Угрозы кибербезопасности, уязвимости и атаки

Лекция 3 Угрозы кибербезопасности, уязвимости и атаки Основное внимание специалистов по кибербезопасности уделяется угрозам кибербезопасности, уязвимостям системы кибербезопасности и атакам на нее. Угроза - это возможность возникновения события, ведущего к ущербу, например атаки. Уязвимость - слабое место, из-за которого цель становится восприимчивой к атаке. Атака - преднамеренная эксплуатация обнаруженных уязвимостей компьютерных информационных систем с конкретной целью или при случайной возможности. При выборе объекта нападения киберпреступники руководствуются различными мотивами. Они постоянно ищут уязвимые системы. Обычно жертвами злоумышленников становятся системы, в которых не выполнено обновление или не установлены средства обнаружения вирусов и спама. В этой лекции рассматриваются наиболее распространенные виды кибератак. Специалисты по кибербезопасности должны знать принципы проведения различных видов атак, какие уязвимости они используют и какое воздействие оказывают на зараженную систему. Кибератака - это враждебные действия, совершаемые киберпреступниками в отношении компьютерных информационных систем, сетевых инфраструктур или других компьютерных устройств. Киберпреступники проводят атаки как через проводные, так и беспроводные сети. Что такое вредоносная программа? Термин «вредоносное ПО» или «вредоносный код» означает программное обеспечение, созданное с целью срыва работы компьютера или получения доступа к компьютерным системам без ведома или разрешения пользователя. Это обобщающее название используется для обозначения любых вредоносных или мешающих работе пользователя программ. К вредоносному ПО относят вирусы, интернет-черви, трояны, программы-вымогатели, шпионское ПО, рекламное ПО, поддельные антивирусные программы и т. д. Некоторые вредоносные программы можно легко выявить, действие других практически невозможно отследить. Вирусы, интернет-черви и «троянские кони» Киберпреступники поражают оконечные устройства пользователей, устанавливая на них вредоносное ПО. Щелкните «Воспроизведение» на рисунке, чтобы посмотреть анимацию, иллюстрирующую три наиболее распространенных типа вредоносных кодов. Вирусы Вирус - это вредоносный код, вложенный в исполняемый файл, например легитимную программу. Для большинства вирусов требуется запуск конечным пользователем, и затем они смогут активироваться в определенное время или дату. Компьютерные вирусы обычно распространяются одним из следующих способов: через съемные носители, в результате загрузки из Интернета, через вложения электронной почты. Вирусы могут быть безвредными, например просто выводить на экран изображение. Другие наносят значительный вред, например изменяют или удаляют данные. Чтобы избежать обнаружения вирусов, их создатели постоянно изменяют код. Компьютер может быть заражен вирусом просто в результате того, что пользователь открыл файл. Некоторые вирусы поражают загрузочный сектор или файловую систему USB-накопителей, а с них распространяются на жесткий диск компьютера. Также заражение вирусами может происходить при запуске определенных программ. После установки на компьютер вирус обычно заражает другие программы или распространяется на другие устройства в сетевой инфраструктуре. Вирус Melissa - пример вируса, распространяемого через электронную почту. От него пострадали десятки тысяч пользователей, ущерб составил примерно 1,2 миллиарда долларов. Щелкните здесь, чтобы узнать больше о вирусах. Интернет-черви Интернет-черви представляют собой вредоносный код, который самостоятельно создает свои копии, используя уязвимости сетевой инфраструктуры. Интернет-черви обычно замедляют работу сетевой инфраструктуры. Для работы вируса требуются программы на хосте, а интернет-черви могут функционировать самостоятельно. Кроме первичного инфицирования, интернет-червям не требуется участие пользователей. После заражения хоста интернет-червь быстро распространяется по сети. Интернет-черви действуют по единому принципу. Все они используют уязвимости, имеют общий способ распространения и создают нагрузку на сеть. Интернет-черви становились причиной самых масштабных атак в Интернете. Например, в 2001 году 658 серверов были заражены интернет-червем под названием Code Red. Через 19 часов им были заражены свыше 300 000 серверов. Троян Троянский конь (троян) - вредоносная программа, который выполняет вредоносную операцию под видом желаемой, например сетевой игры. Этот вредоносный код использует привилегии пользователя, который его запускает. Троян отличается от вируса тем, что привязывается к неисполняемым файлам, таким как файлы изображений, аудиофайлы или игры. Логические бомбы Логическая бомба - вредоносная программа, в которой для запуска вредоносного кода используется триггер. Например, триггером может стать дата, время, другая запущенная программа или удаление учетной записи пользователя. Логическая бомба остается неактивной, пока не произойдет событие-триггер. После активации логическая бомба запускает вредоносный код, который наносит вред компьютеру. Этот тип вредоносного ПО используется для саботажа записей в базах данных, удаления файлов, а также атак на операционные системы или приложения. Специалисты по кибербезопасности недавно обнаружили новый вид логических бомб, который используется для уничтожения аппаратных компонентов рабочих станций и серверов, в том числе вентиляторов, ЦП, памяти, жестких дисков и блоков питания. Логическая бомба создает нагрузку на эти устройства до тех пор, пока они не перегреются или не выйдут из строя. Программы-вымогатели Программы-вымогатели блокируют компьютерную систему или хранящиеся в ней данные до тех пор, пока жертва не произведет оплату. Программа-вымогатель обычно шифрует данные на компьютере, используя неизвестный