Аудит безопасности от REG.RU – что это и для чего он необходим?

Введение

Современный мир характеризуется чрезвычайно быстрым ростом объемов информации, глобализацией и компьютеризацией всех слоев общества. Информационные технологии прочно укоренились в нашей жизни – большая часть населения планеты практически постоянно использует доступ в Интернет для работы, обучения, игр, развлечения. Это закономерно влечет за собой монетизацию всех возможных сервисов. Следовательно, линейно возрастает общее количество затрачиваемого времени на совершение операций с использованием пластиковых карт: безналичный расчет при оплате покупок товаров, транзакции в системах онлайн-банкинга, валютный обмен и прочие платежные операции с поставщиками услуг. Соответственно расширяется «веб-пространство», в котором существует информация о владельцах карт и других аутентификационных данных.

Увеличение количества и разнообразия сервисов, доступных конечному пользователю через Интернет, прямо пропорционально расширению поля для мошенничества. В контексте рассматриваемой проблемы основные виды атак злоумышленников можно определить как:

• Атака на поставщика услуг
• Атака на конечного пользователя

В случае атаки на конечного пользователя борьба со злоумышленниками ведется преимущественно установкой клиентского программного обеспечения, соответствующего требованиям безопасности, и информированием пользователя о возможных угрозах. Когда же атака направлена на вендора – необходимы комплексные меры защиты, особым этапом которых является предотвращение вторжений. Столь важную роль предотвращения вторжения можно объяснить тем, что утечка даже части конфиденциальных данных и использования их злоумышленниками ведет к значительным финансовым потерям как поставщика услуг, так и конечного пользователя. Поэтому для уменьшения риска взлома сервиса, перебоев в работе, утечки данных, а также для сохранения репутации ресурса рекомендуется проводить аудит информационной безопасности.

Что такое аудит информационной безопасности?

Понятие «аудит информационной безопасности» появилось сравнительно недавно. Тем не менее, в настоящее время аудит информационной безопасности представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области безопасности информационных систем и вызывает постоянный интерес специалистов. Его основная задача – объективно оценить текущее состояние информационной безопасности (ИБ) компании, а также ее адекватность поставленным целям и задачам бизнеса для увеличения эффективности и рентабельности экономической деятельности. Поэтому под аудитом информационной безопасности корпоративной системы обычно понимается системный процесс получения объективных качественных и количественных оценок о текущем состоянии ИБ компании в соответствии с определенными критериями и показателями безопасности. Считается, что результаты квалифицированно выполненного аудита ИБ компании позволяют построить оптимальную по эффективности и затратам корпоративную систему защиты, адекватную текущим задачам и целям бизнеса.

Таким образом, можно дать краткое определение аудиту информационной безопасности (ИБ):
Аудит информационной безопасности – это проверка способности ресурса успешно противостоять угрозам информационной безопасности.

Кому нужен аудит ИБ?

Всем компаниям, нацеленным на успех. Успешный бизнес не построить на сайтах, подверженных взлому. Моментально падают уровень доверия пользователей и снижается посещаемость ресурса. Как следствие – падают продажи, снижается количество клиентов, возникают финансовые потери. Учитывая, что сейчас абсолютно все интернет-ресурсы представляют интерес для злоумышленников (мошенники равно интересуются взломом ресурсов, содержащих информацию о пластиковых карточках, паспортные данные, пароли, счета и т.п., и взломом сайтов, используемых в дальнейшем для сомнительных целей: рассылка спама, использование для черного SEO, создание ботнета и т.д.), аудит ИБ является не пустой тратой денег, а вложением в стабильность.

Почему не популярен?

В большинстве случаев, из-за банального непонимания реальной необходимости услуги. Большинство компаний не готовы отдавать немалые деньги за «всего лишь» проверку на возможность компрометации системы. Все потому, что владельцы не проинформированы о количестве и масштабах хакерских угроз. Зачастую используя принцип «Не во всякой туче гром; а и гром да не грянет; а и грянет, да не по нас; а и по нас – авось не убьет!», компании начинаются задумываться о безопасности лишь, когда система уже скомпрометирована и нанесен серьезный ущерб. Но учиться и делать выводы лучше на чужих ошибках, поэтому ниже приведено несколько реальных примеров, когда аудит ИБ мог бы сохранить нервы и средства.

Сайт одного из министерств некой страны

История случилась 3 года назад при тесте государственного веб-ресурса на проникновение. При первом же осмотре сайта была выявлена уязвимость типа PHP-injection — то есть все ссылки были организованы инклудингом других PHP-страниц, имя которых передавалось GET-запросом. Настройки сервера также нельзя было назвать безопасными – имелся доступ к важным системным файлам mq=off, allow_url_fopen=On, чего уже было достаточно для чтения важной информации, а затем и получения полного доступа к серверу.
Такой запрос позволял без труда читать логи веб-сервера:
www.xxx.gov/main.php?query=../../../proc/self/fd/2%00
Как оказалось позже, виной всему незамысловатый PHP-код:

<?php
...
$query = $_GET['query'];
if(isset($query) && !empty($query))
{
require($query.»php»);
}

?>

Для устранения уязвимости было рекомендовано проверить переменную на существование файла, использовать функцию strpbrk для выявления спецсимволов — «/.\?«, запрета на чтение из под веба /proc/self/, установки в php.ini: magic_quotes_gpc=on, allow_url_fopen=Off.

