Безопасность Блогосферы
Евгений Докукин aka MustLive
Сегодня Интернет развивается весьма стремительно и Блогосфера является составной частью этого процесса. И при этом она находится в авангарде развития Сети, т.к. развивается наиболее динамически – количество блогов удваивается каждые шесть месяцев. По последним данным размер Блогосферы составляет более 70 миллионов блогов. И по данным на 2007 год, в среднем ежедневно создаются 120000 новых блогов (или 1,4 блога ежесекундно).
При этом блоги являются наиболее активной частью Сети. В 2007 году в среднем публикуется 1,5 млн. постов в день (или 17 постов в секунду). И некоторые блоги даже входят в 50-ку самых популярных мировых новостных веб ресурсов.
И всем владельцам блогов, как и всем владельцам веб сайтов нужно задумываться над безопасностью своих ресурсов. Безопасность является важной составляющей жизни любого веб ресурса, о которой весьма часто забывают (особенно блоггеры). И уровень безопасности сегодняшней Сети весьма низкий.
Web 3.0 и безопасность.
Как я написал в своей статье Web 3.0, опубликованной недавно у меня на сайте на украинском и английском языках, где вы можете с ней ознакомиться, безопасность является важной частью Веб 3.0.
Сейчас, в эпоху Веб 2.0, начинают задумываться над будущим Сети – над Веб 3.0. И поэтому сейчас поднимается данная тема (в 2006 и 2007 году). Сам я начал задумываться над третьим вебом ещё в начале 2006 года. И не просто задумываться, а делать реальные шаги для приближения эпохи Веб 3.0. И работаю я в двух направлениях – которые отношу к составляющим Веба 3.0.
Я вижу в Web 3.0 две составляющие: инновации и безопасность.
К составляющей инноваций я отношу свой онлайн интерпретатор – MustLive Perl Pascal Programs Interpreter. Это первый в мире онлайновый интерпретатор и первое Веб 3.0 приложение.
К составляющей безопасности я отношу безопасность сайтов и веб приложений. Занимаясь веб безопасностью на протяжении 2005, 2006 и 2007 года я проанализировал современное состояние безопасности Интернет. И могу констатировать, что 90% сайтів имеют уязвимости безопасности (по моей статистике). Начиная с открытия моего секюрити проекта в середине 2006 года, я начал усиленно заниматься вопросами веб безопасности и социальным аудитом (находя уязвимости на сайтах и сообщая о них их администраторам).
Безопасность сегодняшней Сети весьма низкая. Как учитывая его современные проблемы для пользователей (такие как спам, фишинг, вирусы), так и учитывая то, что 90% сайтов имеют секюрити уязвимости. Поэтому уровень безопасности нужно сильно улучшать – третий веб должен быть более безопасным чем второй.
За безопасностью блогов – важной составляющей Всемирной Сети также нужно следить, т.к. количество блогов огромно и стремительно растёт, как и огромно количество угроз безопасности, которое растёт вместо с ростом Блогосферы.
Проблемы безопасности блогов, можно разделить на две категории:
1. Внутренние источники угроз.
2. Внешние источники угроз.
Ко внутренним угрозам можно отнести:
1. Уязвимости в программном обеспечении блогов.
2. Персональная безопасность владельца блога.
Ко внешним угрозам можно отнести:
1. Спам комментариев.
2. Спам тракбеков.
3. Сплоги.
При этом сами блоги можно разделить на две группы: блоги-сайты (на самостоятельных хостингах) и блоги-дневники (на блог-сервисах). Различные виды угроз проявляются как в обоих группах блогов, так и имеют свои особенности в каждой из групп.
Касательно внешний угроз. Со спамом комментариев сталкиваются все блоггеры. И в зависимости от используемого инструментария эта проблема решается за счёт траты времени владельца блога. Лишь при использовании активных защитных средств, таких как Captcha, можно реально бороться со спамом. Но и это не решит проблему – о чём я ещё скажу в конце доклада. Спам трекбеков также всё больше распространяется, но с ним в основном сталкиваются владельцы блогов-сайтов и различными методами можно бороться этой проблемой. Насчёт сплогов (спам блогов) – то эта проблема также становится актуальной. По последней данным ежедневно создаётся 3000-7000 новых сплогов. И владельцы блогов сами особо не могут с этим бороться – этим занимаются поисковые системы (в том числе поисковики по блогам), отсеивая сплоги из своих индексов.