пользователю ключ. Чтобы снять блокировку, требуется заплатить преступникам выкуп. Некоторые версии программ-вымогателей используют уязвимости конкретной системы для ее блокировки. Программы-вымогатели распространяются как троян - заражение происходит при загрузке файлов или через уязвимости программного обеспечения. Целью преступников является получение оплаты через платежные системы, не позволяющие отследить получателя. После оплаты преступник высылает жертве программу для расшифровки файлов или код разблокировки. Щелкните здесь, чтобы узнать больше о программах-вымогателях. Бэкдоры и руткиты Бэкдор - это программа или код, устанавливаемая на компьютер преступником. Бэкдор помогает обойти обычную аутентификацию, используемую для доступа к системе. Примерами таких программ являются Netbus и Back Orifice, которые позволяют неавторизированным пользователям получить удаленный доступ к системе. С помощью бэкдора киберпреступники получают доступ к системе даже после устранения уязвимости, которая позволила получить доступ изначально. Обычно бэкдоры устанавливаются с помощью троянских программ, которые авторизованный пользователь по неосведомленности устанавливает на своем компьютере. Руткит изменяет операционную систему, создавая лазейку для создания бэкдора. Затем хакеры используют бэкдор для удаленного доступа к компьютеру. Большинство руткитов используют уязвимости в программном обеспечении для эскалации прав доступа и изменения системных файлов. Для эскалации прав используются ошибки программирования или уязвимости инфраструктуры, позволяющие киберпреступникам получить расширенный доступ к сетевым ресурсам и данным. Также руткиты могут вносить изменения в инструменты проверки состояния и мониторинга системы, что существенно затрудняет выявление вредоносных программ этого типа. На компьютерах, зараженных руткитом, обычно приходится удалять и переустанавливать операционную систему. Защита от вредоносных программ Эти простые меры помогут вам защититься от всех видов вредоносных программ. • Антивирусная программа. Большинство антивирусных пакетов успешно противостоят распространенным вредоносным программам. Однако в сети ежедневно появляются новые угрозы. Поэтому, чтобы антивирусное решение эффективно справлялось со своей задачей, необходимо регулярно выполнять обновление сигнатур. Сигнатура для вируса как отпечатки пальцев для человека. Это характерные элементы вредоносного кода, по которым его можно опознать. • Актуальное программное обеспечение. Многие вредоносные программы используют в своих целях уязвимости программного обеспечения, операционной системы и приложений. Раньше основным источником проблем были уязвимости операционной системы, сегодня наибольшую опасность представляют уязвимости приложений. Поставщики операционных систем стараются вносить в них исправления как можно быстрее, но, к сожалению, большинство поставщиков приложений не торопятся следовать их примеру. Спам Электронная почта - универсальный сервис, используемый миллиардами людей во всем мире. Электронная почта, как один из самых популярных сервисов, стала крупной уязвимостью для пользователей и организаций. Спам, также называемый нежелательной или мусорной почтой, - это несанкционированные сообщения электронной почты. В большинстве случаев спам является одним из вариантов рекламы. Однако в спаме могут содержаться небезопасные ссылки, вредоносное ПО или мошеннический контент. Цель такого спама - получить конфиденциальную информацию, например номер социального страхования или сведения о банковском счете. Большая часть спама приходит от групп подключенных к сети компьютеров, зараженных вирусом или интернет-червем. Эти зараженные компьютеры отправляют максимально возможное число сообщений электронной почты. Даже если вы используете функции защиты от спама, полностью исключить нежелательную почту все же не удастся. Ниже приведены некоторые наиболее распространенные признаки спама. • В сообщении электронной почты отсутствует строка темы. • Сообщение электронной почты запрашивает обновление учетной записи. • В тексте есть слова, написанные с ошибками, или необычная пунктуация. • Ссылки в сообщении электронной почты слишком длинные и/или непонятные. • Электронное сообщение похоже на письмо от реально существующей организации. • Сообщение электронной почты запрашивает открытие вложения. Щелкните здесь, чтобы узнать больше о спаме. Если вы получили электронное сообщение, которое соответствует одному или нескольким из перечисленных признаков, не открывайте такое сообщение или его вложения. В большинстве организаций действуют правила, по которым получатель подобного сообщения должен сообщить о нем специалистам по кибербезопасности. Почти все поставщики электронной почты предоставляют средства для фильтрации спама. И все же он все равно создает нагрузку на сеть и сервер получателя. Шпионское, рекламное ПО и поддельные антивирусные программы Шпионское ПО - это программное обеспечение, которое позволяет преступникам получать информацию о действиях пользователя за компьютером. Шпионское ПО часто включает средства отслеживания активности, нажатий клавиш и данных. Для преодоления мер безопасности шпионское ПО часто изменяет настройки безопасности. Шпионское ПО часто встраиваются в легитимное программное обеспечение или трояны. Условно-бесплатное ПО также часто содержит шпионское ПО. Рекламное ПО обычно отображает надоедливые всплывающие окна и используется для получения прибыли от рекламы. Вредоносная программа может анализировать интересы пользователей, отслеживая посещаемые веб-сайты. Затем оно может показывать всплывающие рекламные объявления по теме этих веб-сайтов. Некоторые версии программного обеспечения автоматически устанавливают рекламное ПО. Иногда рекламное ПО используется только для показа рекламы, но нередко вместе с ним устанавливается и шпионское ПО. Поддельные антивирусные программы используются для того, чтобы напугать пользователя и вынудить его совершить определенные действия. Поддельная антивирусная программа создает всплывающие окна, которые напоминают диалоговые окна операционной системы. В этих окнах выводятся сообщения об опасности для системы или необходимости запустить конкретную программу для возобновления нормальной работы. В действительности система работает нормально, но, если пользователь запустит упомянутую программу, она установит на компьютер вредоносный код. Фишинг Фишинг является одной из разновидностей мошенничества. Киберпреступники используют электронную почту, мгновенный обмен сообщениями или социальные сети для сбора информации, такой как учетные данные для входа или данные учетной записи, маскируясь под уже известную организацию или человека. При фишинге киберпреступник отправляет мошенническое электронное сообщение, замаскированное под сообщение из доверенного, надежного источника. Это сообщение должно убедить получателя установить вредоносное ПО на свое устройство или сообщить личную или финансовую информацию. Примером фишинга являются поддельные электронные сообщения от магазина, в которых пользователю предлагают нажать ссылку, чтобы получить приз. При нажатии ссылки выполняется переход на поддельную веб-страницу с запросом личной информации или производится установка вируса. Направленный фишинг - это направленная фишинговая атака. Хотя и в фишинге, и в целевом фишинге жертвам отправляются электронные сообщения, целевой фишинг направлен на конкретного человека. Прежде чем отправить электронное сообщение своей цели, преступник изучает его или ее интересы. Например, преступник узнает, что цель интересуется автомобилями и хочет купить конкретную модель. Преступник присоединяется к обсуждению на форуме автолюбителей, в котором участвует цель, создает поддельное объявление о продаже автомобиля и отправляет цели предложение по электронной почте. Электронное сообщение содержит ссылку на фотографии автомобиля. Когда цель нажимает ссылку, на компьютер устанавливается вредоносное ПО. Щелкните здесь, чтобы получить дополнительную о мошенничестве по электронной почте. Вишинг, смишинг, фарминг и уэйлинг Вишинг - это фишинг, осуществляемых с помощью технологий голосовой связи. Преступники могут звонить, представляясь доверенными организациями, используя технологию передачи голоса по протоколу IP (VoIP). Жертвы могут также получить записанное сообщение, похожее на надежное. Таким образом преступники пытаются получить номера кредитных карт или другую информацию, чтобы украсть личные данные жертвы. Вишинг использует тот факт, что люди склонны доверять информации, полученной по телефону. Смишинг (фишинг по СМС) - это фишинг по мобильному телефону, осуществляемый с помощью текстовых сообщений. Преступник пытается выдать себя за надежное лицо, чтобы завоевать доверие жертвы. Например, жертва смишинг-атаки может получить ссылку на веб-сайт. Когда жертва посещает веб-сайт, на мобильный телефон устанавливается вредоносная программа. Фарминг - это создание поддельной копии реально существующего веб-сайта с целью обманом заставить пользователей ввести свои учетные данные. При фарминге пользователей перенаправляют на поддельный веб-сайт, имитирующий настоящий. Жертвам вводят личную информацию, думая, что находятся на настоящем сайте. Уэйлинг - это фишинговые атаки на высокопоставленных сотрудников организации, например высшее руководство. Также жертвами уэйлинга могут становиться политики или знаменитости. Заражение браузера и подключаемых модулей Злоумышленники заражают веб-обозреватели, чтобы использовать их для показа всплывающих рекламных объявлений, сбора личной информации или установки рекламного ПО, вирусов или шпионских программ. Вредоносный код может быть установлен в исполняемый файл или компоненты браузера либо подключаемые модули. Подключаемые модули Подключаемые модули Adobe Flash и Adobe Shockwave позволяют создавать интересные рисунки и анимации, которые значительно улучшают внешний вид веб-страницы. Подключаемые модули отображают содержимое, разработанное с использованием соответствующего программного обеспечения. До недавнего времени они не представляли проблем с точки зрения безопасности. Однако с ростом популярности Flash-содержимого преступники изучили подключаемые модули и программное обеспечение Flash Player, определили уязвимости и начали их использовать. Успешная атака может вызвать сбой системы или позволить преступникам взять ее под контроль. Специалисты по кибербезопасности прогнозируют учащение случаев потери данных по мере того, как преступники будут обнаруживать новые уязвимости в самых распространенных подключаемых модулях и протоколах. Злоупотребление поисковой оптимизацией Поисковые системы, например Google, ранжируют веб-страницы с результатами поисковых запросов пользователей. Положение веб-сайта в списке результатов поиска зависит от релевантности его содержимого. Оптимизация для поисковых систем (SEO, сокращение от Search Engine Optimization) представляет собой набор методов, используемых для повышения позиции веб-сайта в поисковой системе. Многие надежные компании специализируются на оптимизации веб-сайтов для улучшения их позиционирования, однако методы злоупотребления SEO используются и для компрометации выдачи поисковых систем с целью повышения места вредоносного веб-сайта в результатах поиска. Обычно целью злоупотребления SEO является привлечение посетителей на сайты, где размещаются вредоносные программы или используются методы социальной инженерии. Чтобы обеспечить таким вредоносным сайтам более высокое положение в результатах поиска, киберпреступники используют ключевые слова из популярных