Всем до лампочки, пока рак не свистнет

31 Янв
2012

Перспективы для ведения войн в киберпространстве в век высоких технологий открывают перед злоумышленниками поистине невиданные доселе возможности. От желания обогатиться за счёт чужой информационной системы до действий связанных с промышленным шпионажем.

Осознание того, что информационные технологии — не забава, а вполне серьезное средство воздействия на окружающую действительность, вызывает волну интереса к ним как военно-разведывательных ведомств, так частных и государственных компаний.

Несмотря на то, что многие люди осознают угрозу кибератак, отношение к ним остаётся довольно попустительское, даже после того как произошёл инцидент.

Мы с командой Leakage Defence, которая специализируются в области web безопасности, решили объединить существующие наработки и описать отношение крупных компаний к вопросу безопасности.

Для примера возьмём три различных мировых компаний:
NASA, USA Today, Wired, которые подвергаются ежедневным атакам и должны ставить планку безопасности выше среднего. Чиновники утверждающие что за атакой на информационные системы должны стоять организованные группировки или страны, а не одинокий юноша глубоко заблуждаются. Чтобы совершить кибератаку на сайт мировой корпорации в 80% случаев достаточно 7 — 15 минут, не прибегая к использованию автоматизированных сканеров уязвимостей.

На все вышеописанные сайты, после поверхностного анализа и случайно обнаруженных уязвимостей, были высланы уведомления о нарушении целостности. Приведём лишь некоторые из них.

NASA. SQL Injection:

NASA. SQL Injection

NASA. XSS:

NASA. XSS

USA Today. SQL Injection:

USA Today. SQL Injection

USA Today. XSS:

USA Today. XSS

Wired. SQL Injection:

Wired.  SQL Injection

Wired. XSS:

Wired.  XSS

Никакой реакции не последовало. Уязвимости по истечении месяца не были устранены.

Неужели пока не произойдёт инцидент никто ни за что хвататься не будет. И дело не в важности потери информации, а в банальной человеческой лени предпринимать шаги, пока рак не свистнет.

Наверно у многих блоговчан возникает вполне резонный вопрос, зачем была написанная данная статья. Отвечу.

1. В качестве эксперимента интересно, на сколько быстро организация способна реагировать на случившейся инцидент, после обнародования информации на публичных ресурсах.

2. Если случиться утечка информации с вышеописанных ресурсов, то первыми под ударом окажемся мы, т. к. уже высылали уведомление о нарушении целостности сайтов и мы лично заинтересованы в скорейшей их ликвидации.
По материалам Хабрахабр.



загрузка...

Комментарии:

Наверх