BrandGram Webacademy

Академия Веб-разработки

Библиотека веб-разработчика

Информационная безопасность — основные угрозы

Сергей Черномордов 4 года ago

В статье мы рассмотрим мотивацию атакующих и проведем их классификацию. Также классифицируем основные векторы атак, оценим их риски и возможные последствия.

К сожалению, от атак не застрахован ни один веб-проект. Даже если ваш сайт ничем не интересен профессиональным хакерам (денег нет, данных мало и они не ценные), если проект не вызывает яркие негативные эмоции у кого-либо, а монетизация возможной атаки ничтожна по прибыльности, то это лишь снижает риски и всё равно проекту не избежать автоматизированных атак с целью захвата вычислительных ресурсов или для перенаправления трафика.

Мотивация атакующих

  • Вымогательство — требуют деньги за прекращение атаки, за возврат зашифрованных / удаленных данных или за сохранение конфиденциальности полученных данных
  • Охота за данными — ворованная информация может быть продана или иным образом монетизирована
  • Перехват пользовательского трафика — этот тип атаки направлен на посещаемые сайты, трафик с которых выгодно перенаправлять на иные ресурсы с целью монетизации. 
  • Захват вычислительных ресурсов — атакованная система встраивается в ботнет, нацеленный на осуществление спам-рассылок или DDoS-атак на другие ресурсы, а также в последние годы стало актуальным использование «угнанных» серверных мощностей для майнинга криптовалют.
  • Недоброжелатели — мотивация атаки крайне проста: владелец системы чем-то обидел злоумышленника, примеры: «бан на форуме», «блокировка аккаунта в копьютерной игре» и т.д.
  • Идеологические противники — похожи на недоброжелателей, но обычно это группа лиц, действующих против 
  • Just for fun — мотивация атакующего может быть и просто в получении удовольствия от процесса взлома системы.

Виды атакующих

С прикладной точки зранее вполне достаточно наиболее простой и грубой классификации:

  • Роботы — полностью автоматический, массовый и обычно простой сценарий атаки, вероятность контакта около 100%
  • Скрипт-кидди — простой неадаптивный сценарий атаки с использованием готового инструментария, вероятность контакта высокая для относительно популярных публичных ресурсов
  • Профи — адаптивный сценарии атаки с индивидуальным подходом к атакуемой системе. Вероятность контакта зависит от многих факторов: для популярных ресурсов и финансовых приложений — очень высокая, для остальных — зависит по большей части от тематики проекта.

Профи часто разделяют «по цвету шляпы», что отражает их мотивацию.

  • White Hat Hacker — это обычно специалисты по информационной безопасности, изучающие уязвимости или атакующие систему с явного разрешения владельца (по должностным обязанностям, по контракту или по баг-баунти программе)
  • Black Hat Hacker — злоумышленники, целью которых является нажива или нанесение вреда атакуемой системе по другим соображениям.
  • Gray Hat Hacker — весьма сомнительная категория, в которую входят специалисты по информационной безопасности, взламывающие системы, а затем (при успешном взломе) продающие свои услуги жертве. От блэк-хэтов отличаются наличием декларируемой этики, не позволяющей им продавать данные или каким-то другим образом монетизировать полученную ими информацию.

Иногда отдельно выделяют дополнительные группы:

  • Script kiddie / Newbie — «недохакеры», освоившие пару программ для нагрузочного тестирования или пентестинга
  • Criminal gangs — криминал, обычно охотятся за деньгами и данными на продажу
  • Hacktivist — хактивисты, идеологические противники
  • Cyberwarfare — кибер-войска

Возможные последствия для проекта

  • Снижение производительности / неработоспособность — атаки типа «отказ в обслуживании» могут вывести веб-приложения из строя либо только на момент их проведения, либо проект может сам и не восстановиться после сильной атаки. 
  • Заражение пользователей вирусами — взломанный сайт может служить площадкой для распространения вредоносного ПО / фишинга или иных 
  • Перенаправление трафика — пользователи взломанной системы могут быть перенаправлены на другие сайты (обычно, казино, фарма, финансовые услуги и т.д.)
  • Присоединение к ботнету — вычислительные мощности могут использоваться для спама, атак на другие системы или для майнинга
  • Кража данных и шпионаж — из взломанной системы могут быть украдены данные и может быть установлен бэкдор, позволяющий получать данные из системы и в последующем.
  • Взлом учетных записей — учетные записи могут быть скомпрометиованы как в атакованной системе, так и в других системах — к сожалению, у пользователей очень часто одинаковые пароли для нескольких разных систем
  • Дефейс — на веб-страницах может быть размещена информация, наносящая репутационный ущерб

Основные методы атак на веб-проекты

  • (D)DoS-атаки — атаки типа «отказ в обслуживании»
  • Различные инъекции — внедрение произвольного исполняемого кода, загрузка shell / бэкдора, SQL-инъекции…
  • Атаки на систему аутентификации и управления сессиями — взлом учетных записей, перехват учетных записей
  • Межсайтовые скриптинг и подделка запроса — XSS & CSRF
  • Атаки на экспозицию чувствительных данных — получение данных, которые хоть и недоступны из графического интерфейса, но по каким-то причинам всё же могут быть получены без должной авторизации
  • Атаки на неверную конфигурацию ПО — поиск «открытых портов», «дефолтных паролей» и т.д.
  • MITM и сниффинг — перехват пользовательского трафика, подмена получаемых и отправляемых данных
  • Социальная инженерия — большой набор методов, использующих человеческий фактор

Источник: web-creator.ru

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *