Войти на сайт
Логотип
Клиентам

«1С-Битрикс», Positive Technologies и Aladdin подвели итоги сессии вопросов и ответов на портале Securitylab

05 мая 2009

В течение 10 дней компании «1С-Битрикс», Positive Technologies и Aladdin проводили совместную акцию на портале Securitylab - любой пользователь мог задать свой вопрос экспертам компаний. За это время были получены десятки вопросов*, ниже опубликованы ответы на самые актуальные и интересные. Компании благодарят всех принявших участие в акции и обещают, что ни один вопрос не останется без ответа – ответы на оставшиеся вопросы будут высланы участникам по электронной почте.


На вопросы отвечают эксперты компании PositiveTechnologies Юрий Максимов и Сергей Гордейчик:

Петров ДВ

«Умеет ли продукт MAXPATROL отслеживать соответствие требованиям ФЗ «О персональных данных»? Спасибо».

Ответ:

Юрий МаксимовТребования ФЗ «О персональных данных» достаточно широки и касаются не только технических, но и организационных мероприятий. В технической части система MaxPatrol позволяет решать следующие задачи:

  1. Как средство анализа защищенности - напрямую закрывать часть требований по защите информационных систем.
  2. Использовать обширную базу знаний по настройкам встроенных средств безопасности операционных систем, сетевого оборудования, средств защиты, СУБД и приложений, позволяет сформировать непротиворечивые технические требования в рамках выбранного класса системы.
  3. Механизм контроля соответствия (Compliance) дает возможность на регулярной основе отслеживать соблюдение требований по конфигурации систем и своевременно устранять нарушения.
  4. Функции оценки эффективности дают возможность оценивать предстоящие или реализованные трудозатраты на подержание соответствия в терминах ключевых показателей эффективности (KPI).

Подробнее http://www.ptsecurity.ru/mp_compl.asp

Соколов Александр

«Здравствуйте, хотелось бы узнать ваше мнение о том как будут в дальнейшем развиваться веб технологии, чему больше уделять внимание в плане обеспечения безопасности своих веб ресурсов, какие механизмы полезно внедрять для обеспечения безопасности, которые действительно смогут противостоять различного рода атакам. Спасибо».

Ответ:

Сергей ГордейчикТекущие тенденции показывают, что в ближайшем будущем мы будем наблюдать развитие концепций пользовательского контента (user-generated content), межсайтового взаимодействия в рамках гибридных приложений (mashup) и XML-сервисов, переноса логики приложений на клиентов (AJAX, Flash, Silverlight и т.д.). Все эти концепции являются крайне неприятными с точки зрения безопасности, поскольку предполагают обработку внешних данных, пришедших из слабоаутентифицированных источников за пределами доверенной среды (Web-сервера). Исключением являются XML-службы, имеющие мощные встроенные механизмы безопасности. К сожалению, эти механизмы достаточно сложны и используются крайне редко.

В сжатом виде рекомендации достаточно тривиальны - учитывать безопасность на всех жизненных циклах приложения - от проектирования до вывода из эксплуатации и отслеживание актуальных угроз. Из зарекомендовавших себя защитных механизмов можно выделить внедрение процесса контроля безопасности приложений (выработка и контроль требований, анализ архитектуры, анализ кода и устранение ошибок и т.д.), использование автоматизированных средств анализа защищенности, проективных систем класса Web Application Firewall.

Konstantin

«Не секрет, что, абстрагируясь от защищенности собственно рабочей станции, на которой расположен сайт, все современные т.н. «уязвимости web-приложения» в целом сводятся к комплексу типовых ошибок программирования (sql-inj, xss, crsf, php-including + атаки на SSL). Bugtrack-и пестрят однотипными заголовками о якобы новых уязвимостях, на проверку не являющие собой ничего нового.

Вопрос такой: долго ли еще сайтостроение будет поспешно латать дыры в обороне, или предпринимаются какие-либо попытки искоренить известные типы уязвимости, как класс? Пример тому (пусть и не самый удачный) - httpOnly cookie как средство защиты от XSS.

Открываются ли исследователями какие-либо принципиально новые бреши в php, java, .net, etc?»

Ответ:

Подобная ситуация характерна не только для сайтов, но и вообще для отрасли безопасности. Основные типы уязвимостей, от слабых паролей до переполнений буфера и SQL Injection, достаточно хорошо классифицированы в таких проектах как CWE (http://cwe.mitre.org/) или Web Application Security Consortcium Thread Classification (http://www.webappsec.org/projects/threat/). В основном обнаруживаются новые методы использования уже существующих проблем. Так, при проверке уязвимостей типа XSS мы используем более 200 различных кейсов. Постепенно обнаруживаются и новые классы атак и уязвимостей. Например, вторая версия Web Application Security Consortcium Thread Classification, в разработке которой участвует Positive Technologies, содержит 49 уязвимостей, тогда как в первой (2004 г.) описано только 26.

Новые типы недочетов, как правило, обнаруживаются при возникновении новых технологий. Появился XML - появились новые возможности, появились новые ошибки, новые уязвимости, новые атаки.

С точки зрения фундаментального устранения всех проблем безопасности позволю себе процитировать доклад Bruce Potter «We still have bad code» http://video.google.com/videoplay?docid=-4408250627226363306.

Разработчик всегда найдет возможность внести ошибку, «безопасник» - пропустить, а «плохой парень» - использовать :)

Из проактивных подходов можно выделить внедрение функций безопасности в средства разработки и платформы (frameworks), улучшение качества средств автоматизированного анализа защищенности и добавление проактивных механизмов защиты в клиентские и серверные приложения. Иногда комбинация этих подходов позволяет закрывать наиболее распространенные векторы атак. Например, XSS-фильтр в Internet Explorer 8 позволяет блокировать большинство вариантов «отраженного» XSS (http://www.securitylab.ru/analytics/363593.php).

IGORINTER

«Какие уязвимости существуют в MacOS X 5.6, возможно ли обнаружить сетевую атаку и как от нее защититься?»

Ответ:

Для получения оперативной информации по уязвимостям в различных системах можно использовать специализированные списки рассылки, такие как http://www.securitylab.ru/vulnerability/.

Масюков Петр Иванович

«Сколько стоит защита обычного веб-сайта?»

Ответ:

Есть три подхода к обеспечению безопасности и формирования бюджета на защиту:

  •  сколько-нибудь;
  •  как у всех;
  •  сколько нужно.

В первом случай затраты на обеспечения безопасности отдельно не учитываются и формируются по остаточному принципу. Как правило, все сводится к использованию встроенных защитных механизмов. Поскольку все делается руками администратора ресурса, как правило, эти расходы не учитываются и «стоимость защиты» получается равной нулю.

Во втором случае, используется стандартный уровень затрат – например, часто озвучиваемая сумма от 5 до 15 % от ИТ-бюджета проекта.

В третьем случае предварительно проводится анализ рисков, позволяющий установить вероятный ущерб от реализации угроз, который плотно связан со стоимостью ресурса. На основании полученных сумм и формируется комплекс контрмер, т.е. «стоимость защиты».

Поскольку «безопасность - это процесс», стоимость защиты не является фиксированной величиной, но меняется в ходе эксплуатации. И при бесконечном использовании сайта «стоимость защиты» станет равной бесконечной величине.

С.Кирилл

«Поймали на один ноут вирус - на черном экране красная табличка «Виндовс заблокирован вышлите смс и бла бла бла»;. Как с этим бороться без переустановки винды? Клавиши ктрл+альт+дел не работает, перезагружаешь в безопасном режиме тож самое, единственное срабатывает залипание клавиш».

Ответ:

Загрузитесь с Windows Live-CD, например WinPE или Bart и проверьте компьютер с помощью бесплатного антивирусного сканера, к примеру, Doctor Web CureIt.

Хроменко Дмитрий Николаевич

«Как мне защитить свой сайт от бретанских хакиров?»

Ответ:

К сожалению, ответ на этот вопрос знают только британские ученые. Хотя есть хорошее средство – поставить сайт на китайскую Windows. Ну, сломают его, и что? Что они будут делать с иероглифами? Как наберут «Администратор» по-китайски? Русские хакеры, особенно с Дальнего Востока еще справятся с этой задачей, а вот британские… Сомневаюсь.

