Виды компьютерных атак. Что такое сетевая атака Что такое сетевые атаки
Введение Современные уровни и темпы развития средств информационной безопасности значительно отстают от уровней и темпов развития информационных технологий. С ростом популярности интернет ресурсов возникает множество проблем связанных с их использованием и вытекающими последствиями: 1. Поскольку интернет является системой объединённых компьютерных сетей он стал источником внедрения и распространения вредоносного кода (вредоносного ПО) для уничтожения, блокирования, модификации или копирования информации, нарушения работоспособности компьютеров. 2. Интернет является одним из основных каналов утечки персональных данных и конфиденциальной информации. Примером этому служит использование бесплатных почтовых клиентов и почтовых ящиков. Контроль данного ресурса сводится к минимуму, что влечет за собой как проникновение из вне различных вредоносных программ, так и возможность отправить за пределы организации конфиденциальной информации и персональных данных(инсайдеры). 3. В любой системе или приложении есть недостатки(уязвимости), используя которые можно нарушить целостность и работоспособность. Уязвимость может быть вызвана результатом ошибок в прикладном ПО, недостатков, допущенных при проектировании системы, ненадежных паролей авторизации, ошибок при программировании, вирусов и других вредоносных программ, межсайтовым скриптингом, а также SQL-инекциями. 4. Использование ресурсов интернета на сегодняшний день не представляется без использования WEB-сервисов, приложений которые могут быть обнаружены, запущены и опубликованы посредством интернета. Они точно так же уязвимы к атакам, однако используются различные принципы проведения атаки. Атака на WEB-сервис может привести к утечке информации и затем к удаленному выполнению команд и т.д. 1.1 Цели сетевых атак Согласно консорциуму безопасности Web-приложений (The Web Application Security Consortium) на 2013г. Процент атак на Web-приложения составляет: Рис. 1.1. Цели сетевых атак Из рис.1.1 видно, что основные цели сетевых атак, а именно таких как уничтожение информации, установка вредоносного программного обеспечения, кражи информации и дезинформации связаны с раскрытием, модификацией информации, для получения несанкционированного доступа к правам владельца у которого есть доступ на использование ресурсов ЭВМ. Так же стоит отметить такие цели как вынужденное бездействие сети, целью которого является распределенный отказ от обслуживания и даже такие неочевидные как ссылочный спам, целью которого является повышение индекса цитирования сайта. Просуммировав данные цели сетевых атак, получаем следующую диаграмму: Рис.1.2. Обобщение целей сетевых атак Из рис.1.2 следует, что 21% атак связан с атаками, с целью которых является вынужденное бездействие сети, к другим 13.5% относятся новые, еще не известные атаки и другие незначительные атаки, такие как фишинг, мошенничество и т.д. 61% целей сетевых атак направлены на файловую систему ОС, следовательно, наиболее актуальным, на сегодняшний день является защита от сетевых атак файловых ресурсов операционной системы. 1.2 Способы атак на Web-сервисы Наиболее распространенными объектами атаки являются Web-приложения, т.к. используются во многих организациях как наиболее критичные ресурсы, которые должны постоянно поддерживать многомиллионные транзакции. Так же атаки на Web-приложения могут повлечь за собой заражение клиентов непосредственно связанных с сервером. . На рис.1.3 представлены основные способы вторжения на Web-сервисы. Рис.1.3. Способы вторжения на WEB-сервисы Важно отметить, что 11% всех успешных атак составляют неизвестные ранее методы. Это связано как с неэффективным мониторингом атак, так и с нежеланием жертв раскрывать данные об успешных атаках. Также следует отметить, что большинство сетевых атак на web-сервесы связаны с неверной настройкой самих Web-серверов. К таким атакам можно отнести следующие: а. Атаки, использующие недостаточную аутентификацию - эта уязвимость возникает, когда web-сервер позволяет атакующему получать доступ к важной информации или функциям сервера без должной аутентификации. б. Атаки на клиентов web-сервера, которые учитывают доверительные отношения между пользователем и севером: пользователь ожидает, что сайт предоставит ему легитимное содержимое, и не ожидает атак со стороны сайта: 1) подмена содержимого, при которой злоумышленник заставляет пользователя поверить, что полученные страницы сгенерированы web-сервером, а не переданы из внешнего источника; 2) межсайтовое выполнение сценариев (англ. Cross-siteScripting, XSS) - уязвимость, позволяющая атакующему передать серверу исполняемый код, который будет перенаправлен браузеру пользователя.Специфика подобных атак заключается в том, что вредоносный код может использовать авторизацию пользователя в веб-системе для получения к ней расширенного доступа или для получения авторизационных данных пользователя. Вредоносный код может быть вставлен в страницу как через уязвимость в веб-сервере, так и через уязвимость на компьютере пользователя.