![]() |
![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() |
| ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() |
«Проактивная защита» - это принципиально новый подход к концепции веб-безопасности, при котором меняется само понятие реакции веб-приложения на попытки вторжения. Выпуск «Проактивной защиты» является продолжением многолетней работы компании по обеспечению безопасности интернет-проектов. Но впервые нам удалось настолько существенно усилить защищенность сайтов и снизить зависимость клиентов от наиболее частых ошибок веб-разработчиков »
Генеральный директор, «1С-Битрикс», Сергей Рыжиков
На фестивале хакеров CC9 проведен конкурс, участникам которого было необходимо обойти систему «Проактивной защиты» сайта и воспользоваться заранее подготовленными уязвимостями разных типов. 25000 попыток взлома на конкурсе - отличное стресс-тестирование как проактивной защиты с WAF, так и всей платформы «1С-Битрикс». Подробнее
Веб-сайт любого масштаба - от небольшого регионального интернет-магазина до онлайн-представительства крупнейшей ритейлинговой сети - всегда должен быть доступен для посетителей. Ведь это и источник заказов, и канал коммуникации с клиентами, и «лицо» компании в Интернете, напрямую влияющее на ее имидж.
Одна из причин, по которым ваш сайт может перестать работать, - DDoS-атака (чаще всего - распределенная атака на ваш сайт с помощью большого числа «мусорных» запросов). Источники атак и ее технические реализации могут быть самыми разнообразными (целевая атака от конкурентов, автоматическая атака от ботнет-сети; большое количество HTTP-запросов, SYN-флуд атаки и т.д.)
Даже атака небольшой интенсивности потребует знаний грамотного технического специалиста для ее отражения. Справиться же с более серьезными атаками невозможно без специализированной защиты.
|
|
![]() |
![]() |
Инструмент для аудита PHP-кода
| Запустить автотетст
|
Найти и опробовать этот инструмент можно в административной части сайта: Настройки -> Инструменты -> «Монитор качества» -> выбрать тест «Предприняты меры по обеспечению безопасности проекта на уровне веб-разработки» в разделе «Безопасность». Запустив тест, вы сможете просмотреть подробный отчет о его работе (при условии наличия найденных проблем). Подробнее о Мониторе качества
Система проверки «Монитор качества» также работает в каталоге веб-приложений для сайтов и корпоративных порталов «1С-Битрикс: Маркетплейс» .
Подробнее о контроле качества в «1С-Битрикс: Маркетплейс» Веб-антивирус встроен непосредственно в сам продукт - систему управления сайтами. Этот компонент защиты полностью соответствует общей концепции безопасности системы и в разы повышает защищенность и скорость реакции веб-приложения на веб-угрозы.
«Веб-антивирус» препятствует имплантированию вредоносного кода непосредственно в веб-приложения. И происходит это следующим образом. «Веб-антивирус» выявляет в HTML коде потенциально опасные участки и «вырезает» подозрительные объекты из кода сайта. В итоге вирусы не могут проникнуть на компьютер пользователя сайта - антивирус препятствует этому. И, что особо важно, «Веб-антивирус» уведомляет администратора портала - предупреждает о наличии заразы. Получая информацию об этом, администратор ищет источник зловредного кода, проводит «зачистку» компьютера и усиливает профилактические меры. Подробнее
![]() |
|
|
|
![]() |
|
![]() |
|
![]() |
![]() |
Создание нового сайта
| Получение пароля |
![]() |
|
|
|
![]() |
|
![]() |
|
![]() |
|
![]() |
|
Контроль активности пользователей ведется на основе средств модуля Веб-аналитика и, следовательно, доступен только в тех редакция продукта, в которые входит этот модуль.
![]() |
|
Благодарим компанию InternalSecurity за помощь в улучшении системы безопасности продуктов «1С-Битрикс»
Впервые в мировой практике для CMS разработан «облачный» сервис, который проверяет ресурс на наличие внешних и внутренних угроз безопасности.
«Сканер безопасности» позволяет:Подробнее о работе Сканера безопасности - в блоге Андрея Красичкова
![]() |
|
Positive Technologies - одна из ведущих российских компаний в области информационной безопасности. Основные направления деятельности компании - разработка систем комплексного мониторинга информационной безопасности (XSpider, MaxPatrol); предоставление консалтинговых и сервисных услуг в области информационной безопасности; развитие специализированного портала Securitylab.ru.
Positive Technologies - это команда высококвалифицированных разработчиков, консультантов и экспертов, которые обладают большим практическим опытом, являются членами международных организаций и активно участвуют в развитии отрасли.
Компания Positive Technologies провела полномасштабное тестирование самой полной версии программного продукта «1С-Битрикс: Управление сайтом», располагая исходными текстами продукта и консультационной поддержкой технических специалистов компании «Битрикс».
| Компания Positive Technologies осуществила аудит эффективности новых функций безопасности «1С-Битрикс: Управление сайтом 8». Тестирование встроенных механизмов защиты продукта подтвердило их соответствие требованиям Web Application Firewall Evaluation Criteria международной организации Web Application Security Consortium, о чем свидетельствует выданный сертификат. Качество реализации защитных механизмов «1С-Битрикс: Управление сайтом 8» позволяет пользователю системы быть уверенным не только в надежности ядра системы, но и в безопасности решения на его основе, с учетом надстроек и доработок, выполненных партнерами компании.
Как отметил Юрий Максимов, генеральный директор компании Positive Technologies: «Опыт анализа безопасности Web-приложений показывает, что, несмотря на постоянные заявления об актуальности этой темы, защита большинства серьезных веб-проектов осуществляется по остаточному принципу. Тем полезней для заказчика веб-приложения наличие высокоэффективной встроенной функции проактивной защиты, позволяющей предотвратить последствия возможных ошибок, допущенных при разработке и эксплуатации портала, а также своевременно обнаружить атаки». |
Использование одноразовых паролей в продуктах «1С-Битрикс» – это превосходное решение для задач надежной удаленной аутентификации. Сегодня известно не так уж много способов действительно «сильной» аутентификации пользователей при передаче информации по открытым каналам связи. Между тем такая задача встречается все чаще и чаще. И одноразовые пароли - одно из самых перспективных ее решений!
Артем Рябинков, руководитель отдела развития бизнеса компании «1С-Битрикс», к.т.н.
![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() |
В теории информационной безопасности процесс входа в систему делится на 3 основные стадии:
Способы аутентификации пользователей в компьютерных системах делят на три группы [1].
При выборе паролей пользователи системы (например, веб-сайта) должны руководствоваться двумя, по сути взаимоисключающими, правилами - пароли должны трудно подбираться и легко запоминаться (поскольку пароль ни при каких условиях не должен нигде записываться, так как в этом случае необходимо будет дополнительно решать задачу защиты носителя пароля).
Но поскольку правила взаимоисключающие, пароли обычно простые и очень хорошо подбираются, а также записываются повсеместно без надлежащей защиты этих самых записей. Если вторую неприятность решить технически невозможно, да и организационные меры особо не помогают, то вот с обеспечением сложности пароля можно поработать.
Сложность подбора пароля определяется, в первую очередь, мощностью множества символов, используемого при выборе пароля (N), и минимально возможной длиной пароля (к). В этом случае число различных паролей может быть оценено снизу как, Ср = Nk. Например, если множество символов пароля образуют строчные латинские буквы, а минимальная длина пароля равна 3, то Ср= 263= 17576 (что совсем немного для программного подбора). Если же множество символов пароля состоит из строчных и прописных латинских букв, а также из цифр и минимальная длина пароля равна 6, то Ср= 626 = 56800235584.
Сложность выбираемых пользователями КС паролей должна устанавливаться администратором при реализации установленной для данной системы политики безопасности. В продуктах «1С-Битрикс» имеется возможность указать индивидуальную политику безопасности для каждой группы пользователей:
С точки зрения теории, эти рекомендации очень полезны и обычно применяются в совокупности, но как правило на практике они не дают сколько-либо весомого усиления защиты. Так, например, требование неповторяемости паролей может быть реализовано двумя способами. Во-первых, можно установить минимальный срок действия пароля (в противном случае пользователь, вынужденный после истечения срока действия своего пароля поменять его, сможет тут же сменить пароль на старый). Во-вторых, можно вести список уже использовавшихся данным пользователем паролей (максимальная длина списка при этом может устанавливаться администратором).
К сожалению, обеспечить реальную уникальность каждого вновь выбираемого пользователем пароля с помощью приведенных выше мер практически невозможно. Пользователь может, не нарушая установленных ограничений, выбирать пароли «A1», «A2», ... где А — первый пароль пользователя, удовлетворяющий требованиям сложности. Тоже самое касается несовпадения логина с паролем. Ничто не помешает сделать логин 'dima', а пароль 'dima_1'.
В силу перечисленных обстоятельств (именно практической нецелесообразности) мы не стали штатно вводить в продукты такие ограничения, однако любой из наших партнеров может дополнить ими разрабатываемый проект, используя API платформы.
