Безопасность

Веб-сайт является частью корпоративной инфраструктуры и не удивительно, что компании большое внимание уделяют вопросам безопасности.

По данным компании Positive Technologies: доля атак на Веб составляет более 50%; ежедневно в Рунете регистрируются десятки взломов веб-сайтов.

Но означает ли это, что сайты лучше не делать? Современный прогресс и конкурентная среда не оставляют выбора. Сайты будут создавать, будут делать больше и все более функциональными. Как защитить компанию от потенциальных неприятностей? Какое решение выбрать и как защитить свой веб-сайт от возможных проблем? Давайте обсудим.

Поможет в этом правильный выбор системы управления контентом сайта (CMS), надежного хостинга, серверного программного обеспечения и своевременное проведение мероприятий, направленных на снижение вероятности возникновения проблемных ситуаций на веб-проектах.

Проактивная защита

Одной из первостепенных задач для владельцев веб-проектов является качественная и надежная защита от хакерских атак, взлома и кражи хранящейся на сайте информации.

Для этого в системе «1С-Битрикс: Управление сайтом» предусмотрен модуль «Проактивная защита», с помощью которого реализуется целый комплекс защитных мероприятий для сайта и сторонних приложений.

На фестивале хакеров CC9 проведен конкурс, участникам которого было необходимо обойти систему «Проактивной защиты» сайта и воспользоваться заранее подготовленными уязвимостями разных типов. 25000 попыток взлома на конкурсе — отличное стресс-тестирование как проактивной защиты с WAF, так и всей платформы «1С-Битрикс». Подробнее

Проактивная защита является существенным дополнением к стандартной политике безопасности продукта. Поэтому одноименный модуль включен во все редакции продукта «1С-Битрикс: Управления сайтом» (кроме Старта) и в продукт «1С-Битрикс: Корпоративный портал». Причем, что важно, и Проактивная защита, и Проактивный фильтр впервые в мире включены непосредственно в сам продукт!

«Проактивная защита» — это принципиально новый подход к концепции веб-безопасности, при котором меняется само понятие реакции веб-приложения на попытки вторжения. Выпуск «Проактивной защиты» является продолжением многолетней работы компании по обеспечению безопасности интернет-проектов. Но впервые нам удалось настолько существенно усилить защищенность сайтов и снизить зависимость клиентов от наиболее частых ошибок веб-разработчиков». Генеральный директор «1С-Битрикс» Сергей Рыжиков

Что представляет собой этот модуль? Это целый ряд технических решений по обеспечению безопасности продукта и разработанных веб-приложений. Несколько уровней защиты от большинства известных атак на веб-приложения включает этот модуль. И каждый уровень серьезно повышает безопасность разработанных вами интернет-проектов.

Проактивная защита – это целый комплекс технических и организационных мер, которые объединены общей концепцией безопасности и позволяют значительно расширить понятие защищенности и реакции веб-приложений на угрозы.
Вот какой комплекс по защите веб-приложений включает в себя модуль:

* — пока в разработке

Проактивный фильтр (Web Application Firewall)

Проактивный фильтр (WAF — Web Application Firewal) обеспечивает защиту от большинства известных атак на веб-приложения. В потоке внешних запросов пользователей проактивный фильтр распознает большинство опасных угроз и блокирует вторжения на сайт. Проактивный фильтр – наиболее эффективный способ защиты от возможных ошибок безопасности, допущенных при реализации интернет-проекта (XSS, SQL Injection, PHP Including и ряда других). Действие фильтра основано на анализе и фильтрации всех данных, поступающих от пользователей через переменные и куки.
* Обратите внимание, что некоторые действия пользователей, не представляющие угрозы, тоже могут выглядеть подозрительно и вызывать ложное срабатывание фильтра.

Включение проактивного фильтра
Включение проактивного фильтра
  • защита от большинства известных атак на веб-приложения
  • экранирование приложения от наиболее активно используемых атак
  • создание списка страниц-исключений из фильтрации (по маске)
  • распознавание большинства опасных угроз
  • блокировка вторжений на сайт
  • защиты от возможных ошибок безопасности
  • фиксирование попыток атак в журнале
  • информирование администратора о случаях вторжения
  • настройка активной реакции — действий системы при попытке вторжения на сайт:
  • сделать данные безопасными
  • очистить опасные данные
  • добавить IP адрес атакующего в стоп-лист на ХХ минут
  • занести попытку вторжения в журнал
  • обновления вместе с продуктом

Начиная с версии 8.0 модуль «Проактивная защита» по умолчанию включен в продукт «1С-Битрикс: Управление сайтом». Все текущие клиенты загрузят и установят этот модуль по технологии SiteUpdate, и модуль автоматически выставит в проекте параметры, соответствующие уровню безопасности Стандартный.

Веб-антивирус

Веб-антивирус встроен непосредственно в сам продукт — систему управления сайтами. Этот компонент защиты полностью соответствует общей концепции безопасности системы и в разы повышает защищенность и скорость реакции веб-приложения на веб-угрозы.

«Веб-антивирус» препятствует имплантированию вредоносного кода непосредственно в веб-приложения. И происходит это следующим образом. «Веб-антивирус» выявляет в HTML коде потенциально опасные участки и «вырезает» подозрительные объекты из кода сайта. В итоге вирусы не могут проникнуть на компьютер пользователя сайта — антивирус препятствует этому. И, что особо важно, «Веб-антивирус» уведомляет администратора портала — предупреждает о наличии заразы. Получая информацию об этом, администратор ищет источник зловредного кода, проводит «зачистку» компьютера и усиливает профилактические меры. Подробнее

Панель безопасности с уровнями защищенности

Любой веб-проект, работающий под управлением «1С-Битрикс: Управление сайтом», обязательно имеет начальный уровень защиты. Однако с помощью модуля «Проактивная защита» можно значительно повысить защищенность собственного сайта. Нужно всего лишь выбрать и настроить один из уровней безопасности модуля:стандартный;высокий; повышенный. При этом система подскажет — выдаст рекомендации — какое действие необходимо установить для каждого параметра на выбранном текущем уровне.

Уровни безопасности
Уровни безопасности
  • начальный уровень безопасности — получают проекты на базе Bitrix Framework без установленного модуля «Проактивная защита»
  • стандартный уровень – в проекте задействованы стандартные инструменты проактивной защиты продукта
  • проактивный фильтр (на весь сайт без исключений)
  • ведется журнал вторжений за посление 7 дней
  • включен контроль активности
  • повышенный уровень безопасности для группы администраторов
  • использование CAPTCHA при регистрации
  • режим вывода ошибок (только ошибки)
  • высокий уровень – рекомендованный уровень защиты, получают проекты, выполнившие требования стандартного уровня, и дополнительно включившие:
  • журналирование событий главного модуля
  • защита административной части
  • хранение сессий в базе данных
  • смена идентификатора сессий
  • повышенный уровень – специальные средства защиты, обязательные для сайтов, содержащих конфиденциальную информацию пользователей, для интернет-магазинов, для тех, кто работает с критичной информацией.Дополнительно к высокому уровню:
  • включение одноразовых паролей
  • контроль целостности скрипта контроля

Журнал вторжений

В Журнале регистрируются все события, происходящие в системе, в том числе необычные или злонамеренные. Оперативный режим регистрации этих событий позволяет просматривать соответствующие записи в Журнале сразу же после их генерации. В свою очередь, это позволяет обнаруживать атаки и попытки атак в момент их проведения. Это значит, у вас есть возможность немедленно принимать ответные меры, и, в некоторых случаях, даже предупреждать атаки.

