Главная > Uncategorized > Забавный дуализм в оценке рисков ненаправленных атак на сайты

Забавный дуализм в оценке рисков ненаправленных атак на сайты

Многие владельцы небольших веб-сайтов не ожидают направленные атаки на свои ресурсы. Таким образом, задача обеспечения безопасности сводится к реализации ровно таких защитных мер, которых достаточно для предупреждения ненаправленных атак.

Напомню, что целью ненаправленных атак являются любые информационные ресурсы, после компрометации которых злоумышленник получит с них некоторый доход (единовременный или постоянный). Из определения следует, что ненаправленные атаки характерны во-первых, массовостью, и, во-вторых, невысоким уровнем мотивации злоумышленников в отношении своих целей. Действительно, вместо длительного взлома одной хорошо защищенной цели экономически выгоднее скомпрометировать несколько менее защищенных целей.

До недавних пор я считал, что в деле защиты от ненаправленных атак работает принцип двух товарищей и медведя. Принцип гласит, что для того, чтобы не быть съеденным медведем, не надо бежать быстрее медведя, а достаточно бежать быстрее своего товарища. В переложении на веб-безопасность это значит, что защищенность сайта должна быть немного выше, чем средняя защищенность других сайтов того же класса в той же гео-зоне. Идея понятна: злоумышленники, реализующие ненаправленные атаки, добиваются массовости. Следовательно, у них есть понимание того, когда анализ очередной цели стоит прекратить (ибо он становится не cost-effective, т.е. прибыль с данного сайта не покроет ресурсы, потраченные на его взлом) и перейти к следующей, вероятно более уязвимой цели.

Так вот на днях меня посетило озарение, что это не всегда так.
А связано это с тем, что у серьезных групп cybercriminal’ов есть возможность покупки 0day уязвимостей в наиболее массовых продуктах (WordPress, Joomla и т.п.) за бешеные миллионы и, таким образом, мотивировать их ресерч. А это значит, что если вы используете очень неплохо защищенную CMS, но при этом очень популярную (что, как нетрудно заметить, взаимосвязано), есть неплохой шанс нарваться на мега-массовую ненаправленную атаку. И тому уже есть несколько примеров.

И чтобы немножко потроллить: получается, что для того, чтобы максимально снизить риск ненаправленных атак, надо использовать какой-нибудь экзотический фреймворк, написанный вменяемыми людьми (например, Zotonic на Erlang’е) :)

Реклама
  1. 07.11.2011 в 23:53

    Пример таки не слишком удачный: «This is not a vulnerability on WordPress.» ;)
    Ну и конечно вместо «экзотический фреймворк» — static HTML under VCS!

  1. No trackbacks yet.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: