Безопасность

«Облачный» сканер безопасности

Впервые в мировой практике для CMS разработан «облачный» сервис, который проверяет ресурс на наличие внешних и внутренних угроз безопасности.

1. Выполнять внутреннее сканирование окружения проекта, к примеру, безопасно ли хранятся сессии.
2. Выполнять проверку настроек сайта, к примеру, включен ли WAF, установлен ли пароль к БД и т. д.
3. Выполнять поиск потенциальных уязвимостей в коде проекта с помощью статического анализа.
4. Запускать внешнее сканирование.

«Сканер безопасности»

«Сканер безопасности» следит за безопасностью проекта

• Собственный профессионализм разработчика;
• Web Application Firewall;
• Статический анализ кода;
• Сторонний анализ безопасности веб-приложения;
• Непрерывная работа команды «1С-Битрикс» по обеспечению безопасности API и компонентов системы.

Как работает «Сканер безопасности»

Запускаем сканирование

Ждем результата

Анализируем результаты

Подробнее о работе Сканера безопасности - в блоге Андрея Красичкова

Независимый аудит

Positive Technologies  - одна из ведущих российских компаний в области информационной безопасности. Основные направления деятельности компании - разработка систем комплексного мониторинга информационной безопасности (XSpider, MaxPatrol); предоставление консалтинговых и сервисных услуг в области информационной безопасности; развитие специализированного портала Securitylab.ru.

Positive Technologies - это команда высококвалифицированных разработчиков, консультантов и экспертов, которые обладают большим практическим опытом, являются членами международных организаций и активно участвуют в развитии отрасли.

Компания Positive Technologies провела полномасштабное тестирование самой полной версии программного продукта «1С-Битрикс: Управление сайтом», располагая исходными текстами продукта и консультационной поддержкой технических специалистов компании «Битрикс».

Подробнее 

Сертификаты

  Продукты и решения компании «1С-Битрикс» получили новые сертификаты ФСТЭК России. Подробнее

Сертификат соответствия № 3260 ФСТЭК России («1С-Битрикс: Управление сайтом») Настоящий сертификат удостоверяет, что программный комплекс «1С-Битрикс: Управление сайтом» в редакциях Первый сайт, Старт, Стандарт, Эксперт, Малый Бизнес, Бизнес, Веб-кластер, Бизнес веб-кластер, Сайт школы (базовый), Сайт школы (расширенный), Сайт учебного заведения, Сайт медицинской организации (базовый), Сайт медицинской организации (расширенный), Сайт конференции, Официальный сайт государственной организации (базовый), Официальный сайт государственной организации (расширенный), разработанный ООО «1С-Битрикс» и производимый ООО «Сертифицированные информационные системы» в соответствии с техническими условиями ТУ 5090-030-82487552-13, функционирующий в средах операционных систем, указанных в формуляре 5090-030-82487552-13 ФО, является программным средством общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведений, составляющих государственную тайну, реализующим функции идентификации и аутентификации, разграничения доступа и регистрации событий безопасности, соответствует требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) - по 4 уровню контроля и технических условий при выполнении указаний по эксплуатации, указанных в формуляре. Сертификат выдан на основании результатов сертификационный испытаний, проведенных испытательной лабораторией ЗАО «Научно-производственное объединение «Эшелон» (аттестат аккредитации от 03.06.2009 №СЗИ RU.2321.Б011.033) - техническое заключение от 03.09.2014, и экспертного заключения от 26.09.2014 органа по сертификации ОАО «Безопасность информационных технологий и компонентов» (аттестат аккредитации от 21.11.2008 №СЗИ RU.1190.А98.011).

	«Защищенное веб-приложение» («1С-Битрикс: Управление сайтом 8») Сертификат выдан компанией Positive Technologies, которая осуществила аудит эффективности новых функций безопасности продукта  «1С-Битрикс: Управление сайтом 8». Тестирование встроенных механизмов защиты продукта подтвердило их соответствие требованиям Web Application Firewall Evaluation Criteria международной организации Web Application Security Consortium. Качество реализации защитных механизмов «1С-Битрикс: Управление сайтом 8» позволяет пользователю системы быть уверенным не только в надежности ядра системы, но и в безопасности решения на его основе, с учетом надстроек и доработок, выполненных партнерами компании.
	Технологический партнер компании Aladdin Сертификат подтверждает, что ООО «1С-Битрикс» является технологическим партнером Alaadin Software Security R. D. и имеет статус Solution Partner.
	Сертификат совместимости электронных ключей eToken PASS c «1С-Битрикс: Управление сайтом» версии 8 Сертификат выдан на основании результатов сертификационных испытаний, проведенных компаниями  ЗАО «Аладдин Р.Д.» и «1С-Битрикс». Сертификат удостоверяет корректность работы электронных ключей  eToken PASS производства ЗАО «Аладдин Р.Д.» с программным продуктом «1С-Битрикс: Управление сайтом» версии 8.х. Устройство генерации одноразовых паролей eToken PASS является рекомендованным техническим средством для обеспечения строгой аутентификации пользователей в «1С-Битрикс: Управление сайтом» версии 8.х.
	Таблица совместимости электронных ключей eToken PASS c «1С-Битрикс: Управление сайтом» версии 8 Приложение №1 к сертификату совместимости eToken PASS - «1С-Битрикс: Управление сайтом» версии 8. В таблице указан тип ключа eToken - eToken PASS, который совместим с продуктом «1С-Битрикс: Управление сайтом» версии 8.х. В качестве дополнительного ПО требуется наличие в «1С-Битрикс: Управление сайтом» модуля «Проактивная защита», начиная с версии 8.0.0.

Скачать сертификаты	.png
Сертификат соответствия № 3260 ФСТЭК России («1С-Битрикс: Управление сайтом»)	234 Кб
Защищенное веб-приложение («1С-Битрикс: Управление сайтом 8»)	1,39 Мб
Технологический партнер компании Aladdin	5,4 Мб
Сертификат совместимости электронных ключей eToken PASS c «1С-Битрикс: Управление сайтом» 8.0	240 Kб
Таблица совместимости электронных ключей eToken PASS c «1С-Битрикс: Управление сайтом» 8.0	280 Kб
Все сертификаты (в ZIP архиве)	7,19 Мб

Усиливаем аутентификацию или зачем нужны одноразовые пароли

Использование одноразовых паролей в продуктах «1С-Битрикс» – это превосходное решение для задач надежной удаленной аутентификации. Сегодня известно не так уж много способов действительно «сильной» аутентификации пользователей при передаче информации по открытым каналам связи. Между тем такая задача встречается все чаще и чаще. И одноразовые пароли - одно из самых перспективных ее решений!

Артем Рябинков, руководитель отдела развития бизнеса компании «1С-Битрикс», к.т.н.

1. Аутентификация как базис безопасности        Этапы входа в систему        Способы аутентификации 2. Традиционная парольная аутентификация        Задание стойкости паролей        Противодействие подбору паролей        Управление реакцией на неудачную попытку входа 3. Аутентификация по одноразовым паролям (OTP)         Пароли и удаленный доступ         Не все средства хороши         Почему «одноразовые»         Как работает схема OTP         Аппаратные и программные методы реализации OTP         eToken PASS         Настройка OTP аутентификации в продуктах «1С-Битрикс»   5. Выводы

1. Аутентификация как базис безопасности

1.1  Этапы входа в систему 

В теории информационной безопасности процесс входа в систему делится на 3 основные стадии:

1. Идентификация (Identification)
   Под идентификацией, применительно к обеспече­нию информационной безопасности компьютерной системы, понимают однозначное распознавание уникального имени субъекта (пользователя).
2. Аутентификация (Authentication)
   Аутентификация обеспечивает подтверждение подлинности субъекта, то есть подтверждение того, что предъявленное имя соответ­ствует данному субъекту.
3. Авторизация (Authorization)
   На третьем шаге, система проводит процедуру авторизации, когда на основании результата процедуры аутентификации она дает пользователю тот или иной уровень доступа.

1.2  Способы аутентификации

Способы аутентификации пользователей в компьютерных системах делят на три группы [1].

• К первой группе отно­сятся способы аутентификации, основанные на том, что пользо­ватель знает некоторую подтверждающую его подлинность инфор­мацию (обычно это старая добрая парольная аутентификация).
• Ко второй группе относятся способы аутентификации, основан­ные на том, что пользователь имеет некоторый материальный объект, который может подтвердить его подлинность (например, пластико­вую карту с идентифицирующей пользователя информацией).
• К третьей группе относятся способы аутентификации, осно­ванные на таких данных, которые позволяют однозначно считать, что пользователь и есть тот самый субъект, за которого себя выда­ет (биометрические данные, особенности клавиатурного почерка и т.п.).

2. Парольная аутентификация

2.1  Задание стойкости паролей

При выборе паролей пользователи системы (например, веб-сайта) должны руководство­ваться двумя, по сути взаимоисключающими, правилами - па­роли должны трудно подбираться и легко запоминаться (посколь­ку пароль ни при каких условиях не должен нигде записываться, так как в этом случае необходимо будет дополнительно решать задачу защиты носителя пароля).

Но поскольку правила взаимоисключающие, пароли обычно простые и очень хорошо подбираются, а также записываются повсеместно без надлежащей защиты этих самых записей. Если вторую неприятность решить технически невозможно, да и организационные меры особо не помогают, то вот с обеспечением сложности пароля можно поработать.

Сложность подбора пароля определяется, в первую очередь, мощностью множества символов, используемого при выборе па­роля (N), и минимально возможной длиной пароля (к). В этом случае число различных паролей может быть оценено снизу как, С_р = N^k. Например, если множество символов пароля образуют строчные латинские буквы, а минимальная длина пароля равна 3, то С_р= 26³= 17576 (что совсем немного для программного подбо­ра). Если же множество символов пароля состоит из строчных и прописных латинских букв, а также из цифр и минимальная дли­на пароля равна 6, то С_р= 62⁶ = 56800235584.

Сложность выбираемых пользователями КС паролей должна устанавливаться администратором при реализации установленной для данной системы политики безопасности. В продуктах «1С-Битрикс» имеется возможность указать индивидуальную политику безопасности для каждой группы пользователей: 

• максимальный срок действия пароля (любой секрет не может сохраняться в тайне вечно);
• несовпадение пароля с логическим именем пользователя, под которым он зарегистрирован в системе;
• неповторяемость паролей одного пользователя.