Касательно внутренних угроз. То поддерживать персональную безопасность – в данном случае своего компьютера блоггер, как и любой владелец сайта должен постоянно. Использовать надёжный браузер, антивирус (со свежими базами) и фаервол. Это общепринятые рекомендации.
А вот, что касается безопасности блоговых движков то здесь ситуация печальная. Они весьма уязвимы, и в подобных движка регулярно находят новые дыры. Сам регулярно нахожу дыры в блог движках (в частности в Вордпресе). И здесь блоггерам нужно усилено следить – как минимум обновлять на новые версии движок, а по возможности ещё и следить за багтреками и при появлении информации о дыре, самому её исправлять. Наиболее серьёзные блоггеры могут заказывать секюрити аудит своего сайта.
Что касается блог-сервисов и блог-движков, то пользователи данных двух групп блогов сталкиваются с проблемами наличия уязвимостей в серверном ПО в разной степени. На блог-сервисах админы следят за безопасностью, поэтому этот аспект мало касается данной категории блоггеров, а вот владельцам блог-сайтов нужно самим следить за безопасностью своих блогов (в том числе не забывать обновлять движок). В случае если владельцы сервиса блогов используют не собственный движок для создания блогов, а используют какой-либо популярный движок, то это увеличит требования к безопасности (т.к. проблемы данного движка будут касаться и владельца данного сервиса блогов).
На блог-сервисах Интернета и Уанета регулярно встречаются уязвимости, о чём я не раз писал у себя в новостях (например на Блоггере Гугла). Также я сам не раз находил уязвимости на подобных сервисах (о чём сообщал или ещё сообщу их администраторам). В частности я находил уязвимости на: dnevnik.bigmir.net, blog.i.ua, blog.meta.ua, blogs.internetua.com и вчера ещё на blog.korrespondent.net. Кстати, о дырке на blogs.internetua.com (одного из информационных спонсоров Блогкемпа) я уже сообщил представителям Internet UA в начале октября, а также напомнил два дня назад, когда написал им о новой дырке на их главном сайте. Насчёт блог движков, то на них я сам неоднократно находил уязвимости, и ежедневно хакеры находят новые дыры. Так что данный вид серверных приложений весьма уязвим и постоянно привлекает внимание хакеров.
Статистика безопасности Интернета и Уанета.
По последним данным компании Sophos, работающей в области информационной безопасности, Россия и Украина входят в число лидирующих стран по количеству зараженных вирусами веб-страниц. В их число входят как сайты созданные злоумышленниками, так и похаканные сайты.
Первое место по количеству вирусов занял китайский сегмент Сети. В Китае оказалось 44,8% от общего числа зараженных страниц. Второе место заняли Соединенные Штаты Америки с 20,8% инфицированных страниц. Третье место с показателем в 11,3% заняла Россия. Четвертое место заняла Украина с показателем в 7,7%. Причём в 2006 году Украина занимала пятое место с 3,2% веб страниц распространяющих вирусы. Т.е. рост количества зараженных страниц в 2,4 раза за последний год.
Также представлю вам информацию о хакерской активности в Уанете. Исходя из отчётов которые я регулярно публикую у себя на сайте. На данный момент я единственный человек исследующий хакерскую активность в Уанете. Приведу лишь общие цифры, детальная информация у меня на сайте.
За первое полугодие 2007 года хакеры в Уанете ведут себя более активно чем в 2006 году. За это время были взломано 5 сайтов (и все политической тематики). Что можно объяснить предвыборной атмосферой. Эти данные собраны из открытых источников, и учитывая, что мало кто распространяется на счёт того, что его сайт взломали, то цифры небольшие (и реальные цифры больше и основная часть взломов остаётся в тени).
