«Безопасность» на честном слове
3 октября 2016
Фальшивому другу мы предпочитаем открытого врага.
Фридрих Энгельс
Если из базы данных веб-сайта утекают сведения, это представляет опасность для пользователей. При этом в «ЧаВо» многих ресурсов вы можете прочитать уверения в безопасности: пользуйтесь, беспокоиться не о чем.
В качестве аргумента обычно приводится использование SSL.
Ваши данные – в полной безопасности. На этом сайте используется криптографический протокол SSL и 128-битное шифрование, что позволяет исключить возможность злоумышленникам получить доступ к вашей информации. Ни о чем не беспокойтесь!
Использование SSL – не панацея!
Да, ваши данные, передающиеся из браузера (т. е. с вашего компьютера) на веб-сервер сайта, – в безопасности.
Более того, безопасность SSL – миф, и миф опасный. Шифрование канала никак не защитит в случае подмены сертификата на уровне провайдера в момент передачи или в случае перехвата трафика на уровне компьютера (так же с помощью подмены сертификата).
Валидный SSL-сертификат, выпущенный для атакуемого домена, позволяет провести незаметную для пользователя атаку типа «человек посередине». Для этого требуется, чтобы между атакуемым пользователем и сервером существовал управляемый атакующим узел, активно перехватывающий трафик. Этот узел представляется как легитимный сервер, предъявляя тот самый валидный сертификат.
Перехват HTTPS-соединения может быть автоматизирован – существуют специальные узлы-прокси (SSL-прокси), которые выполняют такой перехват на лету, в том числе генерируя нужные сертификаты. В такой прокси должен быть загружен сертификат и секретный ключ, позволяющие подписывать другие сертификаты (например, годится так называемый промежуточный сертификат УЦ, выпущенный для этих целей).
«Человек посередине» не работает для HTTPS при наличии некоторых дополнительных мер: например, установление TLS-соединения требует взаимной аутентификации, и перехватывающему узлу недоступен клиентский секретный ключ (либо ключи УЦ, удостоверяющего клиентский ключ); или – пользовательский браузер ведет реестр отпечатков открытых ключей сервера, которым он доверяет; или – пользователь применяет дополнительные источники сведений о разрешенных ключах и сертификатах, которые недоступны для подмены на перехватывающем узле (таким источником может служить DNS или другая база данных).
Большинство сервисов использует так называемый SSL termination: то есть пользовательский HTTPS-трафик в зашифрованном виде доходит только до пограничного прокси, где благополучно транслируется в HTTP, который дальше ходит по внутренним (в логическом, а не техническом смысле) сетям сервиса в открытом виде. Это стандартная практика, так как тотальный HTTPS, с ростом числа клиентов, быстро превращается в неподъемную, плохо масштабируемую технологию. Если система инспекции трафика находится внутри сетей сервиса, за таким пограничным SSL-прокси, то никакой HTTPS ей не мешает. Внутренний трафик распределенных сервисов с легкостью ходит между узлами и дата-центрами по арендованным у крупных операторов каналам связи в открытом виде, такой трафик может прослушиваться, хотя для пользователя он выглядит как HTTPS-соединение.
И самое главное: если на компьютере уже работает вредоносная программа, имеющая доступ к браузеру, то HTTPS также оказывается бесполезным, поскольку данные могут перехватываться до попадания в зашифрованный канал. То же самое справедливо и со стороны сервера.
С другой стороны, предупреждения браузера о «незащищенном соединении» совершенно не обязательно означают, что вы подвергаетесь какой-то опасности.
К ошибкам в продуктах Microsoft все уже давным-давно привыкли, однако таковые, оказывается, встречаются и за их пределами. Возьмем, например, вполне официальный, весьма популярный и очень востребованный у населения сайт Microsoft.com. Откроем его в браузере, наберем любой запрос в поле поиска, чтобы обратиться к данному ресурсу по протоколу HTTPS… Ой, что это?
Используемый сайтом сертификат был сгенерирован для доменов третьего уровня, потому браузер сначала немного удивляется, а затем пугается уже окончательно и советует пользователю: «вы должны покинуть этот сайт немедленно!». А-а-а-а, бежим отсюда!
Если же вы и не собирались передавать какую-либо информацию, объективной необходимости в использовании SSL у вас вообще нет! А вот для злоумышленника, распространяющего вирусы с сервера, наличие зашифрованного канала – приятный подарок. Ведь если антивирус не может проверять зашифрованный трафик, вредоносный файл преодолеет все рубежи обороны и попадет в систему.
Компоненты Dr.Web SpIDer Mail и Dr.Web SpIDer Gate имеют возможность проверки зашифрованного трафика.
Бывает, что администрация сайта с гордостью рассказывает о каких-нибудь ежедневных автоматических веб-сканированиях.
Наш сайт ежедневно проходит проверку веб-сканером, обнаруживающим вредоносное ПО и известные уязвимости. Мы не оставили злоумышленникам ни единого шанса, но если произойдет чудо – мы узнаем об этом первыми и примем необходимые меры.
В свою очередь, сканеры вредоносного ПО, проверяющие непосредственно сайт, способны найти на нем все известные угрозы. Но если отсутствует проверка сервера, на котором размещен сайт, безопасность оказывается призрачной – ведь в наше время появляется все больше троянцев под Linux (операционной системы, в большинстве случаев использующейся для построения сайтов). А известные уязвимости – на то и известные, что, если бы ими можно было воспользоваться в автоматическом режиме, скорее всего, сайт бы уже был взломан.