С точки зрения теории, эти рекомендации очень полезны и обычно применяются в совокупности, но как правило на практике они не дают сколько-либо весомого усиления защиты. Так, например, требование неповторяемости паролей может быть реализовано двумя способами. Во-первых, можно установить минимальный срок действия пароля (в противном случае пользователь, вынужден­ный после истечения срока действия своего пароля поменять его, сможет тут же сменить пароль на старый). Во-вторых, можно вес­ти список уже использовавшихся данным пользователем паролей (максимальная длина списка при этом может устанавливаться ад­министратором).

К сожалению, обеспечить реальную уникальность каждого вновь выбираемого пользователем пароля с помощью приведенных выше мер практически невозможно. Пользователь может, не нарушая установленных ограничений, выбирать пароли «A1», «A2», ... где А — первый пароль пользователя, удовлетворяющий требованиям сложности. Тоже самое касается несовпадения логина с паролем. Ничто не помешает сделать логин 'dima', а пароль 'dima_1'.

В силу перечисленных обстоятельств (именно практической нецелесообразности) мы не стали штатно вводить в продукты такие ограничения, однако любой из наших партнеров может дополнить ими разрабатываемый проект, используя API платформы.

2.2  Противодействие подбору паролей

Настраивая политику учетных записей пользователей необходимо назначить меры противодействия системы попыт­кам подбора паролей. Для этого могут применяться следующие правила [1]: 

1. Препятствие подбору пароля автоматизированным способом.
	Для воспрепятствования автоматизированным способам подбора паролей в современных веб-приложениях обычно используют CAPTCHA (Completely Automatic Public Turing Test to Tell Computers and Humans Apart - полностью автоматический тест Тьюринга для различения компьютеров и людей).CAPTCHA представляет собой задачу, сложную для решения компьютером и простую для человека, и обычно реализуется в виде изображения, на котором необходимо различить набор символов или другую сигнатуру. В продуктах «1С-Битрикс» вы можете включить использование CAPTCHA в процедурах регистрации в систему и аутентификации. Использовать CAPTCHA при регистрации Кроме того, можно обеспечить принудительный вывод CAPTCHA в случае нескольких неудачных попыток аутентификации, настроив параметр «Количество попыток ввода пароля до показа CAPTCHA :» в настройках политики безопасности группы. Настройка принудительного вывода CAPTCHA В результате форма авторизации после N-й попытки будет выглядеть следующим образом: Форма авторизации с CAPTCHA CAPTCHA в продуктах «1С-Битрикс» гибко настраивается, что позволяет достичь компромисса между ее сложностью и удобством пользователя. В различных веб-системах эта грань всегда своя, но мы предлагаем удобный инструмент для ее определения. Настройка CAPTCHA
2. Ограничение числа попыток входа в систему.
	Для ограничения числа попыток входа в систему мы предлагаем использовать фильтр активности, входящий в состав модуля «Проактивная защита». В нем вы можете настроить параметры блокировки доступа к веб-сайту при превышении лимита активности от некоторого посетителя. Настройка параметров контроля активности Кроме этого, если вам стали известны IP адреса нападающих, можно добавить их в стоп-лист, и полностью запретить доступ к ресурсу с этих адресов, и все попытки подбора паролей методом «грубой силы» (brute force). Редактирование правил блокировки IP
3. Скрытие логического имени последнего работавшего пользо­вателя
	Скрытие логического имени последнего работавшего пользо­вателя в веб-приложениях, к сожалению, на уровне системы реализовывать бессмысленно, поскольку подстановку данного имени по умолчанию выполняет большинство браузеров.
4. Учет всех попыток (успешных и неудачных) входа в систему
	Учет всех попыток (успешных и неудачных) входа в систему в продуктах «1С-Битрикс» обеспечивается встроенным журналом событий. При этом вы детально настраиваете, какие события будут в нем фиксироваться и сколько времени они будут храниться. Журнал событий - настройка В результате администратор системы может контролировать основные процессы, связанные с аутентификацией и сопутствующими действиями пользователей. Журнал событий - просмотр

2.3  Управление реакцией на неудачную попытку входа

С теоретической точки зрения реакция на неуспешный вход может быть следующей:

1. Блокировка учетной записи, под которой осуществляется попытка входа, при превышении максимально возможного числа попыток (на заданное время или до ручного снятия блокировки администратором);
2. Нарастающее увеличение временной задержки перед предо­ставлением пользователю следующей попытки входа.

К сожалению, эти рекомендации на практике не совсем целесообразны, так как они могут позволить нарушителю наме­ренно заблокировать работу в системе легального пользователя (реали­зовать угрозу нарушения доступности информации).

В продуктах «1С-Битрикс» предложен более изящный вариант, который уже был упомянут. Это использование CAPTCHA после N неуспешных попыток аутентификации.

3. Одноразовые пароли

3.1  Пароли и удаленный доступ

Несмотря на то, что с помощью применения перечисленных выше правил парольную аутентификацию можно сделать более безопасной, она все-таки остается весьма уязвимой. Нельзя защититься от самой природы удаленного доступа при работе с веб-приложениями.

Работая с веб-приложением, мы не можем быть уверенными в безопасности канала связи, который мы используем для доступа в Сеть. Мы можем зайти в интернет-кафе, воспользоваться общедоступной Wi-Fi точкой доступа в аэропорту и тем самым легко стать жертвой очень распространенного сегодня вида компьютерного мошенничества, как сниффинг (от англ. sniff - нюхать).Злоумышленники могут контролировать сегмент сети и анализировать весь циркулирующий в нем трафик. Причем для этого не нужно быть администратором сети, как правило защищенность особенно беспроводных сетей чрезвычайно низкая, а злоумышленником может быть сидящий напротив пассажир, с ноутбуком, а то и с карманным компьютером.

Другая опасность заключается в том, что зачастую необходимо обратиться к веб-приложению с чужого компьютера, в том же Интернет-кафе. Пароли кэшируются, как и любая другая вводимая в компьютер информация, и при желании ими может воспользоваться кто-то еще в своих небескорыстных целях.

Угрозы исходят и от вирусов. Полученные в результате работы в сети Интернет, они могут сканировать входящий и исходящий на предмет наличия в нем секретных сведений, анализируя пакеты наиболее распространенных протоколов. Полученная информация часто отсылается создателям для последующего анализа и использования.

Между тем ситуации, когда необходимо удаленно получить или отправить информацию, возникают довольно часто. Возьмем хотя бы системы электронного банкинга: несложно представить себе ситуацию, когда для удаленного управления своим счетом пользователю потребуется доступ к защищенным банковским ресурсам.Специфика бизнеса многих крупных компаний часто обязывает их предоставлять доступ к собственным ресурсам сторонним пользователям - партнерам, клиентам, поставщикам. Сегодня в России активно набирает обороты такой тип сотрудничества, как аутсорсинг: компании-субподрядчику для выполнения работ по заказу вполне может потребоваться доступ к защищенным ресурсам заказчика.

3.2  Не все средства удобны

Многие наверняка воскликнут, что есть же аппаратные средства, обеспечивающие требуемый уровень защиты: смарт-карты, USB-ключи. Однако их использование весьма ограничено опять же в связи со спецификой веб-приложений.

Для смарт-кард требуются считыватели, для USB-ключей – доступный USB порт. Если мы обращаемся к веб-сайту с чужого компьютера, то понятно, что первого там не будет, а USB порт может быть заблокирован (это практически стандарт многих интернет-кафе). Интенсивно развиваются и мобильные устройства, и сегодня их можно полноценно использовать для серфинга в Интернете. Понятно, что никаких считывателей и USB портов в них не существует.Кроме этого, для работы многих аппаратных средств аутентификации требуется специализированное ПО. Стоит ли говорить о том, что оно может быть не установлено на терминале доступа.

Потребность подключения к корпоративной сети по надежной схеме аутентификации при наличии под рукой лишь КПК или смартфона может стать серьезной проблемой, если пользователь находится на конференции, переговорах или других деловых мероприятиях. Как раз для мобильных приложений, а также для организации доступа к нужной информации из тех мест, где невозможно установить специальное ПО, была разработана концепция одноразовых паролей OTP - One-Time Password.

3.3  Почему «одноразовые»

Самая простая идея одноразовых паролей заключается в том, что пользователь получает список паролей Pi, Р₂,..., Р„ ..., Р_и. Каждый из паролей действует только на один сеанс входа (Р[ — на первый, Р₂ — на второй и т.д.). В этом случае знание уже исполь­зовавшегося пользователем пароля ничего не даст нарушителю, а при каждом входе легального пользователя возможна проверка на использование данного пароля кем-либо еще.[1]

Не нужно считать, что такая примитивная схема существует только в теории. Она очень широко применялась последние годы, более того, Сбербанк РФ и сегодня позволяет вам воспользоваться такой методикой. В интерфейсах банкоматов СБРФ есть меню «безналичный расчет», где нужно выбрать «одноразовые пароли» и получить квиток с десятью кодами. При оплате картой услуг или покупок в Интернете, клиент банка должен будет вводить один из этих кодов по требованию системы.

Понятно, что подобная схема имеет свои трудности:

• организация защищенного хранения длинного списка паро­лей (либо его запоминание, что маловероятно);
• неясность с номером следующего пароля, если после ввода предыдущего пароля из списка вход пользователя в систему не был осуществлен из-за сбоя в работе КС.

Эти недостатки могут быть устранены, если список паролей ге­нерировать на основе некоторой необратимой функции, например функции хеширования. Пусть Р — начальный пароль пользователя, a F — необратимая функция. Обозначим: F'(P) = F(F(...F(P)...)) (фун­кция F применяется последовательно iраз). Тогда список одно­разовых паролей создается следующим образом: Р, = F" (Р), Р₂ = = F-¹(P), .... Р_л_! = F(F(P)), Р„ = F(P).

При сбое в процессе входа пользователя всегда осуществ­ляется выбор следующего пароля из списка, а система последова­тельно применяет функцию F к введенному пользователем паро­лю, вплоть до совпадения с последним принятым от него паро­лем (и тогда пользователь допускается к работе в системе) или до превышения длины списка паролей (в этом случае попытка входа пользователя в КС отвергается).[2]   На базе этой идеи и работают все современные технологии аутентификации с помощью одноразовых паролей.