Для сравнения. за весь 2006 год в Уанете было проведено 5 атак на веб сайты. Это очень маленькая цифра, по сравнению с другими регионами Сети (где она на порядок и даже несколько порядков выше). Тем не менее только за первое полугодие 2007 количество атак сравнялось с таковым за весь 2006 год. Т.е. увеличение динамики в 2 раза (и до конца года она может увеличиться ещё больше). Так что хакерская активность в Уанете стабильно растёт. И владельцам сайтов нужно это учитывать.
Замечу, что по текущей информации за второе полугодие 2007 года, мною выявлено 5 случаев атак на сайты. И до конца года этот показательно может ещё увеличиться. Расскажу детальнее об одном из инцидентов, о котором стало известно во втором полугодии (и который связан с темой блогов). Что российский хакер ещё в июне взломал Бигмир, о чём опубликовал статью в журнале “Хакер”.
Причём взлом был комплексный. Хакер, используя уязвимость на бигмировском сайте blog.korrespondent.net (который используй движок WordPress, уязвимости в котором я сам нахожу регулярно), получил доступ к админке. Как к админке блогов на корреспонденте, так и к главной админке Бигмира. И после получения доступа к БД, он выкрал данные об юинах бигмировской аськи (с целью перепродажи коротких номеров). Данный пример показывает, что за безопасностью своих сайтов, в том числе блогов, нужно постоянно следить.
В итоге Бигмир временно закрыл сервис блогов (после взлома). И открыл его лишь недавно. Т.е. от халатного отношения к безопасности пострадали как сами бигмировцы, так и пользователи данного сервиса блогов. Возникают вопросы, почему бигмировцы не следили за безопасностью (а это у них норма, так как я на многих их сервисах находил уязвимости), и почему не обновляли Вордпрес, почему не следили за сообщениями о дырах в нём (о которых я регулярно пишу в новостях). Вопросы риторические. Более того. Вчера вечером, подготавливая данный доклад, зайдя на данный сервис блогов, и обнаружив, что Бигмир уже открыл его, я менее чем за минуту нашёл уязвимость на этом сайте (и это после того, как они с июня латали дыры на сайте). Уязвимость менее опасная, чем упомянутая ранее, но тем не менее серьёзная. Так что данный сервис по прежнему небезопасный и его админам нужно усилено работать над его исправлением.
Заключение.
Подводя итоги замечу, что уровень безопасности Интернета в целом, и Уанета в частности, весьма низкий. И ситуация из года в год не особо улучшается. Над изменением этой ситуации и увеличением уровня безопасности Сети нужно усилено работать (чем я ежедневно и занимаюсь). В том числе и просвещать владельцев сайтов и веб разработчиков, для увеличения грамотности в вопросах безопасности, чтобы они больше уделяли этому внимания. Одним из элементов этой просветительской деятельности и является мой доклад. Успехов вам и безопасности вашим сайтам.
Месяц багов в Капчах – Month of Bugs in Captchas.
Также сделаю вам анонс моего нового проекта, который будет проводиться в следующем месяце. Это предварительный анонс – официально я анонсирую данный проект на следующей неделе у себя на сайте. И этот проект так или иначе затронет всех блоггеров, владельцев сайтов, веб разработчиков и Интернет в целом.
Анонсирую новый Месяц багов – после проведения в июне 2007 года Месяца багов в Поисковых Системах я объявляю о своём новом проекте. Ноябрь будет Месяцем багов в Капчах. В Интернете имеется множество различных капч и практически все они уязвимы. И плохие ребята могут обойти их для автоматизированных атак на сайты – для рассылки спама через формы или рассылки спама в комментарии, для брутфорс атак, для автоматических регистраций на сайтах и форумах, и другой автоматизированной и злоумышленной активности. Капчи создают лишь иллюзию защищённости.
И поэтому в ноябре произойдёт Апокалипсис для Капч. Многие из капч будут захаканы до смерти. Они умрут для того, чтобы переродиться в новые более защищённые капчи. Время пришло.