Информационные технологииТехнологииПоиск

Сайты со знаками безопасности уязвимее ресурсов, не проходивших проверку на наличие брешей

  • Stfw.Ru
  • Новости безопасности
По данным ИБ-экспертов, свидетельствующие о высоком уровне защиты баннеры не стоят даже тех денег, которые были уплачены за проверку.


Специальные опознавательные баннеры (так называемые знаки безопасности) на сайтах интернет-магазинов и прочих сервисов, свидетельствующие о наличии высококачественной защиты, уже давно вызывают подозрения у ИБ-экспертов. Многие исследователи уверены, что содержащие данные знаки сайты куда более уязвимы к хакерским атакам, нежели ресурсы, не проходившие подобной сертификации.



Отметим, что наличие знака безопасности свидетельствует о том, что ресурс прошел платный аудит на наличие уязвимостей и его защищенность гарантируется компанией, выдавшей сертификат-баннер. Стоимость такой услуги (как правило, проверки проводятся ежегодно) может составлять от $100 до $1000. При этом в число компаний, проводящих аудит безопасности, входят такие известные бренды, как Symantec, McAfee, Trust-Guard и Qualys.



В отчете «Clubbing Seals: Exploring the Ecosystem of Third-party Security Seals» исследователи заявляют, что подавляющее большинство таких знаков не стоят тех денег, которые были за них уплачены. В подтверждение своим словам, эксперты раскрыли результаты проверки 10 компаний, специализирующихся на предоставлении услуг аудита безопасности. Как выяснилось, проведенная каждой из этих организаций работа была совершенно не тщательной.



В ходе некоторых экспериментов, даже именитые вендоры упустили из виду более половины брешей, которые были специально оставлены на тестируемом ресурсе. При этом большинство из таких уязвимостей хакеры обнаруживают в течение одних суток.



Более того, в ходе сбора информации о пользе знаков безопасности был выявлен метод атаки с их использованием. Другими словами, в одном из случаев размещение данного знака на web-сайте сделало ресурс не только более привлекательным для хакеров, но и более уязвимым.



«Данное исследование очень близко к правде, но следует учитывать некоторые факторы, - поясняет глава High-Tech Bridge и главный архитектор ImmuniWeb Илья Колошенко. – Большинство сайтов, размещающих подобные знаки - это довольно крупные ресурсы, которые заботятся о своей безопасности и вкладывают деньги в ее обеспечение. Однако, как известно, чем больше и сложнее портал, тем выше вероятность обнаружения уязвимостей».



По словам эксперта, автоматическое сканирование и проверки уже давно не могут гарантировать нахождение всех уязвимостей, несмотря на то, что продающие их компании упорно утверждают обратное.



«Только ручное тестирование в сочетании с регулярными автоматическими проверками может гарантировать необходимый уровень безопасности, - подчеркивает Колошенко. - Знаки безопасности довольно часто служат «красной тряпкой» для хакеров. Чтобы убедиться в этом, достаточно посетить xssposed.org, где хакеры иногда соревнуются в количестве обнаруженных XSS на сайтах ИБ-компаний и/или их клиентов».

Напомним, что сертификацию на соответствие требованиям безопасности проходили web-сайты компании Target. Всего несколько месяцев спустя после того как в сентябре 2013 года эксперты PCI DSS провели аудит на ресурсах ритейлера, сети компании поверглись хакерскому нападению.
* При комментировании просим соблюдать законы Российской Федерации.
ЧИТАЙТЕ ТАКЖЕ:

Злоумышленники взломали 14 тыс индийских сайтов в 2012 году

Типичная уязвимость 0-дня в среднем «живет» 312 дней

Хакерские группировки представляют серьезную конкуренцию для ИБ-компаний

Обзор безопасности, новые вирусы, уязвимости в сети. Взлом и защита компьютера, хакерские атаки.
Мы в соцсетях
Последние новости