3.4  Как работает схема OTP

В современных технологиях аутентификации с помощью OTP применяется динамическая генерация ключевых слов с помощью сильных криптографических алгоритмов (вышеупомянутая функция F). Иначе говоря, аутентификационные данные - это результат шифрования какого-либо начального значения с помощью секретного ключа пользователя. Данная информация есть и у клиента, и у сервера. Она не передается по сети и недоступна для перехвата. В качестве начального значения используется известная обеим сторонам процесса аутентификации информация, а ключ шифрования создается для каждого пользователя при его инициализации в системе. Ключ иногда еще называют вектором инициализации.

Стоит отметить, что на данном этапе развития технологий OTP существуют системы, использующие как симметричную, так и асимметричную криптографию. В первом случае секретным ключом должны обладать обе стороны. Во втором секретный ключ нужен только пользователю, а у сервера аутентификации он открытый.

Технологии OTP были разработаны в рамках отраслевой инициативы Open Authentication (OATH), выдвинутой компанией VeriSign в 2004 г. Суть этой инициативы заключается в разработке стандартной спецификации действительно надежной аутентификации для различных интернет-сервисов. Причем речь идет о двухфакторном определении прав пользователя, в процессе которого последний должен «предъявить» смарт-карту или USB-токен и свой пароль. Таким образом, одноразовые пароли со временем могут стать стандартным средством удаленной аутентификации в различных системах.

Сегодня разработано и используется на практике несколько вариантов реализации систем аутентификации по одноразовым паролям [1].

Метод «запрос-ответ». Принцип его работы таков: в начале процедуры аутентификации пользователь отправляет на сервер свой логин. В ответ на это последний генерирует некую случайную строку и посылает ее обратно. Пользователь с помощью своего ключа зашифровывает эти данные и возвращает их серверу. Сервер же в это время «находит» в своей памяти секретный ключ данного пользователя и кодирует с его помощью исходную строку. Далее проводится сравнение обоих результатов шифрования. При их полном совпадении считается, что аутентификация прошла успешно. Этот метод реализации технологии одноразовых паролей называется асинхронным, поскольку процесс аутентификации не зависит от истории работы пользователя с сервером и других факторов [3].

Метод «только ответ». В этом случае алгоритм аутентификации несколько проще. В самом начале процесса программное или аппаратное обеспечение пользователя самостоятельно генерирует исходные данные, которые будут зашифрованы и отправлены на сервер для сравнения. При этом в процессе создания строки используется значение предыдущего запроса. Сервер тоже обладает этими сведениями; зная имя пользователя, он находит значение предыдущего его запроса и генерирует по тому же алгоритму точно такую же строку. Зашифровав ее с помощью секретного ключа пользователя (он также хранится на сервере), сервер получает значение, которое должно полностью совпадать с присланными пользователем данными.

Метод «синхронизация по времени». В нем в качестве исходной строки выступают текущие показания таймера специального устройства или компьютера, на котором работает человек. При этом обычно используется не точное указание времени, а текущий интервал с установленными заранее границами (например, 30 с). Эти данные зашифровываются с помощью секретного ключа и в открытом виде отправляются на сервер вместе с именем пользователя. Сервер при получении запроса на аутентификацию выполняет те же действия: получает текущее время от своего таймера и зашифровывает его. После этого ему остается только сравнить два значения: вычисленное и полученное от удаленного компьютера.

Метод «синхронизация по событию». В принципе этот метод практически идентичен предыдущему, только в качестве исходной строки в нем используется не время, а количество успешных процедур аутентификации, проведенных до текущей. Это значение подсчитывается обеими сторонами отдельно друг от друга. В настоящее время этот метод получил наиболее распространение.

В некоторых системах реализуются так называемые смешанные методы, где в качестве начального значения используется два типа информации или даже больше. Например, существуют системы, которые учитывают как счетчики аутентификаций, так и показания встроенных таймеров. Такой подход позволяет избежать множества недостатков отдельных методов.

3.5  Аппаратные и программные реализации OTP

Как уже говорилось выше, в основе OTP лежит использование криптографических алгоритмов. Это накладывает определенные обязательства на разработчиков таких продуктов - ведь некачественное исполнение какого-либо алгоритма или, например, генератора случайных чисел может поставить под угрозу безопасность информации.[2]

Генераторы одноразовых паролей реализуются двумя способами: программным и аппаратным. Первый из них, естественно, менее надежен. Дело в том, что клиентская утилита должна хранить в себе секретный ключ пользователя. Сделать это более или менее безопасно можно только с помощью шифрования самого ключа на основе персонального пароля. При этом необходимо учитывать, что клиентская утилита должна быть установлена на том устройстве (КПК, смартфон и т. п.), с которого в данный момент выполняется сессия. Таким образом, получается, что аутентификация сотрудника зависит от одного пароля, при том что существует множество способов узнать или подобрать его. И это далеко не единственная уязвимость программного генератора одноразовых паролей.

Несравнимо большей надежностью обладают разнообразные устройства для аппаратной реализации OTP-технологий. Например, есть устройства, по виду напоминающие калькулятор (рис. 2): при вводе в них набора цифр, присланного сервером, они на основе вшитого секретного ключа генерируют одноразовый пароль (метод «запрос-ответ»). Главная уязвимость подобных устройств связана с тем, что их можно украсть или утерять. Обезопасить систему от злоумышленника можно только при условии использования надежной защиты памяти устройства с секретным ключом.

