В Telegram-канале «Кибервойна» вчера появилась заметка про атаки на web-сайты под управлением Битрикс, в которой был задан сакраментальный и риторический одновременно вопрос.
Если ФСТЭК выпускает рекомендации и требования по оценке защищенности и устранению уязвимостей, НКЦКИ выпускает бюллетени по уязвимостям в Битриксе (например, тут и тут), РКН расследует факты утечек через уязвимый Битрикс, ресерчеры находят уязвимости (например, вот исследование (https://t.me/RedTeambro/149)), ИБ-компании выпускают рекомендации по защите, сам Битрикс вроде как выпускает обновления, то почему Битрикс продолжают ломать, а его клиенты не обновляют свои web-ресурсы? 😕
С точки зрения безопасности налицо полное пренебрежение вопросами ИБ. Отсутствует не только управление обновлениями/уязвимостями сайта, но и мониторинг отсутствует (все-таки скачать несколько миллионов записей из базы данных незаметно надо еще постараться). Но, предположу, что у пострадавших компаний нет нормальных ИБшников. Это очень частое явление, как мы все прекрасно понимаем. И вот тут могли бы помочь как хостеры, у которых хостятся сайты, так и сам Битрикс. Но по разным причинам они это не делают. 🤔
Когда я искал площадку под свой сайт lukatsky.ru я столкнулся с одной большой проблемой — в России нет хостера CMS, который бы взял на себя функцию автоматического ее обновления. То есть вам дают VPS, дают возможность в один клик установить любую популярную CMS, но вот обновлять ее по мере выхода новых уязвимостей — это ваша головная боль. И многие просто забивают на обновление, не имея выстроенных процессов для этой задачи (у меня автоматическое обновление сайта без моего участия было одним из основных критериев при выборе хостинга). Мне кажется, если хостеры предложили бы такую функцию своим клиентам, то было бы неплохо. Хотя понятно, почему они этого не делают, ее особо не продашь, — это вам не количество ядер процессора или размер памяти под работу сайта.
Битрикс же мог бы пойти по пути Майкрософт, которая по умолчанию включает обновления в Windows 10 или 11 и не дает их полностью отключить. Вы можете настроить их установку в удобное для вас, например, нерабочее время, но запретить эту функцию нельзя (если не ставить программы сторонних разработчиков). Вы можете только ее отложить на срок от 1 до 35 дней. По достижении предела приостановки потребуется все равно установить все последние обновления до того, как можно будет опять приостановить скачивание и установку обновлений. Если бы у Битрикса была такая функция, то многие бы проблемы, как мне кажется снялись бы автоматически. Да, 1-2 раза это вызвало бы раздражение, когда сайт уходит в обновление в рабочее время (Windows, например, определяет время «неактивности» пользователя для своего обновления по какому-то своему алгоритму, что часто вызывает вопросы). Но пользователи бы привыкли, а если дать им еще и возможность настраивать время обновления, но не давать отключать их установку, это сильно бы повысило безопасность российских web-ресурсов.
А пока мы так и будем продолжать — регуляторы будут слать производителям уведомления о найденных уязвимостях, те будут отчитываться об устранении, клиенты будут класть боль на кажущиеся им ненужными задачи, а хакерские группировки будут продолжать взламывать сайты пачками. И все вроде при деле, а результата никакого. И ответственности никакой 😭 А самое интересное, что если ИБ-разработчики еще «ходят под» ФСТЭК и ФСБ и худо-бедно, но обязаны устранять уязвимости по запросам от регуляторов (иначе отзовут сертификат или приостановят его использование), то у ИТ-компаний этого нет. И вроде регулятор у них очень активный, а права требовать устранения уязвимостей у него нет; только рассылать письма с просьбами.
Но мы все знаем, куда, как правило, засовывают просьбы и рекомендации…
Может новый приказ ФСБ по мониторингу защищенности внешнего периметра даст какой-то эффект? Хотелось бы верить — все-таки это его основное предназначение. Но с другой стороны, все попавшие в последнее время под раздачу компании не относились к тем, кто попадает под действие 250-го Указа, а значит их мониторить никто не будет. Разве что появятся поправки в ФЗ-152, которые наделят ФСБ правом мониторинга операторов ПДн… Но и тут я вижу сложности — у нас операторы никак не дифференцированы. Разве что по уровню защищенности, но он почти не зависит от количества субъектов ПДн. А мониторить все 6 миллионов операторов ФСБ не сможет. Тут и с СуКИИ с ЗОКИИ-то есть вопросы — как будет выстроен процесс сканирования, разбора фолсов, отслеживания устранения сделанных/несделанных изменений и т.п.
А может Минцифре включить требования по ИБ для ПО, выставляемого наружу, в свои нормативы по цифровизации или про разработку и ввод в эксплуатацию государственных информационных систем? Например, требование размещения таких систем на багбаунти? Именно в непрерывных программах по поиску уязвимостей за вознаграждение, так как разовые пентесты дадут только временный эффект. Почему бы и нет? Это, как минимум, поднимет уровень безопасности самого ПО, коль скоро вендора игнорируют безопасную разработку и практики DevSecOps.
Интересно, что на сайте Битрикса говорится о том, что они размещены на платформе багбаунти HackerOne. Однако, на самой платформе об участии Битрикса ни слова. Возможно они запустили приватную багбаунти программу, но тогда зачем о ней публично рассказывать? А может быть они просто «забыли» убрать со своего сайта ссылку на HackerOne, хотя этот лидер мирового рынка Bug Bounty перестал работать с российскими компаниями уже скоро год как?
А то ведь можно пойти и еще дальше и начать всерьез обсуждать идею, прозвучавшую на Магнитке в этом феврале, а именно.- автоматом штрафовать компании, неустранившие трендовые уязвимости у себя на периметре в течение определенного периода времени. По аналогии с штрафами за нарушение ПДД с помощью камер автоматической фиксации. Эта идея интересна тем, что она легко ложится в логику последних законодательных инициатив наших депутатов, которым проще всего что-то либо запретить, либо ввести штрафы за нарушение. А утечки ПДн — сегодня это фетиш у наших «избранников»; они в прямь могут задуматься о такой альтернативе…
Алексей, я думаю что одна из распространенных причин всего вышесказанного — это намеренное необновление CMS, т.к. в ходе разработки или эксплуатации, в силу большого количества хотелок, в web наворотили кучу «костылей», которые надо перенастраивать или переделывать после каждого обновления. Потому многие и живут с мыслью — «работает, и хорошо». Соответственно и хостер не предлагает плохо востребованную услугу (хотя уверен, что они тоже живут по принципу «и так сойдет»).
Да, допускаю, что это одна из причин. Но ровно тоже самое происходит и с пользовательскими компами. Я тоже не люблю перегружать комп без надобности 🙂 Но тут надо и вендору проявлять сознательность и мягко подводить клиентов мысли о своей безопасности. Иначе он сам и страдает же, когда все говорят про дырявый Битрикс. Про Винду такое же говорили — они извлекли уроки. Может и Битрикс извлечет.