Для термина используют сокращение «XSS», чтобы не было путаницы с каскадными таблицами стилей, использующими сокращение «CSS».XSS находится на третьем месте в рейтинге ключевых рисков Web-приложений согласно OWASP 2013. Долгое время программисты не уделяли им должного внимания, считая их неопасными. Однако это мнение ошибочно: на странице или в HTTP-Cookie могут быть весьма уязвимые данные (например, идентификатор сессии администратора или номера платёжных документов), а там, где нет защиты от CSRF, атакующий может выполнить любые действия, доступные пользователю. Межсайтовый скриптинг может быть использован для проведения DoS-атаки; 3) Межсайтовая подделка запросов (англ. Cross-SiteRequestForgery, CSRF) - уязвимость, аналогичная XSS, направленная на то, что браузер пользователя не проверяет источник запроса. CSRF - это вариант Межсайтового выполнения сценариев (XSS). Единственное сходство между CSRF и XSS, это использование в качестве вектора атаки клиентов Web-приложений (Client-Side Attack в терминологии WASC). Уязвимости типа CSRF могут эксплуатироваться совместно с XSS или «редиректорами», но представляют собой отдельный класс уязвимостей. Уязвимость CSRF мало распространена и очень сложна в использовании. Данные, полученные компанией Positive Technologies в ходе работ по тестированию на проникновение и оценки защищенности Web-приложений показывают, что этой уязвимости подвержена большая часть Web-приложений. В отличие от других уязвимостей CSRF возникает не в результате ошибок программирования, а является нормальным поведением Web-сервера и браузера. Т.е. большинство сайтов, использующих стандартную архитектуру уязвимы «по умолчанию». в. Атаки, направленные на выполнение кода на web-сервере. В частности внедрение операторов SQL (англ. SQL Injection) - эти атаки направлены на web-серверы, создающие SQL запросы к серверам СУБД на основе данных, вводимых пользователем. г. Атаки, направленные на эксплуатацию функций приложения или логики его функционирования: 1) отказ в обслуживании (англ. DenialofService, DoS) - данный класс атак направлен на нарушение доступности web-сервера Большинство DDoS-атак используют уязвимости в основном протоколе Internet (TCP/IP),а именно, способ обработки системами запроса SYN. Выделяют два основных типа атак, которые вызывают отказ в обслуживании. В результате проведения атаки первого типа, останавливается работа всей системы или сети. Хакер отправляет системе данные или пакеты, которые она не ожидает, и это приводит к остановке системы или к ее перезагрузке. Второй тип DDoS-атаки приводит к переполнению системы или локальной сети при помощи огромного количества информации, которую невозможно обработать.DDoS-атака заключается в непрерывном обращении к сайту со многих компьютеров, которые расположены в разных частях мира. В большинстве случаев эти компьютеры заражены вирусами, которые управляются мошенниками централизовано и объедены в одну ботсеть. Компьютеры, которые входят в ботсеть, рассылают спам, участвуя, таким образом, в DDoS-атаках. 2) Недостаточное противодействие автоматизации - эти уязвимости возникают, в случае, если сервер позволяет автоматически выполнять операции, которые должны проводиться вручную, например, ручной ввод пароля пользователя с запретом автоматического подбора (англ. BruteForce) Таким образом, большинство сетевых атак на web-серверы можно предотвратить с помощью грамотного конфигурирования их настроек. Поэтому наиболее актуальной будем считать задачу защиты от сетевых атак рабочих станций и серверов. Заключение В наши дни движущей силой и главным объектом всех отраслей деятельности человека является информация, и защищенность конфиденциальной информации, персональных данных, безопасность серверов становится основой экономического развития. Для целенаправленных атак сложные сетевые технологии достаточно уязвимы. Исходя из анализа статистики, следует, что существует множество способов атак, в том числе неизвестных, но при этом количество целей ограниченно, что влечет за собой необходимость борьбы не с самой атакой, а с ее целью и дальнейшем последствием. 61% целей сетевых атак направлены на файловую систему ОС, следовательно, наиболее актуальным, на сегодняшний день является защита от сетевых атак файловых ресурсов.
В большинстве случаев, появление вообще какого-то вредоносного кода на сайте является следствием не какого-то злонамеренного поведения со стороны владельца сайта, а оказывается, зачастую, для владельца сайта неожиданностью, являясь следствием взлома.
Мы уже много лет с этим работаем, посмотрели много разных случаев и за последние годы я видел тоже довольно большое количество самых разных случаев взлома сайтов самых разных. Это как совсем крупные сайты, например, такие, как самые известные онлайн СМИ, банки, сайты крупных компаний, так и подчас совсем маленькие сайты, сайты-визитки, какие-то сайты образовательных, религиозных учреждений.
Как защитить свой сайт
Все они в той или иной мере подвержены каким-то угрозам, рискам, которые связаны с компьютерной безопасностью и об этом пойдет речь. Также мы расскажем о том, как эти риски снижать, о каком-то базовом минимуме, общем обзоре всего, что с этим связано, о том, какие угрозы существуют, с чем сталкивается вебмастер того или иного сайта в своей работе.
Сегодня мы с вами поговорим про самый обычный пример, когда у нас есть какой-то внешний злоумышленник, который тем или иным образом угрожает сайту.
Для того чтобы понять, чего ожидать, какой возможен ущерб, какие возможные атаки, нужно понять кто этот самый злоумышленник.
