Статья рассчитана на тех, кто начал думать о сетевой безопаности или продолжает это делать и укрепляет защиту веб-приложений от новых угроз - ведь для начала нужно понять, какие вообще могут быть угрозы, чтобы их предовратить.
Необходимость думать о сетевой безопасности почему-то считается правом только больших компаний, типа Badoo , Google и Google , Яндекс или Telegram , которые открыто объявляют конкурсы за нахождение уязвимостей и всеми способами поднимают безопасность своих продуктов, веб-приложений и сетевых инфраструктур. При этом подавляющее большинство существующих веб-систем содержат «дыры» различного характера (исследование за 2012 год от Positive Technologies , уязвимости средней степени риска содержат 90% систем).
Что такое сетевая угроза или сетевая уязвимость?
WASC (Web Application Security Consortium) выделял несколько базовых классов, каждый из которых содержит несколько групп, в общей сложности уже 50 , распространенных уязвимостей, использование которых может нанести ущерб компании. Полная классификация выложена в виде WASC Thread Classification v2.0 , и на русском языке есть перевод предыдущей версии от InfoSecurity - Классификация угроз безопасности Web-приложений , который будет использован за основу классификации и существенно дополнен.
Основные группы угроз безопасности сайтов
Недостаточная аутентификация при доступе к ресурсам
В эту группу угроз входят атаки на основе Подбора (Brute Force), Злоупотребление функционалом (Abuse of Functionality) и Предсказуемое расположение ресурсов (). Основное отличие от недостаточной авторизации заключается в недостаточной проверке прав (или особенностей) уже авторизованного пользователя (например, обычный авторизованный пользователь может получить права администратора, просто зная адрес панели управления, если не производится достаточная проверка прав доступа).
Эффективно противодействовать таким атакам можно только на уровне логики приложения. Часть атак (например, слишком частый перебор) могут быть заблокированы на уровне сетевой инфраструктуры.
Недостаточная авторизация
Сюда можно отнести атаки, направленные на легкость перебора реквизитов доступа или использование каких-либо ошибок при проверке доступа к системе. Кроме техник Подбора (Brute Force) сюда входит Угадывания доступа (Credential and Session Prediction) и Фиксация сессии (Session Fixation).
Защита от атак этой группы предполагает комплекс требований к надежной системе авторизации пользователей.
Сюда входят все техники изменить содержимое веб-сайта без какого-либо взаимодействия с сервером, обслуживающим запросы - т.е. угроза реализуется за счет браузера пользователя (но при этом обычно сам браузер не является «слабым звеном»: проблемы заключаются в фильтрации контента на стороне сервера) или промежуточного кэш-сервера. Виды атак: Подмена содержимого (Content Spoofing), Межсайтовые запросы (XSS, Cross-Site Scripting), Злоупотребление перенаправлениями (URL Redirector Abuse), Подделка межсайтовых запросов (Cross-Site Request Forgery), Расщепление HTTP-ответа (HTTP Response Splitting , Контрабанда HTTP-ответа (HTTP Response Smuggling), а также Обход маршрутизациии (Routing Detour), Расщепление HTTP-запроса (HTTP Request Splitting) и Контрабанда HTTP-запроса (HTTP Request Smuggling).
Значительная часть указанных угроз может быть блокирована еще на уровне настройки серверного окружения, но веб-приложения должны также тщательно фильтровать как поступающие данные, так и ответы пользователя.
Выполнение кода
Атаки на выполнение кода являются классическими примерами взлома сайта через уязвимости. Злоумышленник может выполнить свой код и получить доступ к хостингу, где расположен сайт, отправив определенным образом подготовленный запрос на сервер. Атаки: Переполнение буфера (Buffer Overflow), Форматирование строки (Format String), Целочисленное переполнение (Integer Overflows), LDAP внедрение (LDAP Injection), Mail внедрение (Mail Command Injection), Нулевой байт (Null Byte Injection), Выполнение команд ОС (OS Commanding), Исполнение внешнего файла (RFI, Remote File Inclusion), Внедрение SSI (SSI Injection), Внедрение SQL (SQL Injection), Внедрение XPath (XPath Injection), Внедрение XML (XML Injection), Внедрение XQuery (XQuery Injection) и Внедрение XXE (XML External Entities).
Не все из указанных типов атак могут касаться вашего сайта, но корректно они блокируются только на уровне WAF (Web Application Firewall) или фильтрации данных в самом веб-приложении.
