Поиск уязвимостей - безопасно ли?

[Daniyar Atadjanov]

Цитата:

Сообщение от maniak

Вот решил, предположим, Вася Пупкин поискать уязвимости на наших саитах, ну в общем поискал - сделал выводы для себя, намеревался на следующий день сообщить админам об уязвимостях, но какова вероятность, что админы сайта не уловят в его действиях корыстный мотив и не станут копать глубже, дабы засадить нашего Васю на срок от 3 до 5?

Смотря как "искал" и что в итоге получилось. Если просто заметил в URL интересные "?page=index.html" и подозревал о возможности чтения произвольных файлов на сервере или увидел SQL-ошибки, говорящие о потенциальной SQL-инъекции и собирался сообщить об этом администратору сайта/сервера, но конкретных действий не предпринимал, то, думаю, проблем возникать не должно.

Совсем другое дело, когда Вася Пупкин пытается несанкционированно (т. е. без разрешения владельца ресурса) сканировать порты сервера, заниматься CGI-сканированием или перебором паролей. В этом случае, в зависимости от результата, администратор сервера/сайта может обратиться в соответствующие инстанции: если в результате взлома владельцу ресурса был нанесен ущерб - в правоохранительные органы; если необходимо получить помощь для защиты от подобных угроз и расследовании инцидента - в UZ-CERT; если сканирование не прекращается, ставит под угрозу нормальное функционирование сервера и есть соответствующие доказательства в виде логов - провайдеру, которому принадлежит данный IP. Ну и естественно, администратор может (и должен) принять соответствующие меры по блокированию IP-адреса атакующего (хотя, часто этот процесс автоматизирован с помощью IDS).

Цитата:

Сообщение от maniak

Что нужно сделать - кроме проксей, что бы администраторы частных сайтов не подняли бы шухер во время мирного поиска уязвимостей с дальнейшей передачей данных админам сайта?

А что значит "мирный поиск уязвимостей"? Если поиск уязвимостей не санкционирован, то, я считаю, это равнозначно тому, чтобы ворваться в чужую квартиру, а потом заявить о том, что тестировалась новая серия отмычек (эксплоитов) для такого же вида замков (тех же версий сервисов), что и у владельца квартиры.

[Daniyar Atadjanov]

Цитата:

Сообщение от VITUS

Оп, а я в другой теме тот же вопрос поднимаю.

Хорошо, а можно узнать что считается взломом?
Ввод в форму: l/p:admin/123, сканирование портов, изучение веб-страниц и т.д. и т.п.???

Насколько я знаю, в мировой практике понятия взлома сильно разнятся от законодательства к законодательству.

Если злоумышленник получил доступ к конфиденциальной информации, модифицировал/удалил информацию или лишил доступа к ней её законным владельцам или пользователям - взлом.

Если он пытался что-либо сделать (сканирование, перебор паролей), но ему это не удалось - попытка взлома.

[maniak]

Благодарю за исчерпывающую информацию.

[Utkirbek Abdullaev]

"Мирный поиск уязвимостей" возможен, но только с разрешения владельца ресурса и желательно с документом, подтвеждающим это. Ибо этот же владелец может в любом другом случае заявить в соответсвующие органы о несанкционированном доступе или попытке доступа.

[Djalolatdin Rakhimov]

Цитата:

Сообщение от utkirbek

"Мирный поиск уязвимостей" возможен, но только с разрешения владельца ресурса и желательно с документом, подтвеждающим это. Ибо этот же владелец может в любом другом случае заявить в соответсвующие органы о несанкционированном доступе или попытке доступа.

Как мы уже говорили ранее, мы сами выставим ресурс - цель для поиска уязвимостей. Причем с призами для лучших!

[maniak]

А вот это действительно оригинальная и достаточно действенная идея, ведь таким образом новому поколению будет дан стимул в совершенствовании не только своих знаний касательно информационной безопасности, но и в познаний самих методов безопасности и способов устранения уязвимостей.
Если моя память мне не изменяет, вы - самые первые из официальных организаций, причем не только в Узб., решивших проводить столь активные меры для повышения уровня знаний населения в области информационных технологий и всего прочего. Но одно могу сказать, среди всех представительств Церта, известных мне - вы особенно выделяетесь(Ру-церт - вообще заглох, американский - нет-нет пару сайтов с пиратскими серваками на учет ставят - но и то чисто для галочки, все остальные - не столь знамениты.)

