Большинство из крупнейших сайтов небезопасны

Большинство из крупнейших сайтов небезопасны

В докладе организации Trustworthy Internet Movement (TIM), опубликованном на этой неделе, говорится, что 90% из 200 тыс самых крупных веб-сайтов с поддержкой протокола HTTPS являются уязвимыми для известных типов SSL (Secure Sockets Layer) атак. Напомним, что TIM является некоммерческой организацией, занимающейся изучением вопросов интернет-безопасности, надежности и конфиденциальности.

Доклад основан на данных, собранных в рамках нового проекта организации под названием SSL Pulse. Проект использует технологию автоматического сканирования, разработанную поставщиком решений в области безопасности — компанией Qualys. Исследованию подверглись первые 200 тыс веб-сайтов, перечисленных в рейтинге аналитической компании Alexa.

В ходе исследования SSL Pulse проверял, какие протоколы поддерживают веб-сайты с HTTPS (SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1, и т.д.), длину ключа, используемого для обеспечения связи (512 бит, 1024 бит, 2048 бит и т.д.) и размер поддерживаемого кода (256 бит, 128 бит или ниже), передает kurs.ru.

Половина из почти 200 тыс. сайтов верхней части рейтинга Alexa, поддерживающие HTTPS получили оценку «A» за качество своей конфигурации. Это означает, что они используют сочетание современных протоколов, надежного кодирования и длинных ключей.

Несмотря на это, лишь 10% из проанализированных веб-сайтов были признаны действительно безопасными. 75% (около 148 тыс) оказались уязвимыми для атак, известных под названием BEAST, сообщает ресурс PCworld.

Атака BEAST была продемонстрирована исследователями в области безопасности Джулиано Риццо (Juliano Rizzo) и Тай Дуонг (Thai Duong) на конференции в Буэнос-Айресе в сентябре 2011 года. Это практическая реализация старой теоретической атаки и влияния на блоки SSL/TLS шифров, такие как AES и Triple-DES.

«Самый простой способ смягчить с позиции сервера BEAST нападение — сделать для соединений HTTPS приоритетным шифр RC4, — говорит Иван Ристич (Ivan Ristic), директор по инжинирингу компании Qualys. — RC4 представляет собой потоковый шифр, который не уязвим для этой атаки».

Вместе с поддержкой нескольких протоколов многие HTTPS-серверы также поддерживают несколько шифров, чтобы обеспечить их совместимость с различными клиентами. На сервере могут быть использованы специальные настройки для указания порядка, в котором должны использоваться шифры и установлен приоритет RC4.

«Я думаю, что большинство администраторов просто не знают о том, что необходимо выполнить эту задачу», — сказал Ристич.

Защита от атак BEAST уже встроена в новые браузеры. Тем не менее, многие, особенно в бизнес-среде, еще используют старые браузеры, такие как Internet Explorer 6, остающийся уязвимым.

Сканирование SSL Pulse также показало, что более 13% из 200 тыс веб-сайтов с поддержкой HTTPS допускают перенаправления по небезопасным SSL-соединениям. Эти риски особенно существенны для сайтов с большим количеством пользователей или тех, которые содержат объекты «высокой стоимости» (например, финансовые учреждения, банки, говорится в сообщении MarketWire. Исправление небезопасных уязвимостей достаточно простое и требует лишь применения патча, говорит Ристич.

Организация TIM планирует осуществлять новые сканирования по образцу SSL Pulse на ежемесячной основе для обновления статистики. Это позволит увидеть прогресс в повышении безопасности самых крупных сайтов.

ФСТЭК России сертифицировала решения «Базиса» по контейнеризации

Компания «Базис», российский разработчик ПО для управления динамической ИТ-инфраструктурой, получила сертификаты ФСТЭК России сразу для двух своих продуктов — платформы управления контейнерами Basis Digital Energy и решения для защиты информации в виртуализированных и контейнерных средах Basis Virtual Security. Информация о сертификации уже внесена в Государственный реестр сертифицированных средств защиты.

Для Basis Virtual Security это не первая сертификация — продукт проходит инспекционный контроль ФСТЭК уже пять лет подряд. При этом новый сертификат оказался заметно шире предыдущего. Если раньше соответствие подтверждалось только по требованиям к средствам виртуализации, то теперь решение дополнительно отвечает требованиям приказа №118, который распространяется и на средства контейнеризации.

А вот для Basis Digital Energy сертификация стала первой. Получить её удалось после доработок платформы, направленных как на расширение функциональности, так и на усиление встроенных механизмов безопасности.

По итогам проверки оба решения подтвердили соответствие 4-му уровню доверия по общим требованиям к средствам технической защиты информации и 4-му классу защиты по требованиям к средствам контейнеризации. Для Basis Virtual Security этот класс защиты также распространяется и на виртуализацию.

В Basis Virtual Security реализованы механизмы управления доступом, единый вход (SSO), многофакторная аутентификация, контроль целостности, изоляция контейнеров, выявление уязвимостей и подробная регистрация событий. Basis Digital Energy, в свою очередь, использует ролевую модель доступа (RBAC), SSO, инструменты проверки политик в кластере, централизованное управление сертификатами и контроль конфигураций.

Полученные сертификаты расширяют сценарии использования продуктов. Теперь их можно применять не только в защищённых виртуализированных средах, но и при построении инфраструктур на базе контейнерных технологий — в том числе в наиболее чувствительных сегментах. Речь идёт об объектах КИИ до первой категории значимости, государственных информационных системах до первого класса защищённости, системах обработки персональных данных до первого уровня и АСУ ТП до первого класса.

Технический директор «Базиса» Дмитрий Сорокин отметил, что соответствие актуальным требованиям ФСТЭК потребовало серьёзных усилий и выстроенных процессов безопасной разработки, в том числе при участии ИСП РАН. По его словам, результат подтверждает зрелость продуктов и их готовность использоваться в динамичной и при этом защищённой ИТ-инфраструктуре.

RSS: Новости на портале Anti-Malware.ru