«Безопасность» на честном слове

Уязвимые

добавить в избранное

«Безопасность» на честном слове

Прочитали: 12036 Комментариев: 70 Рейтинг: 313

3 октября 2016

Фальшивому другу мы предпочитаем открытого врага.

Фридрих Энгельс

Если из базы данных веб-сайта утекают сведения, это представляет опасность для пользователей. При этом в «ЧаВо» многих ресурсов вы можете прочитать уверения в безопасности: пользуйтесь, беспокоиться не о чем.

В качестве аргумента обычно приводится использование SSL.

Ваши данные – в полной безопасности. На этом сайте используется криптографический протокол SSL и 128-битное шифрование, что позволяет исключить возможность злоумышленникам получить доступ к вашей информации. Ни о чем не беспокойтесь!

Использование SSL – не панацея!

Да, ваши данные, передающиеся из браузера (т. е. с вашего компьютера) на веб-сервер сайта, – в безопасности.

Более того, безопасность SSL – миф, и миф опасный. Шифрование канала никак не защитит в случае подмены сертификата на уровне провайдера в момент передачи или в случае перехвата трафика на уровне компьютера (так же с помощью подмены сертификата).

Валидный SSL-сертификат, выпущенный для атакуемого домена, позволяет провести незаметную для пользователя атаку типа «человек посередине». Для этого требуется, чтобы между атакуемым пользователем и сервером существовал управляемый атакующим узел, активно перехватывающий трафик. Этот узел представляется как легитимный сервер, предъявляя тот самый валидный сертификат.

Перехват HTTPS-соединения может быть автоматизирован – существуют специальные узлы-прокси (SSL-прокси), которые выполняют такой перехват на лету, в том числе генерируя нужные сертификаты. В такой прокси должен быть загружен сертификат и секретный ключ, позволяющие подписывать другие сертификаты (например, годится так называемый промежуточный сертификат УЦ, выпущенный для этих целей).

«Человек посередине» не работает для HTTPS при наличии некоторых дополнительных мер: например, установление TLS-соединения требует взаимной аутентификации, и перехватывающему узлу недоступен клиентский секретный ключ (либо ключи УЦ, удостоверяющего клиентский ключ); или – пользовательский браузер ведет реестр отпечатков открытых ключей сервера, которым он доверяет; или – пользователь применяет дополнительные источники сведений о разрешенных ключах и сертификатах, которые недоступны для подмены на перехватывающем узле (таким источником может служить DNS или другая база данных).

Большинство сервисов использует так называемый SSL termination: то есть пользовательский HTTPS-трафик в зашифрованном виде доходит только до пограничного прокси, где благополучно транслируется в HTTP, который дальше ходит по внутренним (в логическом, а не техническом смысле) сетям сервиса в открытом виде. Это стандартная практика, так как тотальный HTTPS, с ростом числа клиентов, быстро превращается в неподъемную, плохо масштабируемую технологию. Если система инспекции трафика находится внутри сетей сервиса, за таким пограничным SSL-прокси, то никакой HTTPS ей не мешает. Внутренний трафик распределенных сервисов с легкостью ходит между узлами и дата-центрами по арендованным у крупных операторов каналам связи в открытом виде, такой трафик может прослушиваться, хотя для пользователя он выглядит как HTTPS-соединение.

https://dxdt.ru/2013/08/02/6066/

И самое главное: если на компьютере уже работает вредоносная программа, имеющая доступ к браузеру, то HTTPS также оказывается бесполезным, поскольку данные могут перехватываться до попадания в зашифрованный канал. То же самое справедливо и со стороны сервера.

С другой стороны, предупреждения браузера о «незащищенном соединении» совершенно не обязательно означают, что вы подвергаетесь какой-то опасности.

К ошибкам в продуктах Microsoft все уже давным-давно привыкли, однако таковые, оказывается, встречаются и за их пределами. Возьмем, например, вполне официальный, весьма популярный и очень востребованный у населения сайт Microsoft.com. Откроем его в браузере, наберем любой запрос в поле поиска, чтобы обратиться к данному ресурсу по протоколу HTTPS… Ой, что это?

