Насколько это просто

Cтатья "Обеспечение безопасности веб-сайтов" предоставлена Sophos Plc и SophosLabs.

Декабрь 2007 г.

В ходе подготовки данной статьи автор решил узнать, насколько просто найти примеры утечки данных, и ввел в разные поисковые системы используемое по умолчанию имя лог-файла распространенного FTP-клиента. При этом обнаружились тысячи веб-сайтов, на которых этот, казалось бы, маловажный лог-файл FTP находился в открытом доступе (и индексировался без ведома администраторов). Каждый такой сайт может стать прекрасным примером утечки данных.

Вот пример такого лог-файла (с купюрами):

Из этого отрывка можно извлечь немало полезных сведений:

• Название веб-сайта;

• Имя пользователя сервера под управлением Linux или BSD;

• Имя узла сервера.

По приведенным данным можно узнать следующее:

• Имя узла и IP-адрес веб-сервера.

• Удаленный путь, по которому производилось копирование.

• Локальный путь, с которого велось копирование.

Подобные сведения представляют большую ценность для злоумышленника, поскольку наличие имени узла и имени пользователя позволяет предпринять попытку получения административного доступа. Помимо этого, злоумышленник может найти телефонный номер или адрес электронной почты компании, предоставляющей услуги веб-хостинга, и попытаться заполучить пароль методами социальной инженерии.

Это зачастую проще, чем атака сервера, поскольку многие компании, предоставляющие подобные услуги, используют при передаче учетных данных лишь минимальные меры безопасности. Причина может заключаться в том, что к ним зачастую обращаются индивидуальные подрядчики, разрабатывающие веб-сайты для третьих сторон, в связи с чем звонок с просьбой предоставить учетные данные или сбросить пароль является вполне обычным делом.

Автор статьи неоднократно проводил аналогичные действия (естественно, легально), но лишь одна из четырех компаний обратилась за разрешением к владельцу веб-сайта.

Вот так все просто.

К следующему разделу