Ochrona aplikacji webowych
- Józef Muszyński,
- 04.07.2003, godz. 08:03
Według firmy Teros, zajmującej się opracowywaniem urządzeń ochronnych dla usług webowych, zagrożenie atakami hakerskimi rośnie wykładniczo, a szkody z tego wynikłe liczone są w miliardach dolarów.
Szacuje się, że sam Code Red naraził biznes na koszty rzędu 2 miliardów USD, obejmujące czas przestoju i naprawy zaatakowanych systemów, a sumaryczne koszty przestojów systemów, których przyczyna była związana z systemem bezpieczeństwa, w samych Stanach Zjednoczonych szacowane są na 273 miliardy USD w ciągu roku.
Zabezpieczanie aplikacji webowych przed zagrożeniami ze strony różnych napastników jest jednym z największych zmartwień projektantów takich aplikacji i administratorów sieci, w których są eksploatowane.
Zobacz również:
- Palo Alto wzywa pilnie użytkowników jej zapór sieciowych, aby jak najszybciej zaktualizowali zarządzające nimi oprogramowanie
- Najszybszy Helios w Cyfronecie
- Threads będzie mógł wysyłać do tej aplikacji wiadomości w trybie DM
Chociaż znaczący zakres ochrony może być zapewniony przez odpowiednie skonfigurowanie serwerów webowych i zapór ogniowych, największym ryzykiem obarczona jest wymiana informacji pomiędzy aplikacją kliencką i serwerem webowym.
Obejmuje ona takie rodzaje wyzwań związanych z bezpieczeństwem, jak fałszywe dane, które mogą być użyte do wywołania efektu przepełnienia bufora, sfałszowane zlecenia, niewłaściwe kodowanie programów lub skryptów, manipulowanie cookie itp.
Specjalizowane urządzenia ochronne są jedną z metod radzenia sobie z tymi zagrożeniami, a technologia, która za tym stoi jest interesująca. Przykładem jest urządzenie Teros-100 APS, stosujące unikatowe sposoby kontroli ruchu HTTP, używając do tego celu tzw. HTML Interaction Model (HIM).
Zadaniem HIM jest odróżnianie - w czasie rzeczywistym - poprawnej wymiany informacji HTTP od nielegalnej. HIM jest modelem przejścia stanów dla ruchu HTTP, definiującym zlecenia i odpowiedzi dopuszczalne w kontekście sesji HTTP.
Firma Teros podaje, że struktura ta oparta jest na definicjach HTTP 1.0 i HTTP 1.1 oraz bieżącej praktyce kodowania HTML i Javy.
Zasadą jest, że każda wymiana informacji, która narusza ten model jest blokowana - o ile nie zostaną dopuszczone niestandardowe modele wymiany informacji. Te niestandardowe wymiany mogą być ustanowione przez uruchomienie trybu „learning” urządzenia, który wykrywa i przedstawia listę takich odchyleń. Mogą być one następnie dodane do zestawu reguł zapobiegających ich blokowaniu.
Firma zapewnia, że mimo tak złożonej kontroli ruchu, opóźnienia w wymianie informacji HTTP nie przekraczają milisekundy.
Cena urządzenia startuje od 25 000 USD.