Анализ защищенности web-порталов высших учебных заведений или «Незачёт!»

Дата: 12.06.2015

Компания ООО «УЦСБ» провела исследование по анализу защищенности web-порталов высших учебных заведений, расположенных в г. Екатеринбург. Объектами исследования стали 27 web-порталов. По результатам проведенного тестирования учебные заведения города получили «хвостовки», но даже эта процедура не содействовала пересдаче.

Начнем с терминологии

В данной статье под web-порталом понимается сайт организации, на котором размещается информация в открытом доступе для внешних и внутренних пользователей. При этом необходимо учитывать, что сайт организации зачастую тесно интегрирован с ее информационными системами и базами данных (далее – БД), поэтому его необходимо рассматривать в совокупности с данными ресурсами.

С анализом защищенности все несколько сложнее. Существует великое множество толкований этого термина, которые, как правило, сводятся к вполне определенной основе: это либо инструментальный анализ существующих уязвимостей и оценка их критичности, либо имитация реальных атак – то есть имитация действий злоумышленника по получению несанкционированного доступа в информационную систему. Анализ защищенности проводится с целью тестирования существующих систем безопасности.

В данном исследовании анализ защищенности web-портала высшего учебного заведения (далее – ВУЗ) основывался на выявлении и подтверждении уязвимостей web-портала.

Все исследования проводились без осуществления несанкционированного доступа и нарушения работы ресурсов web-порталов. Анализ был реализован в ручном режиме и с использованием различных автоматизированных сканеров безопасности в щадящем и скрытном режимах.

Ловкость рук и никакого мошенства

В результате проведенного анализа защищенности специалисты компании «УЦСБ» получили интересные результаты, которые свидетельствуют о том, что не все учебные заведения города уделяют должное внимание безопасности своих web-порталов.

Из 27 web-порталов, попавших в область исследования, на 10 были обнаружены критичные уязвимости. Сводная статистика по типам обнаруженных уязвимостей представлена на рисунке 1. 

Рисунок 1 –Типы уязвимостей web-порталов ВУЗов Екатеринбурга

Как показывает статистика, 18% web-порталов оказались подвержены SQL-инъекции, которая дает злоумышленнику один из самых доступных способов взлома сайта. Суть таких инъекций – внедрение в данные (передаваемые через GET, POST запросы или значения cookie) произвольного SQL-кода. Если сайт уязвим и выполняет такие инъекции, то злоумышленник получает возможность обращаться к БД (чаще всего это MySQL) и распоряжаться ею по своему усмотрению.

Еще одной распространенной уязвимостью (18% web-порталов) оказалась возможность межсайтового скриптинга (XSS). XSS – это возможность злоумышленника определенным образом интегрировать в страницу сайта скрипт, который будет выполнен при ее посещении. XSS-атака может быть направлена на кражу личных данных, таких как cookies, пароли и т.д., или внедрение кода скриптов и ссылок на страницы сайта.

Среди файлов, доступных для просмотра и скачивания, были обнаружены файлы, содержащие логины и пароли пользователей, файл phpinfo, содержащий информацию о текущей конфигурации PHP и другие виды частных файлов.

При проведении анализа защищенности одного из исследуемых web-порталов случайным образом была обнаружена его потенциальная подверженность DoS-атакам из-за особенностей хостинга. Эта особенность заключается в том, что при превышении допустимого количества трафика за единицу времени или предельного значения нагрузки на центральный процессор на стороне хостинга происходит отключение сайта на некоторое время. Как правило, подобные слабости web-порталов маловероятно выявить без проведения целенаправленного анализа возможности реализации D(D)oS-атак, и данный вид анализа не входил в рамки настоящего исследования.

Помимо упомянутых типов уязвимостей на 5 исследуемых web-порталах были найдены ошибки, в том числе множество открытых портов в сетях учебного заведения (MySQL, RDP, SSH), вывод ошибок сайта и пустой сайт.

Еще одним любопытным результатом исследования стало обнаружение следов взлома web-порталов нескольких ВУЗов. Среди следов были обнаружены:

-        остатки фишинговых[1] страниц на сайте учебного заведения;

-        страницы с так называемыми дефейсами[2];

-        информация, размещенная на различных форумах, подтверждающая факт утечки БД с web-портала.