Журнал вторжений
Журнал вторжений
  • оперативная регистрация всех событий в системе
  • в случае срабатывания Проактивного фильтра запись в Журнале в одной из категорий атак:
  • попытка внедрения SQL
  • попытка атаки через XSS
  • попытка внедрения PHP
  • отбор злонамеренных событий по фильтру
  • просмотр и анализ событий в реальном времени
  • немедленная реакция — ответная мера на событие
  • профилактика и предупреждение событий на основе их анализа

Безопасная авторизация без SSL

С помощью методики безопасной аутентификации пароли с формы авторизации невозможно взломать. Они шифруются по алгоритму RSA с ключом 1024 бит и в таком виде передаются на сервер. При этом не важно, какие соединения и протоколы используют посетители вашего сайта. Подробнее

Форма - безопасная авторизация
Форма — безопасная авторизация
  • клиенты редко устанавливают SSL-сертификаты на свои сайты — в большинстве случаев из-за сложности самой организации такого подключения
  • безопасная аутентификация с шифрованием пароля позволяет избежать передачи пароля в открытом виде без SSL
  • все инструменты, которые использовались ранее для авторизации, продолжат работать

Одноразовые пароли


Модуль «Проактивная защита» позволяет включить поддержку одноразовых паролей и использовать их выборочно для любых пользователей на сайте.

Однако особо рекомендуется задействовать систему одноразовых паролей администраторам сайтов, поскольку это сильно повышает уровень безопасности пользовательской группы «Администраторы».

Система одноразовых паролей дополняет стандартную систему авторизации и позволяет значительно усилить систему безопасности интернет-проекта. Для включения системы необходимо использовать аппаратное устройство (например, Aladdin eToken PASS) или соответствующее программное обеспечение, реализующее OTP.

Что вам дает такая технология? Однозначную уверенность, что на сайте авторизуется именно тот пользователь, которому выдан брелок. При этом какое-то похищение и перехват паролей теряет всякий смысл, так как пароль одноразовый. Брелок же физический, дает уникальные одноразовые пароли и только при нажатии. А это значит, что владелец брелка не сможет передать пароль другому человеку, продолжая пользоваться входом на сайт.

Включение использования одноразовых паролей
Включение использования одноразовых паролей
  • усиление системы безопасности интернет-проекта
  • использование аппаратных устройств
  • использование ПО, реализующего OTP
  • расширенная аутентификация с одноразовым паролем — при авторизации на сайте пользователь в дополнение к паролю дописывает одноразовый пароль
  • авторизация только с использованием имени (login) и составного пароля
  • заполнение при инициализации двух последовательно сгенерированных одноразовых паролей, полученных с устройства
  • восстановление синхронизации в случае нарушения синхронизации счетчика генерации в устройстве и на сервере

Персональный генератор одноразовых паролей для сайта (OTP)

С помощью Bitrix OTP вы сможете самостоятельно включать или отключать использование на сайте системы одноразовых паролей для своей учетной записи. Это реализующее OTP программное обеспечение, разработанное компанией «1С-Битрикс», позволяет обойтись без покупки аппаратных устройств (например, Aladdin eToken PASS) или соответствующих программных аналогов.

Установить Bitrix OTP вы можете непосредственно с вашего сайта, работающего на «1С-Битрикс: Управление сайтом» 10.0 и выше. Для этого достаточно перейти в браузере мобильного устройства по адресу http://<ваш_сайт>/bitrix/otp/ и следовать инструкциям на экране. Бесплатная установка Bitrix OTP также возможна из онлайн-магазина приложений. Приложение Bitrix OTP для Android

Установите приложение от «1С-Битрикс» на ваш мобильный телефон и генерируйте одноразовые пароли для входа на сайт, поддерживающий авторизацию по OTP. Приложение поддерживает работу с несколькими сайтами одновременно.

Создание нового сайта
Создание нового сайта
Получение пароля
Получение пароля

Вы можете включить на мобильном сайте поддержку одноразовых паролей и использовать их выборочно для любых пользователей. Особо рекомендуется задействовать систему одноразовых паролей администраторам сайтов, поскольку это сильно повышает уровень безопасности пользовательской группы «Администраторы». Для этого достаточно создать в генераторе паролей новый сайт, поддерживающий авторизацию по ОТП, и потом каждый раз, при входе на этот сайт, получать для него одноразовый пароль. Генератор позволяет создать множество записей для таких сайтов, и нужный сайт вы сможете выбрать из списка. Подробнее

Двусторонняя TLS-аутентификация

Весь необходимый функционал TLS-аутентификации реализован с помощью специально разработанного для продуктов «1С-Битрикс» модуля TrustedBitrixLogin. Модуль позволяет безопасно передавать необходимую информацию (организуется защищенный канал с передачей данных по TLS-протоколу с использованием ГОСТ-алгоритмов шифрования) и автоматически обеспечить проверку подлинности как клиента, так и сервера.
Модуль TrustedBitrixLogin
Чтобы внедрить технологию TLS-аутентификации на свой корпоративный портал, потребуется установить и настроить ПОкомпании «Цифровые технологии»: на сервере – Trusted TLS, «КриптоАРМ», «КриптоПро CSP», на клиенте: «КриптоПро CSP».

Контроль целостности файлов

Контроль целостности файлов необходим для быстрого выяснения — вносились ли изменения в файлы системы. В любой момент вы можете проверить целостность ядра, системных областей, публичной части продукта.

Контроль целостности файлов
Контроль целостности файлов
  • отслеживание изменений в файловой системе
  • проверка целостности ядра
  • проверка системных областей
  • проверка публичной части продукта

Проверка целостности скрипта контроля

Перед проверкой целостности системы необходимо проверить скрипт контроля на наличие изменений. При первом запуске скрипта введите в форму произвольный пароль (состоящий из латинских букв и цифр, длиной не менее 10 символов), а также произвольное кодовое (ключевое) слово (отличное от пароля), и нажмите на кнопку «Установить новый ключ».

