Dēļ iepriekšējā raksta ka2.lv blogā, izvērtās diezgan plašas diskusijas- par to, kur parādās tā ievainojamība mājaslapai? To izskaidrot lūdzu vienam no ka2.lvtehniskās nodaļas kolēģiem!
Patformas un to ievainojamība ir atkarīga gan no platformu izstrādātāja komandas, gan no katras konkrētās instalācijas. Nevar apgalvot ka atvērtās platformas būs ievainojamākas par pašu veidotajām. Par trešo pušu produktiem var diskutēt — piemēram, maksājumu sistēmās un līdzīgās, pēc uzbūves sarežģītās un specifiskās sistēmās bieži vien trešo pušu produkts ir vairāk, ilgāk un rūpīgāk pārbaudīts nekā kaut kas pašu taisīts (it īpaši, ja tas ir bijis "pa lēto" vai "uz ātro" -variants)
No vienas puses. Ja platforma tiek aktīvi apkalpota un atjaunināta- atvērtā koda programmatūra, ir drošāka, jo vairāki cilvēki strādā pie ievainojamību atklāšanas un labošanas.
No otras puses, ja tas ir kaut kas mazāk populārs, tad pavisam noteikti ievainojamības tiks atklātas un salabotas novēloti vai pat nemaz.
Vienmēr ir jārēķinās, ja tas ir kaut kas paštaisīts, tad biezi drošība darbojas pēc principa "security through obscurity", ka potenciāliem iebrucējiem nepietiek informācijas, lai atrastu uzbrukuma metodi, jo sistēma nav tik pārzināma/izpētama no malas.
Doma par paplašināšanu ir ļoti laba jebkuram uzņēmumam un ar pusfabrikātiem bieži vien var būt ļoti grūti pievienot jaunas funkcijas vai dizaina elementus, vai arī rezultāts sanāk nekvalitatīvs, nedrošs vai lietotājam (vai pat uzņēmējam) nedraudzīgs.
Tā nav pieņemtā prakse, tomēr ir platformas, kuras algo speciālas komandas un drošības speciālistus, kuri pie tām strādā (t.sk. pie drošības),bet lielākoties tā nav.
Vislabākajos gadījumos tās ir relatīvi lielas kompānijas, kam ir savi pelnoši produkti, kas paši izmanto šos atvērtos risinājumus un attiecīgi piesaista savus darbiniekus to uzlabošanai.
Piemēram arī, par to pašu Ghost u.c. ievainojamībām — pat ja, piemēram, Wordpress komanda izlabo to caurumu un izspiež atjauninājumu tajā pašā dienā, viņu pašu platforma varbūt arī ir atjaunināta, bet ir miljoniem lapu, kas nav viņu pakļautība, kas darbojas ar vecām sistēmas versijām, kas ir ievainojamas un par kuru ievainojamību zin katrs sīkākais wannabe "hakerītis".
2007. gadā atklājas, ka 98% no WordPress bloga bija pakļauti ievainojamībām, jo darbojās un neatjauninātām un novecojušām programmatūras versijām.
Savukārt 2013 gadā atklājās, ka 50 biežāk lejuplādētās WordPress papildinājumi bija ievainojami standarta web uzlaušanas metodēm SQL injekcijas un XSS. Pārbaudes laikā 7 no desmit bija viegli ievainojumi,
Tādā ziņā speciāli veidotas sistēmas pavisam noteikti ir drošākas, bet arī to drošība ir atkarīga no atjauninājumiem.
Piemēram arī, runājot par drošību — informācijas drošībā ir tāds, teiksim, teiciens: "Never do your own cryptography." Tas nozīmē, ka nekad nekad nekad neraksti kaut kādus savus paroļu šifrēšanas algoritmus vai ko tādu. Tādām lietām ir drošas, standarta sistēmas, kas principā, pašreizējos apstākļos un nākotnes redzējumā, ir neuzlaužamas. Tad nu uz šiem standarta "klucīšiem" tu arī veido savas sistēmas — piemēram, uzņēmuma x gadījumā uz standarta šifrēšanas algoritma ("bcrypt" sistēma) ir būvēta arī standarta lietotāju autorizācijas sistēma — šī tikai ievada lietotājus datubāzē un tos autorizē, kur nav nekā, ko aizsargāt vai ko uzlauzt, jo viss balstās uz drošās paroļu sistēmas. Pēc tam uz šīs lietotāju pieteikšanās sistēmas, piemēram, uzņēmums x veido administrācijas paneli — arī panelim nav jāveido nekāda īpašā papildus drošība un tur arī nav, ko uzlauzt (ja vien nav līki pirksti programmētājiem), jo tas ir balstīts uz drošas lietotāju pieteikšanās sistēmas, kas savukārt ir balstīta uz drošas paroļu sistēmas. Proti, kaut arī uzņēmumam x ir pašu veidota administrācijas sistēma, kas nav standarta variants ar zināmām ievainojamībām, tās pamata
kodolā izmantojam drošu sistēmu bez zināmām ievainojamībām, kas pati arī iekšienē izmanto drošus algoritmus, uz tiem tiek būvētas ļoti daudzas sistēmas, tai skaitā dažādi droši sakaru kanāli, šifrēšanas sistēmas u.tml. Un šādi, balstoties uz centrālā elementa drošību, vairumā gadījumu daudzmaz "automātiski" iegūstam drošību citās sistēmas, kas uz to balstās.
Piemērs- pirms gada atklāja sava veida ievainojamību SHA-1 algoritmā, ko lietoja paroļu šifrēšanai. Uzbrucējs varēja viltot paroli un pieteikties kā sistēmas lietotājs. Problēmu atklāja un aizvietoja ar SHA-2 kopas algoritmu, centrālo sistēmu nomainīja un viss atkal ir drošs.
Ceram ka šis raksts Jums bija interesants un izskaidrojošs!
Nav komentāru:
Ierakstīt komentāru