Актуальність
питання щодо раннього виявлення злому веб-сторінок
В началі дев’яностих електронно-обчислювальні машини
використовувались більшою частиною для діловодства, - в ходу були тектові
редактори, електронні таблиці, різноманітні бази даних. Сучасний ж комп’ютер, –
в першу чергу вузол величезної міжконтинентальної мережі Internet. Кожного дня
користувачі ПК заходять до цієї мережі щоб перевірити та надіслати пошту,
почитати останні новини, чи просто поспілкуватися зі своїми друзями.
Розвиток Internet змінив ставлення до питань безпеки,
піднявши питання про захищеність (тобто незахищеність) локальних та
глобальних комп’ютерних мереж. До
створення глобальної мережі цими проблемами майже ніхто не цікавився: розробники
перших систем та мереж в першу чергу намагались збільшити швидкість та
надійність передачі даних, інколи добиваючись жаданого результату в збиток
безпеці.
Сам Internet (тоді ще ARPANET) створювався як сугубо
наукове, дослідницьке, експериментальне середовище, яке призначене для пошуку
та налагодження технологій, які здатні працювати в воєнних мережах. В ті часи
безпека мало кого хвилювала – тоді більшість ресурсів мережі були загальнодоступними та не вимагали ніякого паролю для входу, навіть
захищеність власної пошти ніким не розглядалась всерйоз. Тому перед запровадженням мережі до масового використання не було переглянуто весь
проект з точки зору інформаційної безпеки.
Все змінилося з приходом в Internet коммерції. На увазі
маються не банки та інтернет-крамниці, а провайдери – постачальники платних
мережевих послуг. Конкуренція між ними призвела до значного зменшення цін, та
згодом майже кожен бажаючий міг дозволити собі підключитися до Internet. Але
разом з лояльними користувачами в мережі почали з’являтися і перші вандали,
відключити котрих було дуже важко відключити.
Все це вилилося в серію зломів, яка призвела до
величезних збитків, але міняти що-небудь було вже пізно в силу первісної децентралізації мережі. Було
неможливо обновити програмне забезпечення на всіх вузлах одночасно. Незахищені
протоколи та ненадійні операційні системи використовувались майже скрізь, та
було потрібно прикласти дуже багато зусиль, щоб змусити всіх абонентів мережі
прийняти нові стандарти. Зрештою безпека кожного вузла стала власною справою
його власника, який часто навіть не розуміє навіщо варто витрачати кошти, якщо
і без того «все працює».
Сьогодні Internet комерціалізувався настільки, що
буквально за кожною веб-сторінкою стоїть чийсь фінансовий інтерес. Активно
розвивається on-line торгівля, повхим ходом йде інтеграція локальних мереж з
Internet. Іншими словами, з’являються вузли, які містять критично важливі дані,
і які оцінюються величезними коштами.
В часи появи перших веб-сторінок кожна з них
розташовувалась на окремому веб-сервері. Тобто за безпеку кожного окремого
вузла ніс відповідальність тільки його власник. Але час йшов, сторінок ставало
більше и більше, та стало неможливо розміщувати їх на окремих фізичних
серверах. З’явилась технологія розділюваного (shared) хостингу сторінок, коли
на одному фізичному сервері розташовується велика кількість веб-вузлів, які
працюють відокремлено від інших. Але завдяки тому, що програмне забезпечення,
використовуване на цих серверах, є недосконалим, та має велику кількість як уже
відомих, так і ще не знайдених вразливостей, з’явився новий метод злому
веб-вузлів: зловмисник використовує найбільш прості з точки зору проникнення
вузли, щоб отримати доступ до більш захищених ресурсів цього серверу.
Таким чином власник сайту вже не може повністю
відповідати за стан його захищеності. Цю відповідальність поділяють власники
всіх ресурсів серверу, та, в більшій мірі, власник цього серверу. А та як
послуги хостингу своїм клієнтам надає юридична особа у вигляді хостинг
компанії, то й дбання за безпекою серверів лягає на плечі її співробітників –
системних адміністраторів та адміністраторів по безпеці.
Окрім їх головного обов’язку – підтриманням роботоздатності
серверів та слідкуванням за тим, щоб на них завжди були встановлені останні
версії використовуваного програмного забезпечення – їм потрібно ще й вчасно
визначати факт намагань злому сайтів та протидіяти їм.
Зараз існує велика кількість різних систем виявлення та
протидій вторгненням, але переважна більшість з них працює за застарілими
алгоритмами сигнатурного виявлення порушень, які мають велику кількість
недоліків, головний з яких – постійна потреба в нових сигнатурах та
неможливість виявлення погроз, які ще не були добавлені в базу сигнатур.
Жодна з існуючих систем не цілеспрямованою на захист
веб-серверів. Всі вони включають цю функцію поміж списку інших, тому її
пропрацьовано не досконало, та не повністю.
Завдяки структурі існуючих серверних операційних систем,
в них неможливо застосувати всесистемний резидентний сканер безпеки, тому такий
сканер потрібно реалізувати на прикладному рівні веб-серверу, та він повинен
охоплювати всі аспекти роботи веб-ресурсів: від HTTP-запиту до запитів до бази
даних та роботи з файлами.