Контроль целостности скрипта
Контроль целостности скрипта
  • проверка скрипта контроля на наличие изменений
  • защита целостности скрипта ключом — символьным паролем

Защита административного раздела

Эта защита позволяет компаниям строго регламентировать сети, которые считаются безопасными и из которых разрешается сотрудникам администрировать сайт. Перед вами простой специальный интерфейс, в котором все это и делается — задается список или диапазоны IP адресов, из которых как раз и позволяется управление сайтом. Не бойтесь закрыть себе доступ в момент установки блокировки — этот момент проверяется системой.
Каков эффект от использования данной защиты? Любые XSS/CSS атаки на компьютер пользователя становятся неэффективными, а похищение перехваченных данных для авторизации с чужого компьютера — абсолютно бесполезным.

Защита административной части
Защита административной части
  • ограничение доступа к административной части всех IP адресов, кроме указанных
  • автоматическое определение системой IP адреса пользователя
  • ручной ввод разрешенного IP адреса
  • установка диапазона IP адресов, с которых разрешен доступ к административной части

Защита сессий

Большинство атак на веб-приложения ставят целью получить данные об авторизованной сессии пользователя. Включение защиты сессий делает похищение авторизованной сессии неэффективным. И, если речь идет об авторизованной сессии администратора, то ее надежная защита с помощью данного механизма является особо важной задачей. Какие инструменты использует этот защитный механизм? В дополнение к стандартным инструментам защиты сессий, которые устанавливаются в настройках группы, механизм защиты сессий включает специальные — и в некотором роде уникальные.

Хранение данных сессий в таблице модуля позволяет избежать чтения этих данных через скрипты других сайтов на том же сервере, исключив ошибки конфигурирования виртуального хостинга, ошибки настройки прав доступа во временных каталогах и ряд других проблем настройки операционной среды. Кроме того, это разгружает файловую систему, перенося нагрузку на сервер базы данных.

Включение механизма хранения данных сессий
Включение механизма хранения данных сессий
  • защита сессий несколькими способами:
  • время жизни сессии (минуты)
  • смена идентификатора сессии раз в несколько минут
  • маска сети для привязки сессии к IP
  • хранение данных сессий в таблице модуля
  • исключение ошибок конфигурирования виртуального хостинга
  • исключение ошибок настройки прав доступа во временных каталогах
  • исключение проблем настройки операционной среды
  • разгрузка файловой системы
  • бесполезность похищения сессий злоумышленниками

Контроль активности

Контроль активности позволяет установить защиту от чрезмерно активных пользователей, программных роботов, некоторых категорий DDoS-атак, а также отсекать попытки подбора паролей перебором. В настройках можно установить максимальную активность пользователей для вашего сайта (например, число запросов в секунду, которые может выполнить пользователь).
* Контроль активности пользователей ведется на основе средств модуля Веб-аналитика и, следовательно, доступен только в тех редакция продукта, в которые входит этот модуль.

Включение контроля активности
Включение контроля активности
  • защита от чрезмерно активных пользователей
  • защита от программных роботов
  • защита от некоторых категорий DDoS-атак
  • отсекание попыток подбора паролей перебором
  • установка максимальной активности пользователей для сайта (нормальной для человека)
  • фиксирование превышения лимита активности пользователя в Журнале вторжений
  • блокирование пользователя, превысившего количество запросов в заданный временной интервал
  • вывод для заблокированного пользователя специальной информационной страницы

Стоп лист

Стоп-лист — таблица, содержащая параметры, используемые для ограничения доступа посетителей к содержимому сайта и перенаправлению на другие страницы. Все пользователи, которые попытаются зайти на сайт с IP адресами, включенными в стоп-лист, будут блокированы.

Стоп-лист
Стоп-лист
  • перенаправление посетителей, параметры которых содержатся в стоп-листе
  • блокировка пользователей по IP адресам из стоп-листа
  • ручное пополнение стоп-листа новыми записями
  • учет статистики пользователей, которым запрещен доступ к сайту
  • установка периода действия запрета на доступ к сайту для пользователя, IP-сети, маску сети, UserAgent и ссылку, по которой пришел пользователь
  • изменяемое сообщение, которое будет показано пользователю при попытке доступа к сайту

Независимый аудит

Несмотря на то, что компания «1С-Битрикс» уделяет важнейшее значение вопросам безопасности в программном продукте и безопасной разработке веб-приложений, для обеспечения нового уровня защищенности и предоставления большей уверенности для клиентов было решено провести независимый аудит информационной безопасности.

Для выполнения аудита информационной безопасности было решено привлечь наиболее известную в России компанию в области веб-безопасности — Positive Technologies.
Positive Technologies — одна из ведущих российских компаний в области информационной безопасности. Основные направления деятельности компании — разработка систем комплексного мониторинга информационной безопасности (XSpider, MaxPatrol); предоставление консалтинговых и сервисных услуг в области информационной безопасности; развитие специализированного портала Securitylab.ru.

ositive Technologies — это команда высококвалифицированных разработчиков, консультантов и экспертов, которые обладают большим практическим опытом, являются членами международных организаций и активно участвуют в развитии отрасли.

Компания Positive Technologiesпровела полномасштабное тестирование самой полной версии программного продукта «1С-Битрикс: Управление сайтом», располагая исходными текстами продукта и консультационной поддержкой технических специалистов компании «Битрикс».

Сертификат Positive Technologies
Сертификат Positive Technologies

Компания Positive Technologies осуществила аудит эффективности новых функций безопасности «1С-Битрикс: Управление сайтом 8». Тестирование встроенных механизмов защиты продукта подтвердило их соответствие требованиям Web Application Firewall Evaluation Criteria международной организации Web Application Security Consortium, о чем свидетельствует выданный сертификат. Качество реализации защитных механизмов «1С-Битрикс: Управление сайтом 8» позволяет пользователю системы быть уверенным не только в надежности ядра системы, но и в безопасности решения на его основе, с учетом надстроек и доработок, выполненных партнерами компании.

Как отметил Юрий Максимов, генеральный директор компании Positive Technologies: «Опыт анализа безопасности Web-приложений показывает, что, несмотря на постоянные заявления об актуальности этой темы, защита большинства серьезных веб-проектов осуществляется по остаточному принципу. Тем полезней для заказчика веб-приложения наличие высокоэффективной встроенной функции проактивной защиты, позволяющей предотвратить последствия возможных ошибок, допущенных при разработке и эксплуатации портала, а также своевременно обнаружить атаки».

Сертификаты

«1С-Битрикс» постоянно проводит аудит и тестирование защитных механизмов продуктов и делает это не только собственными силами, но и с привлечением сторонних экспертных компаний. Полученные в результате испытаний сертификаты от этих компаний подтверждают качество защитных механизмов продуктов и соответствие их современным требованиям обеспечения информационной безопасности.

