Чи є безпечним Уанет?
22:57 27.03.2008Відповідь на питання поставлене у заголовку доволі банальна: ні, Уанет не є безпечним. Це добре видно по моїм новинам і знайденим мною уразливостям, про які я пишу в себе на сайті. Більш цікаве інше питання - чи зміниться ситуація з безпекою найближчим часом? В цьому в мене є деякі сумніви і для цього наведу вам наочний приклад.
Сьогодні розпочалася (і буде проводитися 27 та 28 березня) конференція UA WEB 2008 - перша українська конференція для веб розробників. І я бажаю конференції, її організаторам та всім доповідачам успіху. В даному випадку розглянемо зазначену конференцію в контексті безпеки.
Чи піднімаються на конференції питання веб безпеки? Майже зовсім не піднімаються. І це звична ситуація, я вже давно звертаю увагу, що всі Інтернет-орієнтовані конференції в Україні зовсім не приділяють увагу безпеці. В даному випадку ситуація подібна - тема безпеки не винесена як окремий напрямок і слова “безпека” ви в назвах доповідей не побачите .
Серед шести категорій доповідей дві доповіді, які стосуються безпеки, були віднесені до категорій “Серверная часть, базы данных, системы управления контентом” та “Тестирование”. Але тестування сайта та аудит безпеки сайта - це принципово різні речі, а категорія “Серверна частина” також лише опосередковано пов’язана з безпекою. І тому безпека потребує окремої категорії і детального розгляду. Всього пов’язаними з безпекою будуть дві доповіді: “Тестирование Уязвимости Вебсайтов и Web-Приложений” та “Теория и практика CAPTCHA-защиты интерфейсов”. Але дані доповіді лише частково (лише по деяким напрямкам) описують сучасні проблеми з безпекою в Інтернеті, що видно по їх тезисам. Тому в цілому сучасний стан веб безпеки не буде розглянутий.
Зі своєї сторони я ще в минулому році написав організаторам конференції і запронував свою тему для виступу - щоб розповісти про сучасний стан безпеки в Уанеті та Інтернеті. Але відповіді не отримав. Зовсім їм не цікава дана тема (що добре видно по фінальному розкладу конференції). Більш того сам сайт конференції уразливий (що є звичним явищем для сайтів конференцій, як можна побачити з моїх новин). На сайті має місце Persistent XSS уразливість. І я ще в минулому році повідомив про це адмінам. Але жодної відповіді не отримав і дірка по сьогодні так і не була виправлена. Так що тема безпеки та безпека власного сайта організаторів конференції зовсім не цікавить.
Виходячи з вищесказаного, ще раз повторю риторичне запитання: чи зміниться ситуація з безпекою в Уанеті найближчим часом? З подібним підходом, як у випадку конференції UA WEB, наврядчи щось зміниться на краще. Але незвачаючи на апатію в Уанеті до питань безпеки, зі своєї сторони я щодня працюю для покращення безпеки в Мережі. Тому зміни на краще будуть обов’язково, лише строки цього процесу напряму залежать від громадськості.
Субота, 02:00 29.03.2008
Ти типовий white-hat хакер, але не тямиш у методах захисту від атак на Layer7. Я говорю про сучасні техніки захисту, що базуються на IDS/IPS системах. Я наприклад будую периметр інформаційної безпеки в одному з найбільших інет-порталів - і vulnerability assessment - це лише незначна частина тих заходів які потрібно вживати для забезпечення ІТ- безпеки.
А розповідати про них на конференціях - це те саме, що розповідати про СПАМ-фільтри - це прерогатива одиниць, а у випадках великої компанії це прерогатива виділеної людини - і це зазвичай не цікавить людей…
Буде цікаво поспілкуватись - пиши в мило )
Неділя, 01:11 30.03.2008
Там был отдельный доклад целиком посвященный проблеме безопасности веб-приложений, рассказывал Юрий Козлов. Делать два доклада - мне кажется преувеличением важности этой проблемы. Как бы мы ни рассматривали ее под микроскопом - сама разработка всегда будет на порядок интересней безопасности. =(
Вашего письма я (ответственный за подбор докладов) к сожалению не получал, если можно, пошлите его еще раз.