Казалось бы, защита должна быть одним из первых приоритетов, ведь нетрудно представить, что за собой влечет взлом государственного сайта. Проникновение в локальную сеть, получение доступа к компьютерам, на которых хранится информация, например, о лицензированном тестировании специалистов (ключи ответов на КРОК, внешнее независимое оценивание и т.д.). Тогда, возможно, будет под вопросом подлинность сертификатов, которые требуют все высшие учебные заведения, а значит и компетентность будущих врачей и т.д.

Электронная коммерция

Все больше развлекательных ресурсов используют собственную игровую валюту, которая может быть конвертирована в реальные деньги. При проведении теста на проникновение одного из таких сайтов была обнаружена SQL-инъекция с выводом по типу error based.

Суть сайта заключалась в том, что у вас есть автомобиль, вы устраиваете гонки, усовершенствуете авто и т.д. Некоторые из этих операций требовали вложений в баланс аккаунта. В ходе проверки, через SQL-инъекцию была получена вся структура БД, сканером директорий были выявлены старые или тестовые версии сайта с установленной системой управления контентом Joomla. Для симулирования действий злоумышленников все через ту же уязвимость были получены хэши паролей от Joomla, успешно подобраны грубым брутфорсом, получен доступ к серверу через загрузку «php-shell» в административном центре Joomla. Как следствие, также получены пароли доступа к БД, что обеспечило возможность управлять балансом счетов, без реального перечисления средств. Таблица с балансом была организована очень просто:



Кроме того, пароли сохранялись в открытом виде.

Рекомендации по устранению уязвимости были следующими:
• Обработать входные параметры функцией mysql_real_escape_string;
• Отключить вывод ошибок;
Не оставлять «полезных» директорий, доступных из веба (старых версий, дампов, тестовых скриптов и тому подобное);
• Даже на тестовые версии сайтов не ставить пароли, которые могут быть в словарях;
• Обработать пароли необратимым алгоритмом шифрования.

Невидимая угроза

При анализе одного из взломанных серверов было отмечено внедрение i-frame кода на сайты без определенного источника. Файлы на сервере сохраняли целостность, их содержимое не было изменено, но пользователям сайтов «выбрасывался» вредоносный код. Характерной чертой было случайное появление вредоносного кода абсолютно на всех сайтах сервера:



Виной всему был вредоносной модуль Apache — DarkLeech, который распространял вредоносное ПО, «прозрачно» дописывая пару строк кода в отдаваемые страницы веб-сервера. Физические имена модулей были: mod_spm_headers.so, mod_spm_mem.so, mod_log.so и mod_security.so.
В httpd.conf присутствовала строка:
LoadModule spm_headers_module modules/mod_spm_headers.so

На сервере за логами доступа были обнаружены уязвимые скрипты, через которые происходил взлом, отключены вредоносные модули и обновлено ядро операционной системы, в связи с подозрением на использование local root эксплойтов злоумышленниками.

Это еще раз подтверждает важность функции комплексной защиты веб-ресурса, а не только защиты исходного кода, которую обеспечивает полный аудит ИБ.

Сколько это стоит?

Стоимость аудита ИБ в большинстве случаев невозможно определить сразу – все зависит от характера работ (какие уязвимости определяются – от ошибок программистов до социальной инженерии). Кроме того, некоторые компании рассчитывают стоимость услуги в зависимости от числа найденных проблем, количества строк анализируемого кода и формы представления результатов (отчет, видеоотчет, рекомендации по устранению, дополнительные консультации). Но в среднем, цены начинаются от $100. При этом такая стоимость работ характерна либо для компаний, которые только вышли на рынок и работают без сертифицированных специалистов и стандартов проведения аудита, либо для аматорских команд, которые, в основном, состоят из бывших black-hat или непрофессиональных специалистов по информационной безопасности. Конечно, нельзя утверждать, что при обращении в подобные компании работа будет выполнена некачественно, но, когда речь идет о конфиденциальной информации и безопасности, лучше довериться профессионалам.

В данном случае расценки будут уже сильно отличаться – от $300-500 до $5000, в зависимости от тарифа. Например, в REG.RU цены на эти услуги выглядят следующим образом: 25 000 руб. за «Бюджетный» тариф и от 150 000 руб. за «Корпоративный» (https://www.reg.ru/web-sites/security-audit/#prices). Столь высокая цена объясняется проведением мультианализа всех частей системы с целью выявления критичных мест и введения комплексных мер защиты, а также высокой квалификацией специалистов, имеющих сертификаты Offensive Security Certified Professional (OSCP) и Certified Professional Penetration Tester (eCPPT).

Выводы

Что дает заказ услуги «Аудит безопасности сайта в REG.RU»?

• Описание и оценку текущего уровня защищенности информационной системы;
• Анализ рисков, связанных с возможностью осуществления внутренних и внешних угроз в отношении ресурсов информационной системы;
• Составление модели потенциального злоумышленника;
• Рекомендации по технической, организационной составляющей ИБ (устранение уязвимостей в коде, разработке политики информационной безопасности)
• Получение максимальной отдачи от инвестиций, вкладываемых в системы защиты информации;
• Подтверждение того, что используемые внутренние средства контроля соответствуют задачам организации и позволяют обеспечить эффективность и непрерывность бизнеса.
• Обоснование инвестиций в системы защиты информации.

Большинство владельцев взломанных сайтов не подозревало о вторжении на их ресурс. Часть системных администраторов при выявлении вторжения не предпринимали никаких действий, если не было видимых нарушений работы сайта, ввиду нехватки знаний по данной проблеме. Аудит безопасности способен предоставить объективную информацию о защищенности сайта, что позволит владельцу ресурса не поставить под угрозу свой бизнес и деловую репутацию. Ведь доверяя свои личные данные какой-либо организации, пользователи и партнеры уверены, что она сможет обеспечить их конфиденциальность.