Сертификат соответствия № 2004 ФСТЭК России
(«1С-Битрикс: Управление сайтом»)

Сертификат соответствия
Сертификат соответствия

Сертификат удостоверяет, что программное обеспечение «1С-Битрикс: Управление сайтом» в редакциях Старт, Стандарт, Эксперт, Малый бизнес, Бизнес, Портал, Большой бизнес является программным средством общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну, соответствует требованиям руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».
Сертификат выдан на основе сертификационных испытаний, проведенных испытательной лабораторией ФГУП «Госстрой». Внесен в государственный реестр сертифицированных средств защиты информации. Выдан 27 декабря 2009 г. и действителен до 27 декабря 2012 г.

«Защищенное веб-приложение» («1С-Битрикс: Управление сайтом 8»)

Сертификат Positive Technologies БУС
Сертификат Positive Technologies БУС

Сертификат выдан компанией Positive Technologies, которая осуществила аудит эффективности новых функций безопасности продукта «1С-Битрикс: Управление сайтом 8». Тестирование встроенных механизмов защиты продукта подтвердило их соответствие требованиям Web Application Firewall Evaluation Criteria международной организации Web Application Security Consortium.
Качество реализации защитных механизмов «1С-Битрикс: Управление сайтом 8» позволяет пользователю системы быть уверенным не только в надежности ядра системы, но и в безопасности решения на его основе, с учетом надстроек и доработок, выполненных партнерами компании.

Технологический партнер компании Aladdin

Технологический партнер компании Aladdin

Технологический партнер компании Aladdin

Сертификат подтверждает, что ООО «1С-Битрикс» является технологическим партнером Alaadin Software Security R. D. и имеет статус Solution Partner.

Сертификат совместимости электронных ключей eToken PASS c «1С-Битрикс: Управление сайтом» версии 8

Сертификат совместимости
Сертификат совместимости

Сертификат выдан на основании результатов сертификационных испытаний, проведенных компаниями ЗАО «Аладдин Р.Д.» и «1С-Битрикс». Сертификат удостоверяет корректность работы электронных ключей eToken PASS производства ЗАО «Аладдин Р.Д.» с программным продуктом «1С-Битрикс: Управление сайтом» версии 8.х.

Устройство генерации одноразовых паролей eToken PASS является рекомендованным техническим средством для обеспечения строгой аутентификации пользователей в «1С-Битрикс: Управление сайтом» версии 8.х.

Таблица совместимости электронных ключей eToken PASS c «1С-Битрикс: Управление сайтом» версии 8

Таблица совместимости

Таблица совместимости

Приложение №1 к сертификату совместимости eToken PASS — «1С-Битрикс: Управление сайтом» версии 8. В таблице указан тип ключа eToken — eToken PASS, который совместим с продуктом «1С-Битрикс: Управление сайтом» версии 8.х. В качестве дополнительного ПО требуется наличие в «1С-Битрикс: Управление сайтом» модуля «Проактивная защита», начиная с версии 8.0.0.

Аутентификация как базис безопасности

1.1 Этапы входа в систему

Современные веб-ресурсы содержат в себе множество функционала, который по разному доступен различным пользователям. Основной вопрос заключается в следующем: как обеспечить, чтобы система узнавала пользователей и в соответствии с результатом распознавания – предоставляла им тот или иной функционал? Безопасность процедуры входа для пользователей во многом определяет защищенность информационной системы в целом.

Процедуру входа зачастую именуют по-разному: войти, авторизоваться, аутентифицироваться, залогиниться. Обычно все понимают, о чем идет речь, но методологически термины используются не всегда корректно…

В теории информационной безопасности процесс входа в систему делится на 3 основные стадии:

  • Идентификация (Identification)
    Под идентификацией, применительно к обеспече­нию информационной безопасности компьютерной системы, понимают однозначное распознавание уникального имени субъекта (пользователя)
  • Аутентификация (Authentication)
    Аутентификация обеспечивает подтверждение подлинности субъекта, то есть подтверждение того, что предъявленное имя соответ­ствует данному субъекту
  • Авторизация (Authorization)
    На третьем шаге, система проводит процедуру авторизации, когда на основании результата процедуры аутентификации она дает пользователю тот или иной уровень доступа

Этап аутентификации является самым важным в этой цепочке и основная проблема заключается в том, чтобы сделать эту процедуру максимально точной и безопасной. Вообще, происхождение русскоязычного термина «аутентификация» не совсем понятно. Английское «authentication» скорее можно прочитать как «аутентикация»; трудно сказать, откуда в середине взялось еще «фи» — может, из идентификации? Тем не менее, термин устоялся, он закреплен в Руководящих документах Гостехкомиссии России, использован в многочисленных публикациях, поэтому исправить его уже невозможно.)
Аутентификация бывает односторонней (обычно только клиент доказывает свою подлинность серверу) и двусторонней (взаимной). Пример односторонней аутентификации — процедура входа пользователя в систему, например в продукты «1С-Битрикс»

1.2 Способы аутентификации

Способы аутентификации пользователей в компьютерных системах делят на три группы [1].

  • К первой группеотно­сятся способы аутентификации, основанные на том, что пользо­ватель знает некоторую подтверждающую его подлинность инфор­мацию (обычно это старая добрая парольная аутентификация)
  • Ко второй группеотносятся способы аутентификации, основан­ные на том, что пользователь имеет некоторый материальный объект, который может подтвердить его подлинность (например, пластико­вую карту с идентифицирующей пользователя информацией)
  • Ктретьей группеотносятся способы аутентификации, осно­ванные на таких данных, которые позволяют однозначно считать, что пользователь и есть тот самый субъект, за которого себя выда­ет (биометрические данные, особенности клавиатурного почерка и т.п.)

2. Парольная аутентификация

Использование пароля в качестве аутентификационного фактора, наверное, еще очень долго будет являться наиболее распространенным способом решения задач определения подлинности. В первую очередь, в силу своей простоты и низких затрат на обеспечение всей инфраструктуры, особенно если речь идет о веб-приложениях.
Парольная защита заслуженно считается не очень надежной. В программных продуктах «1С-Битрикс» мы постарались максимально возможно усилить аутентификацию пользователей с использованием паролей. В следующих пунктах показано за счет чего это достигается.

2.1 Задание стойкости паролей

При выборе паролей пользователи системы (например, веб-сайта) должны руководство­ваться двумя, по сути взаимоисключающими, правилами — па­роли должны трудно подбираться и легко запоминаться (посколь­ку пароль ни при каких условиях не должен нигде записываться, так как в этом случае необходимо будет дополнительно решать задачу защиты носителя пароля).

Но поскольку правила взаимоисключающие, пароли обычно простые и очень хорошо подбираются, а также записываются повсеместно без надлежащей защиты этих самых записей. Если вторую неприятность решить технически невозможно, да и организационные меры особо не помогают, то вот с обеспечением сложности пароля можно поработать.