На вопросы отвечает генеральный директор компании Aladdin Сергей Груздев:

Крылов Станислав Леонидович

«Вопрос к Aladdin. Доколе будет падать hasplm от UDP запроса из другой под сети?»

Ответ:

Сергей ГруздевДействительно, иногда возникает такая ситуация. Причины ее возникновения и способы решения описаны на нашем сайте в разделе «Часто задаваемые вопросы»:

http://www.aladdin.ru/support/faq/hasp/category18/faq1000280/

Менеджер для последней версии системы защиты - HASP SRM - был полностью изменен и данная проблема была устранена.

Сергей

«День добрый! Востребованы ли сейчас специалисты по защите информации?»

Ответ:

Профессионалы всегда востребованы, в любые времена и любой экономической ситуации. Конечно, из-за волны сокращений, прокатившейся по рынку, в поисках работы оказалось довольно много специалистов совершенно разной квалификации. В этих условиях найти «своего» профессионала непросто, поэтому иногда у соискателей и создается впечатление своей невостребованности. В то же время, любые кризисы – это обострение всех общественных проблем, в том числе криминальных. Сейчас мошенничества в сфере Интернет-банкинга, например, ежедневно набирают обороты, поэтому усиление служб информационной безопасности банков вполне оправданно. А значит, там нужны и хорошие специалисты!

На вопросы отвечает Сергей Рыжиков, генеральный директор компании «1С-Битрикс»:

Изольд Браун

«Зачем разрабатывать свой модуль проактивной защиты, когда есть mod_security?»

Ответ:

Сергей РыжиковВо-первых, такое решение можно реализовать только в случае наличия собственного сервера. Хостинг-провайдеры обычно не допускают настройку веб-сервера. Во-вторых, модуль проактивной защиты реализует множество функций: это и проактивный фильтр, и контроль целостности, и аутентификация и блокировка активности и т.п. В комплексе мы не знаем инструмента, решающего весь перечисленный комплекс задач в одной поставке. Подробнее с функционалом можно познакомиться на нашем сайте.

Изольд Браун

«Почему постоянно при обновлении битрикса перестают работать половину кастномных компонентов?».

Ответ:

Вероятно, кастомизированные компоненты разрабатывались без учета рекомендаций от 1С-Битрикс. Архитектура технологии компонентов позволяет проводить обновления ядра продукта без потери работоспособности сторонних модулей и без потери информации.

Бибарцева Елена Рафаиловна

«Добрый день! На сегодняшний день у нас три компании, сайты которых мы хотим объединить в один общий сайт. Посмотрите, пожалуйста, информацию каждого сайта, адреса сайтов… Просим Вас подсказать какой из продуктов Битрикс нам больше всего подходит, сколько он будет стоить, сколько стоят дополнительные лицензии и на какой срок даётся лицензия, а также сколько стоит видоизменить и частично переделать сайт, как в информационной базе, дизайне, так и в работе данного сайта. С уважением, Елена».

Ответ:

Выбор редакции продукта осуществляется исходя из необходимой функциональности проекта. Зачастую требуется дополнительный анализ для выявления скрытых функциональных потребностей (тех, что не видны при простом просмотре сайта). Стоимость разработки сообщить не можем, т.к. разработкой занимаются наши партнеры, а цены и ценообразование у них различное. Вам очевидно нужна консультация по широкому спектру вопросов. Рекомендуем обратиться к нашим партнерам за подобной консультацией. Можно обращаться напрямую к какому-нибудь партнеру из списка (http://www.1c-bitrix.ru/partners/), либо обратиться сразу ко всем (http://www.1c-bitrix.ru/partners/order.php).

Константинов А

«Поддерживает ли Битрикс финский, шведский и норвежский языки?»

Ответ:

На нашей платформе можно разрабатывать проекты в кодировке UTF-8, что позволяет использовать символы любых языков, в том числе и иероглифы. Поэтому сайты, разработанные на системе «1С-Битрикс» особенно хорошо защищены от британских хакеров (дополнение к ответу на вопрос Хроменко Дмитрия Николаевича «Как мне защитить свой сайт от бретанских хакиров?»)

* в вопросах сохранена авторская орфография и пунктуация.

Читайте также
Будьте в курсе свежих новостей из жизни «1С-Битрикс»