Что же касается XSS уязвимости - то я лично ее, как веб-разработчик, не склонен воспринимать всерьез. Чисто не там где убирают, а там где не сорят. Это и является настоящей проблемой ЮА НЕТа, и хакерства в том числе. ИМХО.
Неділя, 19:08 30.03.2008
Akella? Це твій логін недавно запалився в похаченому конфігу урк нету? ))
Є пропозиція попити пива з чимось міцним та власником цього блогу - і обговорити сучасні напрямки та тенденції в розвитку атак на web-applications, тому що в УАнеті одиниці, які знають про існування проблем в безпеці вебу )
ІМХО на блозі це не обговориш
Неділя, 20:02 30.03.2008
Да, мой мне показывали, забавно.
Но там ресурс написан в 2002 году на php 3, и я его только немного правил, там очевидно дыра на дыре сидит и дыру погоняет Потому мне даже и не обидно)) но очень забавно. Известность приятна любая
Попить пива не проблема.
Неділя, 22:28 30.03.2008
Хлопці, я ще ваші коменти прокоментую (як знайду час) .
Компанії Укр.нет звісно варто більше приділяти уваги безпеці, як я вже неодноразово наголошував. Як і всім іншим компаніям в Уанеті та в Інтернеті.
Я не вживаю алкоголю. Але можна вжити мініралки (як я це за звичай роблю в таких випадках).
З цієї причини я в основному й обговорюю проблеми безпеки вебу з західними секюріті фахівцями. А також виступаю на конференціях та виступаю на телебаченні, щоб розповідати людям про існуючі проблеми безпеки в Інтернеті. І власне мій проект для того й призначений, щоб розповідати людям про сучасний стан веб безпеки.
Неділя, 23:50 20.04.2008
voa
З приводу твого коментаря.
Я вважаю, що і у веб уразливостях, і в методах атаки і захисту від атак я розуміюся добре. І в цьому кожен може впевнитися уважно читаючи мій сайт, де я щодня публікую інформацію на тему веб безпеки і ділюся власним досвідом. І тематику IDS/IPS і регулярно освітлюю - як про дірки і методи обходу подібних систем (на прикладах сайтів, що їх використовують), так і про свої власні дослідження методів обходу WAF .
Дані методи я постійно розробляю і використовую для обходу ламерських WAF (в даному випадку IPS). Нагадуючи тим самим, що IPS - це недостатньо ефективний метод і дуже несерйозно сподіватися лише на IPS у захисті веб сайтів. Бо від багатьох типів атак WAF взагалі не захистить, а від інших може захистити неефективно (бо фільтри можна обійти). Тому WAF я не поважаю (лише IPS, до IDS я ставлюся прихильно).
Аудит безпеки - це єдине надійне рішення проблем безпеки веб сайтів. Якщо для локальних машин firewall - річ потрібна, поширена і невелика користь від нього є (лише невелика і варто не перебільшувати його користь), то WAF позиціонують як панацею (хоча користь від них також обмежена). Що тільки створює оманливе відчуття захищенності й при цьому зменшує її рівень (із-за відмови чи економії на VA). Тому я не поважаю ні WAF, ні його виробників і тих хто їх використовує (ховаючись за ними і ігноруючи VA). А те, що в тебе Vulnerability Assessment є лише незначною частиною заходів безпеки, то і рівень безпеки твого порталу відповідний .
Я розповідаю на конференціях про різні цікаві речі на тему веб безпеки, зокрема наводжу дані власних досліджень. В тому числі згадую і про спам - про використання емайла як одного зі шляхів проведення атак. Зазначу, що тема спам-фільтрів і заходів захисту від спаму теж є цікавою, і її також можна піднімати на конференціях (розглядаючи її комплексно). Мої доповіді на конференціях в жовтні та в лютому цілком засвідчили, що людям цікава дана інформація.