Сложность подбора пароля определяется, в первую очередь, мощностью множества символов, используемого при выборе па­роля (N), и минимально возможной длиной пароля (к). В этом случае число различных паролей может быть оценено снизу как, Ср = Nk. Например, если множество символов пароля образуют строчные латинские буквы, а минимальная длина пароля равна 3, то Ср= 263= 17576 (что совсем немного для программного подбо­ра). Если же множество символов пароля состоит из строчных и прописных латинских букв, а также из цифр и минимальная дли­на пароля равна 6, то Ср= 626 = 56800235584.

Сложность выбираемых пользователями КС паролей должна устанавливаться администратором при реализации установленной для данной системы политики безопасности. В продуктах «1С-Битрикс» имеется возможность указать индивидуальную политику безопасности для каждой группы пользователей:

Редактирование группы
Редактирование группы

Другими параметра­ми политики учетных записей при использовании парольной аутен­тификации являются [1]:

  • максимальный срок действия пароля (любой секрет не может сохраняться в тайне вечно)
  • несовпадение пароля с логическим именем пользователя, под которым он зарегистрирован в системе
  • неповторяемость паролей одного пользователя

С точки зрения теории, эти рекомендации очень полезны и обычно применяются в совокупности, но как правило на практике они не дают сколько-либо весомого усиления защиты.

Так, например, требование неповторяемости паролей может быть реализовано двумя способами. Во-первых, можно установить минимальный срок действия пароля (в противном случае пользователь, вынужден­ный после истечения срока действия своего пароля поменять его, сможет тут же сменить пароль на старый). Во-вторых, можно вес­ти список уже использовавшихся данным пользователем паролей (максимальная длина списка при этом может устанавливаться ад­министратором).

К сожалению, обеспечить реальную уникальность каждого вновь выбираемого пользователем пароля с помощью приведенных выше мер практически невозможно. Пользователь может, не нарушая установленных ограничений, выбирать пароли «A1», «A2», … где А — первый пароль пользователя, удовлетворяющий требованиям сложности. Тоже самое касается несовпадения логина с паролем. Ничто не помешает сделать логин ‘dima’, а пароль ‘dima_1’.

В силу перечисленных обстоятельств (именно практической нецелесообразности) мы не стали штатно вводить в продукты такие ограничения, однако любой из наших партнеров может дополнить ими разрабатываемый проект, используя API платформы.

2.2 Противодействие подбору паролей

Настраивая политику учетных записей пользователей необходимо назначить меры противодействия системы попыт­кам подбора паролей. Для этого могут применяться следующие правила [1]: 1. Препятствие подбору пароля автоматизированным способом.
Для воспрепятствования автоматизированным способам подбора паролей в современных веб-приложениях обычно используют CAPTCHA (Completely Automatic Public Turing Test to Tell Computers and Humans Apart — полностью автоматический тест Тьюринга для различения компьютеров и людей).CAPTCHA представляет собой задачу, сложную для решения компьютером и простую для человека, и обычно реализуется в виде изображения, на котором необходимо различить набор символов или другую сигнатуру.
В продуктах «1С-Битрикс» вы можете включить использование CAPTCHA в процедурах регистрации в систему и аутентификации.

Использовать CAPTCHA при регистрации
Использовать CAPTCHA при регистрации

Кроме того, можно обеспечить принудительный вывод CAPTCHA в случае нескольких неудачных попыток аутентификации, настроив параметр «Количество попыток ввода пароля до показа CAPTCHA :» в настройках политики безопасности группы.

Принудительный вывод CAPTCHA

Настройка принудительного вывода CAPTCHA

В результате форма авторизации после N-й попытки будет выглядеть следующим образом:

Принудительный вывод CAPTCHA
Форма авторизации с CAPTCHA

CAPTCHA в продуктах «1С-Битрикс» гибко настраивается, что позволяет достичь компромисса между ее сложностью и удобством пользователя. В различных веб-системах эта грань всегда своя, но мы предлагаем удобный инструмент для ее определения.

Настройка CAPTCHA
Настройка CAPTCHA

2. Ограничение числа попыток входа в систему.

Для ограничения числа попыток входа в систему мы предлагаем использовать фильтр активности, входящий в состав модуля «Проактивная защита». В нем вы можете настроить параметры блокировки доступа к веб-сайту при превышении лимита активности от некоторого посетителя.

Настройка параметров контроля активности
Настройка параметров контроля активности

Кроме этого, если вам стали известны IP адреса нападающих, можно добавить их в стоп-лист, и полностью запретить доступ к ресурсу с этих адресов, и все попытки подбора паролей методом «грубой силы» (brute force).

Редактирование правил блокировки IP
Редактирование правил блокировки IP

3. Скрытие логического имени последнего работавшего пользо­вателя

Скрытие логического имени последнего работавшего пользо­вателя в веб-приложениях, к сожалению, на уровне системы реализовывать бессмысленно, поскольку подстановку данного имени по умолчанию выполняет большинство браузеров.

4. Учет всех попыток (успешных и неудачных) входа в систему

Учет всех попыток (успешных и неудачных) входа в систему в продуктах «1С-Битрикс» обеспечивается встроенным журналом событий. При этом вы детально настраиваете, какие события будут в нем фиксироваться и сколько времени они будут храниться.

Журнал событий
Журнал событий — настройка

В результате администратор системы может контролировать основные процессы, связанные с аутентификацией и сопутствующими действиями пользователей.

Журнал событий

Журнал событий — просмотр

2.3 Управление реакцией на неудачную попытку входа

С теоретической точки зрения реакция на неуспешный вход может быть следующей:

  • Блокировка учетной записи, под которой осуществляется попытка входа, при превышении максимально возможного числа попыток (на заданное время или до ручного снятия блокировки администратором)
  • Нарастающее увеличение временной задержки перед предо­ставлением пользователю следующей попытки входа

К сожалению, эти рекомендации на практике не совсем целесообразны, так как они могут позволить нарушителю наме­ренно заблокировать работу в системе легального пользователя (реали­зовать угрозу нарушения доступности информации).

В продуктах «1С-Битрикс» предложен более изящный вариант, который уже был упомянут. Это использование CAPTCHA после N неуспешных попыток аутентификации.

3. Одноразовые пароли

3.1 Пароли и удаленный доступ

Несмотря на то, что с помощью применения перечисленных выше правил парольную аутентификацию можно сделать более безопасной, она все-таки остается весьма уязвимой. Нельзя защититься от самой природы удаленного доступа при работе с веб-приложениями.

Работая с веб-приложением, мы не можем быть уверенными в безопасности канала связи, который мы используем для доступа в Сеть. Мы можем зайти в интернет-кафе, воспользоваться общедоступной Wi-Fi точкой доступа в аэропорту и тем самым легко стать жертвой очень распространенного сегодня вида компьютерного мошенничества, как сниффинг (от англ. sniff — нюхать).Злоумышленники могут контролировать сегмент сети и анализировать весь циркулирующий в нем трафик. Причем для этого не нужно быть администратором сети, как правило защищенность особенно беспроводных сетей чрезвычайно низкая, а злоумышленником может быть сидящий напротив пассажир, с ноутбуком, а то и с карманным компьютером.