Все эти злоумышленники и типы атак делятся на две большие категории. По каким же критериям их можно разделить?
- по используемым подходам к атакам;
- по группам сайтам, которые подвержены той или иной группе атак;
- по соответственным методикам снижения рисков для каждой из этих групп.
Например, массовые атаки во многом автоматизированы, как получение несанкционированного доступа, например. Массовые атаки – это попытка всегда получить доступ в целом к сайту. Здесь массовые вымогательства тоже бывают, но они тоже реализованы через получение несанкционированного доступа.
Зачастую просто работают автоматические системы целиком, работает скрипт, который просто выискивает уязвимые интересующие его версии различных программных компонент. Например, уязвимые версии системы управления контентом, либо наоборот, либо он выискивает какие-то типичные проблемы с конфигурацией серверного окружения. Например, что у вас наружу торчит HTTP сервер какой-нибудь и к нему начинается перебор паролей.
Поскольку все автоматизировано, эксплуатация полученного доступа тоже автоматизирована и, если у вас есть на сайте базы данных с платежными реквизитами, в случае автоматической атаки можно считать, что вам повезло, потому что скрипт не будет разбираться, они по большей части довольно все туповаты.
Он не будет разбираться, какие важные данные у вас на сайте есть, он реализует какую-то очень простую схему в стиле рассылки спама, организации распределенных атак на отказ в обслуживании, простое какое-то мелкое вымогательство, заражение посетителей вашего сайта.
В случае же целевых атак все несколько грустнее для владельца сайта. Зачастую подвержены крупной атаке, приходит человек руками с таким большим опытом и отработанным инструментарием, и начинает выискивать характерные проблемы. С очень большой вероятностью, как показывает практика, находит.
И дальше уже начинается эксплуатация особо злодейская, которую намного сложнее, во-первых, обнаружить, чем в случае массовых атак, а во-вторых, значительно сложнее минимизировать возможный ущерб заранее. Поэтому, как злоумышленник руками попав в систему, очень хорошо понимает контекст и зачастую изначально знает зачем идет.
Что безопаснее использовать? Например, какую-то такую стоковую популярную систему управления контентом или что-то самописное? Чтобы снизить риск от массовых атак лучше использовать что-то нестандартное.
Потому что все это автоматизировано, ищутся какие-то стандартные решения и использование какое-то самописной системы управления контентом, практически, самописной капчи – любых самописных решений от каких-то массовых атак, когда на ваш сайт приходит скрипт, который ищет что-то знакомое, но это все работать не будет.
В случае же целевых атак все, скорее, наоборот. То есть вероятность того, что в каком-то самописном решении будут допущены типичные критические ошибки, которые потом становятся уязвимостями, эксплуатируются для получения доступа, она намного выше, чем если бы вы использовали какие-то популярные программные решения, которые за долгую историю своей разработки собрали много «граблей» по этой части. Поэтому, когда публикуют уязвимости в них, они часто либо замысловатые, либо происходят на стыке разных систем.
Атака состоит из следующих ступеней:
Особенно для массового случая. Берется какая-нибудь специальная строка, типа Power Add Buy, phpBB версии 1.6.1. Выискивается набор сайтов автоматически с использованием какой-то конкретной технологии – один из векторов. Находятся все эти сайты, по ним запускается скрипт, скрипт идет, ищет какие-то уязвимости, разные админ. панели по стандартным путям, какие-то стандартные инструменты, типа php my admin, которые тоже расположены по стандартным путям.
И, соответственно, если находится уязвимость, они автоматически эксплуатируются, если находятся какие-то админ. панели, куда можно вводить пароли и при этом там нет никакой защиты от перебора, начинается перебор простых случаев, который, как показывает практика, тоже очень результативен.
После того, как доступ получен, заливается такой компонент, который называется web-shell – это такое средство, такой кусочек веб-приложения, скрипт, который открывает широкие возможности, оставляет постоянную заднюю «дверь» на вашем сервере для продолжения дальнейших действий.
После этого, когда у злоумышленника есть стабильный проход на ваш сервер мимо всех средств аутоинтефикации, злоумышленник пытается укрепиться в системе и, например, раскидать всяких запасных web-shell’ов вокруг, эксплуатировать, например, уязвимость в операционной системе, поднять привилегии. Например, стать root’ом, что зачастую тоже автоматизировано и после этого эксплуатация становится еще более суровой. А потом начинается выжимка денег из-за того, что сайт был взломан. Сейчас редко можно встретить случаи, когда кто-то или что-то взламывает сайт, имея в качестве мотива что-либо кроме денег в той или иной мере.
Вот так с точки зрения злоумышленника выглядит этот самый web-shell:
Это система, которая позволяет через интерфейс работать, так и автоматически. Что любопытно, тут наверху строчка – очень подробная информация о ядре операционной системы. Как раз для того, чтобы автоматизировать тут же эксплуатацию поднятия привилегий.
