірок із-за нерозуміння (що є поширеною ситуацією), навіть знаючи про дірки, цілком свідомо їх ігнорують.

    Чисто не там где убирают, а там где не сорят.

    Щоб було чисто - не роби дірок, щоб не засмічувати ними програму. А враховуючи, що розробники завжди роблять дірки, то знаходь дірки й виправляй їх. Стосовно ж того, що чисто буде, якщо не будуть хакати сайти, то можеш не виправляти дірки наївно думаючи, що тебе це не торкнеться. Але це буде лише тимчасово, і коли хтось захоче атакувати твій сайт, він викорастає дірки, що не були виправлені.

Leave a Reply

You must be logged in to post a comment.