Другая опасность заключается в том, что зачастую необходимо обратиться к веб-приложению с чужого компьютера, в том же Интернет-кафе. Пароли кэшируются, как и любая другая вводимая в компьютер информация, и при желании ими может воспользоваться кто-то еще в своих небескорыстных целях.
Угрозы исходят и от вирусов. Полученные в результате работы в сети Интернет, они могут сканировать входящий и исходящий на предмет наличия в нем секретных сведений, анализируя пакеты наиболее распространенных протоколов. Полученная информация часто отсылается создателям для последующего анализа и использования.

Между тем ситуации, когда необходимо удаленно получить или отправить информацию, возникают довольно часто. Возьмем хотя бы системы электронного банкинга: несложно представить себе ситуацию, когда для удаленного управления своим счетом пользователю потребуется доступ к защищенным банковским ресурсам.Специфика бизнеса многих крупных компаний часто обязывает их предоставлять доступ к собственным ресурсам сторонним пользователям — партнерам, клиентам, поставщикам. Сегодня в России активно набирает обороты такой тип сотрудничества, как аутсорсинг: компании-субподрядчику для выполнения работ по заказу вполне может потребоваться доступ к защищенным ресурсам заказчика.

3.2 Не все средства удобны

Многие наверняка воскликнут, что есть же аппаратные средства, обеспечивающие требуемый уровень защиты: смарт-карты, USB-ключи. Однако их использование весьма ограничено опять же в связи со спецификой веб-приложений.

Для смарт-кард требуются считыватели, для USB-ключей – доступный USB порт. Если мы обращаемся к веб-сайту с чужого компьютера, то понятно, что первого там не будет, а USB порт может быть заблокирован (это практически стандарт многих интернет-кафе). Интенсивно развиваются и мобильные устройства, и сегодня их можно полноценно использовать для серфинга в Интернете. Понятно, что никаких считывателей и USB портов в них не существует.Кроме этого, для работы многих аппаратных средств аутентификации требуется специализированное ПО. Стоит ли говорить о том, что оно может быть не установлено на терминале доступа.

Потребность подключения к корпоративной сети по надежной схеме аутентификации при наличии под рукой лишь КПК или смартфона может стать серьезной проблемой, если пользователь находится на конференции, переговорах или других деловых мероприятиях. Как раз для мобильных приложений, а также для организации доступа к нужной информации из тех мест, где невозможно установить специальное ПО, была разработана концепция одноразовых паролей OTP — One-Time Password.

3.3 Почему «одноразовые»

Самая простая идея одноразовых паролей заключается в том, что пользователь получает список паролей Pi, Р2,…, Р„ …, Ри. Каждый из паролей действует только на один сеанс входа (Р[ — на первый, Р2 — на второй и т.д.). В этом случае знание уже исполь­зовавшегося пользователем пароля ничего не даст нарушителю, а при каждом входе легального пользователя возможна проверка на использование данного пароля кем-либо еще.[1]

Не нужно считать, что такая примитивная схема существует только в теории. Она очень широко применялась последние годы, более того, Сбербанк РФ и сегодня позволяет вам воспользоваться такой методикой. В интерфейсах банкоматов СБРФ есть меню «безналичный расчет», где нужно выбрать «одноразовые пароли» и получить квиток с десятью кодами.

При оплате картой услуг или покупок в Интернете, клиент банка должен будет вводить один из этих кодов по требованию системы.
Понятно, что подобная схема имеет свои трудности:

  • организация защищенного хранения длинного списка паро­лей (либо его запоминание, что маловероятно)
  • неясность с номером следующего пароля, если после ввода предыдущего пароля из списка вход пользователя в систему не был осуществлен из-за сбоя в работе КС

Эти недостатки могут быть устранены, если список паролей ге­нерировать на основе некоторой необратимой функции, например функции хеширования. Пусть Р — начальный пароль пользователя, a F — необратимая функция. Обозначим: F'(P) = F(F(…F(P)…)) (фун­кция F применяется последовательно iраз). Тогда список одно­разовых паролей создается следующим образом: Р, = F» (Р), Р2 = = F-1(P), …. Рл_! = F(F(P)), Р„ = F(P).

При сбое в процессе входа пользователя всегда осуществ­ляется выбор следующего пароля из списка, а система последова­тельно применяет функцию F к введенному пользователем паро­лю, вплоть до совпадения с последним принятым от него паро­лем (и тогда пользователь допускается к работе в системе) или до превышения длины списка паролей (в этом случае попытка входа пользователя в КС отвергается).[2] На базе этой идеи и работают все современные технологии аутентификации с помощью одноразовых паролей.

3.4 Как работает схема OTP

В современных технологиях аутентификации с помощью OTP применяется динамическая генерация ключевых слов с помощью сильных криптографических алгоритмов (вышеупомянутая функция F). Иначе говоря, аутентификационные данные — это результат шифрования какого-либо начального значения с помощью секретного ключа пользователя. Данная информация есть и у клиента, и у сервера. Она не передается по сети и недоступна для перехвата. В качестве начального значения используется известная обеим сторонам процесса аутентификации информация, а ключ шифрования создается для каждого пользователя при его инициализации в системе. Ключ иногда еще называют вектором инициализации.

Стоит отметить, что на данном этапе развития технологий OTP существуют системы, использующие как симметричную, так и асимметричную криптографию. В первом случае секретным ключом должны обладать обе стороны. Во втором секретный ключ нужен только пользователю, а у сервера аутентификации он открытый.

Технологии OTP были разработаны в рамках отраслевой инициативы Open Authentication (OATH), выдвинутой компанией VeriSign в 2004 г. Суть этой инициативы заключается в разработке стандартной спецификации действительно надежной аутентификации для различных интернет-сервисов. Причем речь идет о двухфакторном определении прав пользователя, в процессе которого последний должен «предъявить» смарт-карту или USB-токен и свой пароль. Таким образом, одноразовые пароли со временем могут стать стандартным средством удаленной аутентификации в различных системах.

Сегодня разработано и используется на практике несколько вариантов реализации систем аутентификации по одноразовым паролям [1].

Метод «запрос-ответ». Принцип его работы таков: в начале процедуры аутентификации пользователь отправляет на сервер свой логин. В ответ на это последний генерирует некую случайную строку и посылает ее обратно. Пользователь с помощью своего ключа зашифровывает эти данные и возвращает их серверу. Сервер же в это время «находит» в своей памяти секретный ключ данного пользователя и кодирует с его помощью исходную строку. Далее проводится сравнение обоих результатов шифрования. При их полном совпадении считается, что аутентификация прошла успешно. Этот метод реализации технологии одноразовых паролей называется асинхронным, поскольку процесс аутентификации не зависит от истории работы пользователя с сервером и других факторов [3].