Настраивая политику учетных записей пользователей необходимо назначить меры противодействия системы попыткам подбора паролей. Для этого могут применяться следующие правила [1]:
1. Препятствие подбору пароля автоматизированным способом. | |
Для воспрепятствования автоматизированным способам подбора паролей в современных веб-приложениях обычно используют CAPTCHA (Completely Automatic Public Turing Test to Tell Computers and Humans Apart - полностью автоматический тест Тьюринга для различения компьютеров и людей).CAPTCHA представляет собой задачу, сложную для решения компьютером и простую для человека, и обычно реализуется в виде изображения, на котором необходимо различить набор символов или другую сигнатуру. В продуктах «1С-Битрикс» вы можете включить использование CAPTCHA в процедурах регистрации в систему и аутентификации. ![]() Использовать CAPTCHA при регистрации
Кроме того, можно обеспечить принудительный вывод CAPTCHA в случае нескольких неудачных попыток аутентификации, настроив параметр «Количество попыток ввода пароля до показа CAPTCHA :» в настройках политики безопасности группы. ![]() Настройка принудительного вывода CAPTCHA
В результате форма авторизации после N-й попытки будет выглядеть следующим образом:
![]() Форма авторизации с CAPTCHA
CAPTCHA в продуктах «1С-Битрикс» гибко настраивается, что позволяет достичь компромисса между ее сложностью и удобством пользователя. В различных веб-системах эта грань всегда своя, но мы предлагаем удобный инструмент для ее определения. ![]() Настройка CAPTCHA
| |
2. Ограничение числа попыток входа в систему. | |
Для ограничения числа попыток входа в систему мы предлагаем использовать фильтр активности, входящий в состав модуля «Проактивная защита». В нем вы можете настроить параметры блокировки доступа к веб-сайту при превышении лимита активности от некоторого посетителя. ![]() Настройка параметров контроля активности
Кроме этого, если вам стали известны IP адреса нападающих, можно добавить их в стоп-лист, и полностью запретить доступ к ресурсу с этих адресов, и все попытки подбора паролей методом «грубой силы» (brute force). ![]() Редактирование правил блокировки IP
| |
3. Скрытие логического имени последнего работавшего пользователя | |
|
Скрытие логического имени последнего работавшего пользователя в веб-приложениях, к сожалению, на уровне системы реализовывать бессмысленно, поскольку подстановку данного имени по умолчанию выполняет большинство браузеров. |
4. Учет всех попыток (успешных и неудачных) входа в систему | |
Учет всех попыток (успешных и неудачных) входа в систему в продуктах «1С-Битрикс» обеспечивается встроенным журналом событий. При этом вы детально настраиваете, какие события будут в нем фиксироваться и сколько времени они будут храниться. ![]() В результате администратор системы может контролировать основные процессы, связанные с аутентификацией и сопутствующими действиями пользователей. ![]() |
С теоретической точки зрения реакция на неуспешный вход может быть следующей:
К сожалению, эти рекомендации на практике не совсем целесообразны, так как они могут позволить нарушителю намеренно заблокировать работу в системе легального пользователя (реализовать угрозу нарушения доступности информации).
В продуктах «1С-Битрикс» предложен более изящный вариант, который уже был упомянут. Это использование CAPTCHA после N неуспешных попыток аутентификации.
Несмотря на то, что с помощью применения перечисленных выше правил парольную аутентификацию можно сделать более безопасной, она все-таки остается весьма уязвимой. Нельзя защититься от самой природы удаленного доступа при работе с веб-приложениями.
Работая с веб-приложением, мы не можем быть уверенными в безопасности канала связи, который мы используем для доступа в Сеть. Мы можем зайти в интернет-кафе, воспользоваться общедоступной Wi-Fi точкой доступа в аэропорту и тем самым легко стать жертвой очень распространенного сегодня вида компьютерного мошенничества, как сниффинг (от англ. sniff - нюхать).Злоумышленники могут контролировать сегмент сети и анализировать весь циркулирующий в нем трафик. Причем для этого не нужно быть администратором сети, как правило защищенность особенно беспроводных сетей чрезвычайно низкая, а злоумышленником может быть сидящий напротив пассажир, с ноутбуком, а то и с карманным компьютером.
Другая опасность заключается в том, что зачастую необходимо обратиться к веб-приложению с чужого компьютера, в том же Интернет-кафе. Пароли кэшируются, как и любая другая вводимая в компьютер информация, и при желании ими может воспользоваться кто-то еще в своих небескорыстных целях.
Угрозы исходят и от вирусов. Полученные в результате работы в сети Интернет, они могут сканировать входящий и исходящий на предмет наличия в нем секретных сведений, анализируя пакеты наиболее распространенных протоколов. Полученная информация часто отсылается создателям для последующего анализа и использования.
Между тем ситуации, когда необходимо удаленно получить или отправить информацию, возникают довольно часто. Возьмем хотя бы системы электронного банкинга: несложно представить себе ситуацию, когда для удаленного управления своим счетом пользователю потребуется доступ к защищенным банковским ресурсам.Специфика бизнеса многих крупных компаний часто обязывает их предоставлять доступ к собственным ресурсам сторонним пользователям - партнерам, клиентам, поставщикам. Сегодня в России активно набирает обороты такой тип сотрудничества, как аутсорсинг: компании-субподрядчику для выполнения работ по заказу вполне может потребоваться доступ к защищенным ресурсам заказчика.
Многие наверняка воскликнут, что есть же аппаратные средства, обеспечивающие требуемый уровень защиты: смарт-карты, USB-ключи. Однако их использование весьма ограничено опять же в связи со спецификой веб-приложений.
Для смарт-кард требуются считыватели, для USB-ключей – доступный USB порт. Если мы обращаемся к веб-сайту с чужого компьютера, то понятно, что первого там не будет, а USB порт может быть заблокирован (это практически стандарт многих интернет-кафе). Интенсивно развиваются и мобильные устройства, и сегодня их можно полноценно использовать для серфинга в Интернете. Понятно, что никаких считывателей и USB портов в них не существует.Кроме этого, для работы многих аппаратных средств аутентификации требуется специализированное ПО. Стоит ли говорить о том, что оно может быть не установлено на терминале доступа.
Потребность подключения к корпоративной сети по надежной схеме аутентификации при наличии под рукой лишь КПК или смартфона может стать серьезной проблемой, если пользователь находится на конференции, переговорах или других деловых мероприятиях. Как раз для мобильных приложений, а также для организации доступа к нужной информации из тех мест, где невозможно установить специальное ПО, была разработана концепция одноразовых паролей OTP - One-Time Password.
Самая простая идея одноразовых паролей заключается в том, что пользователь получает список паролей Pi, Р2,..., Р„ ..., Ри. Каждый из паролей действует только на один сеанс входа (Р[ — на первый, Р2 — на второй и т.д.). В этом случае знание уже использовавшегося пользователем пароля ничего не даст нарушителю, а при каждом входе легального пользователя возможна проверка на использование данного пароля кем-либо еще.[1]
Не нужно считать, что такая примитивная схема существует только в теории. Она очень широко применялась последние годы, более того, Сбербанк РФ и сегодня позволяет вам воспользоваться такой методикой. В интерфейсах банкоматов СБРФ есть меню «безналичный расчет», где нужно выбрать «одноразовые пароли» и получить квиток с десятью кодами. При оплате картой услуг или покупок в Интернете, клиент банка должен будет вводить один из этих кодов по требованию системы.
Понятно, что подобная схема имеет свои трудности:
Эти недостатки могут быть устранены, если список паролей генерировать на основе некоторой необратимой функции, например функции хеширования. Пусть Р — начальный пароль пользователя, a F — необратимая функция. Обозначим: F'(P) = F(F(...F(P)...)) (функция F применяется последовательно iраз). Тогда список одноразовых паролей создается следующим образом: Р, = F" (Р), Р2 = = F-1(P), .... Рл_! = F(F(P)), Р„ = F(P).
При сбое в процессе входа пользователя всегда осуществляется выбор следующего пароля из списка, а система последовательно применяет функцию F к введенному пользователем паролю, вплоть до совпадения с последним принятым от него паролем (и тогда пользователь допускается к работе в системе) или до превышения длины списка паролей (в этом случае попытка входа пользователя в КС отвергается).[2] На базе этой идеи и работают все современные технологии аутентификации с помощью одноразовых паролей.
В современных технологиях аутентификации с помощью OTP применяется динамическая генерация ключевых слов с помощью сильных криптографических алгоритмов (вышеупомянутая функция F). Иначе говоря, аутентификационные данные - это результат шифрования какого-либо начального значения с помощью секретного ключа пользователя. Данная информация есть и у клиента, и у сервера. Она не передается по сети и недоступна для перехвата. В качестве начального значения используется известная обеим сторонам процесса аутентификации информация, а ключ шифрования создается для каждого пользователя при его инициализации в системе. Ключ иногда еще называют вектором инициализации.
Стоит отметить, что на данном этапе развития технологий OTP существуют системы, использующие как симметричную, так и асимметричную криптографию. В первом случае секретным ключом должны обладать обе стороны. Во втором секретный ключ нужен только пользователю, а у сервера аутентификации он открытый.
Технологии OTP были разработаны в рамках отраслевой инициативы Open Authentication (OATH), выдвинутой компанией VeriSign в 2004 г. Суть этой инициативы заключается в разработке стандартной спецификации действительно надежной аутентификации для различных интернет-сервисов. Причем речь идет о двухфакторном определении прав пользователя, в процессе которого последний должен «предъявить» смарт-карту или USB-токен и свой пароль. Таким образом, одноразовые пароли со временем могут стать стандартным средством удаленной аутентификации в различных системах.
Сегодня разработано и используется на практике несколько вариантов реализации систем аутентификации по одноразовым паролям [1].
Метод «запрос-ответ». Принцип его работы таков: в начале процедуры аутентификации пользователь отправляет на сервер свой логин. В ответ на это последний генерирует некую случайную строку и посылает ее обратно. Пользователь с помощью своего ключа зашифровывает эти данные и возвращает их серверу. Сервер же в это время «находит» в своей памяти секретный ключ данного пользователя и кодирует с его помощью исходную строку. Далее проводится сравнение обоих результатов шифрования. При их полном совпадении считается, что аутентификация прошла успешно. Этот метод реализации технологии одноразовых паролей называется асинхронным, поскольку процесс аутентификации не зависит от истории работы пользователя с сервером и других факторов [3].
Метод «только ответ». В этом случае алгоритм аутентификации несколько проще. В самом начале процесса программное или аппаратное обеспечение пользователя самостоятельно генерирует исходные данные, которые будут зашифрованы и отправлены на сервер для сравнения. При этом в процессе создания строки используется значение предыдущего запроса. Сервер тоже обладает этими сведениями; зная имя пользователя, он находит значение предыдущего его запроса и генерирует по тому же алгоритму точно такую же строку. Зашифровав ее с помощью секретного ключа пользователя (он также хранится на сервере), сервер получает значение, которое должно полностью совпадать с присланными пользователем данными.
Метод «синхронизация по времени». В нем в качестве исходной строки выступают текущие показания таймера специального устройства или компьютера, на котором работает человек. При этом обычно используется не точное указание времени, а текущий интервал с установленными заранее границами (например, 30 с). Эти данные зашифровываются с помощью секретного ключа и в открытом виде отправляются на сервер вместе с именем пользователя. Сервер при получении запроса на аутентификацию выполняет те же действия: получает текущее время от своего таймера и зашифровывает его. После этого ему остается только сравнить два значения: вычисленное и полученное от удаленного компьютера.
Метод «синхронизация по событию». В принципе этот метод практически идентичен предыдущему, только в качестве исходной строки в нем используется не время, а количество успешных процедур аутентификации, проведенных до текущей. Это значение подсчитывается обеими сторонами отдельно друг от друга. В настоящее время этот метод получил наиболее распространение.
В некоторых системах реализуются так называемые смешанные методы, где в качестве начального значения используется два типа информации или даже больше. Например, существуют системы, которые учитывают как счетчики аутентификаций, так и показания встроенных таймеров. Такой подход позволяет избежать множества недостатков отдельных методов.
Как уже говорилось выше, в основе OTP лежит использование криптографических алгоритмов. Это накладывает определенные обязательства на разработчиков таких продуктов - ведь некачественное исполнение какого-либо алгоритма или, например, генератора случайных чисел может поставить под угрозу безопасность информации.[2]
Генераторы одноразовых паролей реализуются двумя способами: программным и аппаратным. Первый из них, естественно, менее надежен. Дело в том, что клиентская утилита должна хранить в себе секретный ключ пользователя. Сделать это более или менее безопасно можно только с помощью шифрования самого ключа на основе персонального пароля. При этом необходимо учитывать, что клиентская утилита должна быть установлена на том устройстве (КПК, смартфон и т. п.), с которого в данный момент выполняется сессия. Таким образом, получается, что аутентификация сотрудника зависит от одного пароля, при том что существует множество способов узнать или подобрать его. И это далеко не единственная уязвимость программного генератора одноразовых паролей.
Несравнимо большей надежностью обладают разнообразные устройства для аппаратной реализации OTP-технологий. Например, есть устройства, по виду напоминающие калькулятор (рис. 2): при вводе в них набора цифр, присланного сервером, они на основе вшитого секретного ключа генерируют одноразовый пароль (метод «запрос-ответ»). Главная уязвимость подобных устройств связана с тем, что их можно украсть или утерять. Обезопасить систему от злоумышленника можно только при условии использования надежной защиты памяти устройства с секретным ключом.
| ![]() |
Именно такой подход реализован в смарт-картах и USB-токенах. Для доступа к их памяти пользователь должен ввести свой PIN-код. Добавим, что такие устройства защищены от подбора PIN-кода: при трехкратном вводе неправильного значения они блокируются.Надежное хранение ключевой информации, аппаратная генерация ключевых пар и выполнение криптографических операций в доверенной среде (на микросхеме смарт-карты) не позволяют злоумышленнику извлечь секретный ключ и изготовить дубликат устройства генерации одноразовых паролей.
Аппаратный ключ Aladdin eToken PASS – один из наиболее надежных генераторов одноразовых паролей, защищенными практически от всех уязвимостей реализации.
Устройства серии eToken достаточно широко распространены в России. Такие ведущие производители, как Microsoft, Cisco, Oracle, Novell и т. д., обеспечивают их поддержку в своих продуктах (в «послужном списке» eToken более 200 реализаций с приложениями для информационной безопасности). Мы рады, что смогли присоединиться к этому списку и обеспечить наших клиентов требуемым уровнем защищенности при работе с веб-ресурсами
Достоинство eToken PASS заключается в его автономности. Устройство работает на батарейке с пожизненным запасом заряда и не требует подключение к компьютеру. Процесс генерации одноразового пароля может запускаться путем нажатия на специальную кнопку, размещенную на корпусе устройства, а его результат в этом случае будет отображаться на встроенном ЖК-дисплее. Такой подход позволяет применять технологию OTP даже на тех устройствах, на которых отсутствуют USB-порты или считыватели (смартфоны, КПК, сотовые телефоны и т. п.), и на компьютерах, на которых они заблокированы (на рисунке изображен eToken NG-OTP, как еще один пример OTP-токена).
С каждым устройством связан ключ шифрования (вектор инициализации), который обеспечивает соответствие устройства и пользователя, которому оно выдано. Векторы инициализации хранятся у администратора и привязываются к пользователю в момент выдачи устройства.
eToken PASS работает по методу «синхронизация по событию». Это наиболее надежная из синхронных вариантов реализация технологии OTP (с меньшим риском рассинхронизации). Алгоритм генерации одноразовых паролей, реализованный в ключе eToken NG-OTP, разработан в рамках инициативы OATH (он основан на технологии HMAC). Суть его заключается в вычислении значения HMAC-SHA-1 и затем в выполнении операции усечения (выделения) шести цифр из полученного 160-битового значения. Именно они и служат тем самым одноразовым паролем.
Использование схемы OTP в программных продуктах 1С-Битрикс обеспечивается модулем «Проактивная защита». Для начала использования необходимо включить использование одноразовых паролей на соответствующей странице модуля.
После этого необходимо открыть профайл пользователя, которому требуется обеспечить аутентификацию по OTP. Мы видим, что появилась новая вкладка «Одноразовые пароли».
Первое что необходимо сделать администратору – это ввести секретный ключ, связанный с устройством. Этим действием мы связываем устройство и человека, чтобы веб-сайт впоследствии мог корректно выполнять сравнение паролей и аутентифицировать его.
Но этого недостаточно, поскольку требуется установить начальное значение для счетчика успешных процедур аутентификации на веб-сайте (или просто обнулить этот счетчик). Для выполнения этой операции необходимо последовательно сгенерировать два пароля и ввести их в соответствующие поля формы.
Теперь устройство связано с профайлом пользователя и инициализировано. Можно сохранить профайл с новыми настройками. А что означает галочка «Включить составной пароль»?
На самом деле, для любого устройства eToken необходимо знать PIN код доступа, чтобы его использовать. Но поскольку eToken PASS через вектор инициализации связан с профайлом, то мы вполне можем в качестве PIN кода использовать обычный (многоразовый) пароль пользователя. И в этом случае при аутентификации пользователь должен ввести составной пароль, который представляет собой обычный пароль и одноразовый пароль, вводимые подряд без разделителя.
В любой момент можно отключить одноразовые пароли, сняв галочку «Включить составной пароль», и пользователь будет входить на сайт, используя обычный пароль. Мы, правда, настоятельно рекомендуем в этом случае сменить старый пароль, т.к. злоумышленники могли перехватывать одноразовые пароли, вычленяя из них обычные.
Обратите внимание, что при использовании eToken PASS возможна рассинхронизация счетчика авторизаций на сайте, и в самом устройстве. Можно случайно нажать на кнопку генерации без последующей аутентификации, например, если ключ попал в руки к детям. В этом случае последующая аутентификация будет невозможна и владельцу ключа будет необходимо обратиться к администратору системы за синхронизацией счетчиков.
Чтобы не было таких неудобств, предусмотрено, так называемое, окно синхронизации, означающее максимальное отличие счетчиков на сайте и устройстве.
По умолчанию это значение равно 10, что означает возможность десяти «холостых» нажатий. Увеличивая значение, вы повышаете удобство использования, но несколько снижаете уровень безопасности технологии.
При каждой успешной аутентификации, счетчики в устройстве и на сайте синхронизируются автоматически.
Использование одноразовых паролей в продуктах «1С-Битрикс» – это превосходное решение для задач надежной удаленной аутентификации. Сегодня известно не так уж много способов действительно «сильной» аутентификации пользователей при передаче информации по открытым каналам связи. Между тем такая задача встречается все чаще и чаще. И одноразовые пароли - одно из самых перспективных ее решений.
eToken PASS – это простой в использовании и удобный автономный генератор одноразовых паролей, который можно применять вне зависимости от терминала, с которого осуществляется доступ к веб-приложению, вне зависимости от наличия на нем соответствующих портов и программного обеспечения.
В технологии применяется использование «стандартных» криптографических алгоритмов, совместимых с отечественными криптопровайдерами. Это означает, что для реализации системы аутентификации с применением OTP прекрасно подходят уже существующие разработки. Такие токены можно использовать в уже существующих системах корпоративной безопасности без их перестройки. В результате внедрение технологии одноразовых паролей можно провести с относительно небольшими затратами.
1) Хорев П.Б. "Методы и средства защиты информации в компьютерных системах. Учебное пособие для вузов" , Academia, 2008
2) Давлетханов М. Концепция одноразовых паролей в системе аутентификации. (BYTE Россия), №7-8, 2006
3) Коржов В. Пароль на минуту. Открытые системы, 2005
По данным компании Positive Technologies: доля атак на Веб составляет более 50%; ежедневно в Рунете регистрируются десятки взломов веб-сайтов.
![]() ![]() ![]() ![]() ![]() |
|
|
Обеспечение информационной безопасности веб-систем - процесс сложный и кропотливый, в котором участвуют разные поставщики услуг и программных продуктов. С большой уверенностью можно утверждать, что нельзя создать безопасную систему и прекратить работу по обеспечению информационной безопасности. Создавая систему, вы должны непрерывно следить за безопасностью информационной среды и за безопасностью веб-приложений.
Использование продукта «1С-Битрикс: Управление сайтом», получившего сертификат «Безопасное веб-приложение» от компании Positive Technologies, проводившей аудит информационной безопасности системы, позволяет с уверенностью утверждать, что современные корпоративные сайты могут быть надежно защищены.
В качестве независимых экспертов для подготовки материалов данного раздела привлечены специалисты компании Positive Technologies.
Интересный материал на эту тему опубликован Алексеем Лукацким, руководителем отдела Интернет-решений компании «Информзащита» (в настоящее время менеджер по развитию бизнеса Cisco Systems) в журнале BYTE Россия:
«Автор прошелся по Web-сайтам некоторых, в том числе и именитых студий, предлагающих свои (недешевые, заметим) услуги по созданию сайтов, и что же? Ни одна из них не упомянула в своих "портфолио" понятие "защищенный сайт". И в типовых договорах нет ни слова о защите…
Что это - некомпетентность или осознанное нежелание ввязываться в неизвестную, а значит, таящую множество сюрпризов область ИТ? К сожалению, приходится признать, что скорее всего первое. Попробую проиллюстрировать этот тезис, опираясь на личный опыт участия в ряде Интернет-проектов...»
Полный текст статьи опубликован в разделе «Защищенный сайт».
Перечислим некоторые из наиболее часто встречающихся проблем:
Перечисленные типы уязвимостей могут встречаться во всех веб-приложениях, независимо от того, разработаны они одним специалистом или известной компанией. Только системное проектирование, продумывание вопросов безопасности на всех этапах разработки и детальное тестирование готового приложения могут позволить исключить появления уязвимостей.
Используя для работы веб-проекта только «1С-Битрикс: Управление сайтом», вы можете минимизировать угрозы, связанные с веб-приложениями. Пользуясь технологией SiteUpdate, вы будете всегда располагать самой последней версией продукта. Усилия, которые предпринимает компания «Битрикс» для обеспечения высокого уровня безопасности в сочетании с независимым аудитом и непрерывным мониторингом со стороны компании Positive Technologies позволяют быть уверенными в высоком уровне защищенности сайта в целом.
При разработке сайтов соблюдайте элементарные правила предосторожности. Нельзя доверять всем посетителям сайта и надеяться на то, что любая введенная ими информация не приведет к разрушительным действиям. Эти правила не так тяжело запомнить, но без них вы ставите под угрозу безопасность вашего сайта.
2. Используйте метод $DB->ForSQL в запросах к БД. При обычной разработке веб-проекта на основе продукта "1С-Битрикс: Управление сайтом" вам не придется писать прямые запросы к базе данных, т.к. API функции сделают это за вас, но если вы разрабатываете свой модуль или хотите выбрать данные из собственных таблиц, то все параметры, входящие в запрос, необходимо обернуть методом CDatabase::ForSQL. В противном случае вы рискуете быть атакованы методом SQL инъекция.
