Скотт Петерсен, Дэннис Фишер

Обеспечить полную безопасность сети очень трудно, но вы, вероятно, надеетесь, что надежно защищены хотя бы ее жизненно важные элементы. Однако не торопитесь с выводами. Новейшие хакерские стратегии нацелены на самую уязвимую область, которую к тому же труднее всего защитить, - Web-приложения.

Нападения на уровне приложений вовсе не предусматривают применения грубой силы, как это происходит, например, при распределенных атаках, приводящих к отказам в обслуживании. Напротив, здесь действует сетевой пользователь онлайновых банков и магазинов, может быть, даже прошедший аутентификацию. А ведь об угрозе с этой стороны многие просто не задумываются, полностью полагаясь на брандмауэры, системы обнаружения атак и антивирусное ПО.

“Сетевой безопасностью занимается множество специалистов, но полностью решить эту проблему им пока не удалось, - считает Майк Сербайнис, старший офицер безопасности из фирмы Critical Path (Сан-Франциско, шт. Калифорния), предлагающей услуги по обработке сообщений. - Бороться со взломами на уровне приложений очень трудно, так как при этом необходимо учитывать массу деталей. А большинство узлов все еще не достигло уровня защищенности, который позволил бы делать это”.

Атакуя приложения, взломщик использует бреши, свойственные многим HTML-страницам. Например, он может отредактировать параметры Web-узла в поле URL и изменить цену товара. Это поле слишком часто оказывается открытым для подобного “силового просмотра” и соответственно для доступа к сценариям Common Gateway Interface, Visual Basic или Java. Более того, с помощью расширений через него нетрудно добраться и до самого Web-сервера. Все дело в том, что как только система признала пользователя прошедшим аутентификацию и допустила до этой области сайта, помешать злоумышленнику совершить свое грязное дело уже практически невозможно.

“Большинство успешных атак было направлено на приложения, поскольку именно здесь чаще всего хранится самая важная информация, - признает Алан Паллер, директор по исследованиям института SANS (Бетезда, шт. Мэриленд). - Работа приложений не слишком-то заметна для окружающего мира, но ОС предоставляет хакеру все необходимые порты, через которые можно попытаться выйти на эти приложения. Раньше атакам подвергались, как правило, операционные системы, но лишь потому, что так было удобнее хакерам. Если же вам нужен журнальный файл клиентов или данные кредитных карточек, вы, естественно, будете добираться до них через соответствующее приложение”.

Типы хакерских атак и их цели постоянно отслеживает Институт компьютерной безопасности, расположенный в Сан-Франциско. В ходе недавно проведенного опроса 59% корпоративных респондентов отметило частые атаки на свои подключения к Интернету, а 38% - нападения на внутренние системы.

Как подозревают некоторые руководители, взломом приложений занимаются служащие их же компаний. “Защитить одну точку доступа нетрудно, - говорит Кевин Данн, исполнительный директор и главный инженер фирмы EdExpress (Даллас, шт. Техас), помогающей родителям накопить средства на обучение детей в колледжах. - Гораздо опаснее, если злоумышленник заведется среди тех, кто работает в сети. Каким образом обеспечить служащим доступ ко всей рабочей документации и при этом упредить угрозу безопасности с их стороны?” А ведь в электронном бизнесе доступ к Web-приложениям компании получают не только сами служащие, но и сотни, если не тысячи партнеров и доверенных клиентов извне. В результате возникает серьезная опасность, для отражения которой ни традиционные системы обнаружения атак, ни брандмауэры просто не предназначены.

“Разработчики брандмауэров попросту игнорируют защиту приложений, поскольку эта задача слишком сложна, - полагает Нир Зак, главный инженер фирмы OneSecure (Денвер, шт. Колорадо), предоставляющей своим клиентам управляемые услуги безопасности. - Если Web-узел создан на базе Java - языка довольно хорошо защищенного, его владельцы зачастую чувствуют себя в полной безопасности. Однако брандмауэры и системы обнаружения атак совершенно не годятся для защиты приложений”.

И тем не менее разработчикам Web-приложений и сетевым менеджерам, которые хотели бы закрыть бреши до того, как о них узнает кто-то другой, отчаиваться не стоит.

Помощь им, в частности, предлагает начинающая фирма Sanctum (Санта-Клара, шт. Калифорния), основанная бывшим экспертом в области безопасности вооруженных сил Израиля. Здесь разработана программная система AppScan, призванная защищать не только от внешних атак, но и от взлома приложений. Она проводит аудит Web-узла и проверяет все его страницы, ссылки и сценарии, сопоставляя их с базой знаний о возможных брешах. После этого ПО имитирует атаку и оценивает уязвимость приложения. А в версии AppScan 2.0, появившейся в феврале нынешнего года, предусмотрена даже автоматизация всего этого процесса.

Sanctum предлагает AppScan предприятиям, для которых лицензия на одного пользователя обходится в 20 тыс. долл. в год. А поставщики услуг безопасности и аудиторы с ее помощью могут усовершенствовать свои технологии сканирования.

Этот программный инструментарий, скажем, уже взяла на вооружение фирма Yahoo (Санта-Клара, шт. Калифорния). Здесь он используется в процессе разработки приложений с целью выявления брешей в них, а также для окончательной проверки завершенных продуктов перед вводом в эксплуатацию.

“Необходимость защищать приложения будет осознаваться постепенно, по мере развития рынка, пока же компании больше тревожатся о работоспособности своих сайтов, - уверен Артуро Бежар, технический специалист портала Yahoo. - Но ведь дело не в том, воспользовался кто-то брешью или нет. Главное, что она существует. А система AppScan помогает автоматически обнаруживать уязвимые места, она берет на себя операции, которые раньше приходилось выполнять вручную”.

Типы атак на Web-приложения

- Скрытое манипулирование

- Изменение параметров

- Искажение файлов-“пирожков” (cookie)

- Скрытый перехват управления

- “Силовой” просмотр

- Проникновение с “черного хода” и через средства отладки

- Нарушение конфигурации извне

- Использование сценариев для всего узла

- Перегрузка буфера

- Обнародование уязвимых мест

Источник: фирма Sanctum.