Метод «только ответ». В этом случае алгоритм аутентификации несколько проще. В самом начале процесса программное или аппаратное обеспечение пользователя самостоятельно генерирует исходные данные, которые будут зашифрованы и отправлены на сервер для сравнения. При этом в процессе создания строки используется значение предыдущего запроса. Сервер тоже обладает этими сведениями; зная имя пользователя, он находит значение предыдущего его запроса и генерирует по тому же алгоритму точно такую же строку. Зашифровав ее с помощью секретного ключа пользователя (он также хранится на сервере), сервер получает значение, которое должно полностью совпадать с присланными пользователем данными.

Метод «синхронизация по времени». В нем в качестве исходной строки выступают текущие показания таймера специального устройства или компьютера, на котором работает человек. При этом обычно используется не точное указание времени, а текущий интервал с установленными заранее границами (например, 30 с). Эти данные зашифровываются с помощью секретного ключа и в открытом виде отправляются на сервер вместе с именем пользователя. Сервер при получении запроса на аутентификацию выполняет те же действия: получает текущее время от своего таймера и зашифровывает его. После этого ему остается только сравнить два значения: вычисленное и полученное от удаленного компьютера.

Метод «синхронизация по событию». В принципе этот метод практически идентичен предыдущему, только в качестве исходной строки в нем используется не время, а количество успешных процедур аутентификации, проведенных до текущей. Это значение подсчитывается обеими сторонами отдельно друг от друга. В настоящее время этот метод получил наиболее распространение.

В некоторых системах реализуются так называемые смешанные методы, где в качестве начального значения используется два типа информации или даже больше. Например, существуют системы, которые учитывают как счетчики аутентификаций, так и показания встроенных таймеров. Такой подход позволяет избежать множества недостатков отдельных методов.

3.5 Аппаратные и программные реализации OTP

Как уже говорилось выше, в основе OTP лежит использование криптографических алгоритмов. Это накладывает определенные обязательства на разработчиков таких продуктов — ведь некачественное исполнение какого-либо алгоритма или, например, генератора случайных чисел может поставить под угрозу безопасность информации.[2]

Генераторы одноразовых паролей реализуются двумя способами: программным и аппаратным. Первый из них, естественно, менее надежен. Дело в том, что клиентская утилита должна хранить в себе секретный ключ пользователя. Сделать это более или менее безопасно можно только с помощью шифрования самого ключа на основе персонального пароля. При этом необходимо учитывать, что клиентская утилита должна быть установлена на том устройстве (КПК, смартфон и т. п.), с которого в данный момент выполняется сессия.

Таким образом, получается, что аутентификация сотрудника зависит от одного пароля, при том что существует множество способов узнать или подобрать его. И это далеко не единственная уязвимость программного генератора одноразовых паролей.
Несравнимо большей надежностью обладают разнообразные устройства для аппаратной реализации OTP-технологий. Например, есть устройства, по виду напоминающие калькулятор (рис. 2): при вводе в них набора цифр, присланного сервером, они на основе вшитого секретного ключа генерируют одноразовый пароль (метод «запрос-ответ»). Главная уязвимость подобных устройств связана с тем, что их можно украсть или утерять. Обезопасить систему от злоумышленника можно только при условии использования надежной защиты памяти устройства с секретным ключом.

Именно такой подход реализован в смарт-картах и USB-токенах. Для доступа к их памяти пользователь должен ввести свой PIN-код. Добавим, что такие устройства защищены от подбора PIN-кода: при трехкратном вводе неправильного значения они блокируются.Надежное хранение ключевой информации, аппаратная генерация ключевых пар и выполнение криптографических операций в доверенной среде (на микросхеме смарт-карты) не позволяют злоумышленнику извлечь секретный ключ и изготовить дубликат устройства генерации одноразовых паролей.

3.6 eToken PASS

Аппаратный ключ Aladdin eToken PASS – один из наиболее надежных генераторов одноразовых паролей, защищенными практически от всех уязвимостей реализации.

Устройства серии eToken достаточно широко распространены в России. Такие ведущие производители, как Microsoft, Cisco, Oracle, Novell и т. д., обеспечивают их поддержку в своих продуктах (в «послужном списке» eToken более 200 реализаций с приложениями для информационной безопасности). Мы рады, что смогли присоединиться к этому списку и обеспечить наших клиентов требуемым уровнем защищенности при работе с веб-ресурсами

Достоинство eToken PASS заключается в его автономности. Устройство работает на батарейке с пожизненным запасом заряда и не требует подключение к компьютеру. Процесс генерации одноразового пароля может запускаться путем нажатия на специальную кнопку, размещенную на корпусе устройства, а его результат в этом случае будет отображаться на встроенном ЖК-дисплее. Такой подход позволяет применять технологию OTP даже на тех устройствах, на которых отсутствуют USB-порты или считыватели (смартфоны, КПК, сотовые телефоны и т. п.), и на компьютерах, на которых они заблокированы (на рисунке изображен eToken NG-OTP, как еще один пример OTP-токена).

С каждым устройством связан ключ шифрования (вектор инициализации), который обеспечивает соответствие устройства и пользователя, которому оно выдано. Векторы инициализации хранятся у администратора и привязываются к пользователю в момент выдачи устройства.

eToken PASS работает по методу «синхронизация по событию». Это наиболее надежная из синхронных вариантов реализация технологии OTP (с меньшим риском рассинхронизации). Алгоритм генерации одноразовых паролей, реализованный в ключе eToken NG-OTP, разработан в рамках инициативы OATH (он основан на технологии HMAC). Суть его заключается в вычислении значения HMAC-SHA-1 и затем в выполнении операции усечения (выделения) шести цифр из полученного 160-битового значения. Именно они и служат тем самым одноразовым паролем.

3.7 Настройка OTP–аутентификации в продуктах «1С-Битрикс»

Использование схемы OTP в программных продуктах 1С-Битрикс обеспечивается модулем «Проактивная защита». Для начала использования необходимо включить использование одноразовых паролей на соответствующей странице модуля.

Включение возможности
Включение использования одноразовых паролей

После этого необходимо открыть профайл пользователя, которому требуется обеспечить аутентификацию по OTP. Мы видим, что появилась новая вкладка «Одноразовые пароли».

Включение возможности
Настройка одноразовых паролей

Первое что необходимо сделать администратору – это ввести секретный ключ, связанный с устройством. Этим действием мы связываем устройство и человека, чтобы веб-сайт впоследствии мог корректно выполнять сравнение паролей и аутентифицировать его.

Но этого недостаточно, поскольку требуется установить начальное значение для счетчика успешных процедур аутентификации на веб-сайте (или просто обнулить этот счетчик). Для выполнения этой операции необходимо последовательно сгенерировать два пароля и ввести их в соответствующие поля формы.

