Сайты умеют защищать свою информацию

Алексей Лукацкий - менеджер по развитию бизнеса Cisco Systems

Большинство владельцев сайтов даже не задумываются о том, что они должны защищать хранящуюся на их Интернет-ресурсах информацию. Красивости, менюшки, анимация, флеш... именно об этом думают в первую очередь. Безопасность не относится к разряду первоочередных мероприятий при запуске Web-сервера. Именно поэтому регулярно проводимые сканирования сайтов, проводимые в России и за рубежом показывают наличие огромного количества уязвимостей, позволяющих легко красть конфиденциальную информацию - SQL Injection, Cross-Site Scripting (XSS) и т.п. Проект «Проверь здоровье своей сети», запущенный американской компанией Cisco и российской Positive Technologies в 2005-м году, продлившийся около трех лет, и направленный на бесплатную проверку защищенности Интернет-ресурсов, показал, что из двух с лишним тысяч зарегистрированных компаний не нашлось ни одной, не имеющих каких-либо дыр. Особенно беспечны в данном вопросе именитые компании. Крупнейние банки, страховые компании, представители ТЭК, ИТ-компании и т.п. Даже те, чей бизнес полностью зависит от Интернет (например, российские почтовые сервисы или поисковые системы) не всегда защищены от действий злоумышленников, действующих извне. Наиболее распространенными из обнаруженных проблем стали «бреши» в прикладных системах: Web-приложениях, базах данных, почтовых серверах, а также в некорректно настроенном сетевом оборудовании.

Особой категорией Web-сайтов, которые многими пользователями почему-то считаются защищенными, являются Интернет-банки. Привыкши, что деньги хранятся в сейфах и банковских хранилищах, потребитель транслирует такое свое отношение и на Интернет-составляющую банка, что в корне неверно. Именно оно приводит к проблемам

Вспомним инцидент с доступом машиниста метро к чужому счету в Интернет-банке «Банка Москвы». Сейчас можно гадать, что стало причиной такого доступа, но факт налицо. А причин может как минимум три – атака через имеющуюся уязвимость, ошибка при создании/программировании сайта или специально оставленная закладка разработчиками. Я не буду подробно рассматривать последний сценарий, но сразу отмечу, что это вполне реальная ситуация. Несколько лет назад я столкнулся с одним проектом по анализу кода разрабатываемого Интернет-банка. Я не буду подробно расписывать его детали, - просто приведу код, который был обнаружен в процессе анализа исходных кодов разработанного сайта. Сразу отмечу, что это только фрагмент, иллюстрирующий мои слова, – все промежуточные строки кода я удалил с целью уменьшения объема текста и фокусировки внимания только на данном куске (все адреса e-mail вымышлены).

Даже неспециалист в программировании поймет суть этого фрагмента. Он иллюстрирует отсылку по электронной почте определенной информации, полученной с некоторой Web-формы. Это может быть форма обратной связи, заявки на вакансию, покупки с помощью кредитной карты и т.п. Согласно техническому заданию эта информация должна была отправляться на адрес, указанный в переменной email и это действительно так, но… разработчики не забыли включить в код и свои адреса, на которые должна была отправляться копия всех вводимых на сайте данных. Можно конечно считать это досадным недоразумением, возникшим в процессе тестирования сайта, но мне трудно поверить, что в итоговом варианте «случайно» остались эти два (хотя для тестирования достаточно и одного) адреса электронной почты.

Если посмотреть на первую потенциальную причину инцидента в «Банке Москвы», то она также выглядит вполне реальной. Например, многолетняя экспертиза аналитического центра PT Research, а также опыт компании Positive Technologies по проведению тестов на проникновение и аудитов информационной безопасности показывают, что ошибки в защите Web-приложений по-прежнему остаются одним из наиболее распространенных недостатков обеспечения защиты информации (отчет по статистике уязвимостей Web за 2009-й год может быть загружен с сайта компании). Вероятность обнаружения критичной ошибки в Web-приложении автоматическим сканером (т.е. тем, который можно просто скачать из Интернет) составляет около 35% и достигает 80% при детальном экспертном анализе «руками». Этот факт демонстрирует невысокую защищенность современных Web-приложений не только от атак со стороны квалифицированных злоумышленников, но и от действий атакующих, вооруженных готовыми утилитами для «автоматического взлома».