Разглашение информации
Атаки этой группы не являются угрозой в чистом виде для самого сайта (поскольку сайт никак от них не страдает), но могут нанести вред бизнесу или использованы для проведения других типов атак. Виды: Отпечатки пальцев (Fingerprinting) и Обход директорий (Path Traversal)
Правильная настройка серверного окружения позволит полностью защититься от таких атак. Однако, также нужно обратить внимание на страницы ошибок веб-приложения (они могу содержать большое количество технической информации) и работу с файловой системой (которая может быть компрометирована недостаточной фильтрацией входных данных). Также бывает, что в поисковом индексе появляются ссылки на какие-либо уязвимости сайта, и это само по себе является существенной угрозой безопасности.
Логические атаки
В этой группе отнесли все оставшиеся атаки, возможность которых заключается, в основном, в ограниченности серверных ресурсов. В частности, это Отказ в обслуживании (Denial of Service) и более точечные атаки - Злоупотребление SOAP (SOAP Array Abuse), Переполнение XML-атрибутов XML Attribute Blowup и Расширение XML-сущностей (XML Entity Expansion).
Защита от них только на уровне веб-приложений, либо блокировки подозрительных запросов (сетевое оборудование или веб-прокси). Но при появление новых видов точечных атак необходиом проводить аудит веб-приложений на предмет уязвимости им.
DDoS-атаки
Как должно быть понятно из классификации, DDoS-атака в профессиональном смысле - это всегда исчерпание ресурсов сервера тем или иным способом. Другие методы (хотя и упомянуты в Википедии) напрямую к DDoS атаке отношения не имеют, но представляют тот или иной вид уязвимости сайта. Там же в Википедии достаточно подробно изложены методы защиты, здесь их дублировать не буду.
Avast всегда пытается быть впереди, когда дело касается защиты пользователей от новых угроз. Все больше и больше людей смотрят фильмы, спортивные трансляции и телешоу на смарт ТВ. Они контролируют температуру в своих домах с помощью цифровых термостатов. Они носят смарт-часы и фитнес-браслеты. В результате потребности в безопасности расширяются за пределы персонального компьютера, чтобы охватить все устройства в домашней сети.
Тем не менее, домашние роутеры, которые являются ключевыми устройствами инфраструктуры домашней сети, часто имеют проблемы безопасности и обеспечивают простой доступ хакерам. Недавнее исследование компании Tripwire показало, что 80 процентов самых продаваемых роутеров имеют уязвимости. Более того, самые распространенные комбинации для доступа к административному интерфейсу, в частности admin/admin или admin/без пароля используется в 50 процентах роутеров по всему миру. Еще 25 процентов пользователей используют адрес, дату рождения, имя или фамилию в качестве паролей к роутеру. В результате более 75 процентов роутеров по всему миру являются уязвимыми для простых парольных атак, что открывает возможности развертывании угроз в домашней сети. Ситуация с безопасностью маршрутизаторов сегодня напоминает 1990-е, когда новые уязвимости обнаруживались каждый день.
Функция “Безопасность домашней сети”
Функция “Безопасность домашней сети” в Avast Free Antivirus , Avast Pro Antivirus , Avast Internet Security и Avast Premier Antivirus позволяет решать перечисленные проблемы с помощью сканирования настроек роутера и домашней сети на предмет потенциальных проблем. В Avast Nitro Update движок обнаружений инструмента “Безопасность домашней сети” был полностью переработан – была добавлена поддержка многопоточного сканирования и был реализован улучшенный детектор взлома DNS. Движок теперь поддерживает сканирования протокола ARP и сканирования портов, выполняемых на уровне драйвера ядра, что позволяет в несколько раз ускорить проверку по сравнению с предыдущей версией.
“Безопасность домашней сети” может автоматически блокировать атаки на роутер с кросс-сайтовыми фальшивыми запросами (CSRF). CSRF-эксплойты эксплуатируют уязвимости сайтов и позволяют киберперступникам передавать несанкционированные команды на веб-сайт. Команда имитирует инструкцию от пользователя, который известен сайту. Таким образом, киберпреступники могут выдавать себя за пользователя, например, переводить деньги жертвы без ее ведома. Благодаря CSRF-запросам, преступники могут удаленно вносить изменения в настройки роутера для того, чтобы перезаписать параметры DNS и перенаправить трафик на мошеннические сайты
Компонент “Безопасность домашней сети” позволяет сканировать настройки домашней сети и роутера на предмет потенциальных проблем безопасности. Инструмент обнаруживает слабые или стандартные пароли Wi-Fi, уязвимые роутеры, скомпрометированные подключения к Интернету и включенный, но не защищенный протокол IPv6. Avast выводит список всех устройств в домашней сети, чтобы пользователи могли проверить, что только известные устройства подключены. Компонент предоставляет простые рекомендации по устранению обнаруженных уязвимостей.
Инструмент также уведомляет пользователя о подключении новых устройств к сети, подключенным к сети телевизорам и другим устройствам. Теперь пользователь может сразу обнаружить неизвестное устройство.
Новый проактивный подход подчеркивает общую концепцию обеспечения максимальной всесторонней защиты пользователей.
Стали проблемой для всех пользователей ПК, имеющих доступ к Интернету без исключений. Многие компании используют брандмауэры и механизмы шифрования в качестве решений проблем безопасности, чтобы оставаться защищенными от возможных угроз. Тем не менее этого не всегда бывает достаточно.
Классификация сетевых угроз
Сетевые угрозы классифицируют на четыре категории:
- Неструктурированные угрозы;
- Структурированные угрозы;
- Внутренние угрозы;
- Внешние угрозы.
Неструктурированные угрозы
Неструктурированные угрозы часто включают несфокусированные нападения на одну или несколько сетевых систем. Атакуемые и зараженные системы могут быть неизвестны преступнику. Программные коды, такие как вирус, червь или троянский конь несложным образом могут попасть на Ваш ПК. Некоторые общие термины, о которых следует знать:
Вирус – вредоносная программа, способная реплицироваться с небольшим вмешательством пользователя (или совсем без его вмешательства), а реплицируемые программы также могут реплицироваться.
Червяк – форма вируса, распространяющаяся путем создания дубликатов на других дисках, системах или сетях. К примеру, червь, работающий с системой электронной почты, может отправлять свои копии на каждый адрес в адресной книге системы электронной почты.
Троянский конь – это, на первый взгляд, полезная программа (возможно игра или скринсейвер), но в фоновом режиме она может выполнять другие задачи, такие как удаление или изменение данных, или же захват паролей. Настоящий троянский конь не является технически вирусом, потому что он не реплицируется.
Неструктурированные атаки с использованием кода, который воспроизводит себя и отправляет копию всем пользователям электронной почты, могут легко пересечь земной шар за несколько часов, вызывая проблемы для сетей и отдельных лиц по всему миру. Хотя первоначальное намерение могло быть незначительным.
Структурированные угрозы
Структурированные угрозы ориентированы на одного или нескольких лиц; воспроизведятся людьми с навыками более высокого уровня, активно работающими над компрометацией системы. У злоумышленников, в этом случае, есть определенная цель. Они, как правило, хорошо осведомлены о дизайне сети, безопасности, процедурах доступа и инструментах взлома, и у них есть возможность создавать сценарии или приложения для достижения своих целей.
Внутренние угрозы
Внутренние угрозы исходят от лиц, имеющих авторизованный доступ к сети. Это может быть недовольный сотрудник или несчастный уволенный сотрудник, доступ которого все еще активен. Многие исследования показывают, что внутренние атаки могут быть значительными как по количеству, так и по размеру потерь.
Внешние угрозы
Внешние угрозы - это угрозы отдельных лиц вне организации, часто использующих Интернет или коммутируемый доступ. Эти злоумышленники не имеют авторизованного доступа к системам.
Результатом классификации определенной угрозы может быть комбинация двух или более угроз. Например, атака может быть структурирована из внешнего источника и, в то же время, может иметь одного или нескольких скомпрометированных сотрудников внутри, активно продвигающих усилия.
Смартфоны, планшеты, компьютеры - мы считаем их основным элементом нашей действительности. Мы используем их в работе, для игр, для учебы, управления банковскими счетами, мы платим по счетам, мы проверяем электронную почту, делаем покупки ...
Можно так перечислять практически бесконечно, но всё сводится к одному - с их помощью мы передаем целый ряд важных данных, которые, если попадут в чужие руки, могут привести к критической ситуации.
Потеря памятных фотографий или копии научной работы, в этом случае наименьшая из наших проблем. Если под удар попадают наши сбережения или электронный ящик, с помощью которой мы передаем важную корреспонденцию, то угроза приобретает более зловещий характер. И хотя россияне понимают, что в сеть интернет кишит от угроз, часто они не принимают никаких мер, чтобы должным образом защитить себя .
По данным исследования, проведенного по просьбе Intel, только каждый пятый пользователей использует платную, расширенную защиту и это несмотря на то, что до 93% из нас становились жертвой компьютерного вируса .
Даже в случае смартфонов, где осознание опасности очень высоко (96%), до ⅓ опрошенных не имели даже понятия, установлен ли на их устройстве какой-либо пакет защиты, учитывая, что 55% интернет-пользователей подключается к сети с помощью смартфонов, это воспринимается очень удивительным.
Тот факт, что мы боимся сетевых угроз (82% опрошенных), редко когда выливается в конкретные действия. Многое указывает на то, что мы просто не обращаем достаточного внимания на сохранение конфиденциальности собственных данных... а ведь надо. Ибо список угроз очень длинный.
Вредоносные программы - угроза для компьютера
Безусловно, вредоносные программы наиболее часто упоминались среди всех сетевых опасностей. И не без оснований - в конце концов, это самая популярная „форма действий“ среди людей, желающих навредить другим пользователям.
Правильная защита требует постоянного обновления антивирусной программой базы данных - новые типы вредоносных программ, возникают практически каждый день. От обычных удаленных средств управления оборудования, передающих контроль над компьютером другому человеку, и заканчивая бесчисленным множеством вирусов и троянский программ. А к этому следует добавить черви, руткиты или клавиатурных шпионов, которых часто невозможно обнаружить традиционными методами.
Пароли сохраненные в браузере
Одна из самых полезных функций веб-браузеров также представляет угрозу. Учитывая удобство и значительную экономию времени, ей пользуются практически все, но в ситуации, когда телефон или компьютер попадет в чужие руки, у нас появляются серьёзные проблемы, а вор, без каких-либо усилий, может войти на наш почтовый ящик или аккаунт социальной сети.
Означает ли это, что безопаснее было бы вообще не использовать запоминание паролей? Конечно, нет - достаточно иметь надежный менеджер паролей , который сам по себе является дополнительным средством безопасности.
Фишинг и фарминг - угроза для доверчивых
Фишинг - это всё более популярный тип интернет-мошенничества, с помощью которого пытаются получить конфиденциальные данные от пользователей, чтобы затем использовать, например, для получения контроля над банковским счетом.
Попытки вытянуть ключевую информацию очень часто принимают форму поддельных писем - от почты России, банка или другой организации, которой большинство пользователей доверяет. С угрозами этого типа имели в своей жизни дело почти 60% пользователей. Те, кто не могут отличить поддельные сообщения от реальных (по данным исследования Intel до 15% российских интернет-пользователей) очень падки на такого рода действия.
А что с фармингом? Это, в свою очередь, более развитая и часто труднее различимая форма фишинга, использующая подлинные адреса учреждений, но перенаправляющая на поддельные копии страниц.
Единственным полностью надежной защитой в этом случае будет актуальная база вирусов в вашем программном обеспечении и самостоятельная проверка сертификации сайта.
Спам - информационная угроза
В этом случае гораздо реже речь идет о прямой угрозе для данных на смартфоне или компьютере (хотя в некоторых случаях, конечно же, она существует), а более разочарование, которым сопровождается использование электронной почты.
Почтовые сервисы Интернета, конечно, имеют основные фильтры, но все равно иногда что-то попадает в ящик. 80% интернет-пользователей регулярно использует почтовый ящик и ни одного из них не нужно, наверное, убеждать, сколь вреден спам.
Проблема исчезает, если мы используем передовые защитные пакеты, а также имеем лицензию на его мобильную версию.
Сети ботнет
Это тип опасности, о которой мы часто даже не отдаем себе отчета. Его присутствие практически незаметно, он не вредит, ибо имеет совершенно другую задачу. Он использует вычислительные мощности зараженных компьютеров, например, для рассылки спама или атак на выбранные сервера.
Надежная защита
Список опасностей гораздо больше и что ещё хуже - постоянно расширяется. Каждая из них представляет собой, однако, действительно серьезную угрозу, которая из-за невнимательности пользователя может привести к ситуации, в которой он теряет доступ к критически важным данным.
Самое важное, в любом случае, использование технологий и решений, дающих нам уверенность, что хранящиеся на дисках или сети данные надежно защищены. Хотя даже самый полный пакет не освобождает нас от необходимости сохранения здравого смысла при работе в сети интернет.
Посмотрело: 3378
Статья рассчитана на тех, кто начал думать о сетевой безопаности или продолжает это делать и укрепляет защиту веб-приложений от новых угроз - ведь для начала нужно понять, какие вообще могут быть угрозы, чтобы их предовратить.
Необходимость думать о сетевой безопасности почему-то считается правом только больших компаний, типа , и , или , которые открыто объявляют конкурсы за нахождение уязвимостей и всеми способами поднимают безопасность своих продуктов, веб-приложений и сетевых инфраструктур. При этом подавляющее большинство существующих веб-систем содержат «дыры» различного характера ( , уязвимости средней степени риска содержат 90% систем).
Что такое сетевая угроза или сетевая уязвимость?
WASC (Web Application Security Consortium) выделял несколько базовых классов, каждый из которых содержит несколько групп, распространенных уязвимостей, использование которых может нанести ущерб компании. Полная классификация выложена в виде , и на русском языке есть перевод предыдущей версии от InfoSecurity - , который будет использован за основу классификации и существенно дополнен.
Основные группы угроз безопасности сайтов
Недостаточная аутентификация при доступе к ресурсам
В эту группу угроз входят атаки на основе Подбора (), Злоупотребление функционалом () и Предсказуемое расположение ресурсов (). Основное отличие от недостаточной авторизации заключается в недостаточной проверке прав (или особенностей) уже авторизованного пользователя (например, обычный авторизованный пользователь может получить права администратора, просто зная адрес панели управления, если не производится достаточная проверка прав доступа).Эффективно противодействовать таким атакам можно только на уровне логики приложения. Часть атак (например, слишком частый перебор) могут быть заблокированы на уровне сетевой инфраструктуры.
Недостаточная авторизация
Сюда можно отнести атаки, направленные на легкость перебора реквизитов доступа или использование каких-либо ошибок при проверке доступа к системе. Кроме техник Подбора () сюда входит Угадывания доступа () и Фиксация сессии ().
Защита от атак этой группы предполагает комплекс требований к надежной системе авторизации пользователей.
Сюда входят все техники изменить содержимое веб-сайта без какого-либо взаимодействия с сервером, обслуживающим запросы - т.е. угроза реализуется за счет браузера пользователя (но при этом обычно сам браузер не является «слабым звеном»: проблемы заключаются в фильтрации контента на стороне сервера) или промежуточного кэш-сервера. Виды атак: Подмена содержимого (), Межсайтовые запросы (XSS, ), Злоупотребление перенаправлениями (), Подделка межсайтовых запросов (), Расщепление HTTP-ответа ( , Контрабанда HTTP-ответа (), а также Обход маршрутизациии (), Расщепление HTTP-запроса () и Контрабанда HTTP-запроса ().
Значительная часть указанных угроз может быть блокирована еще на уровне настройки серверного окружения, но веб-приложения должны также тщательно фильтровать как поступающие данные, так и ответы пользователя.
Выполнение кода
Атаки на выполнение кода являются классическими примерами взлома сайта через уязвимости. Злоумышленник может выполнить свой код и получить доступ к хостингу, где расположен сайт, отправив определенным образом подготовленный запрос на сервер. Атаки: Переполнение буфера (), Форматирование строки (), Целочисленное переполнение (), LDAP внедрение (), Mail внедрение (), Нулевой байт (), Выполнение команд ОС (), Исполнение внешнего файла (RFI, ), Внедрение SSI (), Внедрение SQL (), Внедрение XPath (), Внедрение XML (), Внедрение XQuery () и Внедрение XXE ().
Не все из указанных типов атак могут касаться вашего сайта, но корректно они блокируются только на уровне WAF (Web Application Firewall) или фильтрации данных в самом веб-приложении.
Разглашение информации
Атаки этой группы не являются угрозой в чистом виде для самого сайта (поскольку сайт никак от них не страдает), но могут нанести вред бизнесу или использованы для проведения других типов атак. Виды: Отпечатки пальцев () и Обход директорий ()Правильная настройка серверного окружения позволит полностью защититься от таких атак. Однако, также нужно обратить внимание на страницы ошибок веб-приложения (они могу содержать большое количество технической информации) и работу с файловой системой (которая может быть компрометирована недостаточной фильтрацией входных данных). Также бывает, что в поисковом индексе появляются ссылки на какие-либо уязвимости сайта, и это само по себе является существенной угрозой безопасности.
Логические атаки
В этой группе отнесли все оставшиеся атаки, возможность которых заключается, в основном, в ограниченности серверных ресурсов. В частности, это Отказ в обслуживании () и более точечные атаки - Злоупотребление SOAP (), Переполнение XML-атрибутов и Расширение XML-сущностей ().Защита от них только на уровне веб-приложений, либо блокировки подозрительных запросов (сетевое оборудование или веб-прокси). Но при появление новых видов точечных атак необходиом проводить аудит веб-приложений на предмет уязвимости им.
DDoS-атаки
Как должно быть понятно из классификации, DDoS-атака в профессиональном смысле - это всегда исчерпание ресурсов сервера тем или иным способом. Другие методы () напрямую к DDoS атаке отношения не имеют, но представляют тот или иной вид уязвимости сайта. Там же в Википедии достаточно подробно изложены методы защиты, здесь их дублировать не буду.