Теперь устройство связано с профайлом пользователя и инициализировано. Можно сохранить профайл с новыми настройками. А что означает галочка «Включить составной пароль»?
На самом деле, для любого устройства eToken необходимо знать PIN код доступа, чтобы его использовать. Но поскольку eToken PASS через вектор инициализации связан с профайлом, то мы вполне можем в качестве PIN кода использовать обычный (многоразовый) пароль пользователя. И в этом случае при аутентификации пользователь должен ввести составной пароль, который представляет собой обычный пароль и одноразовый пароль, вводимые подряд без разделителя.

В любой момент можно отключить одноразовые пароли, сняв галочку «Включить составной пароль», и пользователь будет входить на сайт, используя обычный пароль. Мы, правда, настоятельно рекомендуем в этом случае сменить старый пароль, т.к. злоумышленники могли перехватывать одноразовые пароли, вычленяя из них обычные.

Обратите внимание, что при использовании eToken PASS возможна рассинхронизация счетчика авторизаций на сайте, и в самом устройстве. Можно случайно нажать на кнопку генерации без последующей аутентификации, например, если ключ попал в руки к детям. В этом случае последующая аутентификация будет невозможна и владельцу ключа будет необходимо обратиться к администратору системы за синхронизацией счетчиков.

Чтобы не было таких неудобств, предусмотрено, так называемое, окно синхронизации, означающее максимальное отличие счетчиков на сайте и устройстве.

Окно синхронизации
Окно синхронизации

По умолчанию это значение равно 10, что означает возможность десяти «холостых» нажатий. Увеличивая значение, вы повышаете удобство использования, но несколько снижаете уровень безопасности технологии.

При каждой успешной аутентификации, счетчики в устройстве и на сайте синхронизируются автоматически.

5. Выводы:

Использование одноразовых паролей в продуктах «1С-Битрикс» – это превосходное решение для задач надежной удаленной аутентификации. Сегодня известно не так уж много способов действительно «сильной» аутентификации пользователей при передаче информации по открытым каналам связи. Между тем такая задача встречается все чаще и чаще. И одноразовые пароли — одно из самых перспективных ее решений.

eToken PASS – это простой в использовании и удобный автономный генератор одноразовых паролей, который можно применять вне зависимости от терминала, с которого осуществляется доступ к веб-приложению, вне зависимости от наличия на нем соответствующих портов и программного обеспечения.

В технологии применяется использование «стандартных» криптографических алгоритмов, совместимых с отечественными криптопровайдерами. Это означает, что для реализации системы аутентификации с применением OTP прекрасно подходят уже существующие разработки. Такие токены можно использовать в уже существующих системах корпоративной безопасности без их перестройки. В результате внедрение технологии одноразовых паролей можно провести с относительно небольшими затратами.

Источники:

1) Хорев П.Б. «Методыисредствазащитыинформациивкомпьютерныхсистемах. Учебное пособие для вузов» , Academia, 2008
2) Давлетханов М. Концепция одноразовых паролей в системе аутентификации. (BYTE Россия), №7-8, 2006
3) Коржов В. Пароль на минуту. Открытые системы, 2005

Безопасность «1С-Битрикс: Управление сайтом»

При проектировании программного продукта «1С-Битрикс: Управление сайтом» вопросам безопасности продукта уделялось особое значение на всех этапах разработки и тестирования.

  • политика безопасности — набор правил, ограничивающих возможность авторизации пользователей в целях обеспечения определенного уровня безопасности сайта
  • единая система авторизации — все права в системе распределяются исключительно для групп пользователей
  • единый бюджет пользователя для всех модулей
  • двухуровневая система разграничения прав доступа
  • независимость системы контроля доступа от бизнес-логики страницы
  • Смена пароля
  • Запомнить авторизацию
  • возможность при передаче
  • система обновлений SiteUpdate
  • независимое журналирование выполняемых страниц в модуле Статистики
  • политика работы с переменными и внешними данными
  • методика двойного контроля критически опасных участков кода
  • политика работы с пластиковыми картами

Когда сайт — это имидж и репутация

Взлом корпоративного сайта — это удар по репутации и имиджу компании. Очень неприятное в подобных событиях — огласка происшествия. Но потеря данных с сайта, информации о клиентах – это уже прямые убытки. И огласка таких происшествий происходит далеко не всегда. Чем серьезнее компания и известнее ее имя и продукты, тем существеннее бывают риски и убытки от взлома корпоративного сайта.

Обеспечение информационной безопасности веб-систем — процесс сложный и кропотливый, в котором участвуют разные поставщики услуг и программных продуктов. С большой уверенностью можно утверждать, что нельзя создать безопасную систему и прекратить работу по обеспечению информационной безопасности. Создавая систему, вы должны непрерывно следить за безопасностью информационной среды и за безопасностью веб-приложений.

Использование продукта «1С-Битрикс: Управление сайтом», получившего сертификат «Безопасное веб-приложение» от компании Positive Technologies, проводившей аудит информационной безопасности системы, позволяет с уверенностью утверждать, что современные корпоративные сайты могут быть надежно защищены.
В качестве независимых экспертов для подготовки материалов данного раздела привлечены специалисты компании Positive Technologies.

Уязвимости веб-приложений

Существует целый класс уязвимостей, которым подвержены веб-приложения. Но очень часто проблемы информационной безопасности остаются за рамками бюджета или вообще не фигурируют в этапах разработки.

Интересный материал на эту тему опубликован Алексеем Лукацким, руководителем отдела Интернет-решений компании «Информзащита» (в настоящее время менеджер по развитию бизнеса Cisco Systems) в журнале BYTE Россия:

«Автор прошелся по Web-сайтам некоторых, в том числе и именитых студий, предлагающих свои (недешевые, заметим) услуги по созданию сайтов, и что же? Ни одна из них не упомянула в своих «портфолио» понятие «защищенный сайт». И в типовых договорах нет ни слова о защите…
Что это — некомпетентность или осознанное нежелание ввязываться в неизвестную, а значит, таящую множество сюрпризов область ИТ? К сожалению, приходится признать, что скорее всего первое. Попробую проиллюстрировать этот тезис, опираясь на личный опыт участия в ряде Интернет-проектов…»

Полный текст статьи опубликован в разделе «Защищенный сайт».
Перечислим некоторые из наиболее часто встречающихся проблем:

  • Cross Site Scripting
  • SQL- injection
  • PHP- injection
  • HTTP Response Splitting
  • HTML code injection
  • File Inclusion
  • Directory traversal и некоторые другие

Перечисленные типы уязвимостей могут встречаться во всех веб-приложениях, независимо от того, разработаны они одним специалистом или известной компанией. Только системное проектирование, продумывание вопросов безопасности на всех этапах разработки и детальное тестирование готового приложения могут позволить исключить появления уязвимостей.

Подробнее

Использованы материалы с сайта «1С-Битрикс»: www.1c-bitrix.ru