Безусловно, каждый волен применять свои модели в работе, занимаясь непосредственно защитой или «атакующей безопасностью». Можно использовать и представленные здесь варианты, в т.ч. адаптировать и совершенствовать их. При этом вы будете понимать, как соотноситесь с коллегами по цеху в части методологии в данном аспекте и где можете улучшить свою деятельность.
Модели кибератак. Систематизируем защиту и нападение
Любая систематизация начинается с анализа текущих достижений в данном направлении: что об этом уже говорят авторитетные источники, что есть в лучших практиках
Александр Кузнецов, руководитель ключевых проектов Solar JSOC компании “Ростелеком-Солар”
«атакующей безопасностью» (offensive security), рано или поздно начинаешь задавать себе ряд вопросов. Как твоя деятельность согласуется с общепринятыми представлениями о реализации кибератак? Ничего ли ты не упустил или, наоборот, затрачиваешь усилия на что-то малозначимое? Вот об этом и поговорим ниже.
Кибертерроризм — это запланированная кибератака на информационные системы, программы и данные, приводящая к насильственным действиям, которая направлена на достижение политических или идеологических мотивов преступников.
ФБР США описывает кибертерроризм как любую кибератаку, предназначенную для запугивания или нанесения физического вреда жертве. Злоумышленники часто добиваются этого, уничтожая или нанося ущерб критической инфраструктуре цели.
Однако, ИБ-сообщество трактует кибертерроризм как атаки, направленные на достижение политических целей преступников. Даже при отсутствии физической опасности или крупных финансовых потерь основная цель кибертерроризма — нарушение работы систем или причинение какого-либо вреда целям.
По данным Центра стратегических и международных исследований (CSIS), крупные атаки направлены на госучреждения, оборонные и высокотехнологичные компании, а также на совершение финансовых преступлений с ущербом более $1 млн.
Введение
В компьютерной безопасности, атаки по сторонним каналам (side-channel attacks) – класс атак, базирующийся на уязвимости криптографических систем, как физического объекта. В противовес атакам в теоретической криптографии, где взлом реализуется за счет обнаружения и использования уязвимостей алгоритмов шифрования, в ходе атак по побочным каналам используется информация о физических процессах, происходящих в ходе реализации шифрования и дешифрования. Таким образом, предложение: “Компьютеры работают не на бумаге, а на физических законах”, можно назвать главной парадигмой такого рода атак.
Часто используемыми параметрами для взлома вычислительных машин принято выделять: время исполнения операций, потребляемая системой мощность, электромагнитное излучение, выделяемое в ходе работы, звуки, издаваемые как внутренними комплектующими, так и внешними устройствами.
В отличие от теоретических криптографических атак, атаки по сторонним каналам требуют более индивидуального подхода к каждой криптосистеме, что намного повышает эффективность их реализации, но, с другой стороны, обязывает злоумышленника обладать большими знаниями в области статистики, радиотехники, криптоанализа.
Причины кибертерроризма
Кибератаки могут иметь самые разные мотивы, но большинство из них носят финансовый характер. Однако, как показывает практика, хакеры становятся более политически мотивированными.
В чем разница между кибервойной и кибертерроризмом?
Кибервойна — это разновидность информационной войны, и она ограничивается Интернетом. Кибервойна и информационная война имеют конкретные цели в конфликте, а кибертерроризм носит массовый характер и наносит вред любому, кто попал в зону влияния злоумышленников.
Как кибератаки влияют на общество
Нехватка электроэнергии, отказ оборудования и раскрытие конфиденциальной информации о национальной безопасности — все это может быть вызвано кибератаками. Они могут привести к краже секретной и личной информации, а также отключить IT-системы, телефонные, компьютерные сети и заблокировать доступ к данным.
Самые распространенные виды киберпреступлений
Фишинг и связанные с ним виды мошенничества были наиболее распространенными киберпреступлениями, о которых сообщалось в Центр жалоб на интернет-преступления США (IC3) в 2021 году, от которых пострадали около 324 тысяч человек. Кроме того, IC3 получила сообщения примерно о 52 000 случаев утечки персональных данных в том же году.
Как кибертерроризм может повлиять на физическую инфраструктуру
Злоумышленники стремятся повредить или нарушить работу критической инфраструктуры, предоставляющую основные услуги, особенно те, которые связаны с правительством и финансами.