Используемый сайтом сертификат был сгенерирован для доменов третьего уровня, потому браузер сначала немного удивляется, а затем пугается уже окончательно и советует пользователю: «вы должны покинуть этот сайт немедленно!». А-а-а-а, бежим отсюда!

http://blogs.drweb.com/byvaet-i-takoe/

Если же вы и не собирались передавать какую-либо информацию, объективной необходимости в использовании SSL у вас вообще нет! А вот для злоумышленника, распространяющего вирусы с сервера, наличие зашифрованного канала – приятный подарок. Ведь если антивирус не может проверять зашифрованный трафик, вредоносный файл преодолеет все рубежи обороны и попадет в систему.

Компоненты Dr.Web SpIDer Mail и Dr.Web SpIDer Gate имеют возможность проверки зашифрованного трафика.

Бывает, что администрация сайта с гордостью рассказывает о каких-нибудь ежедневных автоматических веб-сканированиях.

Наш сайт ежедневно проходит проверку веб-сканером, обнаруживающим вредоносное ПО и известные уязвимости. Мы не оставили злоумышленникам ни единого шанса, но если произойдет чудо – мы узнаем об этом первыми и примем необходимые меры.

В свою очередь, сканеры вредоносного ПО, проверяющие непосредственно сайт, способны найти на нем все известные угрозы. Но если отсутствует проверка сервера, на котором размещен сайт, безопасность оказывается призрачной – ведь в наше время появляется все больше троянцев под Linux (операционной системы, в большинстве случаев использующейся для построения сайтов). А известные уязвимости – на то и известные, что, если бы ими можно было воспользоваться в автоматическом режиме, скорее всего, сайт бы уже был взломан.

Инструменты работают в умелых руках!

#проверка_трафика #шифрование #безопасность #сайт #Linux

Антивирусная правДА! рекомендует

Если вы пользователь:

Не принимайте уверения сайтов в безопасности ваших данных за чистую монету — многочисленные утечки персональных данных уже показали, что сайты, как и обычные ПК, тоже подвержены успешным атакам. Лучше поинтересуйтесь, проходил ли ваш любимый сервис аудит безопасности, и какой антивирус установлен на его сервере.
Не поддавайтесь панике при обнаружении предупреждений, советующих вам срочно перестать пользоваться каким-либо сервисом, постарайтесь разобраться в вопросе самостоятельно или с помощью специалиста.
Помните: вероятность того, что переданные вами в Интернет данные станут доступны третьим лицам, всегда отлична от нуля.

Если вы веб-мастер: обнаружить троянца на вашем сервере сможет только резидентный антивирус, особенно если сервер под управлением Linux!

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Вячеслав
11:03:17 2020-11-09

нужно взять на вооружение

Toma
15:32:19 2018-12-11

В наше время нужно серьезно задумываться об информационной безопасности.

Денисенко Павел Андреевич
22:09:25 2018-08-05

Некоторые предупреждения в ПК, иногда они бывают ложными.

vasvet
10:29:01 2018-04-10

Главное не впадать в панику, трезво рассматривать проблему.

alex-diesel Собкор
13:46:26 2018-03-22

А что может Dr.Web посоветовать для вебмастеров - владельцев сайтов на хостинге?
Я давно хочу перестать полагаться только на профессионализм и ответственность хостера - есть такой резидент?
Или я глупый вопрос задаю?

Шалтай Александр Болтай Собкор
16:50:26 2017-02-28

— А тебя когда—нибудь сбивала машина? — Да отдам я тебе долг, честное слово, отдам!

eaglebuk
10:20:36 2017-02-09

Спасибо! Своего сайта нет, но интернетом активно пользуюсь.

Otvagin
14:35:03 2016-12-14

1.Использование проверенных сайтов. 2.Хороший антивирус и регулярная проверка на своей технике.

azimut
18:52:53 2016-12-09

На честном слове...

М...ч
20:35:37 2016-10-19

Не уверен, что пользователю предоставят информацию о том, проходил ли мой любимый сервис аудит безопасности, и какой антивирус установлен на его сервере.

natplack
14:35:14 2016-10-10

Если на клетке слона прочтёшь надпись «буйвол», не верь глазам своим. К.Прутков

2018
22:48:13 2016-10-04

Это так спецами быть в интернете. Да только юзеры не понимают и этого - это для сист апминов информация.
Кароче не пользуйтесь интернетом

Bigvit
12:00:31 2016-10-04

Ну это понятно!

Неуёмный Обыватель Собкор
02:01:36 2016-10-04

Поддаваться панике вообще не самый разумный подход. Но не всегда можно взять паузу, чтобы оценить и разобраться. Иногда приходится делать выбор молниеносно.

Anatoliy
23:58:41 2016-10-03

Бояться - в сеть не выходить! А если выходить, то защищайтесь!

Mehatronik
23:57:59 2016-10-03

Любопытная статья) Спасибо)

vla_va
22:50:57 2016-10-03

все в одной лодке

В...а
22:28:42 2016-10-03

К ошибкам привыкли

НинаК
22:09:30 2016-10-03

Верим антивирусу

Геральт Собкор
21:52:58 2016-10-03

Спасибо за инфу!!!

Dvakota
21:46:31 2016-10-03

Не всё понял , но основная мысль понятна .

kva-kva
21:42:23 2016-10-03

да.. все просто и сложно

mk.insta
21:07:59 2016-10-03

не панацея!

Marsn77
20:54:20 2016-10-03

Согласен, не стоит воспринимать утверждения на сайтах о полной безопасности за чистую монету

Voin sveta Собкор
20:06:07 2016-10-03

Пиар, пиар и еще раз пиар. Ну кто из веб-мастеров этим не увлекался? А пользователям сервисов ваша статья - дельный совет - доверяй, но проверяй! Спасибо за интересный выпуск!

krant
17:54:34 2016-10-03

"Вероятность того, что переданные вами в Интернет данные станут доступны третьим лицам, всегда отлична от нуля."
Это правда.
Спасибо за автору за эксплицитность.

B0RIS
17:53:19 2016-10-03

Абсолютной защиты и безопасности не существует. В большей половине угроз виноваты сами пользователи.

Deniskaponchik Собкор
17:34:39 2016-10-03

И снова крайне полезная статья!

kozinka.ru Собкор
16:56:23 2016-10-03

Статья в очередной раз подчёркивает прозрачность наших взаимоотношений со всякого рода ресурсами в Интернете.
Поэтому, думать и ещё раз думать, куда и зачем ты заходишь и какой след ты там оставишь! А уж то, что ты там оставишь хоть что-то, сомневаться не надо.

Lia00 Собкор
16:22:06 2016-10-03

не ясно

Вячeслaв Собкор
15:39:43 2016-10-03

@Неуёмный_Обыватель, ну не до такой степени :-) Я когда писал комментарий пытался вспомнить название соответствующей китайской философии, но решил ограничиться мультфильмом.
В условиях облаков все на самом деле еще страшнее. Антивирус по команде из облака может произвести в принципе практически любое изменение на компьютере, на котором он установлен.
Но все это реалии времени. Сколько доступов к компьютерам пользователей скапливается в любой техподдержке? Сколько данных о нас собирает Windows 10 или Google c Фейсбуком?
Стеклянный мир живущий на доверии. Дао и только дао!

Неуёмный Обыватель Собкор
15:32:18 2016-10-03

@м...ч, ваш совет из разряда советов жертве "расслабиться и получить удовольствие" :)
И когда читал, сразу вспомнился казахский сертификат и грядущий нашенский сертификат.
Ну да ладно, просто жить нужно так, чтобы не было стыдно ни перед кем. Сподобиться святым старцам, дошедшими до просветленного состояния, как на голове, так и в голове

Вячeслaв Собкор
15:19:40 2016-10-03

@Неуёмный_Обыватель, "Спокойствие, только спокойствие" (С)

Неуёмный Обыватель Собкор
15:17:32 2016-10-03

@м...ч, и как теперь после ваших откровений жить параноику?