3. Любой доступ к файлам должен быть контролируемым. Зачастую разработчики используют метод динамического подключения скриптов, имя которого передается параметром в URL (например, require($_REQUEST['act'])). В этом случае обязательно нужно составить список допустимых имен скриптов и подключать необходимый файл только после предварительной проверки его имени. В противном случае злоумышленник сможет выполнить произвольный скрипт или вывести содержимое файла с секретной информацией. Также один из возможных скриптов, представляющий угрозу безопасности, это скрипт, выводящий содержимое некоторого файла. В обоих случаях следует помнить, что путь к файлу может состоять из символов обратного пути (значок две точки, например ". ./secret.txt"). Файловая система корректно обработает такой путь к файлу и вы, сами того не представляя, можете дать доступ к файлу, находящемуся далеко от той папки, к которой вы планировали дать доступ пользователю. Важно не забывать про символ обратного слеша "\", так как такой символ является аналогом прямого слеша "/" в некоторых ОС. Перед обработкой пути к файлу воспользуйтесь функцией продукта Rel2Abs, которая приведет путь в абсолютный вид и позволит избежать дальнейших неприятностей с его использованием.
4. Проверяйте все, что посетитель загружает к вам на сайт. Одна из типичных ошибок, при обработке загрузки файлов на сервер - это недостаточная проверка или вообще отсутствие проверки расширений имен загружаемых файлов. Важно помнить, что потенциально опасны файлы не только с расширением .php, но и .pl и даже .asp файлы, т.к. сайт может находиться на веб-сервере IIS, который исполняет такие файлы. Используя такую уязвимость, злоумышленник может под видом аватара на форуме загрузить вредоносный код и выполнить его. Поэтому единственно правильный вариант это составить список допустимых расширений имен файлов (например: jpg, gif, png) и разрешать загружать только их. В продукте для безопасной загрузки файлов и их проверки разработан ряд функций, например, CFile::CheckFile.
5. Не храните и не передавайте в URL потенциально опасные данные. Ни в коем случае нельзя сохранять в cookie или передавать в URL секретную информацию, особенно в открытом (незашифрованном виде). Помните, что эти данные могут быть доступны из javascript или в лог-файлах прокси или веб-серверов. Размещая сторонний счетчик или баннер, вы рискуете, что эти данные станут доступны злоумышленнику. Поэтому вся закрытая информация должна передаваться в POST запросах, при возможности с использованием HTTPS протокола, и храниться в зашифрованном виде.
6. Избегайте потенциальных мест для DOS атаки. Любой вычислительный процесс, будь это запрос к базе данных или сложный алгоритм шифрования, является потенциально подверженным DOS атаке. Поэтому максимально используйте технологию кэширования или специальную защиту от таких атак. В продукте "1С-Битрикс: Управление сайтом" для этого имеются все необходимые инструменты: во-первых, это автоблокировка агрессивного клиента, реализованная в модуле статистики - механизм, который блокирует клиентов, выполнивших максимально допустимых запросов за некоторое время, во-вторых, это механизм кэширования для частоиспользуемых и ресурсоемких участков кода.
Все вышеприведенные правила должны применяться не только к параметрам, поступающим в GET или POST запросах, но также к любой другой информации, поступающей с клиентского компьютера, например cookies или другим параметрам HTTP запроса. Не стоит надеяться на такие переменные как HTTP_USER_AGENT, указывающий браузер посетителя или HTTP_X_FORWARDED_FOR, указывающий реальный IP адрес посетителя, зашедшего через прокси-сервер, - помните, вся эта информация передается в заголовке HTTP запроса и запросто может быть подделана злоумышленником.
Важно помнить, что сайт - это ваше лицо в Интернете, которое увидят миллионы посетителей со всего мира, и его безопасность и неуязвимость - это не просто меры предосторожности, это признак вашего профессионализма и надежности.
Вы можете поручить задачу обеспечения безопасности Информационной среды надежному дата-центру или хостинг-провайдеру. В штате крупных компаний обычно существует должность офицера безопасности, который отвечает за независимый мониторинг и обеспечение комплекса мер безопасности и защиты.
Мы располагаем достоверной информацией относительно уровня обеспечения безопасности Информационной среды в компании DATAFORT и можем рекомендовать размещение выделенных веб-серверов, требующих высокого уровня безопасности в данной компании.
Вниманию хостинг провайдеров Мы будем рады разместить информацию о вашей компании на сайте в разделе «Безопасность». Направьте нам запрос на адрес info@1c-bitrix.ru и информацию о вашей информационной инфраструктуре, используемых вами автоматизированных и ручных средствах мониторинга и обеспечения безопасности. | ||