Реплика: об “исследовании безопасности” CMS (Ruward)

LockНа сайте Ruward.ru публикуют некое исследование безопасности CMS, сравнивают коробочные (коммерческие) CMS и бесплатные CMS. Методика не ясна, но это другой разговор (с методиками вообще проблема в исследованиях, как известно).

Тут есть другой интересный момент: попытка дать оценку “безопасности” программных продуктов, сравнивая некое “число заражений” (взломов) – обычно является ошибкой. И это очень распространённая ошибка, к сожалению. Факт обнаружения взлома той или иной системы – он говорит лишь о том, что данную систему можно взломать. Но для большинства практических систем и так известно, что их можно взломать. При этом, если взломов некоторой системы не удалось обнаружить, то это вообще ничего не говорит о её безопасности. Уже из этих соображений понятно, что данный критерий не подходит для оценки и сравнения.

Проиллюстрирую ситуацию сугубо практическим примером, основанным на наблюдениях за взломом сайтов на хостингах. Возможен тиражный взлом – это когда одна шаблонная уязвимость используется для того, чтобы автоматом заразить кучу ресурсов. Применительно к CMS, здесь видна следующая тенденция. Если у атакующего есть уязвимость, позволяющая ломать WordPress, то он может рассчитывать на заражение автоматом миллионов сайтов. Уязвимость коммерческой CMS, используемой на пяти тысячах сайтов, позволяет только эти пять тысяч и заразить. Думаю, понятно, какая уязвимость привлекательнее для массового взлома.

На статистику влияет массовость. Использование уязвимости распространённой CMS приведёт к тому, что доля заражений от числа установок для этой CMS будет больше, чем для коммерческой CMS, которую в массовой атаке никто не использует, ввиду отсутствия потенциала. Так будет просто потому, что для коммерческих CMS (малораспространённых, см. статистику) характерны либо единичные взломы конкретных посещаемых сайтов (тогда с них можно массово раздавать зловредов; единичны такие взломы потому, что посещаемых сайтов – мало), либо редкие взломы малопосещаемых сайтов, в большинстве случаев они не видны снаружи (то есть, тоже не вносят лепты в статистику; не видны – потому, что проводятся для получения доступа к серверу или каким-нибудь данным). Постоянно приходится наблюдать в Сети сайты на коммерческих CMS с открытыми наружу, для всех желающих, панелями администрирования (“безопасность”, говорите?), но никто их ничем не заражает, так как на эти сайты вообще кроме роботов никто не ходит.

Вот.

()

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 3

  • 1. 23rd January 2014, 14:57 // Читатель sarin написал:

    а почему в итоге оценивать число заражений неверно? ведь если я использую массовую CMS, то с большей вероятностью попаду и под массовый взлом. а если мой ресурс не представляет стратегического интереса для кого-либо и у меня нет технически грамотных врагов то именно массовый взлом наиболее вероятная угроза. соответственно шанс, что атакующий пропустит мой сайт с насквозь дырявой, но редкой CMS только из-за её редкости определённо есть.

  • 2. 23rd January 2014, 17:17 // Александр Венедюхин ответил:

    > а почему в итоге оценивать число заражений неверно?

    Только потому, что число заражений не говорит о безопасности CMS.

    > именно массовый взлом наиболее вероятная угроза.

    Наиболее вероятная, да, верно. Но это же не критерий для оценки безопасности CMS. Это критерий для построения модели угроз вашего _интернет-проекта_.

    (Кстати, брать редкую CMS лишь из-за того, что она редкая – тоже не следует. Безопасности это не добавит – см. про модель угроз.)

  • 3. 30th January 2014, 17:32 // Читатель jno написал:

    http://tcinet.ru/press-centre/technology-news/789/

    тут вот предлагают мёдом мазать :)