Информационная безопасность — основные угрозы
В статье мы рассмотрим мотивацию атакующих и проведем их классификацию. Также классифицируем основные методы атак, оценим их риски и возможные последствия.
К сожалению, от атак не застрахован ни один веб‑проект. Даже если ваш сайт ничем не интересен профессиональным хакерам (реальных денег нет, данных мало и они не ценные), если проект не вызывает яркие негативные эмоции у кого‑либо, а монетизация возможной атаки ничтожна по прибыльности, то всё это это лишь снижает риски и всё равно проекту не избежать автоматизированных атак с целью захвата вычислительных ресурсов или для перенаправления трафика.
Мотивация атакующих
- Вымогательство — требуют деньги за прекращение атаки, за возврат зашифрованных / удаленных данных или за сохранение конфиденциальности полученных данных
- Охота за данными — ворованная информация может быть продана или иным образом монетизирована
- Перехват пользовательского трафика — этот тип атаки направлен на посещаемые сайты, трафик с которых выгодно перенаправлять с целью монетизации на иные ресурсы.
- Захват вычислительных ресурсов — атакованная система встраивается в ботнет, нацеленный на осуществление спам‑рассылок или DDoS‑атак на другие ресурсы, а также в последние годы стало актуальным использование «угнанных» серверных мощностей для майнинга криптовалют.
- Недоброжелатели — мотивация атаки крайне проста: владелец системы чем‑то обидел злоумышленника, примеры: «бан на форуме», «блокировка аккаунта в копьютерной игре» и т.д.
- Идеологические противники — похожи на недоброжелателей, но обычно это группа лиц, действующих против деятельности владельца ресурса.
- Just for fun — мотивация атакующего может быть и просто в получении удовольствия от процесса взлома системы.
Виды атакующих
С прикладной точки зранее вполне достаточно наиболее простой и грубой классификации:
- Роботы — полностью автоматический, массовый и обычно простой сценарий атаки, вероятность контакта с этим типом атакующих — 100%
- Скрипт‑кидди — простой неадаптивный сценарий атаки с использованием готового инструментария, вероятность контакта с этим типом атакующих достаточно высокая для относительно популярных публичных ресурсов
- Профи — адаптивный сценарии атаки с индивидуальным подходом к атакуемой системе. Вероятность контакта зависит от многих факторов: для популярных ресурсов и финансовых приложений — очень высокая, для остальных — зависит по большей части от тематики проекта.
Профи часто разделяют «по цвету шляпы», что отражает их мотивацию.
- White Hat Hacker — это специалисты по информационной безопасности, изучающие уязвимости или атакующие систему с явного разрешения владельца (по должностным обязанностям, по контракту или по баг‑баунти программе)
- Black Hat Hacker — злоумышленники, целью которых является нажива или нанесение вреда атакуемой системе по другим соображениям.
- Gray Hat Hacker — весьма сомнительная категория, в которую входят специалисты по информационной безопасности, взламывающие системы, а затем (при успешном взломе) продающие свои услуги жертве. От блэк‑хэтов отличаются наличием декларируемой этики, не позволяющей им продавать данные или каким‑то другим образом монетизировать полученную ими информацию.
Иногда отдельно выделяют дополнительные группы:
- Script kiddie / Newbie — «недохакеры», освоившие пару программ для нагрузочного тестирования или пентестинга
- Criminal gangs — криминал, обычно охотятся за деньгами и данными на продажу
- Hacktivist — хактивисты, идеологические противники
- Cyberwarfare — кибер‑войска
Возможные последствия для проекта
- Снижение производительности или неработоспособность — атаки типа «отказ в обслуживании» обычно могут замедлить работу системы или вывести веб‑приложение из строя в момент их проведения, но некорректно сконфигурированный проект может не восстановиться после сильной нагрузки.
- Заражение пользователей вирусами — взломанный сайт может служить площадкой для распространения вредоносного ПО или для фишинга
- Перенаправление трафика — пользователи взломанной системы могут быть перенаправлены на другие сайты (казино, фарма, финансовые услуги и т.д.)
- Присоединение к ботнету — вычислительные мощности могут использоваться для спама, атак на другие системы или для майнинга
- Кража данных и шпионаж — из взломанной системы могут быть украдены данные или может быть установлен бэкдор, позволяющий получать данные из системы и в последующем.
- Взлом учетных записей — учетные записи могут быть скомпрометиованы как в атакованной системе, так и в других системах — к сожалению, у пользователей очень часто одинаковые пароли для нескольких разных систем
- Дефейс — на веб‑страницах может быть размещена информация, наносящая репутационный ущерб
Основные методы атак на веб‑проекты
- (D)DoS-атаки — атаки типа «отказ в обслуживании»
- Различные инъекции — внедрение произвольного исполняемого кода, загрузка shell / бэкдора, SQL‑инъекции…
- Атаки на систему аутентификации и управления сессиями — взлом учетных записей, перехват учетных записей
- Межсайтовые скриптинг и подделка запроса — XSS & CSRF
- Атаки на экспозицию чувствительных данных — получение данных, которые хоть и недоступны из графического интерфейса, но по каким‑то причинам всё же могут быть получены без должной авторизации
- Атаки на неверную конфигурацию ПО — поиск «открытых портов», «дефолтных паролей» и т.д.
- MITM и сниффинг — перехват пользовательского трафика, подмена получаемых и отправляемых данных
- Социальная инженерия — большой набор методов, использующих человеческий фактор
Тематические статьи
Безопасность сайтов и веб‑приложений
Под безопасностью веб‑приложений понимается обеспечение сохранности данных, их недоступность для посторонних лиц, а также способность сервиса сохранять работоспособность при кибератаках.
Безопасность веб‑приложений зависит от качества программного кода (это ответственность веб‑разработчиков), от квалификации системного администратора и регулярности обсуживания серверов, а также от компетенций всех пользователей, имеющих доступ к чувствительной информации.
Вирусы на сайтах
Откуда берутся вирусы на сайтах? Как с ними бороться?
Три наиболее распространённые причины появления вирусов на сайтах — это кража паролей для доступа к файловой системе сервера, эксплуатация XSS‑уязвимостей веб‑сайтов, уязвимостей в серверном ПО (часто — в результате отсутствия своевременного обновления) и уязвимостей в используемых CMS (обычно тоже по причине отсутствия обновлений или из‑за установки плагинов / расширений из недоверненных источников).
Информационная безопасность: основные подходы, оценка рисков и затрат
Информационная безопасность — обеспечение конфиденциальности, целостности и доступности информации.
Конфиденциальность — обеспечение исключительно авторизованного доступа к информации: информация не должна предоставляться и не должна раскрываться неавторизованным физическим лицам, организациям или процессам. Целостность — поддержание и обеспечение точности и полноты данных на протяжении всего жизненного цикла: данные не должны быть изменены неавторизованным или незаметным способом. Доступность — обеспечение беспрепятственного доступа к информации авторизованным пользователям: системы хранения и обработки информации, интерфейсы работы с информацией, системы обеспечения авторизованного доступа и каналы связи должны функционировать корректно.
Процессы, необходимые для информационной безопасности
Информационная безопасность важна практически для любого бизнеса, так как деятельность почти всех компаний достаточно существенно зависит от информационных технологий.
Взломы, утечки данных и неработоспособность ключевых систем приводит как к финансовых потерям, так и к репутационным издержкам. Чтобы снизить риски в сфере ИБ стоит внедрять базовые процессы ИБ в разработку, тестирование и системное администрирование.
DDoS — распределенные атаки типа «отказ в обслуживании»
DoS‑атака — это атака типа «отказ в обслуживании» — Denial of Service. DDоS — это атака того же типа, но распределённая (distributed), то есть производящаяся с более чем одного атакующего компьютера.
Cуть этой разновидности атак состоит в том, чтобы «перегрузить» атакуемый сервер или «забить» каналы связи, что или ухудшает качество работы атакуемого приложения, или вызывает сбой и вообще прекращает его работу.
SSH — сетевой протокол для управления серверами
SSH или Secure Shell — сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP‑соединений, например, для передачи файлов или для работы с базой данных.
Весь трафик передаваемый по SSH защищён от подделки и перехвата при помощи алгоритмов шифрования. Также защита SSH весьма гибко конфигурируется, что позволяет избежать многих векторов атак. Всё это делает удалённое управление операционной системой через SSH безопасным.
HTTPS — защищенный протокол передачи гипертекста
HTTPS — расширение протокола HTTP, поддерживающее шифрование. Передаваемые по протоколу HTTPS данные зашифрованы, что обеспечивает защиту от прослушивания. HTTPS широко используется в мире и поддерживается всеми популярными браузерами.
XSS — атаки на веб‑системы типа «межсайтовый скриптинг»
XSS‑атаки — это внедрение в страницу вредоносного кода, который будет выполнен на компьютере пользователя при открытии им этой страницы.
SQL-инъекции — распространённый метод взлома веб‑приложений и сайтов
SQL‑инъекции — это один из распространённых способов взлома сайтов и веб‑приложений, работающих с реляционными базами данных.
SQL‑инъекции основаны на внедрении в выполняемый приложением запрос к базе данных произвольного SQL‑кода, переданного злоумышленником. Последствиями SQL‑инъекций может быть как кража, модификация или удаление данных, так и полный взлом атакуемой системы — получение привилегированного доступа, например.