Когда находят уязвимости в ядре операционной системы, публикуют эксплоиты на популярных сайтах. Что такое эксплоит? Программа, которая эту уязвимость использует, чтобы реализовать свою какую-то цель, и поднимаются привилегии. Примерно это выглядит так:
Помимо того, что начинают раскидываться разные вредоносные скрипты по серверу, по сайту, бывает, попадают так же бинарные компоненты. Например, такие, как основная бинарная сборка или плагины к самому веб-серверу. Это бывают модули к патчу, к njinx, пересобранные njinx или какой-нибудь еще важный бинарный компонент, который у вас есть в системе, SSHD.
Это такой сайт Virustotal, на котором можно проверить любой файл, что про него думают 50 антивирусных движков.
Это примеры некоторых бинарных компонент, когда добавляются, что говорят различные антивирусные сканеры про различные вредоносные веб-сервера, либо модули к ним, которые нам доводилось находить:
Хочу отметить, что, когда мы их находили, тут везде было пусто, никто ничего не детектил зачастую. Это уже потом, подчас мы начинали рассылать в антивирусные компании эти примеры, появлялись детекты.
Иногда, если вы уже пытаетесь найти источник вредоносного кода на своем сайте, антивирусная индустрия в чем-то вам может помочь. Все подготовительные файлы можно «кормить» или на сайт, либо конкретным утилитам, но об этом поговорим чуть позже, но смысл такой.
После эксплуатации появляются серверные скрипты, а также модифицированные конфиги веб-сервера. Пример такой был, часто встречаемый, когда тоже автоматически при взломе сайта модифицировали конфигурацию веб-сервера, добавляя условные редиректы.
Всех посетителей мобильных устройств вашего сайта перенаправляли на различные мошеннические сайты, таким образом монетизируя их. А, поскольку, не так давно, пару лет назад многие вебмастера не задумывались про мобильных пользователей для своих сайтов, они могли этого долго даже не замечать, что мобильные посетители, заходя на их сайт, отправляются на различное мошенничество. Многие вебмастера это ставили осознанно, стараясь делать такую монетизацию, но действительно были такие массовые случаи, когда это все появлялось в рамках взлома.
Также не исключено наличие вредоносного кода в базе данных. Самый банальный пример, когда делается атака классохранимая XXS. У вас, например, есть какая-нибудь форма ввода комментариев на сайте и там недостаточная валидация параметров.
Атакующий, как я уже сказал, зачастую это полностью автоматизированные системы, которые сами ищут ваш сайт, они сгружают туда не просто текст, а специальную нагрузку, которая при отрисовке страницы станет скриптом, контролируемым злоумышленником. И таким образом можно делать с посетителями вашего сайта что угодно.
Он бывает в статике, когда просто добавляют в шаблоны, в статические JavaScript какой-то вредоносный код. Как я уже говорил, бывает, подменяют бинарные файлы. Бывают очень хитрые случаи, когда, например, злоумышленники делают такую хитрую систему, мы сталкивались уже с этим.
Берется основной файл веб-сервера, например, если это веб-сервера патч – это sshd бинарный файл, который копируется в другое место, на его место кладется вредоносная сборка, а потом она запускается.
После этого модифицированный файл с файловой системы стирается и кладется оригинальный. У вас работает вредоносный веб-сервер, а в файловой системе у вас его неизменная версия и даже проверка целостности не показывает никаких проблем.
Злоумышленники, попадая на сервер, особенно, в случае целевых атак, довольно хитры на выдумки и порой по большей части для целевых атак, когда приходят живые люди, приходится какую-то не дюжую сноровку проявлять, чтобы отыскать вообще источник компрометации сайта.
Зачем это все делается? Тоже важно понимать для того, чтобы держать в голове некоторую модель угроз, прогнозировать, что будет с сайтом и какие вообще проблемы могут быть. Как я уже говорил, методы монетизации, которые мотивируют злоумышленников для атак, различаются для этих групп для целевых и массовых атак.
Если для массовых атак у нас что-то, что можно провернуть, не вникая в контекст сайта. Просто мы попали на абстрактный сервер, что можно с ним делать? У него есть посетители, поэтому их можно заражать. Он, скорее всего, фигурирует в поисковой системе, поэтому его можно использовать в позиции в поисковой системе для различной черной сеошной оптимизации.
Добавлять ему каталоги с дорвеями, выставлять его на ссылочной бирже, в общем, все с этим связанное. Рассылка спама, организация DDoS-атак, например. Для DDoS-атак, о чем мы позже поговорим, злоумышленникам тоже нужны какие-то ресурсы, например, много-много разных серверов.
Строчка «вымогательство» очень интересная. Это тоже в последнее время очень развивается. Все много раз слышали и, возможно, сталкивались с такими троянами-вымогателями, например, на десктопах, на операционной системе Windows. Несколько лет назад они более-менее начали заполнять, попадать на андроидные телефоны, когда…
Все знают, все сталкивались в той или иной мере, или хотя бы слышали про то, как запускается вредоносный файл. Он начинает шифровать всю файловую систему, а потом просит выкуп. Так вот, последний год мы наблюдаем, что такие штуки начались как раз на серверах. Сайт взламывается, после этого шифруется целиком содержимое баз данных, а также целиком вся файловая система и злоумышленник просит у администратора выкупа, надеясь, что у администратора нет актуальных backup’ов файловой системы и базы данных.