Именно такой подход реализован в смарт-картах и USB-токенах. Для доступа к их памяти пользователь должен ввести свой PIN-код. Добавим, что такие устройства защищены от подбора PIN-кода: при трехкратном вводе неправильного значения они блокируются.Надежное хранение ключевой информации, аппаратная генерация ключевых пар и выполнение криптографических операций в доверенной среде (на микросхеме смарт-карты) не позволяют злоумышленнику извлечь секретный ключ и изготовить дубликат устройства генерации одноразовых паролей.

3.6  eToken PASS

Аппаратный ключ Aladdin eToken PASS – один из наиболее надежных генераторов одноразовых паролей, защищенными практически от всех уязвимостей реализации.

Устройства серии eToken достаточно широко распространены в России. Такие ведущие производители, как Microsoft, Cisco, Oracle, Novell и т. д., обеспечивают их поддержку в своих продуктах (в «послужном списке» eToken более 200 реализаций с приложениями для информационной безопасности). Мы рады, что смогли присоединиться к этому списку и обеспечить наших клиентов требуемым уровнем защищенности при работе с веб-ресурсами

Достоинство eToken PASS заключается в его автономности. Устройство работает на батарейке с пожизненным запасом заряда и не требует подключение к компьютеру. Процесс генерации одноразового пароля может запускаться путем нажатия на специальную кнопку, размещенную на корпусе устройства, а его результат в этом случае будет отображаться на встроенном ЖК-дисплее. Такой подход позволяет применять технологию OTP даже на тех устройствах, на которых отсутствуют USB-порты или считыватели (смартфоны, КПК, сотовые телефоны и т. п.), и на компьютерах, на которых они заблокированы (на рисунке изображен eToken NG-OTP, как еще один пример OTP-токена).

С каждым устройством связан ключ шифрования (вектор инициализации), который обеспечивает соответствие устройства и пользователя, которому оно выдано. Векторы инициализации хранятся у администратора и привязываются к пользователю в момент выдачи устройства.

eToken PASS работает по методу «синхронизация по событию». Это наиболее надежная из синхронных вариантов реализация технологии OTP (с меньшим риском рассинхронизации). Алгоритм генерации одноразовых паролей, реализованный в ключе eToken NG-OTP, разработан в рамках инициативы OATH (он основан на технологии HMAC). Суть его заключается в вычислении значения HMAC-SHA-1 и затем в выполнении операции усечения (выделения) шести цифр из полученного 160-битового значения. Именно они и служат тем самым одноразовым паролем.

3.7  Настройка OTP–аутентификации в продуктах «1С-Битрикс»

Использование схемы OTP в программных продуктах 1С-Битрикс обеспечивается модулем «Проактивная защита». Для начала использования необходимо включить использование одноразовых паролей на соответствующей странице модуля.

Включение использования одноразовых паролей

После этого необходимо открыть профайл пользователя, которому требуется обеспечить аутентификацию по OTP. Мы видим, что появилась новая вкладка «Одноразовые пароли».

Настройка одноразовых паролей

Первое что необходимо сделать администратору – это ввести секретный ключ, связанный с устройством. Этим действием мы связываем устройство и человека, чтобы веб-сайт впоследствии мог корректно выполнять сравнение паролей и аутентифицировать его.

Но этого недостаточно, поскольку требуется установить начальное значение для счетчика успешных процедур аутентификации на веб-сайте (или просто обнулить этот счетчик). Для выполнения этой операции необходимо последовательно сгенерировать два пароля и ввести их в соответствующие поля формы.

Теперь устройство связано с профайлом пользователя и инициализировано. Можно сохранить профайл с новыми настройками. А что означает галочка «Включить составной пароль»?

На самом деле, для любого устройства eToken необходимо знать PIN код доступа, чтобы его использовать. Но поскольку eToken PASS через вектор инициализации связан с профайлом, то мы вполне можем в качестве PIN кода использовать обычный (многоразовый) пароль пользователя. И в этом случае при аутентификации пользователь должен ввести составной пароль, который представляет собой обычный пароль и одноразовый пароль, вводимые подряд без разделителя.

В любой момент можно отключить одноразовые пароли, сняв галочку «Включить составной пароль», и пользователь будет входить на сайт, используя обычный пароль. Мы, правда, настоятельно рекомендуем в этом случае сменить старый пароль, т.к. злоумышленники могли перехватывать одноразовые пароли, вычленяя из них обычные.

Обратите внимание, что при использовании eToken PASS возможна рассинхронизация счетчика авторизаций на сайте, и в самом устройстве. Можно случайно нажать на кнопку генерации без последующей аутентификации, например, если ключ попал в руки к детям. В этом случае последующая аутентификация будет невозможна и владельцу ключа будет необходимо обратиться к администратору системы за синхронизацией счетчиков.

Чтобы не было таких неудобств, предусмотрено, так называемое, окно синхронизации, означающее максимальное отличие счетчиков на сайте и устройстве.

Окно синхронизации

По умолчанию это значение равно 10, что означает возможность десяти «холостых» нажатий. Увеличивая значение, вы повышаете удобство использования, но несколько снижаете уровень безопасности технологии.

При каждой успешной аутентификации, счетчики в устройстве и на сайте синхронизируются автоматически.

