Stfw.RuСпециальные опознавательные баннеры (так называемые знаки безопасности) на сайтах интернет-магазинов и прочих сервисов, свидетельствующие о наличии высококачественной защиты, уже давно вызывают подозрения у ИБ-экспертов. Многие исследователи уверены, что содержащие данные знаки сайты куда более уязвимы к хакерским атакам, нежели ресурсы, не проходившие подобной сертификации.
Отметим, что наличие знака безопасности свидетельствует о том, что ресурс прошел платный аудит на наличие уязвимостей и его защищенность гарантируется компанией, выдавшей сертификат-баннер. Стоимость такой услуги (как правило, проверки проводятся ежегодно) может составлять от $100 до $1000. При этом в число компаний, проводящих аудит безопасности, входят такие известные бренды, как Symantec, McAfee, Trust-Guard и Qualys.
В отчете «Clubbing Seals: Exploring the Ecosystem of Third-party Security Seals» исследователи заявляют, что подавляющее большинство таких знаков не стоят тех денег, которые были за них уплачены. В подтверждение своим словам, эксперты раскрыли результаты проверки 10 компаний, специализирующихся на предоставлении услуг аудита безопасности. Как выяснилось, проведенная каждой из этих организаций работа была совершенно не тщательной.
В ходе некоторых экспериментов, даже именитые вендоры упустили из виду более половины брешей, которые были специально оставлены на тестируемом ресурсе. При этом большинство из таких уязвимостей хакеры обнаруживают в течение одних суток.
Более того, в ходе сбора информации о пользе знаков безопасности был выявлен метод атаки с их использованием. Другими словами, в одном из случаев размещение данного знака на web-сайте сделало ресурс не только более привлекательным для хакеров, но и более уязвимым.
«Данное исследование очень близко к правде, но следует учитывать некоторые факторы, - поясняет глава High-Tech Bridge и главный архитектор ImmuniWeb Илья Колошенко. – Большинство сайтов, размещающих подобные знаки - это довольно крупные ресурсы, которые заботятся о своей безопасности и вкладывают деньги в ее обеспечение. Однако, как известно, чем больше и сложнее портал, тем выше вероятность обнаружения уязвимостей».
По словам эксперта, автоматическое сканирование и проверки уже давно не могут гарантировать нахождение всех уязвимостей, несмотря на то, что продающие их компании упорно утверждают обратное.
«Только ручное тестирование в сочетании с регулярными автоматическими проверками может гарантировать необходимый уровень безопасности, - подчеркивает Колошенко. - Знаки безопасности довольно часто служат «красной тряпкой» для хакеров. Чтобы убедиться в этом, достаточно посетить xssposed.org, где хакеры иногда соревнуются в количестве обнаруженных XSS на сайтах ИБ-компаний и/или их клиентов».
Напомним, что сертификацию на соответствие требованиям безопасности проходили web-сайты компании Target. Всего несколько месяцев спустя после того как в сентябре 2013 года эксперты PCI DSS провели аудит на ресурсах ритейлера, сети компании поверглись хакерскому нападению.