Нарушая работу IT-систем, которые управляют физическими процессами, киберпреступники могут нанести ущерб физической инфраструктуре, даже не имея физического доступа к цели атаки. Такие атаки наносят ущерб частным предприятиям и ставят под угрозу национальную безопасность. Для эффективной защиты систем крайне важно, чтобы правительство и бизнес-сектор работали вместе.
Лучшие практики, или Почему здесь нет ISO 27001?
ISO/IEC 27001:2013 «Information technology — Security techniques — Information security management systems — Requirements» ISO/IEC 27002:2013 «Information technology — Security techniques — Code of practice for information security controls». Здесь сразу стоит отметить, что эти стандарты верой и правдой служат нам при построении систем управления информационной безопасностью на предприятиях, но вот можно ли опираться на них в части формирования модели кибератак?
Принимая во внимание, что в основу этих стандартов заложен риск-ориентированный подход (учитывающий взаимосвязь рисков, угроз, уязвимостей и контрмер), а кибератаки рассматриваются только как один из вариантов угроз, это не может быть нашим ориентиром.
В данном случае необходимо отправиться на поиски других лучших практик.
В частности, мы рассмотрим следующие материалы:
– Cyber Kill Chain от Lockheed Martin Corporation;
– MITRE ATT&CK (принимая во внимание, что первые шаги считаем соответствующими Cyber Kill Chain);
– Special Publication 800-115 от National Institute of Standards and Technology (NIST);
– предложениями от EC-Council в рамках их учебных программ, в т.ч. Certified Ethical Hacker (CEH);
– тактики из проекта методического документа “Методика моделирования угроз безопасности информации” от ФСТЭК России.
Избавляя читателя от обзора каждого отдельного документа, предлагаю небольшое сравнение этих материалов между собой:
Безусловно, самым насыщенным выглядит MITRE ATT&CK и его условно авторский перевод для проекта методического документа ФСТЭК России, но при этом все шесть моделей прекрасно коррелируют между собой и дополняют друг друга.
В сухом остатке можно выделить четыре последовательных ключевых этапа в рамках реализации кибератаки:
Более подробная информация о них представлена в таблице:
Существуют
различные типа классификации атак.
Например, деление на пассивные и активные,
внешние и внутренние, умышленные и
неумышленные. Однако дабы не запутать
вас большим разнообразием классификаций,
мало применимыми на практике, предлагаю
более “жизненную” классификацию:
Компания
Internet Security Systems, Inc. еще больше сократила
число возможных категорий, доведя их
до 5:
Первые
4 категории относятся к удаленным атакам,
а последняя – к локальным, реализуемом
на атакуемом узле. Можно заметить, что
в данную классификацию не попал целый
класс так называемых “пассивных”
атак (“прослушивание” трафика,
“ложный DNS-сервер”, “подмена
ARP-сервера” и т.п.).
Классификация
атак, реализованная во многих системах
обнаружения атак, не может быть
категоричной. Например, атака, реализация
которой для ОС Unix (например, переполнение
буфера statd) может иметь самые плачевные
последствия (самый высокий приоритет),
для ОС Windows NT может быть вообще не
применима или иметь очень низкую степень
риска. Кроме того, существует неразбериха
и в самих названиях атак и уязвимостей.
Одна и та же атака, может иметь разные
наименования у разных производителей
систем обнаружения атак.
Одной
из лучших баз уязвимостей и атак является
база данных X-Force, находящаяся по адресу:
http://xforce.iss.net/. Доступ к ней может
осуществляться как путем подписки на
свободно распространяемый список
рассылки X-Force Alert, так и путем интерактивного
поиска в базе данных на Web-сервере
компании ISS.
Рис.
1.1. Развертка видов сетевых угроз для
КС
Если
сложить полученную развертку «видов
угроз» (рис. 1.1) в многогранник, то получим
объемный классификатор угроз.
Далее,
принимая во внимание тот факт, что угрозы
помимо основной классификации по видам
(рис. 1.2) могут классифицироваться и по
другим критериям, уточним эту классификацию
с учетом специфики:
Рис.
1.2. Объемный классификатор сетевых угроз
для КС
–
пассивные атаки
(не влияющие на функционирование системы,
но нарушающие ее политику безопасности),
–
активные атаки
(влияющие на функционирование системы
и нарушающие ее политику безопасности).
2.
По цели воздействия:
3.