Вторая причина (ошибка создания сайта) уже была рассмотрена в мифе 37, посвященном заблуждению о том, что Web-студии умеют создавать защищенные сайты.

Как если не гарантировать, то хотя бы повысить уровень защищенности своего сайта и повысить доверие к нему (и к вам, как его владельцу) со стороны клиентов, партнеров, инвесторов и иных лиц? Как можно быть уверенным, посещая такого рода сайты, что собранная о вас информация, будет доступна только персоналу (да и то не всему) Web-ресурса? Да и подлинность помещенного вами Web-сервера тоже может вызывать у вас сомнения – фишинговые атаки набирают обороты. Если для Internet-покупок потеря в 20-30 долларов не столь удручающа (хотя и неприятна), то в случае захода на поддельный сервер Internet-банка (а такие случаи известны), вы можете потерять несоизмеримо больше. Что же делать в этом случае? Как удостовериться, что посещенный вами сервер именно тот, за кого он себя выдает, а предоставленная вами информация будет сохранена в тайне.

В обычной жизни такую гарантию даст договор о конфиденциальности, заключаемый с банком или иной организацией. Хотелось бы и в виртуальности иметь некий знак качества, подтверждающий все маркетинговые заявления о «гарантии безопасности платежей» (такое заявление, например, «висит» на многих российских сайтах, занимающихся электронной коммерцией) и т.д. И в последнее время такие цифровые печати стали появляться во всем мире, в том числе и в России, хотя пока они являются скорее забавой, чем реальным инструментом, привлекающим клиентов (почему, расскажу ниже).

Одной из первых в России появилась «цифровая печать» от Thawte (Thawte Trusted Site Seal[/url]) и ею сразу воспользовались и Интернет-магазин «оЗон» и страховая компания «Ренессанс-Страхование» (правда, обе сейчас уже не используют ни эту, ни иные варианты «печатей»). Суть сервиса проста - разместив на своем сайте небольшую иконку, Web-сервер гарантирует, что он именно тот, за кого себя выдает. Подтверждение подлинности гарантируется третьей стороной (в данном случае Thawte), используя цифровые SSL-сертификаты стоимостью всего одну-две сотни долларов. В терминах инфраструктуры открытых ключей (PKI), компания Thawte является Certificate Authority (CA). Для установки на свой сайт знака качества необходимо выполнить всего 8 простых шагов, начиная от получения и подписания документов на оказание услуги (обязательным условием является обладание прав на Internet-домен) и заканчивая оплатой счета (в т.ч. и по кредитной карте) и инсталляцией полученного сертификата на вашем сервере. Кстати, список поддерживаемых Web-серверов впечатляет: Apache, IIS, Netscape, Stronghold, WebSite, 4D WebStar, ICSS, Domino и т.д. Абсолютно идентичную услугу предоставляет и VeriSign. Отличие состоит только в иконке на сайте и стоимости услуг – она как минимум вдвое (для коммерческих сайтов разница составляет 7 раз, а для крупных сайтов это различие может достигать 10 раз) превышает стоимость аналогичных услуг Thawte. Оно и понятно. VeriSign – известная во всем мире торговая марка, а Thawte за пределами мира Интернет-услуг знают очень немногие.

