多くの人が私に尋ねました-なぜこれが必要なのですか? 保護システム全体と競争全体の目標は、製品をより良くすることであり、顧客と開発者により多くの自信を与えることだと答えることができます。 そして、これは実際にしかできません。
何らかの理由で、車との類推が思い浮かびます。 最初の車では、彼らはドライバーと乗客の安全について全く考えませんでした。 その後、受動的安全システムが登場しました。 事故の時にすでに人々を保護していた人。 これは、たとえば、車のエアバッグです。 そして次のステップとして、ABS、安定性制御システムESP、EBDなどのアクティブな保護システムが登場しました。 これらのシステムは、ドライバーが事故を避け、タクシーを運転し、滑り台から連れ出し、命を救うのをすでに助けています...
プロアクティブな防御システムを使用して、状況が制御されていない場合でも問題のある状況を回避できることがわかりました。 しかし、自動車の場合と同様に、 クラッシュテストを実施することによってのみシステムの信頼性を確認できます。
そして、そのような機会が現れました。 先週末、ハッカーフェスティバル(いわゆるハッカーフェスティバル)Chaos Construction 2009がサンクトペテルブルクで開催されました。
長年のパートナーであるPositive Technologiesとともに、コンテストを開催しました。コンテストの参加者は、サイトの「プロアクティブな防御」システムを回避し、事前に準備されたさまざまな種類の脆弱性を利用する必要がありました。
つまり 私たちは意図的に4つのページを持つサイトを作成しました。各ページには、SQLインジェクション、クロスサイトスクリプティング(XSS)、パストラバーサル、ローカルファイルインクルードという異なるタイプの脆弱性があります。
その後、バージョン8.0以降の製品に含まれているWebアプリケーションファイアウォールシステムをオンにしました。
このようなテストは、サイトの作成時にWeb開発者が犯したエラーの状況を繰り返し、保護システムのスクリーニングの成功を検証します。
私たちは皆、テストの結果を知り、誰かが回避策を見つけることができるかどうか、そしてそれがどれほど難しいかを理解したかったのです。
2日以内に、サーバーは競合他社に提供されました。 25,000件を超える攻撃が記録され、撃退されました。 このコンテストには、CC9フェスティバルに参加し、インターネットを介してサイトと連携したハッカーが参加しました。 合計で約600人がコンテストに参加しました。
情報セキュリティのスペシャリストであるMarcel Nizamutdinovと、競争の過程について話し合いました。 マルセルのコメントをお伝えします。
「競争を通じて、参加者が積極的に「プロアクティブディフェンス」を回避しようとする様子を側から観察し、オプションの複雑さを徐々に増やしていきました。 唯一かつ唯一の回避策は、Internet Explorerの欠陥を悪用した高度に熟練した専門家によって発見されました。 彼が提案したオプションは、WAFだけでなく、私たちに知られている他のプロの開発者のすべてのフィルターもバイパスしました。 もっと正確に言えば、私たちのものは行き来していません:)私はコンテストの結果にとても満足しています。 非常に困難な条件でプロアクティブな防衛システムをテストすることができました。 競争の結果によると、製品のアルゴリズムを改善し、お客様により高いレベルのセキュリティを提供しました。 引き続き情報セキュリティの問題を調査し、製品保護システムを改善します。」
確かに、競争の結果によると、3つの賞を与えました。
私はウラジミール・ヴォロンツォフ(仮名d0znp) が撮影しました。 彼は、Internet Explorerでのみ機能し、その欠点を利用するプロアクティブな防御フィルターをバイパスするための複雑で興味深い方法を最初に見つけました。
Positive Technologiesの同僚が私にコメントしたように、情報セキュリティの分野の専門家であるVladimir Vorontsovは、Webアプリケーションのセキュリティ分析に専門的に関わっています。
1位の賞品はHTC T4242 Cruise Touch IIです。 賞は、モスクワ事務所で個人的に受賞者に授与されました。 勝者は、彼に知られている理由で写真を撮ることを拒否しました。
彼自身がコンテストについてコメントしました。「開発者が製品の安全性の問題にこのような注意を払い、リスクを迅速に排除できてうれしいです。 「他のWebアプリケーション開発者が情報セキュリティ研究者との関係において同じコースを維持することを望みます。」
IIの場所は 、プロアクティブディフェンスフィルターのコードに小さなタイプミスを発見した仮名インサの参加者によって撮影されました。
コンテストへの熱意のIII位は、参加者のParanoidChaosによって取られました。
2位および3位の賞品-製品「1C-Bitrix:Site Management」のライセンス(「Standard」のエディション)。
Marcelが既に述べたように、特定されたプロアクティブな防御バイパス機能が考慮され、対応する変更がWebアプリケーションファイアウォールフィルターに加えられました。 勝者がIEの機能を使用し、フィルターの更新がSiteUpdate更新システムで既に受信されている方法を終了しました。
Positive Technologiesのコンサルティングおよび監査部門の情報セキュリティの専門家であるDmitry Evteevから別のコメントをお伝えします。「他の参加者とともに攻撃を試みたw3af Webアプリケーションセキュリティスキャナーの開発者の1人がSSにいました。 WAFフィルターバイパス競技者の多くは、ほぼ継続的に働いていました! このコンテストは、WAFによる予防的な防御と1C-Bitrixプラットフォーム全体の両方の優れたストレステストを実施しました。 競争の結果は予想されており、プロアクティブな防御モジュールの認証中に得られたものと一致します。 この種の攻撃が完全にブロックされると、多数の誤検知が発生するため、参加者はクロスサイトスクリプティングの脆弱性の悪用を実証できると想定しました。 重大な脆弱性を悪用することはできませんでした。」
私たちは難しい仕事に非常にうまく対処したと信じています! 今後も安全保障の方向で努力していくと思います。 おそらく私たちはこの製品または同様の国際的なコンテストに参加して、将来的に製品と私たち自身をテストするでしょう。
この機会に、開発者の注意を、楽観的であるにもかかわらず、Proactive Defenseは頭を保護しないという事実に注意を向けます。 あなたはまだ安全なアプリケーションを書くことを試みるべきです、あなたが作成する解決策について考えてください。 また、自動車の為替レート安定システムと同様に、プロアクティブディフェンスはツリーとの衝突の回避を保証するものではなく、日常業務で役立つ効果的なツールにすぎません。 皆さんに幸運を!
フェスティバルの写真をさらにいくつか。 しかし、奇妙なことに、ネットワーク上にはそれらがほとんどなく、ほとんどすべてが顔なしでした。