5. Выводы:

Использование одноразовых паролей в продуктах «1С-Битрикс» – это превосходное решение для задач надежной удаленной аутентификации. Сегодня известно не так уж много способов действительно «сильной» аутентификации пользователей при передаче информации по открытым каналам связи. Между тем такая задача встречается все чаще и чаще. И одноразовые пароли - одно из самых перспективных ее решений.

eToken PASS – это простой в использовании и удобный автономный генератор одноразовых паролей, который можно применять вне зависимости от терминала, с которого осуществляется доступ к веб-приложению, вне зависимости от наличия на нем соответствующих портов и программного обеспечения.

В технологии применяется использование «стандартных» криптографических алгоритмов, совместимых с отечественными криптопровайдерами. Это означает, что для реализации системы аутентификации с применением OTP прекрасно подходят уже существующие разработки. Такие токены можно использовать в уже существующих системах корпоративной безопасности без их перестройки. В результате внедрение технологии одноразовых паролей можно провести с относительно небольшими затратами.

Источники:

1) Хорев П.Б. "Методы и средства защиты информации в компьютерных системах. Учебное пособие для вузов" , Academia, 2008

2) Давлетханов М. Концепция одноразовых паролей в системе аутентификации. (BYTE Россия), №7-8, 2006

3) Коржов В. Пароль на минуту. Открытые системы, 2005

По данным компании Positive Technologies: доля атак на Веб составляет более 50%; ежедневно в Рунете регистрируются десятки взломов веб-сайтов.

Безопасность «1С-Битрикс: Управление сайтом» Когда сайт - это имидж и репутация Уязвимости веб-приложений Информация для разработчиков Безопасность информационной среды

Но означает ли это, что сайты лучше не делать? Современный прогресс и конкурентная среда не оставляют выбора. Сайты будут создавать, будут делать больше и все более функциональными.

Безопасность «1С-Битрикс: Управление сайтом»

• политика безопасности - набор правил, ограничивающих возможность авторизации пользователей в целях обеспечения определенного уровня безопасности сайта;
• единая система авторизации - все права в системе распределяются исключительно для групп пользователей;
• единый бюджет пользователя для всех модулей;
• двухуровневая система разграничения прав доступа;
• независимость системы контроля доступа от бизнес-логики страницы;
• Смена пароля; 
• Запомнить авторизацию;
  
• возможность шифрования информации при передаче;
• система обновлений SiteUpdate;
• независимое журналирование выполняемых страниц в модуле Статистики;
• политика работы с переменными и внешними данными;
• методика двойного контроля критически опасных участков кода;
• политика работы с пластиковыми картами;

Когда сайт - это имидж и репутация

Обеспечение информационной безопасности веб-систем - процесс сложный и кропотливый, в котором участвуют разные поставщики услуг и программных продуктов. С большой уверенностью можно утверждать, что нельзя создать безопасную систему и прекратить работу по обеспечению информационной безопасности. Создавая систему, вы должны непрерывно следить за безопасностью информационной среды и за безопасностью веб-приложений.

Использование продукта «1С-Битрикс: Управление сайтом», получившего сертификат «Безопасное веб-приложение» от компании Positive Technologies, проводившей аудит информационной безопасности системы, позволяет с уверенностью утверждать, что современные корпоративные сайты могут быть надежно защищены.

В качестве независимых экспертов для подготовки материалов данного раздела привлечены специалисты компании Positive Technologies.

Уязвимости веб-приложений

Интересный материал на эту тему опубликован Алексеем Лукацким, руководителем отдела Интернет-решений компании «Информзащита» (в настоящее время менеджер по развитию бизнеса Cisco Systems) в журнале BYTE Россия:

«Автор прошелся по Web-сайтам некоторых, в том числе и именитых студий, предлагающих свои (недешевые, заметим) услуги по созданию сайтов, и что же? Ни одна из них не упомянула в своих "портфолио" понятие "защищенный сайт". И в типовых договорах нет ни слова о защите…

Что это - некомпетентность или осознанное нежелание ввязываться в неизвестную, а значит, таящую множество сюрпризов область ИТ? К сожалению, приходится признать, что скорее всего первое. Попробую проиллюстрировать этот тезис, опираясь на личный опыт участия в ряде Интернет-проектов...»

Полный текст статьи опубликован в разделе «Защищенный сайт».

Перечислим некоторые из наиболее часто встречающихся проблем:

• Cross Site Scripting
• SQL- injection
• PHP- injection
• HTTP Response Splitting
• HTML code injection
• File Inclusion
• Directory traversal и некоторые другие.

Перечисленные типы уязвимостей могут встречаться во всех веб-приложениях, независимо от того, разработаны они одним специалистом или известной компанией. Только системное проектирование, продумывание вопросов безопасности на всех этапах разработки и детальное тестирование готового приложения могут позволить исключить появления уязвимостей.

Подробнее

Информация для разработчиков

Используя для работы веб-проекта только «1С-Битрикс: Управление сайтом», вы можете минимизировать угрозы, связанные с веб-приложениями. Пользуясь технологией SiteUpdate, вы будете всегда располагать самой последней версией продукта. Усилия, которые предпринимает компания «Битрикс» для обеспечения высокого уровня безопасности в сочетании с независимым аудитом и непрерывным мониторингом со стороны компании Positive Technologies позволяют быть уверенными в высоком уровне защищенности сайта в целом.

При разработке сайтов соблюдайте элементарные правила предосторожности. Нельзя доверять всем посетителям сайта и надеяться на то, что любая введенная ими информация не приведет к разрушительным действиям. Эти правила не так тяжело запомнить, но без них вы ставите под угрозу безопасность вашего сайта.

2. Используйте метод $DB->ForSQL в запросах к БД. При обычной разработке веб-проекта на основе продукта "1С-Битрикс: Управление сайтом" вам не придется писать прямые запросы к базе данных, т.к. API функции сделают это за вас, но если вы разрабатываете свой модуль или хотите выбрать данные из собственных таблиц, то все параметры, входящие в запрос, необходимо обернуть методом CDatabase::ForSQL. В противном случае вы рискуете быть атакованы методом SQL инъекция.

3. Любой доступ к файлам должен быть контролируемым. Зачастую разработчики используют метод динамического подключения скриптов, имя которого передается параметром в URL (например, require($_REQUEST['act'])). В этом случае обязательно нужно составить список допустимых имен скриптов и подключать необходимый файл только после предварительной проверки его имени. В противном случае злоумышленник сможет выполнить произвольный скрипт или вывести содержимое файла с секретной информацией. Также один из возможных скриптов, представляющий угрозу безопасности, это скрипт, выводящий содержимое некоторого файла. В обоих случаях следует помнить, что путь к файлу может состоять из символов обратного пути (значок две точки, например ". ./secret.txt"). Файловая система корректно обработает такой путь к файлу и вы, сами того не представляя, можете дать доступ к файлу, находящемуся далеко от той папки, к которой вы планировали дать доступ пользователю. Важно не забывать про символ обратного слеша "\", так как такой символ является аналогом прямого слеша "/" в некоторых ОС. Перед обработкой пути к файлу воспользуйтесь функцией продукта Rel2Abs, которая приведет путь в абсолютный вид и позволит избежать дальнейших неприятностей с его использованием.

4. Проверяйте все, что посетитель загружает к вам на сайт. Одна из типичных ошибок, при обработке загрузки файлов на сервер - это недостаточная проверка или вообще отсутствие проверки расширений имен загружаемых файлов. Важно помнить, что потенциально опасны файлы не только с расширением .php, но и .pl и даже .asp файлы, т.к. сайт может находиться на веб-сервере IIS, который исполняет такие файлы. Используя такую уязвимость, злоумышленник может под видом аватара на форуме загрузить вредоносный код и выполнить его. Поэтому единственно правильный вариант это составить список допустимых расширений имен файлов (например: jpg, gif, png) и разрешать загружать только их. В продукте для безопасной загрузки файлов и их проверки разработан ряд функций, например, CFile::CheckFile.

5. Не храните и не передавайте в URL потенциально опасные данные. Ни в коем случае нельзя сохранять в cookie или передавать в URL секретную информацию, особенно в открытом (незашифрованном виде). Помните, что эти данные могут быть доступны из javascript или в лог-файлах прокси или веб-серверов. Размещая сторонний счетчик или баннер, вы рискуете, что эти данные станут доступны злоумышленнику. Поэтому вся закрытая информация должна передаваться в POST запросах, при возможности с использованием HTTPS протокола, и храниться в зашифрованном виде.

6. Избегайте потенциальных мест для DOS атаки. Любой вычислительный процесс, будь это запрос к базе данных или сложный алгоритм шифрования, является потенциально подверженным DOS атаке. Поэтому максимально используйте технологию кэширования или специальную защиту от таких атак. В продукте "1С-Битрикс: Управление сайтом" для этого имеются все необходимые инструменты: во-первых, это автоблокировка агрессивного клиента, реализованная в модуле статистики - механизм, который блокирует клиентов, выполнивших максимально допустимых запросов за некоторое время, во-вторых, это механизм кэширования для частоиспользуемых и ресурсоемких участков кода.

Все вышеприведенные правила должны применяться не только к параметрам, поступающим в GET или POST запросах, но также к любой другой информации, поступающей с клиентского компьютера, например cookies или другим параметрам HTTP запроса. Не стоит надеяться на такие переменные как HTTP_USER_AGENT, указывающий браузер посетителя или HTTP_X_FORWARDED_FOR, указывающий реальный IP адрес посетителя, зашедшего через прокси-сервер, - помните, вся эта информация передается в заголовке HTTP запроса и запросто может быть подделана злоумышленником.

Важно помнить, что сайт - это ваше лицо в Интернете, которое увидят миллионы посетителей со всего мира, и его безопасность и неуязвимость - это не просто меры предосторожности, это признак вашего профессионализма и надежности.

Безопасность информационной среды

Вы можете поручить задачу обеспечения безопасности Информационной среды надежному дата-центру или хостинг-провайдеру. В штате крупных компаний обычно существует должность офицера безопасности, который отвечает за независимый мониторинг и обеспечение комплекса мер безопасности и защиты.

Мы располагаем достоверной информацией относительно уровня обеспечения безопасности Информационной среды в компании DATAFORT и можем рекомендовать размещение выделенных веб-серверов, требующих высокого уровня безопасности в данной компании.