Другим примером «виртуального знака качества» является WebTrust, разработанный Американским институтом сертифицированных бухгалтеров AICPA и Канадским институтом присяжных бухгалтеров CICA. По своей сути печать WebTrust аналогична сертификату Thawte – это гарантия качества Web-сервера. Однако WebTrust отражает в первую очередь не техническую сторону дела, а его бизнес-составляющую. Печать WebTrust гарантирует, что online-бизнес проверен лицензированной аудиторской компанией на соответствие Принципам и Критериям, описанным Американским институтом сертифицированных бухгалтеров AICPA и Канадским институтом присяжных бухгалтеров CICA. К принципам и критериям могут быть отнесены конфиденциальность (confidentiality), защищенность (security), доступность (availability), соблюдение прав на частную жизнь (privacy), удовлетворение клиентов (consumer redress) и прозрачность деловых принципов (business practice). «Знак качества» WebTrust обычно выдается компаниям, которые осуществляют свою деятельность в Internet и реализуют схему «бизнес клиентам» (business-to-client, B2C), с целью повышения доверия посетителей Web-сервера к розничным online-покупкам. В отличие от Thawte и VeriSign, сертификат которых выдается на 1 год, печать WebTrust требует ежеквартального обновления, в рамках которого подтверждается очередное соответствие Принципам и Критериям.

Выдавать заключения о соответствии тестируемого Web-сервера документам AICPA и CICA может любая компания, получившая лицензию на право проведения такой деятельности. В России таких компаний пока немного – их можно пересчитать по пальцам одной руки, например, KPMG или Ernst & Young. Однако больший объем работ, проводимых в процессе сертификации на получение WebTrust, приводит и к большим затратам, с чем связано не очень активное продвижение этого сервиса в России и практически полное отсутствие «сертифицированных» сайтов.

Можно заметить, что два описанных выше варианта (как и их аналоги – TRUSTe, BBBonline и т.п.) не гарантируют защиту ни от одной из перечисленных мной причин проблем на сайте Банка Москвы. И это действительно так. Решение Thawte защищает скорее от фишинга, чем от уязвимостей в коде сайта, а решение WebTrust ориентировано больше на «организационную» или бизнес-составляющую. Альтернативой являются «технические» сервисы, позволяющие проверить именно отсутствие уязвимостей на сайте или провести его более глубокий анализ, вплоть до изучения исходных кодов.

Примером такого сервиса является McAfee SECURE for Websites от компании McAfee, недавно купленной компанией Intel (судьба этого сервиса теперь под вопросом). В рамках заключенного контракта вы получаете на сайт иконку «McAfee SECURE», и при этом специалисты McAfee ежедневно сканируют ваш сайт на наличие сотен и тысяч известных уязвимостей. Очень интересный и полезный сервис, если бы не одно «но»… В 2008-м году его репутация была подмочена Рассом МакРи, который обнаружил немало уязвимостей на якобы «защищенных» и проверенных сайтах, имеющих печать McAfee.

А есть ли в России такой сервис, спросите вы? Есть. Его предлагает отечественная компания Positive Technologies, которая осуществляет как заказной анализ защищенности Web-приложений (например, систем ДБО), так и выдачу сертификата «безопасное Web-приложение» для сайтов. Правда, последний сценарий пользуется популярностью (если вообще можно использовать это слово) у разработчиков движков для Web-серверов. Например, компания «1С-Битрикс» провела с помощью экспертов Positive Technologies аудит кода своего программного продукта «1С-Битрикс: Управление сайтом» и получила подтверждение его защищенности.

Что мы видим? Есть проблема и она серьезная. Есть различные варианты ее решения – от организационных до глубоко технических. Но почему же на рынке отсутствует и достаточное предложение и маломальский спрос? Все дело в невостребованности со стороны самих пользователей Интернет. Далеко не каждый посетитель всемирной сети задумывается о конфиденциальности доверяемой этим ресурсам информации и персональных данных. Этот парадоксальный факт подтверждается исследованиями агентства, проведенными по заказу PricewaterhouseCoopers в начале 2000-х годов среди регулярной аудитории Рунета. Более половины опрошенных не интересуются правилами защиты персональных данных в Интернет. А ведь это была деловая аудитория - руководители, люди с высоким уровнем доходов и т.п. Менее обеспеченные пользователи (студенты, люди искусства и культуры и т.п.) демонстрировали свою заинтересованность также нечасто - только 40% из них задумываются о защите собственной информации на посещаемых сайтах. И это проблема не только россиян – аналогичные результаты показывают и более свежие зарубежные исследования. Вот и получается, что пока не будет достигнута определенная критическая масса, серьезно говорить о защите Web-сайтов не приходится.