Неділя, 23:58 12.10.2008
akella
Стосовно вісвітлення теми веб безпеки на вашій конференціі я висловився в своєму пості.
Всього було дві доповіді на тему безпеки, як я вже писав: про безпеку веб додатків та про капчі. Про що я дізнався з вашого прес-релізу з коротким описом доповідей. І з опису доповіді Юрія Козлова я зрозумів, що у виступі він торкнеться малої кількості питань веб безпеки (тому що і галузь ця доволі об’ємна, і обмежений час виступу). Тому висвітлити проблему з різних сторін зовсім не завадило.
До речі, мою впевненість в тому, що тема Юрієм буде не розкрита, нещодавно підтвердила людина, яка відвідала вашу конференцію, і зокрема доповідь про безпеку веб додатків.
Робити одну чи більше доповідей (а в даному випадку їх було дві, які розкидали по різним розділам конференції) - це справа організаторів. Але твоя заява про перебільшення важливості проблеми - є доволі несерйозною (іншої я й не очікував, враховуючи склад доповідей на конференції). В світі ця проблема є недооціненою, а в Україні й Уанеті - тим паче. Ситуація з безпекою в Уанеті мені добре відома з власного досвіду: і відносна кількість дірявих сайтів вище ніж в багатьох інших сегментах Мережі, і хакерська активність щороку зростає високими темпами, і кількість заражених вірусами сайтів дуже висока (за даними різних компаній Україна в останні роки входить в п’ятірку “лідируючих” країн). Про що я регулярно пишу в себе на сайті.
Тому ігнорування проблеми безпеки веб сайтів - це звичайна ситуація в Україні. І ваша конференція наочно продемонструвала відношення в Україні до теми webappsec. Більше двох років (після запуску свого проекту) я активно працюю над зміною даної ситуації, і вона змінюється доволі повільно (але зрушення є). В осному в Україні зустрічаю лише апатію, ігнорування й несерйозне відношення - при тому, що в інших країнах я зустрічаю набагато більше серйозного ставлення і розуміння важливості даної проблеми.
Ясна річ, що розробка цікавіша. Знаю це, як веб девелопер (з 1999). Безпека веб додатку - є лише однією складовою його розробки, але важливою складовою.
Діряві веб додакти - це біч Інтернету. І вони створють ризики як для власників сайтів, так і для користувачів й відвідувачів сайтів. Й чим раніше власники сайтів та веб розробники це зрозуміють, тим раніше ситуація зміниться на краще.
Я вислав свій лист з пропозицією про доповідь та про дірку на uaweb.in.ua 21.10.2007 на 4 емайли (на profyclub.ru), що були вказані на вашому сайті (в тому числі й на твій). І те, що жоден з вас чотирьох не отримав його (або проігнорував) - це неповага до мене і проблема ваших поштових фільтрів.
Необхідності пересилати листа особливої немає. Пропозиція про доповідь вже не актуальна, бо конференція в 2008 році вже пройшла. А про дану XSS дірку я напишу в новинах (як іще про іншу XSS, яку я знайшов додатково), так що слідкуй за новинами і дізнаєшся про уразливості на uaweb.in.ua.
Це поширена помилкова позиція в Україні - часто з нею стикаюся. Зі своєї сторони я людям повідомляю про уразливості на їх сайтах, але лише вони повинні вирішити чи виправляти їх, чи залишити дірки на сайті. І я не поважаю людей, що окрім ігнорування та не виправлення дірок із-за нерозуміння (що є поширеною ситуацією), навіть знаючи про дірки, цілком свідомо їх ігнорують.
Щоб було чисто - не роби дірок, щоб не засмічувати ними програму. А враховуючи, що розробники завжди роблять дірки, то знаходь дірки й виправляй їх. Стосовно ж того, що чисто буде, якщо не будуть хакати сайти, то можеш не виправляти дірки наївно думаючи, що тебе це не торкнеться. Але це буде лише тимчасово, і коли хтось захоче атакувати твій сайт, він викорастає дірки, що не були виправлені.