После прочтения довольно неплохого обзора на тему безопасности веб приложений ( http://goo.gl/ATZzP ), я решил провести для себя одно исследование. В обзоре больше описывались такие темы как наличие на машинах каких то руткитов и способы противостояния им. А я вот подумал о более тривиальных и наиболее распространённых вещах. Я пересканировал отдельно взятую подсеть одного провайдера и пришёл к выводу, что народ не шибко то и печётся в вопросах устойчивости различных web сервисов к различного рода атакам. Из 254 пересканированных мной хостов может процентов 30 оказалось за какими то файрволами и с имеющимися надлежащими заплатками, остальные увы оказались по каким либо критериям возможными к компроментации. В этом зоопарке устройств имелись хосты как windows-based, так и unix-based, а также различного рода маршрутизаторы и voip шлюзы. Особо отметил то, что народ откровенно описывал предназначение той или иной машины прямо в имени хоста. К примеру особо не парясь, я узнал что такая то машина - узел одной платежной системы, а в имени другой было написано Nashalnike. Отмечу сразу, что наиболее податливыми к взлому оказались машинки на windows (а потому что народ видать жмотится платить за лицензию и вовремя подкачивать обновления). Не остались под защитой всеми хвалёные линуксы и прочие юниксы - обнаружились и возможность отказа работы служб и удалённое выполнение произвольного кода и т.д. Что же касается каких либо маршрутизаторов и voip шлюзов, то там также обнаружились возможности выполнения произвольного кода атакой на telnet. Вы спросите причем тут web? Да почти на всех этих машинках крутился какой то веб сервер и почти на всех них можно было посмотреть какой то контент. Отдельные товарищи не стали вообще как то париться и оставили открытыми к доступу базы данных с учётными записями пользователей, которые идут с этими базами данных по умолчанию. Не буду сильно углубляться в дебри аспектов безопасности, но в свете всего этого держателям различных web проектов я бы хотел сказать следующее:
1. Держите впереди вашей инфраструктуры какой никакой файрвол
2. Вовремя обновляйте программное обеспечение, благо на это существуют и автоматическая загрузка обновлений и различные списки рассылок, подписавшись на которые вы будете иметь актуальную информацию об обновлениях вашего любимого программного обеспечения.
3. Переодически (ну или хотя бы как только уже установили всё необходимое ПО (от веб сервера до вашего любимого блог движка) устраивайте пентесты на возможность проникновения.
4. Не используйте простые пароли (да я понимаю что вы где то это уже не раз слышали, но по всей видимости авось у вас в головах иногда берёт верх).
5. Если вы сомневаетесь (ну хотя бы хоть где то), что вы несколько некомпетентны в вопросах поддержки сервисов и обеспечения надлежайшей безопасности - перепоручите вопросы профессиональным компаниям (порой некоторые издержки бывают довольно оправданы).
Как гласит одна поговорка - всё что создано человеком, человеком же может и быть взломанно, т.е. вы всё равно никогда не убережётесь на все 100%, но вы можете свести эту возможность к минимуму.
Комментариев нет:
Отправить комментарий