Инструменты работают в умелых руках!
#проверка_трафика #шифрование #безопасность #сайт #LinuxАнтивирусная правДА! рекомендует
Если вы пользователь:
- Не принимайте уверения сайтов в безопасности ваших данных за чистую монету — многочисленные утечки персональных данных уже показали, что сайты, как и обычные ПК, тоже подвержены успешным атакам. Лучше поинтересуйтесь, проходил ли ваш любимый сервис аудит безопасности, и какой антивирус установлен на его сервере.
- Не поддавайтесь панике при обнаружении предупреждений, советующих вам срочно перестать пользоваться каким-либо сервисом, постарайтесь разобраться в вопросе самостоятельно или с помощью специалиста.
- Помните: вероятность того, что переданные вами в Интернет данные станут доступны третьим лицам, всегда отлична от нуля.
Если вы веб-мастер: обнаружить троянца на вашем сервере сможет только резидентный антивирус, особенно если сервер под управлением Linux!
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Вячеслав
11:03:17 2020-11-09
Toma
15:32:19 2018-12-11
Денисенко Павел Андреевич
22:09:25 2018-08-05
vasvet
10:29:01 2018-04-10
alex-diesel
13:46:26 2018-03-22
Я давно хочу перестать полагаться только на профессионализм и ответственность хостера - есть такой резидент?
Или я глупый вопрос задаю?
Шалтай Александр Болтай
16:50:26 2017-02-28
eaglebuk
10:20:36 2017-02-09
Otvagin
14:35:03 2016-12-14
azimut
18:52:53 2016-12-09
М...ч
20:35:37 2016-10-19
natplack
14:35:14 2016-10-10
2018
22:48:13 2016-10-04
Кароче не пользуйтесь интернетом
Bigvit
12:00:31 2016-10-04
Неуёмный Обыватель
02:01:36 2016-10-04
Anatoliy
23:58:41 2016-10-03
Mehatronik
23:57:59 2016-10-03
vla_va
22:50:57 2016-10-03
В...а
22:28:42 2016-10-03
НинаК
22:09:30 2016-10-03
Геральт
21:52:58 2016-10-03
Dvakota
21:46:31 2016-10-03
kva-kva
21:42:23 2016-10-03
mk.insta
21:07:59 2016-10-03
Marsn77
20:54:20 2016-10-03
Voin sveta
20:06:07 2016-10-03
krant
17:54:34 2016-10-03
Это правда.
Спасибо за автору за эксплицитность.
B0RIS
17:53:19 2016-10-03
Deniskaponchik
17:34:39 2016-10-03
kozinka.ru
16:56:23 2016-10-03
Поэтому, думать и ещё раз думать, куда и зачем ты заходишь и какой след ты там оставишь! А уж то, что ты там оставишь хоть что-то, сомневаться не надо.
Lia00
16:22:06 2016-10-03
Вячeслaв
15:39:43 2016-10-03
В условиях облаков все на самом деле еще страшнее. Антивирус по команде из облака может произвести в принципе практически любое изменение на компьютере, на котором он установлен.
Но все это реалии времени. Сколько доступов к компьютерам пользователей скапливается в любой техподдержке? Сколько данных о нас собирает Windows 10 или Google c Фейсбуком?
Стеклянный мир живущий на доверии. Дао и только дао!
Неуёмный Обыватель
15:32:18 2016-10-03
И когда читал, сразу вспомнился казахский сертификат и грядущий нашенский сертификат.
Ну да ладно, просто жить нужно так, чтобы не было стыдно ни перед кем. Сподобиться святым старцам, дошедшими до просветленного состояния, как на голове, так и в голове
Вячeслaв
15:19:40 2016-10-03
Неуёмный Обыватель
15:17:32 2016-10-03
Неуёмный Обыватель
15:12:51 2016-10-03
Легко валить свои грешки на кого-то, чтобы оправдать себя. Одна только фраза "теперь операционная система может год стоять и больше без переустановки" обо всём чётко говорит ;)
bob123456
14:50:45 2016-10-03
__
Однако стоит заметить, что ошибки в продуктах Майкрософт в последних версиях системы уже ушли в прошлое. И если раньше приходилось переустанавливать систему и ПО раз в пару месяцев, то теперь операционная система может год стоять и больше без переустановки. Да и десятка стала намного более защищённой к вирусным атакам. Поломать её так, чтобы пришлось устанавливать заново, достаточно сложно (но можно). Плюс ко всему на Х64-битной архитектуре многие 32-битные вирусы просто не работают. Так что майкрософтовское ПО стоит того, чтобы обновляться на более новую операционную систему.
Вячeслaв
14:17:41 2016-10-03
К сожалению именно так
Вячeслaв
14:16:09 2016-10-03
ЗЫ. А еще мы (в смысле антивирусы вообще) перетряхиваем в поисках вирусов любой ваш документ, отслеживаем нажатия на клавиатуре и прочее. А как иначе найти вирусы? Сами они в своем присутствии сознаваться не хотят
Andromeda
13:14:30 2016-10-03
Альфа
12:51:21 2016-10-03
user
12:35:14 2016-10-03
Alix
12:08:02 2016-10-03
Zulfat
11:56:28 2016-10-03
maestro431
11:52:53 2016-10-03
Рита
11:51:46 2016-10-03
Elena
11:44:30 2016-10-03
dyadya_Sasha
11:17:56 2016-10-03
ada
11:16:13 2016-10-03
Дмитpий
10:52:07 2016-10-03
razgen
10:45:07 2016-10-03