Неуёмный Обыватель Собкор
15:12:51 2016-10-03

bob123456, боюсь представить какую вы распутную жизнь вели, что вам приходилось переустанавливать систему раз в пару месяцев. Говорю так, потому что точно так же приходилось поступать моему коллеге- любителю игр, крутых взломанных приложений и всяких усовершаторов, сайтов для взрослых и всякой халявы в интернете. Предыдущий мой ПК прожил с 2002 по 2012 и не потребовал переустановки системы (Windows XP) ни разу. Нынешнему с 2011 года потребовалась переустановка система один раз ввиду поломки жесткого диска. Но это никоим образом не вина продуктов Майкрософт.
Легко валить свои грешки на кого-то, чтобы оправдать себя. Одна только фраза "теперь операционная система может год стоять и больше без переустановки" обо всём чётко говорит ;)

bob123456 Собкор
14:50:45 2016-10-03

К ошибкам в продуктах Microsoft все уже давным-давно привыкли.
__

Однако стоит заметить, что ошибки в продуктах Майкрософт в последних версиях системы уже ушли в прошлое. И если раньше приходилось переустанавливать систему и ПО раз в пару месяцев, то теперь операционная система может год стоять и больше без переустановки. Да и десятка стала намного более защищённой к вирусным атакам. Поломать её так, чтобы пришлось устанавливать заново, достаточно сложно (но можно). Плюс ко всему на Х64-битной архитектуре многие 32-битные вирусы просто не работают. Так что майкрософтовское ПО стоит того, чтобы обновляться на более новую операционную систему.

Вячeслaв Собкор
14:17:41 2016-10-03

@Luger, ... а количество троянов к нему все больше :-)
К сожалению именно так

Вячeслaв Собкор
14:16:09 2016-10-03

@user, ну что за паранойя. Вот уж чего на фоне прочего бояться не стоит. За все антивирусы не поручусь, а ведущие имеют такой функционал. Как правило добавляется сертификат и отслеживается входящий/исходящий трафик. Увы, но вирусописатели тоже знают о преимуществах шифрования трафика.
ЗЫ. А еще мы (в смысле антивирусы вообще) перетряхиваем в поисках вирусов любой ваш документ, отслеживаем нажатия на клавиатуре и прочее. А как иначе найти вирусы? Сами они в своем присутствии сознаваться не хотят

Andromeda
13:14:30 2016-10-03

Много непонятного, но статью прочитала до конца.

Альфа
12:51:21 2016-10-03

Профессиональный выпуск.

user
12:35:14 2016-10-03

Компоненты drweb имеют возможность проверки зашифрованного трафика. Вот это поворот. Всем всем всем спецслужбам срочно переходить на drweb. А то только эти компоненты пока могут проверять зашифрованный трафик, который вы так активно перехватываете.

Alix
12:08:02 2016-10-03

Эта статья рассчитана на продвинутого пользователя, чем другие статьи в цикле. Но всё равно спасибо.

Zulfat
11:56:28 2016-10-03

Aнтивирус нужен всегда.

maestro431
11:52:53 2016-10-03

Даже написать нечего!

Рита
11:51:46 2016-10-03

Очень интересный выпуск.

Elena
11:44:30 2016-10-03

Сложно.

dyadya_Sasha Собкор
11:17:56 2016-10-03

"...Ваши данные – в полной безопасности. На этом сайте используется криптографический протокол SSL и 128-битное шифрование, что позволяет исключить возможность злоумышленникам получить доступ к вашей информации. Ни о чем не беспокойтесь!..." Для Большинства обычных пользователей читаться будет только " ни о чем не беспокойтесь", а остальное важность нагоняет. Напиши "протокол SSSSLLL и 1024-битное шифрование" и будет ещё круче и доверять больше будут. Что уж говорить о том, как используется протокол и где данные идут в зашифрованном виде, а где в открытом. Поэтому пользователю просто надо помнить, что " вероятность того, что переданные вами в Интернет данные станут доступны третьим лицам, всегда отлична от нуля" и думать что передавать, а что нет.

ada
11:16:13 2016-10-03

Интересный выпуск.

Дмитpий Собкор
10:52:07 2016-10-03

Если и достижима безопасность при передаче данных и к ней стремятся, то все понимают, что усилия по её обеспечению должны прикладываться с обоих сторон - и со стороны клиента и со стороны сервера.

razgen Собкор
10:45:07 2016-10-03

Понятно....

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

«Безопасность» на честном слове

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей