Agile Security Manifesto

agile seurity manfiesto

2001 წელს 18-მა დეველოპერმა გამოაქვეყნა ე.წ. Agile მანიფესტი, რომელშიც ჩამოყალიბებული იყო პროგრამული უზრუნველყოფის განვითარების პრინციპები.

მანიფესტს თავისი საიტიც აქვს და ქართულადაც არის თარგმნილი (სიტყვა Agile-ის გარდა 😀 ).

2016 წელს კომპანია Cigital-მა, რომელიც მოღვაწეობს პროგრამული უზრუნველყოფის უსაფრთხოების სფეროში, გამოაქვეყნა Agile უსაფრთხოების მანიფესტი.

მანიფესტის სრული ტექსტის PDF იხილეთ Cigital-ის საიტზე, აქ კი გთავაზობთ ძირითად პრინციპებს:

  1. პროგრამული უზრუნველყოფის უსაფრთხოება, პირველ რიგში, უნდა იყოს დეველოპერებისა და ტესტერების, და არა უსაფრთხოების სპეციალისტების, საქმე და პასუხისმგებლობა;
  2. უსაფრთხოება ჩადებული უნდა იყოს დეველოპმენტის პროცესსა და საქმიანობაში და უსაფრთხოებაზე ზრუნვა არ უნდა იწყებოდეს პროგრამის დასრულების შემდეგ;
  3. უმჯობესია პროგრამის ფუნქციონალში იყოს გათვალისწინებული უსაფრთხოება, ვიდრე ცალკე უსაფრთხოების ფუნქციონალი ემატებოდეს პროგრამას; გარდა ამისა, პროგრამაში უნდა ჩაიდოს უსაფრთხოების გამოცდილი და დატესტილი იმპლემენტაცია და არა იმპროვიზაცია;
  4. ორიენტაცია უნდა იყოს რისკების მოგვარებაზე და არა ბაგების აღმოფხვრაზე – დეველოპმენტის პროცესში გათვალისწინებული უნდა იყოს რისკები და უსაფრთხოება არ ამოიწურებოდეს ბაგების ან სისუსტეების სიის აღმოფხვრით;

 

1.usa.gov – როგორ იყენებენ ჰაკერები ამერიკული სამთავრობო საიტების სისუსტეს

Open Redirect არის ვებ აპლიკაციის სისუსტე, რომელიც ჰაკერს საშუალებას აძლევს მსხვერპლს მიაწოდოს სანდო ვებსაიტის ბმული, რეალურად კი გადაამისამართოს სახიფათო საიტზე. მთავარი საფრთხე, რომელიც მომდინარეობს ამ სისუსტისგან არის ფიშინგი. სისუსტის მოგვარების გზაა, რომ გადამისამართების ფუნქცია საერთოდ მოვხსნათ ვებსაიტიდან. მაგრამ თუ გვჭირდება – მაშინ გადამისამართება მომხმარებლის input-ზე საერთოდ არ უნდა იყოს დამოკიდებული.

სისუსტის უკეთ გასაგებად, წარმოვიდგინოთ, რომ არსებობს ვებსაიტი example.com. თუ ამ საიტს გააჩნია მოცემული სისუსტე, მაშინ ქვემოთ მოცემულ ბმულზე შესვლისას example.com-ის ნაცვლად, mikheiloninfosec.com-ზე შემოხვალთ.

http://www.example.com?redirect=mikheiloninfosec.com

Note: ამ ბმულში redirect არის მოცემული ვებ საიტის პარამეტრი, რომელსაც სხვ ასახელი შეიძლება ერქვას

რამდენიმე დღის წინ ბრაიან კრებსმა დაწერა, რომ ამ სისუსტისა და bit.ly სერვისის გამოყენებით, ჰაკერები ახერხებენ ისეთი ბმულების შექმნას, რომელიც სანდოდ გამოიყურება – რეალურად კი იუზერი გადაჰყავს საიტზე, რომელიც ან ფიშინგია ან მალვეარს ავრცელებს. ამაში ჰაკერებს ეხმარება ზოგიერთ ამერიკულ სამთავრობო საიტზე არსებული open redirect სისუსტე.

საქმე ის არის, რომ ბმულების დამოკლების სერვისი bit.ly ბმულებს, რომელიც მთავრდება .gov-ით ან .mil-ით გარდაქმნის ბმულად, რომელიც იწყება 1.usa.gov-ით.

მაგალითად ავიღე თეთრი სახლის საიტზე გამოქვეყნებული რიგითი სტატიის ბმული:

თავდაპირველი ბმული: https://www.whitehouse.gov/blog/2016/03/30/asked-and-answered-11-year-old-daughter-incarcerated-individual-shares-her-story

დამოკლებული ბმული: http://1.usa.gov/1VUpDQf

აღმოჩნდა, რომ 2012 წლის მონაცემებით 1.usa.gov ბმულების 15% მომხმარებლების სახიფათო საიტებზე ამისამართებდა. აღმოჩნდა, რომ თავად bit.ly და ამერიკის მთავრობის შესაბამისი სამსახურები ცდილობენ ასეთი ბმულების აღმოჩენასა და გადადგურებას, მაგრამ პრობლემის რეალური მოგვარება სისუსტის მქონე ვებ აპლიკაციების გამოსწორებაა.

სანამ Open Redirect სისუსტეებისგან თავისუფალი ინტერნეტი გვექნება, იქამდე შეგიძლიათ გამოიყენოთ Unshorten.it სერვისი, რომელიც Chrome ბრაუზერშიც შეგიძლიათ ჩაამატოთ extension-ად. დასატესტად გთავაზობთ ზემოთ მოცემული 1.usa.gov ბმული გადაამოწმოთ მართლაც თეთრი სახლის საიტზე გამისამართებდათ თუ არა.