Ещё хотелось бы узнать, ресурс будет создан вами заранее, т.е. с преднамеренным наличием уязвимостей или же это будет самый обычный ресурс, который предстоит исследовать на уязвимости?

Ну и на последок: когда стоит ожидать такого конкурса - в этом году или же только в следующем?

[Djalolatdin Rakhimov]

Цитата:

Сообщение от maniak

А вот это действительно оригинальная и достаточно действенная идея, ведь таким образом новому поколению будет дан стимул в совершенствовании не только своих знаний касательно информационной безопасности, но и в познаний самих методов безопасности и способов устранения уязвимостей.
Если моя память мне не изменяет, вы - самые первые из официальных организаций, причем не только в Узб., решивших проводить столь активные меры для повышения уровня знаний населения в области информационных технологий и всего прочего. Но одно могу сказать, среди всех представительств Церта, известных мне - вы особенно выделяетесь(Ру-церт - вообще заглох, американский - нет-нет пару сайтов с пиратскими серваками на учет ставят - но и то чисто для галочки, все остальные - не столь знамениты.)

Ещё хотелось бы узнать, ресурс будет создан вами заранее, т.е. с преднамеренным наличием уязвимостей или же это будет самый обычный ресурс, который предстоит исследовать на уязвимости?

Ну и на последок: когда стоит ожидать такого конкурса - в этом году или же только в следующем?

Мероприятия, проводимые нами, являются реализацией целей и задач UZ-CERT, созданного не много, не мало - постановлением Президента. То есть, это нормальная работа для нас. Мы пытаемся найти наиболее действенные способы реализации. Ну и почему все время надо сравнивать со штатами и РФ ? Много примеров отличным проектов, в которых мы (Узбекистан, не UZINFOCOM) упредили наших соседей.

Ресурс специально создавать не будем. Как раз хотим выставить существующий, причем не обязательно наш. Вполне возможно, что будет достигнута договоренность с владельцами сторонних, интересных сайтов, расположенных в Узбекистане ("узбекский" сайт от начала и до конца) на проведении данной акции. CERT конечно же подготовит его для минимизации ущерба и будет на стороне владельца сайта. Нужно же нормальное противостояние в хорошем смысле. В итоге владелец получит уверенность, что сайт его ОК в смысле защищенности, а может даже информационная безопасность его будет улучшена к концу конкурса. Однозначно то, что проигравших в данном конкурсе точно не будет.

Сами сотрудники CERT вышли с таким предложением, которое было поддержано.

По срокам: Действительно пока не готовы сказать, так как идея новая, сразу опубликовали. Но будет в ближайшее время. Кстати, мы открыты предложениям по его условиям и т.д. Может сами предложите сайты-цели.

[maniak]

Ну так я и имел ввиду, что выделяетесь вы особенно в лучшую сторону, нежели в сравнении с США и РФ, и я совершенно согласен, что большинство проектов узб с лихвой опережают зарубежные аналоги.


А так у нас большинство правительственных сайтов сделаны на одном движке, если не ошибаюсь от Саркора, вот такие сайты и надо исследовать, т.к. в случае обнаружения уязвимостей, под ударом может оказаться целая отрасль проект.

[Djalolatdin Rakhimov]

Цитата:

Сообщение от maniak

Ну так я и имел ввиду, что выделяетесь вы особенно в лучшую сторону, нежели в сравнении с США и РФ, и я совершенно согласен, что большинство проектов узб с лихвой опережают зарубежные аналоги.


А так у нас большинство правительственных сайтов сделаны на одном движке, если не ошибаюсь от Саркора, вот такие сайты и надо исследовать, т.к. в случае обнаружения уязвимостей, под ударом может оказаться целая отрасль проект.

Можно определить несколько "целей" на разных площадках. Как раз и сравним, так сказать, брутфорсом

[maniak]

Ну а так самые желаемые цели у взломщиков - правительственные сайты, провайдеры и хостеры. Стоит выбрать по одному из каждой отрасли и исследовать на наличие уязвимостей, хотя в наличие я очень сомневаюсь, все здравомыслящие администраторы, тем более на крупных сайтах, обязательно исследуют свой сайт на наличие уязвимостей(ну хотя определенные случаи бывают и даже у нас).