По условию начала атаки:
–
по запросу от атакуемого объекта
(атакующий ожидает передачи от атакуемого
объекта запроса определенного типа,
который и будет условием начала
осуществления воздействия),
–
по наступлению события
(атакующий осуществляет постоянное
наблюдение за состоянием объекта атаки
и при наступлении определенного события
в операционной системе атакуемого
объекта начинает воздействие),
–
безусловная атака
(атака осуществляется немедленно и
безотносительно к состоянию системы и
атакуемого объекта).
4.
По наличию обратной связи с объектом
атаки:
–
с обратной связью
(атака характеризуется тем, что на
некоторые запросы, переданные на
атакуемый объект, атакующему необходимо
получить ответ, для этого между атакуемым
объектом и атакующем организовывается
обратная связь),
–
без обратной связи
(атакующему объекту не требуется
реагировать на какие-либо изменения,
происходящие на атакуемом объекте).
5. По
расположению относительно объекта
атаки:
–
внутрисегментные
(атакующий и атакуемый объекты находятся
в одном сегменте сети),
–
внешнесегментные
(атакующий и атакуемый объекты находятся
в разных сегментах сети).
6.
По уровню модели OSI
на котором осуществляется атака:
–
физический
(на физическом уровне осуществляется
физическое соединение между компьютерной
системой и физической средой передачи;
он определяет расположение кабельных
контактов и т.п.),
–
канальный
(обеспечивает создание, передачу и прием
кадров данных; этот уровень обслуживает
запросы сетевого уровня и использует
сервис физического уровня для приема
и передачи пакетов),
–
сетевой
(на этом уровне происходит маршрутизация
пакетов на основе преобразования
MAC-адресов в сетевые адреса),
–
транспортный
(транспортный уровень делит потоки
информации на пакеты для передачи их
на сетевой уровень),
–
сеансовый
(сеансовый уровень отвечает за организацию
сеансов обмена данными между оконечными
машинами),
–
представительский
(отвечает за возможность диалога между
приложениями на разных машинах; этот
уровень обеспечивает преобразование
данных прикладного уровня в поток
информации для транспортного уровня),
В
связи с предложенной выше классификацией,
на основе рис. 1.2 построим наглядный
классификатор в виде многогранника
(рис. 1.3), горизонтальные слои которого
представляют из себя классы угроз, а
боковые грани виды угроз.
Рис.
1.3. Классы сетевых угроз для КС
С
учетом проведенной классификации был
уточнен состав сетевых компьютерных
атак на КС:
Сканирование
портов запущенных служб
A.1
Несанкционированное определение IP
адресов сетевых устройств
A.2
Идентификация служб и приложений
установленных на атакуемом компьютере
A.3
Определение типа ОС
B.2
Тотальный перебор, оптимизированный
по статистике встречаемости символов
B.3
Тотальный перебор, оптимизированный с
помощью словарей
B.4
Подбор пароля с использованием знаний
о владельце пароля
B.5
Подбор образа пароля
Анализ
(перехват) сетевого трафика
C.1
Анализ ответов, получаемых при посылке
запросов на запись
C.2
Анализ списка контроля доступа к ресурсам
C.3
Анализ комментариев к учетным записям
C.4
Выявление настроек маршрутизатора
Внедрение
ложного доверенного объекта
D.1
Внедрение ложного объекта путем
навязывания ложного маршрута (IP-spoofing)
D.2
Внедрение ложного объекта на основе
использования недостатков алгоритма
удаленного поиска (DNS-spoofing,
ARP-spoofing)
Отказ
в облуживании (DOS
атака)
E.1
На хост пользователя
E.4
На почтовый сервер
E.5
На сервер провайдера
Спиральная модель кибератаки
Практика показывает, что кибератака зачастую не ограничивается единоразовым последовательным прохождением по указанным выше этапам. Ее реализация развивается скорее по спирали: требуется выполнить одно задание, прежде чем приступить к другому. Более того, состав заданий может меняться после прохождения любого из этапов и будет зависеть от качества его реализации.
Данная модель соответствует и достаточно популярной сегодня схеме, когда один атакующий получает доступ, осматривается, а потом продает собранную информацию или полученный доступ другому незваному гостю, преследующему свои цели и реализующему свои действия.
Таким образом, предлагаемая модель кибератаки принимает следующий вид:
На самом деле предложенный вариант очень близок к модели реагирования на компьютерные инциденты, предложенной NIST в SP 800-61 «Computer Security Incident Handling Guide», которая многими считается эталонной.
