WWW svetainės saugumui įtakos turi daugelis veiksnių – pvz. programinis kodas, savalaikis pataisymų diegimas, apsaugos mechanizmų naudojimas ir t.t. Vienas pagrindinių – svetainės talpinimo būdas, apsprendžia kaip efektyviai galima apsaugoti svetainę. Pagal svetainės talpinimo būdą jas būtų galima klasifikuoti taip:

1. Svetainė talpinama pas serviso tiekėją ( "shared" hostingas ). Šiuo atveju viename serveryje patalpinta daug svetainių.

• Pliusai – nedidelė kaina, nereikalinga infrastruktūra. 
• Minusai – svetainės saugumas gali būti įtakojamas kitų, tame pačiame serveryje patalpintų sistemų – t.y. pasinaudojus kitos, tame pačiame serveryje patalpintos svetainės spraga,gali būti užvaldyta Jūsų svetainė. Spragos gali atsirasti ir dėl to, ar savalaikiai bus pritaikyti operacinės sistemos, WWW serverio, kitų klientų turinio valdymo sistemos ir t.t. pataisymai

2. Svetainė talpinama pas serviso tiekėją virtualioje mašinoje ("virtual" hostingas). Šiuo atveju viename fiziniame serveryje veikia daug virtualių mašinų.

Idealiu atveju tai - organizacinių ir techninių priemonių visuma, nukreiptų į apsaugos stiprinimą. Organizacinės priemonės - tai tvarkos, taisyklės, politikos, apibrėžiančios vartotojų teises ir pareigas, bendrus apsaugos principus, vartotojų mokymai, o techninės priemonės turėtų šiuos apsaugos principus įgyvendinti.

Vidinio tinklo apsauga - viena sudėtingiausių apsaugos sričių dėl savo apimties bei atsitiktinumo faktoriaus, kurio priežastis - vartotojai. Ar ši apsauga Jums reikalinga, galite nuspręsti įvertinę įtaką, kurią Jums padarytų vidinių sistemų / serverių / duomenų bazių praradimas, informacijos atskleidimas, neteisėtas modifikavimas ir pan.

Pradinio lygio apsauga susidėtų iš:

1. Tinklo ugniasienės ("statefull").

2. Antivirusas darbo vietoje, kartu su personaline ugniasiene, "malware", "spyware" bei anomalijų detektavimu.

3. Veikiantys vartotojų darbo vietų programinės įrangos atnaujinimo mechanizmai.

4. WWW svetainių klasifikavimo / filtravimo priemonės.

Toliau, stiprinant apsaugą, galimos tokios priemonės:

1. Vidinio tinklo segmentacija ugniasienių pagalba.

2. NAC (network admision control) įdiegimas.

3. "Mandatory access control" vartotojų darbo vietose.

4. Tinklinio lygio antivirusas.

5. Įsilaužimo aptikimo sistemos visuose taškuose, kur informacijos srautas įeina / palieka organizaciją. Taip pat, tuose taškuose, kur vyksta komunikacija tarp skirtingų vidinio tinklo segmentų.

6. Griežtas išorinių paslaugų, galimų vidiniams vartotojams, ribojimas

7. HTTPS protokolo kontrolės mechanizmas  (dešifravimas, užšifravimas, atntivirusas, įsilaužimo aptikimo sistemos).

8. Centralizuotas kontrolės sistemų žurnalų įrašų surinkimas, koreliacija ir analizė

9. Tinklo ugniasienės ("application aware").

10. ir t.t.

Kaip praeinamos apsaugos vidiniame tinkle galite pažiūrėti / pabandyti čia

Tai žvilgsnis valstybės mastu į situaciją internete Lietuvoje. Informacija leidžia spręsti apie esamas bei galimas potencialias saugumo problemas, identifikuoti pažeistas ar neteisėtai modifikuotas sistemas, įvertinti galimą didelio masto atakos įtaką ir t.t. Galimi įvairūs informacijos pjūviai iš specializuotų duomenų bazių. Čia standartinis informacijos pjūvis pagal IP adresus:

Pažeidimo tyrimo bei galimos įtakos įvertinimo pavyzdys:

1. Aptikta problema - įsilaužta į svetainę:

2. Pasižiūrime vizualiai į problemą (svetainę):

3. Įvertiname galimą įtaką - jei tai "shared" hostingo atvejis, visos svetainės galėjo būti užvaldytos:

Čia pateikiama paskutinės paros žurnalo santrauka (detali informacija pateikiama tik vartotojams):

Pentestas - sistemos / infrastruktūros saugumo patikrinimas ir įvertinimas, galiojantis šiam konkrečiam laiko intervalui. Jis labai priklauso nuo testuotojo (ų) žinių, patirties, sugaišto laiko ir ... sėkmės. Praėjus šiek tiek laiko, šis įvertinimas gali tampti neteisingu (dėl pokyčių programinėje įrangoje, infrastruktūroje, žmogiškuose ištekliuose ir t.t.). Galimi keli pentesto variantai:

• "Black box" (blind) - testuotojui nėra suteikiama jokios informacijos apie testuojamą infrastruktūrą
• "White box" (full disclosure) - testuotojui suteikiama visa informacija apie testuojamą infrastruktūrą
• "Grey box" (partial disclosure) - testuotojui suteikiama dalis informacija apie testuojamą infrastruktūrą

Čia parodyta tik dalelė visų aptiktų pažeistų svetainių.
Svetainėse lankytis (jei jos nepataisytos) gali būti nesaugu ( jūsų asmeninė rizika )
Visa pateikta informacija pagrįsta ( !!! ) pcap formato įrašais arba kitais įrodymais ...

Pažiūrėkite filmukus - gal rasite ką įdomaus :)

#======================================================

2011 07 27

versus.wu.lt - 77.79.12.133