В целевых атаках все еще более изощрено. Зачастую если делается целевая атака, то уже заведомо известно, что можно получить с сайта. Это либо клиентская база, либо очень-очень много посетителей, которых тоже можно монетизировать различными способами. Зачастую незаметно для администратора ресурса месяцами.
Можно, уже оказавшись внутри, мешать сайту всячески, создавать различные технические сложности в целях недобросовестной конкуренции. Это надо понимать, что на самом деле бытует в антивирусной среде такой миф, что у меня, например, стоит компьютер на отшибе или в случае сайта, у сайта маленькая посещаемость, значит, он никому не нужен. Это неправда.
Даже самый захудалый сайт на каком-нибудь бесплатном хостинге так или иначе хоть немного, да монетизируется, и он всегда будет представлять некоторую желанную цель для массовых атак. Не говоря уже, конечно, про крупные сайты, которые монетизировать еще проще.
Атака на посетителей: drive-by download
Да, мы говорили про заражение посетителей, буквально, в двух словах. Наверное, в последний год эта угроза сходит на нет сейчас сама по себе. Что такое заражение посетителей? Злоумышленник взломал сайт и что дальше происходит, если он хочет получать деньги за счет заражения посетителей:
Как я уже говорил, может перенаправлять мобильных пользователей на какой-нибудь сайт, где им предлагают поставить приложение под видом какого-нибудь обновления flash player или вроде того. А для десктопов такая популярная схема, когда эксплуатируется уязвимость в браузере посетителя или в каком-то из плагинов его окружения.
Например, в 2012 году больше всего эксплуатировали уязвимости в Java-плагине, которые стояли больше, чем у половины пользователей, эксплуатировали в Adobe Reader в 2012 году. Сейчас не Adobe Reader, не Java не эксплуатируют, сейчас эксплуатируют Flash Player.
Новые уязвимости во Flash Player выходят регулярно, и каждый из них зачастую позволяет производить такую атаку, которая называется drive-by download. Что это значит? Это значит, что посетитель просто заходит на сайт, ничего не делает дополнительно и у него в системе за счет эксплуатации в уязвимости плагина появляется вредоносная программа, которая автоматически запускается и инфицирует систему.
Отказ в обслуживании, он же DDoS
Это если мы говорим про то, когда злоумышленник все-таки получает доступ к сайту и его управлению. Во многих случаях злоумышленник даже и не пытается получить доступ, он просто хочет тем или иным способом помешать нормальному функционированию вашего сайта. Все, наверное, слышали, сталкивались с отказом в обслуживании, который называется Distributed Denial of Service.
Основные мотивы: конкурентность и вымогательство. Конкуренция – понятно, пока пользователи не идут на ваш сайт, они идут на сайт конкурента, вымогательство – тоже довольно очевидно, что начинается атака на ваш сайт, вы получаете какое-нибудь письмо с призывом что-то кому-то заплатить, и там приходится что-то с этим делать.
Атаки делятся на три основные категории
Самая простая атака – атака на приложение. Самый типичный сценарий атаки на приложение – у вас есть какой-то сайт, предположим, интернет-магазин с каким-нибудь поиском. У вас есть там расширенный поиск по куче параметров, который создает относительно тяжелый запрос к базе данных. Приходит злоумышленник, видит у вас возможность расширенного поиска и делает скрипт, который у вас начинает пихать тяжелые-тяжелые запросы в вашу форму расширенного поиска. База данных быстро ложится даже под напором одного стандартного хоста для многих сайтов на практике и все. Для этого никаких особых ресурсов не надо со стороны атакующего.
Атака на транспортном уровне. На транспортном уровне, по сути, есть два протокола. Атаки на UDP, они, скорее, относятся уже к атаке на канал, потому что там нет никакой сессии. А если мы говорим про протокол TCP, то это довольно частый случай атак.
Что такое протокол TCP? Протокол TCP подразумевает, что у вас есть сервер и на нем есть таблица открытых соединений с пользователями. Понятно, что эта таблица не может быть бесконечного размера и злоумышленник, специально конструируя множество-множество пакетов, которые инициируют создание нового подключения, при этом пакеты зачастую идут даже с поддельных IP-адресов.
Он переполняет эту таблицу, соответственно, легальные пользователи, которые идут к вам на сайт, не могут попасть в эту таблицу подключений и в итоге не получают ваш сервис. Это типичный пример распространенной атаки, с которой научились бороться в последние годы.
И самое ужасное – это атака на канал. Это когда у вас есть входящий канал, по которому могут к вашему серверу поступать какие-то запросы и просто весь канал забивается целиком.
Если в двух вышестоящих атаках вы еще можете какую-то логику на самом сервере применить, чтобы как-то этим атакам дать отворот-поворот, то в случае атаки на канал на самом сервере сделать ничего невозможно, потому что чтобы что-то сделать надо хотя бы запрос принять, а весь канал уже забит, пользователи вообще никак не могут простучаться.
