Российские исследователи ИБ на пьедестале почета за наиболее интересную технику веб-атак

Российские исследователи ИБ на пьедестале почета за наиболее интересную технику веб-атак

Экспертный комитет во главе с известным специалистом по веб-безопасности Джереми Гроссманом (Jeremiah Grossman) уже седьмой год подряд выбирает топ-10 наиболее интересных новых техник атак на веб-приложения. Всего в этом году было подано более 60 заявок, из которых после всенародного голосования 15 попали во второй раунд, где подверглись оценке комиссии из ключевых экспертов области.

Недавно была опубликована финальная десятка за 2012 год. Пальма первенства отдана бессменным лидерам (в третий раз они получают заслуженное первое место), специалистам по криптографии Джулиано Ризо (Juliano Rizzo) и Таю Дуонгу (Thai Duong) с новой атакой на SSL/TLS под названием CRIME, которая не раз обсуждалась в прессе за последний год.  А вот на второе место впервые в истории попали российские исследователи из Digital Security за SSRF-атаку, тоже получившую популярность в новостях с тех пор, как Александр Поляков продемонстрировал  ее на конференции BlackHat в Лас-Вегасе, а позже на конференциях RSA и POC.

Что такое SSRF?

"Представьте, что у вас есть две системы (назовём их А и Б), которые доверяют друг другу, то есть соединение между ними не блокируется межсетевым экраном, так как между ними необходимо передавать некие данные. Система А – это, например, корпоративный портал, который обычно доступен из небезопасной сети, такой как интернет. А другая система – это, скажем, ERP, и она недоступна из интернета, но доверяет корпоративному порталу. Именно такова структура сети большинства компаний. SSRF-атака (Server Side Request Forgery, или межсерверная подделка запросов) заключается в том, чтобы найти какой-нибудь уязвимый сервис в системе А, который сможет переслать зловредный запрос во внутреннюю сеть и таким образом перенаправить атаку в систему Б. Так злоумышленник сможет, обойдя межсетевые экраны и системы обнаружения вторжений, напрямую эксплуатировать уязвимости в якобы защищенных системах".

Подробнее по ссылке.

Немалый вклад в популярность темы сделала и конференция ZeroNights, где организаторы, в первую очередь Digital Security, решили посвятить данной тематике серию докладов. Другие исследователи продолжили  анализ данной атаки, представили на ZeroNights новые наработки  и до сих пор продолжают их публиковать.

Так, аналитик Digital Security Александр Большев на днях выпустит небольшое исследование, посвященное использованию SSRF для проксирования DoS и DDoS-атак на основе недостатков  реализации FTP-протокола в различных движках. В этом году можно ожидать появления целого пласта новых исследований, посвященных разнообразным способам применения техники SSRF. Андрей Петухов – научный руководитель и лектор факультета ВМиК МГУ, а также известный практик в области веб-безопасности – небезосновательно заявил, что SSRF по праву должна была занять первое место.

Кроме того, атака и соответствующая аббревиатура теперь официально признана в базе CWE (Common Weakness Enumeration) под номером 918, став подклассом более общей проблемы под названием "Неумышленный  посредник" (Unintended Proxy or Intermediary / Confused Deputy). Это позволяет использовать данную аббревиатуру в официальных работах и в программном обеспечении.

ITSec.ru по материалам компании Digital Security