поисковых запросов. Угонщик браузеров Угонщик браузеров - вредоносная программа, которая изменяет настройки браузера для переадресации пользователя на определенные веб-сайты. За это киберпреступники получают оплату от владельцев таких сайтов. Угонщики браузера обычно устанавливаются без разрешения пользователя во время скрытой загрузки. Скрытая загрузка - это программа, которая автоматически загружается на компьютер при посещении определенных веб-сайтов или просмотре электронных сообщений в формате HTML. Всегда внимательно читайте пользовательское соглашение при загрузке программ, чтобы уберечься от этого типа вредоносного ПО. Защита от атак через браузер и электронную почту Методы борьбы со спамом состоят в фильтрации электронной почты, обучении пользователей работе с подозрительными электронными сообщениями и использовании фильтров на хостах/серверах. От спама сложно избавиться полностью, но можно смягчить его последствия. Например, большинство интернет-провайдеров блокируют спам до того, как он попадет в почтовый ящик пользователя. Многие антивирусы и почтовые клиенты автоматически выполняют фильтрацию электронных сообщений. Это означают, что они обнаруживают и удаляют спам из папки входящих писем. Организациям также следует предупреждать сотрудников об опасности открытия почтовых вложений, которые могут содержать вирусы или черви. Не предполагайте, что почтовые вложения безопасны, даже если они отправлены от надежного контактного лица. Компьютер отправителя может без его ведома использоваться для распространения вируса. Перед открытием почтовых вложений всегда проверяйте их. APWG (Anti-Phishing Working Group) - это ассоциация по противодействию краже личных данных и мошенничеству, осуществляемых с помощью фишинга и подмены электронной почты. Регулярно обновляйте программное обеспечение, чтобы установить последние исправления безопасности для известных уязвимостей. Щелкните здесь, чтобы получить дополнительную информацию о защите от атак через браузер. Социальная инженерия Социальная инженерия не подразумевает использования технических средств для сбора информации о цели. Социальная инженерия - это атака, которая пытается манипулировать отдельными людьми, чтобы заставить их совершить определенные действия или разгласить конфиденциальную информацию. Социальные инженеры часто полагаются на готовность людей помочь, а также используют человеческие слабости. Например, киберпреступник может обратиться к уполномоченному сотруднику с неотложной проблемой, при которой требуется немедленный сетевой доступ. Киберпреступник может сыграть на тщеславии или жадности сотрудника или запугать руководителем. Вот некоторые типы атак с использованием социальной инженерии. Претекстинг. Киберпреступник звонит жертве, чтобы обманом получить доступ к конфиденциальным данным. Хакер сообщает, что ему необходимы личные или финансовые данные пользователя для подтверждения подлинности получателя. «Ты мне - я тебе». Киберпреступник запрашивает личную информацию в обмен на что-то, например подарок. Тактики социальной инженерии Социальные инженеры используют несколько тактик. К ним относятся следующие тактики. • Полномочия - жертва с большей вероятностью выполнит нужные действия по приказу лиц, наделенных властью. • Принуждение - преступники запугивают жертву, чтобы заставить совершить нужные действия. • Консенсус или социальная приемлемость - жертва выполнит нужные действия, если будет считать, что другие поступили бы таким же образом. • Дефицит - жертва выполнит нужные действия, если речь идет о чем-то редком/малодоступном. • Срочность - жертва выполнит нужные действия, если время для принятия решения ограниченно. • Близкие отношения / симпатия - преступник выстраивает хорошие отношения с жертвой. • Доверие - преступник выстраивает хорошие отношения с жертвой на протяжении более длительного времени. Щелкните каждую тактику на рисунке, чтобы посмотреть пример использования. Специалисты по кибербезопасности отвечают за обучение других сотрудников организации методам противостояния социальной инженерии. Щелкните здесь, чтобы получить дополнительную информацию о тактиках социальной инженерии. Расшифровать рисунок Взгляд через плечо и поиск в мусоре Преступник следит за жертвой или буквально подглядывает через плечо, чтобы узнать PIN-код, код доступа или номер кредитной карты. Хакер может находиться в непосредственной близости от своей жертвы, использовать бинокль или камеры замкнутого контура для подсматривания. Это одна из причин, почему данные на экранах банкоматов видны только под определенным углом. Такие меры затрудняют подглядывание для преступников. «Что для одного мусор, то для другого сокровище». Эта поговорка особенно верна для преступников, использующих поиск в мусоре, чтобы узнать, какую информацию выбрасывает организация. Рекомендуется ограничить доступ к мусоросборникам. Вся конфиденциальная информация должна надлежащим образом уничтожаться с помощью измельчителей или посредством сжигания в специальных пакетах. Имперсонификация и розыгрыш Имперсонификация означает, что преступник выдает себя за другое лицо. Примером может служить недавнее телефонное мошенничество, направленное на налогоплательщиков. Преступник, представлявшийся сотрудником IRS, говорил жертвам, что у них имеется долг перед IRS. Жертвы должны были немедленно произвести оплату банковским переводом. Самозванец заявлял, что отказ от оплаты приведет к аресту. Преступники также используют имперсонификацию для атак на других людей. Они могут подорвать доверие к публичным лицам, размещая ложные сообщения на веб-сайтах или в соцсетях. Целью розыгрышей является введение в заблуждение или обман. Киберрозыгрыши могут иметь не менее серьезные последствия, чем реальные нарушения безопасности. Цель розыгрыша - вызвать реакцию жертвы. Реакция иногда может подразумевать необоснованный страх и иррациональное поведение. Розыгрыши обычно распространяются по электронной почте и через соцсети. Щелкните здесь, чтобы посетить веб-сайт, на котором содержится информация о розыгрышах. Несанкционированное проникновение Несанкционированное проникновение на территорию (Piggybacking) означает, что преступник проходит в зону ограниченного доступа вместе с уполномоченным лицом. Для этого преступники используют несколько способов. • Делают вид, что сопровождают уполномоченное лицо. • Присоединяются к большой группе сотрудников, делая вид, что тоже работают в организации. • Выбирают жертву, небрежно относящуюся к правилам безопасности на объекте. Несанкционированное проникновение вслед за зарегистрированным пользователем (Tailgating), - это еще один термин, описывающий ту же тактику. Использование тамбур-шлюзов предотвращает несанкционированное проникновение за счет использования двух дверей. После того как сотрудник вошел через наружную дверь, ее необходимо закрыть, чтобы пройти через внутреннюю дверь. Мошенничество в Интернете и по электронной почте Отправка электронных сообщений с целью розыгрыша, шуток, смешных фильмов и не относящихся к деловой переписке сообщений во время работы может нарушать политику компании в отношении допустимого использования ИТ-инфраструктуры и привести к дисциплинарным мерам. Щелкните здесь, чтобы посетить веб-сайт, где публикуются слухи и результаты их проверки. Защита от обмана Организациям необходимо повышать информированность о тактиках социальной инженерии и обучать сотрудников мерам противодействия, в том числе следующим. • Никогда не предоставлять конфиденциальной информации или учетных данных неизвестным лицам посредством электронной почты, чатов, при личном общении или по телефону. • Не нажимать заманчиво выглядящие ссылки в электронных сообщениях и на веб-сайтах. • Обращать внимание на неразрешенные или автоматические загрузки. • Разрабатывать политики безопасности и обучать сотрудников их применению. • Сотрудники должны знать, что безопасность зависит от них. • Не поддаваться давлению со стороны неизвестных лиц. Щелкните здесь, чтобы получить дополнительную информацию об осведомленности в области кибербезопасности. Отказ в обслуживании Атаки типа «Отказ в обслуживании» (DoS) представляют собой разновидность сетевой атаки. DoS-атака влечет перебои в сетевых сервисах для пользователей, устройств или приложений. Существует два типа DoS-атак. • Огромные объемы трафика. Киберпреступник отправляет огромное количество данных с такой скоростью, что сеть, хост или приложение не успевает их обрабатывать. Это приводит к замедлению передачи или реагирования, а иногда к сбою устройства или сервиса. • Пакеты с неправильным форматированием. Киберпреступник посылает пакет данных с неправильным форматированием на хост или в приложение. Если приложение не может идентифицировать пакеты, содержащие ошибки или неправильное форматирование, это замедлит его работу или приведет к сбою. DoS-атаки представляют высокий риск, поскольку могут легко прерывать обмен информацией и вести к крупным потерям времени и средств. Эти атаки относительно просты и под силу даже неопытным киберпреступникам. Цель атаки типа «Отказ в обслуживании» - приостановка доступа для авторизованных пользователей из-за недоступности сетевой инфраструктуры (вспомните три основополагающих принципа безопасности: конфиденциальность, целостность и доступность). Щелкните «Воспроизведение» на рис. 1, чтобы посмотреть анимацию, иллюстрирующую DoS-атаку. Распределенные атаки типа «Отказ в обслуживании» (DDoS) похожи на DoS-атаки, но проводятся скоординированно из нескольких источников. Например, атака может проходить следующим образом. Киберпреступник создает сеть «устройств-зомби», так называемый ботнет. Зомби - это зараженные хосты. Для управления ими киберпреступник использует специальные системы. Компьютеры-зомби постоянно сканируют сеть и заражают другие хосты, создавая новых зомби. Когда все готово, хакер через систему управления отдает приказ начать DDoS-атаку. Щелкните «Воспроизведение» на рис. 2, чтобы посмотреть анимацию, иллюстрирующую DDoS-атаку. Для проведения DDoS-атаки требуется много устройств-зомби, чтобы создать большую нагрузку на цель. Прослушивание Прослушивание в сети похоже на подглядывание за человеком в реальном мире. Киберпреступники изучают весь сетевой трафик, проходящий через их сетевую интерфейсную плату, независимо от того, кому он адресован. Преступники анализируют сетевую инфраструктуру, используя программные приложения, аппаратное обеспечение или их сочетание. Как показано на рисунке, при прослушивании проверяется весь сетевой трафик или выполняется фильтрация по конкретным протоколу, сервису или даже набору символов, таким как идентификатор пользователя или пароль. Некоторые сетевые анализаторы трафика могут проверять весь трафик и даже изменять его частично или полностью. У прослушивания есть положительные стороны. Сетевые администраторы могут использовать подобные устройства для анализа сетевого трафика, выявления проблем с пропускной способностью, поиска и устранения других неполадок сетевой инфраструктуры. Физическая безопасность играет большую роль для предотвращения установки анализаторов трафика во внутренней сети организации. Подмена Подмена (Spoofing) - это атака путем имперсонификации, при которой злоумышленники используют доверительные отношения между двумя системами. Если две системы поддерживают единую аутентификацию, пользователь, зарегистрированный в одной системе, может не проходить повторно аутентификацию для доступа к другой системе. Киберпреступник может воспользоваться этим и отправить одной из доверенных систем пакет, похожий на пакеты, отправляемые другой. Поскольку между системами действуют доверительные отношения, целевая система выполняет запрос, не проводя аутентификации. Существует несколько типов атак с использованием подмены. • Подмена MAC-адреса происходит, когда один компьютер принимает пакеты данных по MAC-адресу другого компьютера. • При IP-подмене злоумышленник производит рассылку пакетов с IP-адресом поддельного источника, чтобы замаскировать свой адрес. • Протокол разрешения адресов (ARP) - это протокол, который преобразует IP-адреса в MAC-адреса для передачи данных. При ARP-подмене злоумышленник рассылает поддельные ARP-сообщения по локальной сети, чтобы связать свой MAC-адрес с IP-адресом доверенного пользователя сетевой инфраструктуры. • Система доменных имен (DNS) используется для связывания доменных имен с IP-адресами. При подмене DNS происходит изменение DNS-сервера, чтобы переприсвоить определенное доменное имя ложному IP-адресу, находящемуся под контролем преступника. Атака через посредника Злоумышленник ведет атаку через посредника, перехватывая сообщения между компьютерами для хищения информации, передаваемой по сети. Преступник также может манипулировать сообщениями и передавать ложную информацию между хостами, поскольку хосты не знают, что произошла модификация сообщений. Используя MitM, преступник может взять под контроль устройство без ведома пользователя. Щелкните кнопку действия на рисунке, чтобы получить базовую информацию об атаках MitM. Атака через мобильное устройство (MitMo) - разновидность атаки через посредника. Злоумышленник заражает мобильное устройство, и оно начинает пересылать конфиденциальную информацию пользователя киберпреступнику. Примером MitMo является ZeuS, эксплойт, который позволяет киберпреступникам незаметно перехватывать СМС для двухэтапной авторизации, отправляемые пользователям. Например, при создании учетной записи Apple пользователь в целях подтверждения личности должен предоставить номер телефона для получения СМС. Вредоносная программа отслеживает эти сообщения и передает информацию преступникам. При атаке с повтором киберпреступник перехватывает часть данных, пересылаемых между двумя хостами, а затем повторно отправляет эти данные. Такой способ позволяет обойти механизмы аутентификации. Атаки нулевого дня Атака нулевого дня (zero-day), которую иногда называют угрозой неизвестного типа, - это атака на компьютер с использованием уязвимостей в программном обеспечении, о которых не знает разработчик такого ПО или которые он намеренно скрывает. Термином zero hour описывают момент, когда кто-то обнаруживает эксплойт. В течение времени, когда разработчик ПО создает исправление и готовит его к выпуску, сеть остается уязвимой к таким эксплойтам, как показано на рисунке. Для защиты от стремительных атак на сеть специалистам по безопасности необходимо тщательно продумывать архитектуру сети. В наше время невозможно перехватить попытки вторжения в нескольких определенных местах в сети. Клавиатурные шпионы (кейлогеры) Клавиатурные шпионы (кейлогеры) - это программы, которые записывают или вносят в специальный журнал нажатия клавиш. Преступники могут внедрять кейлогеры нажатия клавиш с помощью программного обеспечения, установленного в компьютерной системе, или через аппаратное обеспечение, физически подключенное к компьютеру. Преступник настраивает кейлоггер для отправки собранной информации по электронной почте. С помощью записанных в файл журнала нажатий клавиш злоумышленники могут узнать имена пользователей, пароли, посещенные веб-сайты и другую конфиденциальную информацию. Клавиатурные шпионы могут быть легальными, коммерческими программами. Родители часто покупают подобное программное обеспечение, чтобы следить за поведением детей в Интернете и выяснить, какие веб-сайты они посещают. Большинство антишпионских приложений способны выявлять и удалять несанкционированные клавиатурные шпионы. Хотя клавиатурные шпионы не относятся к числу незаконных программ, преступники используют их в противоправных целях. Защита от атак Организации могут принять ряд мер для защиты от различных атак. Настройка межсетевых экранов позволяет отсеивать любые пакеты с внутренними сетевыми адресами, поступающие извне сетевой инфраструктуры. Такое случается редко и обычно означает атаку с подменой адреса. Для предотвращения DoS- и DDoS-атак установите все обновления и исправления, распределите рабочую нагрузку между серверными системами и блокируйте внешние пакеты протокола управляющих сообщений Интернета (ICMP) на границе сети. Сетевые устройства используют ICMP-пакеты для отправки сообщений об ошибках. Например, команда ping использует ICMP-пакеты для проверки связи между устройствами в сетевой инфраструктуре. Чтобы предотвратить атаки с повторением, используйте шифрование трафика, криптографическую аутентификацию и временные отметки для каждой части сообщения. Щелкните здесь, чтобы получить дополнительную информацию о способах предотвращения кибератак. Условно вредоносное ПО и смишинг С ростом популярности смартфонов условно вредоносное ПО становится проблемной областью в обеспечении безопасности мобильного доступа. Условно вредоносное ПО включает раздражающие или нежелательные приложения. Такие приложения могут не содержать вредоносного кода, но все же представлять опасность для пользователя. Например, они могут отслеживать его местоположение. Создатели условно вредоносного ПО обычно поддерживают видимость законности и включают описание функций приложения, набранное мелким шрифтом, в лицензионное соглашение. Многие пользователи устанавливают мобильные приложения, не ознакомившись с их функциями. Смишинг - сокращение от фишинга по СМС. Для отправки и приема текстовых сообщений в нем используется служба коротких сообщений (SMS). Преступники обманным путем заставляют пользователя посетить веб-сайт или позвонить по номеру телефона. Ничего не подозревающие жертвы могут предоставить конфиденциальную информацию, например о кредитной карте. Посещение веб-сайта может привести к тому, что пользователь, не осознавая того, загрузит на свое устройство вредоносное ПО. Вредоносные точки доступа Неавторизованная точка доступа - это точка беспроводного доступа, установленная в защищенной сетевой инфраструктуре без разрешения. Неавторизованная точка доступа может быть настроена двумя способами. В первом случае сотрудник организации, руководствуясь благими намерениями, хочет упростить подключение мобильных устройств. Во втором случае преступник незаметно получает физический доступ на территорию организации и устанавливает неавторизованную точку доступа. Поскольку в обоих случаях речь идет о несанкционированном доступе, и тот и другой способ представляют опасность для организации. Неавторизованная точка доступа может также означать точку доступа, используемую в преступных целях. В этом случае преступник настраивает точку доступа для атак через посредника (MitM) и использует ее для кражи учетных данных пользователей. Для атак типа «злой двойник» (Evil Twin) преступник создает точку доступа с хорошим сигналом и большой пропускной способностью, чтобы привлечь пользователей. После того как пользователи подключатся к точке доступа, преступники могут анализировать трафик и проводить MitM-атаки. Глушение радиочастот Беспроводные сигналы чувствительны к электромагнитным и радиочастотным помехам, а также разрядам молнии и шуму от флуоресцентных ламп. На беспроводные сигналы также можно повлиять путем преднамеренных помех. Глушение радиочастот нарушает передачу сигнала с радиостанции или спутниковой станции, чтобы сигнал не доходил до приемной станции. Частота, модуляции и мощность передатчика радиочастотных помех должны соответствовать параметрам устройства, работу которого преступник хочет саботировать. Bluejacking и Bluesnarfing Bluetooth - маломощный протокол с небольшой дальностью действия. Он используется для передачи данных в личных сетях между такими устройствами, как мобильные телефоны, ноутбуки и принтеры. Bluetooth имеет несколько версий. Отличительной особенностью Bluetooth является простота настройки без необходимости использовать сетевые адреса. Bluetooth использует сопряжение устройств для установления связи между ними. После сопряжения оба устройства используют общий ключ доступа. Об уязвимостях Bluetooth давно известно, но из-за ограниченной зоны действия протокола жертва и киберпреступник должны находиться в пределах досягаемости друг от друга. • Bluejacking - термин, означающий передачу неразрешенных сообщений на другое устройство через Bluetooth. В том числе этот способ используется для рассылки шокирующих изображений. • Во время атаки типа Bluesnarfing (подключение к устройству Bluetooth для кражи данных) киберпреступник копирует информацию жертвы с ее устройства, данная информация может включать в себя электронные сообщения и списки контактов. Атаки на WEP и WPA Протокол безопасности, аналогичный защите проводной сети (Wired Equivalent Privacy, WEP), - это протокол безопасности, с помощью которого разработчики пытались обеспечить в беспроводных локальных сетях тот же уровень безопасности, что и в проводных. Для защиты проводной локальной сети применяются меры физической безопасности. Чтобы обеспечить аналогичную защиту данных, передаваемых по беспроводной локальной сети, в WEP применяется шифрование. В WEP используется ключ шифрования. В WEP управление ключами отсутствует, поэтому количество лиц, которым известен один и тот же ключ, будет постоянно расти. Поскольку все используют один и тот же ключ, преступник получает доступ к большому объему трафика для аналитических атак. Вектор инициализации WEP, который является одним из компонентов криптографической системы, также небезупречен с точки зрения безопасности. • Он представляет собой 24-битовое поле, что слишком мало. • Это открытый текст, т. е. он может быть легко прочитан. • Он статичен, поэтому в загруженной сети ключевые потоки будут повторяться. Технология WPA (Wi-Fi Protected Access, защищенный доступ Wi-Fi), а затем WPA2 сменили стандарт WEP в компьютерной индустрии из-за его слабых мест. В WPA2 подобные проблемы с шифрованием отсутствуют, так как киберпреступник не может восстановить ключ, наблюдая за трафиком. Протокол WPA2 чувствителен к атакам, поскольку киберпреступники могут анализировать пакеты, передаваемые между точкой доступа и легитимным пользователем. Киберпреступники используют анализатор пакетов, а затем запускают атаки в автономном режиме для подбора фразы-пароля. Защита от атак на беспроводные сети и мобильные устройства Для защиты от атак на беспроводные сети и мобильные устройства необходимо предпринять несколько шагов. В большинстве продуктов для беспроводных локальных сетей (WLAN) используются параметры настройки по умолчанию. Воспользуйтесь базовыми функциями защиты беспроводных сетей, такими как аутентификация и шифрование, изменив параметры конфигурации по умолчанию. Ограничьте размещение точек доступа в сетевой инфраструктуре, разместив эти устройства за пределами межсетевого экрана или в демилитаризованной зоне (DMZ), которая содержит другие устройства без доверия, такие как почтовые и веб-серверы. Инструменты WLAN, такие как NetStumbler, могут обнаруживать неавторизованные точки доступа или рабочие станции. Разработайте гостевую политику для решения задач подключения легитимных пользователей с правами гостя к Интернету во время посещения. Для удаленного доступа авторизованных сотрудников к WLAN используйте сеть VPN. Межсайтовый скриптинг Межсайтовый скриптинг (XSS) - это уязвимость в веб-приложениях. Используя XSS, преступники могут внедрять сценарии на интернет-страницы, просматриваемые пользователями. Эти сценарии могут содержать вредоносный код. Межсайтовый скриптинг включает трех участников: преступника, жертву и веб-сайт. Киберпреступник не нацеливается на жертву напрямую. Он использует уязвимость веб-сайта или веб-приложения. Преступники внедряют клиентские сценарии на интернет-страницы, просматриваемые пользователями-жертвами. Вредоносный сценарий передается в браузер пользователя без его ведома. Вредоносный сценарий этого типа может использоваться для получения доступа к cookie-файлам, идентификаторам сеансов или другой конфиденциальной информации. Получив cookie-файл сеанса, преступники могут выдавать себя за доверенного пользователя. Внедрение кода Один из способов хранения данных веб-сайта является использование базы данных. Есть несколько различных типов баз данных, например база данных SQL или база данных XML. Атаки с внедрением XML- или SQL-кода используют уязвимости в программе, например неправильную проверку запросов к базе данных. Внедрение XML-кода Внедрение XML-кода может использоваться для повреждения данных в XML-базах. После того как пользователь предоставит входные данные, система отправляет запрос для получения доступа к необходимой информации в базе. Проблема возникает, если входные данные, указанные пользователем, не подвергаются достаточной проверке. Преступники могут манипулировать запросами, изменяя их в соответствии со своими потребностями, и получать доступ к информации в базе данных. Получив доступ к конфиденциальным данным, хранящимся в базе, преступники могут вносить любые изменения на веб-сайт. Внедрение XML-кода ставит под угрозу безопасность веб-сайта. Внедрение SQL-кода Киберпреступники эксплуатируют уязвимости систем путем добавления вредоносных SQL-выражений в поля форм ввода. Как и в примере с XML-кодом, проверка введенных данных на предмет SQL-выражений не всегда выполняется достаточно тщательно. Внедрение SQL-выражений используется на веб-сайтах и базах данных SQL. Таким образом, преступники могут совершать подмену идентификационных данных пользователей, изменять или уничтожать существующие данные в базе или становятся администраторами сервера. Переполнение буфера Переполнение буфера происходит, когда объем данных превышает объем буфера. Буфер - это область памяти, выделенная для приложения. Изменяя данные за пределами буфера, приложение обращается к памяти, выделенной для других процессов. Это может привести к сбою системы, несанкционированному доступу к данным или эскалации прав пользователя. По оценкам специалистов координационного центра CERT университета Карнеги-Меллона, почти половина всех уязвимостей компьютерных программ в той или иной форме обусловлена переполнением буфера. Существует множество вариантов переполнения буфера, включая переполнение статического буфера, ошибки индексации, ошибки в формате строки, несоответствие размеров буфера Unicode and ANSI и переполнение динамической области памяти. Удаленный запуск программ Уязвимости позволяют киберпреступникам запускать вредоносный код и получать контроль над системой с правами пользователя, запустившего приложение. Удаленное выполнение кода позволяет преступнику выполнить на целевой машине любую команду. Рассмотрим, например, Metasploit. Metasploit - инструмент для разработки и выполнения вредоносного кода на удаленном объекте. Meterpreter - модуль Metasploit, который обеспечивает доступ к расширенным функциям. С помощью Meterpreter злоумышленники добавляют собственные расширения как общий объект. Преступники выгружают и внедряют эти файлы в запущенный процесс на целевой машине. Meterpreter загружает и запускает все расширения из памяти, поэтому они не задействуют ресурсы жесткого диска. Это также означает, что антивирусные программы не могут их обнаружить. Meterpreter располагает модулем для удаленного управления веб-камерой. После его установки преступник может вести наблюдение и делать снимки с помощью веб-камеры на устройстве жертвы. Элементы управления ActiveX и Java Некоторые веб-страницы правильно работают только при установке элемента управления ActiveX. Элементы управления ActiveX используются для создания дополнительных модулей Internet Explorer. Элементы управления ActiveX - устанавливаемые пользователем программные компоненты, предоставляющие расширенные возможности. Некоторые элементы управления ActiveX создаются третьими лицами и могут быть вредоносными. Они могут отслеживать историю просмотров, устанавливать вредоносное ПО или записывать нажатия клавиш. Элементы управления ActiveX также используются в приложениях Microsoft. Программа на Java работает через интерпретатор - виртуальную машину Java (JVM). JVM позволяет использовать функциональность программы, написанной на Java. JVM изолирует от остальной части операционной системы или помещает в песочницу ненадежный код. Существуют уязвимости, которые позволяют ненадежному коду обойти ограничения, наложенные песочницей. В библиотеке классов Java, которые приложения используют для своей защиты, также имеются уязвимости. Java является второй по значению уязвимостью безопасности после модулей Adobe Flash. Защита от атак на приложения Первая линия защиты от атак на приложения - создание надежного кода. Независимо от используемого языка или источника внешних входных данных, целесообразно рассматривать все входные данные вне функции как вредоносные. Проверяйте все входные данные, как будто они являются вредоносными. Обновляйте все программное обеспечение, включая операционные системы и приложения, и не игнорируйте напоминания об обновлении. Не все программы устанавливают обновления автоматически. По крайней мере выберите в настройках вариант «Обновление вручную». При обновлении вручную пользователи могут проверять, какие обновления устанавливаются.