Располагайтесь, будьте как дома

Результаты анализа возможных последствий от эксплуатации найденных уязвимостей и ошибок приведены на рисунке 2.

Как видно из диаграммы, представленной на рисунке, эксплуатация найденных слабых мест позволяет злоумышленнику в полной мере использовать уязвимые web-порталы учебных заведений для своих нужд.

Рисунок 2 – Результаты анализа возможных последствий от
эксплуатации найденных уязвимостей

Почему это важно?

Сегодня предоставление адекватной, достоверной и полной информации – важная задача как для государственных, так и для коммерческих организаций. Тенденция использовать в своей деятельности публичные web-порталы, подключенные к сети Интернет, не обошла стороной и ВУЗы, которые размещают на web-порталах информацию о своей деятельности, контакты для взаимодействия с подразделениями или руководством и справочную информацию, в том числе научные публикации и заявления от имени руководства учреждения.

При этом ошибки в системе защиты web-порталов можно отнести к существенным недостаткам организации защиты информации, поскольку уязвимости web-порталов дают потенциальному злоумышленнику набор инструментов для проникновения в информационные системы ВУЗа. Такое несанкционированное проникновение может привести к утечке конфиденциальной информации, включая личные данные пользователей, нарушить режим работы web-портала или навредить репутации учебного заведения – в случае, если web-портал будет использован как площадка для осуществления атак на другие сайты или при размещении злоумышленником на портале компрометирующей или скандальной информации.

«Незачёт!» и «выдача хвостовки»

Одной из ключевых характеристик эффективной системы защиты информации является скорость реакции специалистов организации на информацию об уязвимых местах и наличии ошибок в системе безопасности.

Для того, чтобы оценить, как быстро учебные заведения способны реагировать на подобную информацию и насколько они заинтересованы в совершенствовании принятых мер по защите информации, администраторы web-порталов были информированы о найденных уязвимостях и способах их устранения, спустя один месяц специалисты УЦСБ провели повторный анализ защищенности web-порталов.

Полученный результат не только не позволил получить «перезачет», но и выглядел весьма удручающе – только одно учебное заведение исправило выявленные уязвимости, при этом обратная связь не была получена ни от одного учреждения.

И что с этим делать?

Как известно, прочность цепи определяется прочностью самого слабого ее звена. Учитывая тот факт, что ресурсы публичного web-портала по определению открыты любому пользователю сети Интернет, они становятся потенциальной мишенью для атак злоумышленников. Важно учитывать и то, что за последние несколько лет наблюдается значительный рост информационных атак, основная часть которых направлена именно на общедоступные ресурсы, к которым относятся и публичные web-порталы.

Результаты проведенного исследования показывают, что сегодня ВУЗы Екатеринбурга уделяют недостаточное внимание защищенности своих web-порталов, и ставят тем самым под угрозу безопасность обрабатываемой информации и внутренних информационных ресурсов учреждения.

Для защиты web-портала наиболее целесообразно применять комплексный подход, сочетающий организационные и технические меры защиты информации.

Организационные меры связаны с разработкой внутренних документов, определяющих мероприятия по защите информации, и внедрением соответствующих процедур в деятельность компании.

Технические меры защиты реализуются при помощи программных, аппаратных или программно-аппаратных средств, объединенных в комплекс и включающих в себя подсистемы антивирусной защиты, контроля целостности, разграничения доступа, обнаружения вторжений, анализа защищенности, криптографической защиты информации и подсистему управления.

 

Авторы статьи:

Дащенко Владимир,

аналитик департамента

системной интеграции УЦСБ

vdashenko@ussc.ru

 

Рублева Екатерина,

аналитик департамента

системной интеграции УЦСБ

erubleva@ussc.ru



[1] Фишинг – вид компьютерного мошенничества, заключающийся в создании поддельной страницы известного сайта, практически не отличимой от оригинала, с целью обманом заставить жертву установить на свой компьютер какую-либо программу, открыть инфицированный файл, ввести пароли к различным аккаунтам, номера банковских счетов, PIN-коды и др.

[2] Deface – тип атаки, при которой одна страница сайта заменяется на другую – как правило, вызывающего вида (реклама, предупреждение, угроза…). Зачастую доступ ко всему остальному сайту блокируется, или же прежнее содержимое сайта вовсе удаляется.