Почему? Зачем мы вообще обсуждаем такую классификацию и для чего она вам нужна? Да просто потому, что от каждого из этих типов атак есть своя мера противодействия. Если вы сталкиваетесь, вы понимаете, что у вас происходит атака типа отказа в обслуживании и первым делом следует определиться, какого типа атака идет и выбрать верный способ как начать бороться с данной атакой. Хотя они бывают и комбинированными.
Магомед Чербижев
Пострадать от хакерской атаки может практически любой сайт. 100% защиты от этого не существует. Например, жертвой атаки может стать случайный сайт, который размещается на одном сервере с сайтом, на который направлена атака. Если у злоумышленников есть большой бюджет и желание, то ни один сайт не может быть полностью защищен от намеренного действия.
С какой целью может совершаться атака на сайт:
– кража данных (например, пароли пользователей, доступ в скрытые разделы сайта);
– выведение сервера из рабочего состояния;
– размещение на страницах сайта скрытых ссылок, вирусов и т. п.;
– получение полного доступа к серверу;
– понижение позиций сайта в поисковых системах или полное его выпадение.
Большинство хакерских нападений осуществляются конкурентами либо с целью получения выгоды.
Рассмотрим основные виды атак на сайты.
Ddos . я уже рассматривала в одном из предыдущих материалов. Чем опасна такого рода атака?
Является самой опасной атакой на интернет-ресурс, Ddos полностью останавливает работу сервера, из-за чего сайт становится недоступным для посетителей. Сервер может “лежать” до того времени, пока атака не остановится. А это, в свою очередь, негативно влияет на репутацию Вашего сайта. Данный вид атак является доступным для многих недобросовестных конкурентов, вопрос стоит только в количестве денег, которые они готовы потратить на организацию Ddos.
Для небольшого ддоса вовсе достаточно и всего нескольких компьютеров с широким интернет-каналом. Атака происходит благодаря организации огромного количества обращений к серверу, которые совершаются с большого числа компьютеров. В результате из-за превышения допустимой нагрузки во много раз сервер “ложится”. Большинство атакующих компьютеров представляют собой ПК, которые заражены троянами. Сам пользователь ПК даже и не подозревает, что его используют мошенники. Сети зараженных компьютеров называются ботнеты.
Мощность ддос-атак измеряется в объеме трафика, посылаемого на атакуемый сервер в секунду. Например, если происходит мощная атака, то бороться с ней довольно сложно, потому что подобные объемы трафика практически невозможно фильтровать.
Важно знать, что атаки осуществляются не только на отдельные компьютеры. Часто жертвами атак становились национальные сети, корневые днс-сервера, а это может привести к недоступности Интернета в отдельных регионах.
Для профилактики Ddos специалисты рекомендуют размещать интернет-проекты на сервере с запасом ресурсов. В таком случае будет резерв, чтобы успеть принять меры. Для защиты от Ddos необходимо принимать меры в комплексе, это, например, межсетевой экран, фильтрация трафика, работа специалистов в данной области. Но даже крупные сайты с мощной защитой периодически подвергаются в атакам. Даже сайт компании Майкрософт не раз становился жертвой ддос-атак мошенников.
О на нашем блоге написан специальный материал.
Еще одна популярная атак на сайт – это взлом сервера и размещение ссылок или вирусов на нем.
В таких случаях веб-мастер обнаруживает, что сайт был взломан и использовался мошенниками.
Также возможна ситуация, когда был взломан сервер хостинга. Но все-таки в большинстве случаев вирусы попадают на сайт из-за дыр в движках или по причине неправильного хранения паролей.
Как известно, скрытые ссылки одна из причин наложения санкций поисковиками из-под которых очень сложно выйти. А если мошенники вставят не просто обычные ссылки, а код вируса, то такой сайт может быть забанен даже хостинг-провайдером. А сам ресурс и его айпи-адрес попадают в “черный список” Спамхаус, из которого выйти нереально сложно. В качестве профилактики необходимо следить за обновлениями CMS, устанавливать обновления и необходимые дополнения, ну и конечно не хранить пароли в открытом доступе.
Следующая в моем списке атак – это SQL-инъекция . Она происходит благодаря выполнению sql-запроса на чужом сервере. Такая проблема может возникнуть из-за уязвимости движков или несовершенства программного кода. В чем суть XSS-атаки? Происходит внедрение в страницу, которая генерируется скриптом, произвольного кода. Основная опасность, которая стоит за такой атакой, это кража cookies, что ведет к получению доступа к аккаунтам пользователей. В результате мошенник получает данные о системе посетителя, об истории посещенных сайтов и т. п. Кроме того внедряется не только java-скрипт, а и ссылка на php-скрипт, который размещается на стороннем сервере, а это еще опаснее.
Спам с адресом сайта и реквизитами – еще один способ безобидной атаки, благодаря которой Ваш сайт могут заблокировать на хостинге, а Ваш адрес будет внесен в черные списки. Спамить могут не только на почту пользователям, но и на форумы. В результате Вам будет сложно доказать, что этим занимались конкуренты, а не Вы.
Спам в комментариях и на форуме – ще один способ, с помощью которого мошенники могут навредить Вашему сайту. Ведь заспамленные ресурсы не только плохо ранжируются, а и вовсе могут быть забанены. Поэтому владельцам таких сайтов необходимо ставить антиспам фильтры и модерировать сообщения пользователей на форуме.
Фишинг – наносит вред репутации любому ресурсу. На другом сайте с похожим адресом, размещается копия вашего сайта с формой авторизации. Пользователь вводит данные и они попадают в руки мошенникам. Если Вы нашли такой сайт, сразу же обращайтесь к хостинг провайдеру и регистратору домена мошеннического сайта. Они обязательно заблокируют данный нечестный ресурс. О том, что такое фишинг и как себя обезопасить читайте в более подробно.
Возможно Вы знаете еще какие-то методы мошенников, которые напрямую вредят сайтам? Поделитесь ими в комментариях!
4072 раз(а) 8 Сегодня просмотрено раз(а)
Масштабы DDoS-атак выросли примерно в 50 раз за последние несколько лет. При этом злоумышленники «метят» как в локальные инфраструктуры, так и публичные облачные площадки, на которых сосредотачиваются решения клиентов.
«Успешно реализованные атаки имеют непосредственное влияние на бизнес клиентов и носят деструктивные последствия», – комментирует Даррен Ансти (Darren Anstee), представитель компании Arbor Networks, поставляющей решения для обеспечения безопасности в сетях.
При этом частота атак также увеличивается. В конце 2014 года их число составляло 83 тыс., а в первом квартале 2015 года цифра увеличилась до 126 тыс. Поэтому в нашем сегодняшнем материале мы бы хотели рассмотреть различные виды DDoS-атак, а также способы защиты от них.
TCP Reset
TCP Reset выполняется путем манипуляций с RST-пакетами при TCP-соединении. RST-пакет – это заголовок, который сигнализирует о том, что необходимо переподключение. Обычно это используется в том случае, если была обнаружена какая-либо ошибка или требуется остановить загрузку данных. Злоумышленник может прерывать TCP-соединение, постоянно пересылая RST-пакет с валидными значениями, что делает невозможным установление соединение между источником и приемником.Предотвратить этот тип атаки можно – необходимо мониторить каждый передаваемый пакет и следить, что последовательность цифр поступает в нужном порядке. С этим справляются системы глубокого анализа трафика.
Сейчас основной целью взлома устройств является организация DDoS-атак или причинение ущерба путем ограничения доступа пользователей к сайту в интернете. Поэтому сами операторы связи, интернет-провайдеры и другие компании, в том числе VAS Experts , также предлагают и организуют решения по защите от DDoS – мониторинг трафика в реальном времени для отслеживания аномалий и всплесков загруженности полосы, функцию Carrier Grade NAT, которая позволяет «спрятать» устройство абонента от злоумышленников, закрыв к нему доступ из интернета, а также другие интеллектуальные и даже самообучающиеся системы.
Существуют четыре основных категории атак:
· атаки доступа;
· атаки модификации;
· атаки на отказ в обслуживании;
· атаки на отказ от обязательств.
Рассмотрим подробнее каждую категорию. Существует множество способов выполнения атак: при помощи специально разработанных средств, методов социального инжиниринга, через уязвимые места компьютерных систем. При социальном инжиниринге для получения несанкционированного доступа к системе не используются технические средства. Злоумышленник получает информацию через обычный телефонный звонок или проникает внутрь организации под видом ее служащего. Атаки такого рода наиболее разрушительны.
Атаки, нацеленные на захват информации, хранящейся в электронном виде, имеют одну интересную особенность: информация не похищается, а копируется. Она остается у исходного владельца, но при этом ее получает и злоумышленник. Таким образом, владелец информации несет убытки, а обнаружить момент, когда это произошло, очень трудно.
Атаки доступа
Атака доступа – это попытка получения злоумышленником информации, для просмотра которой у него нет разрешений. Осуществление такой атаки возможно везде, где существует информация и средства для ее передачи. Атака доступа направлена на нарушение конфиденциальности информации. Различают следующие виды атаки доступа:
· подсматривание;
· подслушивание;
· перехват.
Подсматривание (snooping) – это просмотр файлов или документов для поиска интересующей злоумышленника информации. Если документы хранятся в виде распечаток, то злоумышленник будет вскрывать ящики стола и рыться в них. Если информация находится в компьютерной системе, то он будет просматривать файл за файлом, пока не найдет нужные сведения.
Подслушивание (eavesdropping) – это несанкционированное прослушивание разговора, участником которого злоумышленник не является. Для получения несанкционированного доступа к информации, в этом случае, злоумышленник должен находиться поблизости от нее. Очень часто при этом он использует электронные устройства. Внедрение беспроводных сетей увеличило вероятность успешного прослушивания. Теперь злоумышленнику не нужно находиться внутри системы или физически подключать подслушивающее устройство к сети.
В отличие от подслушивания перехват (interception) – это активная атака. Злоумышленник захватывает информацию в процессе ее передачи к месту назначения. После анализа информации он принимает решение о разрешении или запрете ее дальнейшего прохождения.
Атаки доступа принимают различные формы в зависимости от способа хранения информации: в виде бумажных документов или в электронном виде на компьютере. Если необходимая злоумышленнику информация хранится в виде бумажных документов, ему потребуется доступ к этим документам. Они, возможно, отыщутся в следующих местах: в картотеках, в ящиках столов или на столах, в факсе или принтере в мусоре, в архиве. Следовательно, злоумышленнику необходимо физически проникнуть во все эти места.
Таким образом, физический доступ – это ключ к получению данных. Следует заметить, что надежная защита помещений оградит данные только от посторонних лиц, но не от служащих организации или внутренних пользователей.
Информация в электронном виде хранится: на рабочих станциях, на серверах, в портативных компьютерах, на флоппи-дисках, на компакт-дисках, на резервных магнитных лентах.
Злоумышленник может просто украсть носитель данных (дискету, компакт-диск, резервную магнитную ленту или портативный компьютер). Иногда это сделать легче, чем получить доступ к файлам, хранящимся в компьютерах.
Если злоумышленник имеет легальный доступ к системе, он будет анализировать файлы, просто открывая один за другим. При должном уровне контроля над разрешениями доступ для нелегального пользователя будет закрыт, а попытки доступа зарегистрированы в журналах.
Правильно настроенные разрешения предотвратят случайную утечку информации. Однако серьезный злоумышленник постарается обойти систему контроля и получить доступ к нужной информации. Существует большое количество уязвимых мест, которые помогут ему в этом.
При прохождении информации по сети к ней можно обращаться, прослушивая передачу. Злоумышленник делает это, устанавливая в компьютерной системе сетевой анализатор пакетов (sniffer). Обычно это компьютер, сконфигурированный для захвата всего сетевого трафика (не только трафика, адресованного данному компьютеру). Для этого злоумышленник должен повысить свои полномочия в системе или подключиться к сети. Анализатор настроен на захват любой информации, проходящей по сети, но особенно – на пользовательские идентификаторы и пароли.
Подслушивание выполняется и в глобальных компьютерных сетях типа выделенных линий и телефонных соединений. Однако такой тип перехвата требует наличия соответствующей аппаратуры и специальных знаний.
Перехват возможен даже в системах оптико-волоконной связи с помощью специализированного оборудования, обычно выполняется квалифицированным злоумышленником.
Информационный доступ с использованием перехвата – одна из сложнейших задач для злоумышленника. Чтобы добиться успеха, он должен поместить свою систему в линии передачи между отправителем и получателем информации. В Internet это выполняется посредством изменения разрешения имени, в результате чего имя компьютера преобразуется в неправильный адрес. Трафик перенаправляется к системе атакующего вместо реального узла назначения. При соответствующей настройке такой системы отправитель так и не узнает, что его информация не дошла до получателя.
Перехват возможен и во время действительного сеанса связи. Такой тип атаки лучше всего подходит для захвата интерактивного трафика. В этом случае злоумышленник должен находиться в том же сегменте сети, где расположены клиент и сервер. Злоумышленник ждет, когда легальный пользователь откроет сессию на сервере, а затем с помощью специализированного программного обеспечения занимает сессию уже в процессе работы.
Атаки модификации
Атака модификации – это попытка неправомочного изменения информации. Такая атака возможна везде, где существует или передается информация. Она направлена на нарушение целостности информации.
Одним из видов атаки модификации является замена существующей информации, например, изменение заработной платы служащего. Атака замены направлена как против секретной, так и общедоступной информации.
Другой тип атаки – добавление новых данных, например, в информацию об истории прошлых периодов. В этом случае злоумышленник выполняет операцию в банковской системе, в результате чего средства со счета клиента перемещаются на его собственный счет.
Атака удаления означает перемещение существующих данных, например, аннулирование записи об операции из балансового отчета банка, в результате чего снятые со счета денежные средства остаются на нем.
Как и атаки доступа, атаки модификации выполняются по отношению к информации, хранящейся в виде бумажных документов или в электронном виде на компьютере.
Документы сложно изменить так, чтобы этого никто не заметил: при наличии подписи (например, в контракте) нужно позаботиться о ее подделке, скрепленный документ необходимо аккуратно собрать заново. При наличии копий документа их тоже нужно переделать, как и исходный. А поскольку практически невозможно найти все копии, подделку заметить очень легко.
Очень трудно добавлять или удалять записи из журналов операций. Во-первых, информация в них расположена в хронологическом порядке, поэтому любое изменение будет сразу замечено. Лучший способ - изъять документ и заменить новым. Для атак такого рода необходим физический доступ к информации.
Модифицировать информацию, хранящуюся в электронном виде, значительно легче. Учитывая, что злоумышленник имеет доступ к системе, такая операция оставляет после себя минимум улик. При отсутствии санкционированного доступа к файлам атакующий сначала должен обеспечить себе вход в систему или изменить параметры разграничения доступа к файлу.
Изменение файлов базы данных или списка транзакций должно выполняться очень осторожно. Транзакции нумеруются последовательно, и удаление или добавление неправильных операционных номеров будет замечено. В этих случаях необходимо основательно поработать во всей системе, чтобы воспрепятствовать обнаружению.