Ваш веб-файрвол не панацея: эксперты разоблачают миф о безопасности WAF
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Плохие новости: ваши любимые веб-файрволы — это вовсе не непробиваемая стена, как принято считать. Специалисты по безопасности из Ethiack недавно решили проверить прочность защиты, которую обещают 17 самых разных конфигураций Web Application Firewall (WAF) от крупнейших производителей. Все мечтали увидеть идеальный цифровой щит, но в итоге им удалось обмануть почти всех «неприступных стражей» и внедрить вредоносный JavaScript прямо-таки изящно.
Всё происходило в реальных условиях: эксперты пытались проникнуть в приложения на ASP.NET, которые защищал максимально строгий файрвол. Но, несмотря на жёсткие настройки, исследователи обнаружили банальную дырку. Они использовали технику HTTP parameter pollution — когда некто ловко подсовывает одинаковые параметры с разными значениями, и веб-приложение, запутавшись в логике, неожиданно соединяет их не так, как ждёт firewall. Так появляется окно для вредоносного кода.
Чем сложнее становился вредоносный код, тем чаще WAF его пропускал: простые атаки срабатывали в 17,6% случаев, а более хитрые методы — уже более чем в 70%. Даже современные файрволы с «искусственным интеллектом», якобы способные видеть невидимое, с треском провалились на элементарных манипуляциях с параметрами. И главное: этим чудо-защитникам элементарно не хватает мышления, они анализируют поток данных по штрих-коду, не видя в нём ничего, кроме шаблонов.
Такой способ обнаружения уязвим — ведь, например, ASP.NET сводит одинаковые параметры в одну строку через запятую, а JavaScript умеет выполнять такой список как отдельные команды. Если вредоносный код разделён по нескольким параметрам, файрвол думает, что всё в порядке, а во внутренностях приложения происходит заражение.
В итоге Ethiack сделали вывод: компании могут тратить огромные деньги на красивую обёртку защиты, оставаясь всё так же уязвимыми. Потому что, если код изначально написан с дырками, никакая настройка WAF не спасёт — и стоит помнить: файрвол — не волшебная таблетка от глупости и халтуры в программировании.
WAF — это маркетинговый идол, вокруг которого пляшут корпоративные сектанты. Эфиаковцы (Ethiack), вооружённые скучным отчётом и невидимым багом, методично подбираются к каждому крупному вендору. В итоге 17 разных решений оказались так же пусты, как декларации о нелюбви к коррупции. HTTP parameter pollution — звучит устрашающе, но на поверку всё куда проще: если код сайта — дырявое решето, ни одна волшебная ширма не защитит от вирусов. Даже когда firewall наряжают в платье машинного интеллекта, его интеллект не дотягивает до уровня таракана: видит только совпадающие буквы, а суть событий пропускает мимо. Сложность инъекций растёт — эффективность защит падает, как вера в светлое будущее. Корпорации, выбрасывающие деньги на WAF, напоминают детей, что ставят картонную дверь на вход в логово чудовища — значение имеет только то, что внутри. Вся эта ситуация — эпиграф ко всей цифровой эпохе: мы платим за иллюзию контроля, игнорируя фундаментальную проблему человеческой небрежности.