Обзор подготовлен

версия для печати
Кто может опровергнуть аргументы о пользе автоматического тестирования кодов?

Кто может опровергнуть аргументы о пользе автоматического тестирования кодов?

Золотой век хакеров и киберкриминала, спровоцированный страстным желанием затруднить жизнь владельцам сайтов или стать причиной бессмысленного интернет-вандализма, надо надеяться, постепенно уходит в прошлое. Причина – коммерциализация этого вида бизнеса. Одним из вариантов ответа со стороны бизнеса может стать уменьшение количество уязвимостей за счет автоматического тестирования кодов.

Одной из важнейшей проблемой безопасности, с которой сталкиваются компании сегодня, это то, что бизнес–приложения, необходимые для роста организации, носят прикладной характер, что делает их небезопасными.

Главные мишени киберпреступности сегодня – это сайты online-магазинов и базы  данных клиентcкой информации, хранящиеся там. Это места, где можно найти номера кредитных карт и сроки их действия, PIN коды, адреса и многое другое, что необходимо для заполнения личных форм банковских счетов и переводов.

Действия хакеров стали настолько искусными, что данные, украденные ими, возможно эксплуатировать, как минимум, в течение нескольких секунд, до тех пор пока ничего не подозревающая жертва обнаружит следы пропажи. С 2005 г. стало официально известно о компрометации  143.757.645 записей. При этом очень много инцидентов осталось незамеченными.

Значительный рост объемов online-коммерции, как известно, произошел благодаря развитию web-приложений, что помогло заменить традиционные сделки за наличные или с использованием телефона. Изначально приложения этого типа объединялись вместе, что называется «на скорость». Главной целью было получение работающий системы, а также скорейший ее запуск. При этом вопросы обеспечения безопасности часто не принимались в расчет. 

С тех пор как Microsoft и другие вендоры стали, наконец, считать обеспечение ИБ приоритетом своей деятельности, уязвимости операционных систем и сетевого уровня все сложней обнаруживать. Конечно же, они остались, на уровне прикладного ПО их гораздо больше, особенно в  Web 2.0 приложениях. Интересующие хакеров «дыры» продолжают появляться во всех типах кодов, однако  Web 2.0 приложения, которым компании все больше доверяют, сохраняют за собой чемпионство по количеству уязвимостей (если, конечно, отдельные разработчики изначально не задумываются о безопасности).

Уязвимости Web 2.0 все чаще осложняют жизнь online-бизнесу

Многие Web–приложения используют JavaScript, который был разработан в том числе и для увеличения мобильности. В недавнем отчете английская исследовательская компания Quocirca в этой связи отмечает, что одна из ключевых проблем безопасности при использовании JavaScript состоит в том, что атакующие в состоянии им  манипулировать с тем, чтобы получить доступ к информации.

Другая проблема, отмеченная Quocirca в этом отчете это, то, что Web 2.0 или Ajax приложения имеют тенденцию к зависимости от большого числа модулей и высокоуровневого взаимодействия, чем традиционные языки программирования. Это усложняет код и увеличивает возможность появления программных ошибок. Исследователи говорят: «Большое количество небольших модулей делает Ajax более  уязвимым к атакам, поскольку увеличивается  «поверхность» для них, а каждый запрос к информации (и, соответственно, ответ) предоставляют потенциальный вектор для атаки».

Исследование проводилось  в декабре 2007г. среди 250 топ-менеджеров в ИТ–департаментах в таких странах, как Германия, Великобритания и США. Было выяснено, что среди респондентов, разрабатывающих Web 2.0 приложения, значительное количество ответило, что они сталкиваются с уязвимостями, которые являются специфическими для  новых языков программирования и это может реально увеличить общее количество уязвимостей, с которыми сталкивается организация.

Файэрвол позволит дать кому-либо доступ к небезопасному Web приложению, если соблюдены все критерии, по которым этот доступ может быть дан. Конечно, это не самый лучший вариант. Наверное, в первую очередь мы должны сфокусировать усилия на разработке безопасных приложений, а не правил доступа к нему - это не может быть предметов компромиссов. Вопрос о том, возможно ли кому-то разрешить использование приложение, должен базироваться только на том, а безопасно ли приложение? А вовсе не на IP-адресе пользователя или номере порта, по которому происходит попытка соединения.

Ничто не защитит приложение, кроме самого него

Тренд движения в сторону online-приложений расширяет возможности  online-сервисов. В связи с этим потребность в безопасных решениях становится все более насущной. Например, если приложение для электронного голосования позволяет кому-то проголосовать несколько раз, для чего используется случайный перебор нескольких тысяч вариантов каких – либо параметров, например, фамилии, то никакой   файервол, естественно здесь не защитит.

Подтверждая тот факт, что киберкриминал непрерывно поднимает ставки в своей игре, органы госбезопасности в США по итогам 2007г. отметили 150%-е увеличение инцидентов, связанных с подозрительной деятельностью, обнаруженных в их ИТ-системах.  Другое исследование, выполненное в Университете Штата Мэриленд, выявило, что за этот же период среднестатистическая компьютерная система, связанная с интернетом в среднем подвергалась атакам хакеров каждые 39 секунд.

Так как же можно сделать Web-приложения более безопасными? Ведь пока мы имеем исторически сложившуюся практику того, что разработчики программного обеспечения всегда с большим энтузиазмом создают «заплатки» для софта, чем занимаются его безопасностью изначально.

Наверное, пришло то время, когда для создания менее уязвимых приложений необходимо чаще использовать процедуры тестирования (в том числе автоматические - на базе специализированного ПО). В 2007г., согласно отчету исследователей NTA Monitor выявлено, что 90% сайтов английских компаний содержали как минимум одну уязвимость, которая позволяла хакерам осуществлять неавторизированный доступ. Также исследование показало, что треть от этих web – сайтов содержали известные всем  уязвимости. Не вызывает сомнений то, что оставшиеся две трети «дыр» также были исследованы представителями хакерского сообщества.

Автоматизированное тестирование кодов портит хакерам настроение

Используя автоматизированные инструменты проверки безопасности и развивая соответствующее ПО, можно реально понизить полную стоимость обеспечения более качественной ИБ. Подтверждением тому могут быть недавние слушания в правительства США по этому вопросу. Их результатом стало решение о том, что ряд федеральных агентств начинают проводить анализ кодов используемого в стране ПО. Весьма вероятно то, что к этому процессу подключатся и независимые лаборатории.

Quocirca обнаружила интересный факт, что  более 10% британских респондентов тратят уже больше чем 15%  ИТ-бюджета на ИБ, но, тем не менее,  планируют дополнительно использовать автоматизированные инструменты для контроля безопасности приложений. И наоборот, 96% немецких организаций тратят меньше  10% их ИТ-бюджетов на безопасность, но при этом уже максимально используют автоматизированные инструменты анализа ПО в течение ранних стадий разработки программного обеспечения.

В завершение необходимо сказать, что интернет  будет существовать, и, соответственно, будут существовать интернет-преступления. Также сохранится тренд движения  бизнеса к online-режиму, и, соответственно, e-преступники воспользуются этим.

С развитием бизнеса интернет–кафе и других точек анонимного доступа к глобальной сети, розыск киберпреступников станет все более тяжелым занятием. В связи с этим, автоматизированные инструменты контроля безопасности на сегодняшний день - лучший способ уменьшить количество уязвимостей прикладного слоя ПО. Тем самым можно максимально осложнить жизнь хакерам. Большинство экспертов знают, как это сделать.

Говард А. Шмидт

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS