Всех погубит любовь к бесплатному...
28 август, 2015 - 09:57Алексей Дрозд«Бесплатно» и «качественно» не всегда антонимы. Но вот «бесплатно» и «безопасно» – пожалуй, уже да. На днях наткнулся на интересную заметку о том, как ненавязчиво воспользовались предприимчивые люди всенародной любовью к «варезам», получив совершенно бесплатно доступ к астрономическому количеству интернет-магазинов.
В чем суть? Ребята сделали портальчик, посвященный OpenCart'у (это такая популярная CMS для интернет-магазинов), через который распространяли свою «сборку» с дополнительными модулями (и, конечно же, бэкдорами). Все его радостно скачивали и ставили, пока однажды не забыли заплатить за хостинг, и на всех зараженных сайтах вылезли баннеры хостера. Проблему решают кто как может, но что-то мне подсказывает, что меньше сайтов с эксплойтами не станет. Как, впрочем, и любителей всего «побесплатнее».
Что ж, давайте теперь обратимся к более близким и понятным ИБ-специалисту вещам, чем электронная коммерция. Даже без специфического движка сайта, на компьютерах практически любого пользователя в организации можно найти целую кучу разных «сборок». Грешат этим не только домашние пользователи, но и системные администраторы. Ради интереса, спросите как-нибудь кого-нибудь из них, какую они предпочитают сборку Total Commander'а.
Естественно, каждая из таких сборок – это потенциальная (а на самом деле, даже не потенциальная, а вполне себе реальная) угроза информационной безопасности организации, связанная с имеющимися в таких сборках эксплойтами и бэкдорами, сознательно внедряемыми в них «разработчиками».
Лечение это проблемы на удивление простое. Это использование лицензионного программного обеспечения (желательно сертифицированного, конечно же), ну и сотрудничество с надежными поставщиками в лице реселлеров и интеграторов. Да, дороже чем скачать варез. Но сэкономив сто долларов на лицензии, можно потерять миллионы на атаке злоумышленников.