Выявляя соответствующие инциденты ИБ и соотнося их с этапами реализации кибератаки, приложенными в модели, можно предположить, как много уже прошел атакующий, куда еще может проникнуть или в каком направлении может двинуться дальше (хотя последнее далеко не всегда прозрачно). Дополнительно можно рассмотреть вариант расстановки для себя приоритетов по выявлению кибератак на определенных этапах, хотя здесь есть нюансы: мы изначально не знаем сколько колец в данной конкретной атаке может быть.
Эта модель может быть применима и к массовым атакам, и к атакам, характерным для организаций определенного сектора, и к таргетированным.
Например, первым кольцом в спирали атаки может выступать фишинг. Какими тогда будут основные этапы?
Если необходимо, то сам этап получения списка рассылки может быть разложен по такому же принципу и рассмотрен как нулевое кольцо.
А уже «посередине» может быть горизонтальное перемещение:
Атаки по сторонним каналам, или какие кибератаки нужно показывать в кино
Время на прочтение
Защита от кибертерроризма
До недавнего времени основными целями кибертерроризма были госучреждения. Сейчас ситуация поменялась и теперь целью стал бизнес. Поэтому компании и другие организации должны гарантировать, что каждое IoT-устройство защищено и недоступно через открытые сети.
Для защиты организациям необходимо:
Для улучшения кибербезопасности в США был создан альянс National Cyber Security Alliance для повышения осведомленности граждан о кибербезопасности. Он предлагает обучать сотрудников процедурам безопасности, а также тому, как обнаруживать вредоносное ПО и кибератаки.
Классификация атак по получаемой информации
Атаки по остаточным данным (Data remanence atacks)
Остаточные данные – остаточное представление цифровых данных, которые сохраняются даже после попыток удалить информацию. Такое может возникнуть в случае, когда данные оказались нетронутыми в результате операций удаления файлов, переформатирования носителя данных, при котором не удаляется ранее записанная информация, или из-за физических свойств носителя. В таком случае возможно восстановление данных, которые могут содержать конфиденциальную информацию.
Атаки по ошибкам вычислений (Differential fault analysis)
Класс атак, главным принципом которых является воспроизведение сбоев, непредвиденных условий окружающей среды для вычислительной системы. Как пример, плата может подвергаться воздействию высокой/низкой температуры, неподдерживаемого напряжения или тока питания, чрезмерно высокого разгона процессора, сильных электрических и магнитных полей, или даже ионизирующих излучений. При такой ситуации могут начать выводиться неверные результаты из-за физического повреждения данных, что может помочь злоумышленникам определить инструкции, которые выполняет процессор или каково состояние внутренних данных.
Атаки по видимому излучению (Optical attacks)
Новый класс полу-агрессивных атак по сторонним каналам, который базируется на внедрении оптических неисправностей в микросхемы шифрования.
Активные атаки с внедрением оптических ошибок могут участвовать в атаках на такие алгоритмы как RSA, AES.
Анализ излучения фотонов представляет собой разновидность пассивной атаки, в ходе которой собирается информация об излученных работающим чипом фотонах. Это позволяет выбрать конкретную часть чипа для углубленного анализа работы. Такой точечный подход дает лучшее соотношение сигнал-шум по сравнению с электромагнитным анализом или анализом потребляемой мощности, которые концентрируются на общесистемной утечке информации через посторонний канал.
Атаки по электромагнитному излучению (Electromagnetic attacks)
Класс атак, основанный на получении информации об изменении электромагнитного излучения, испускаемого вычислительной системой в ходе реализации криптографических алгоритмов, и дальнейшем изучении полученных данных.
Атаки по электромагнитному излучению, в основном, неагрессивные и пассивные, это означает, что такие посягательства могут выполняться путем наблюдения за нормальным функционированием целевого устройства без внесения физического вреда.
Такие атаки успешны против криптографических алгоритмов, которые по-разному излучают в зависимости от выполняемых действий. В итоге, электромагнитный след шифрования может показать точные выполняемые операции, позволяя злоумышленнику получить полные или частичные ключи шифрования.
Атаки по электромагнитному излучению чаще всего реализуются в союзе с другими атаками, например, атаками по потребляемой мощности. Такое совместное использование подходов позволяет более эффективно взламывать вычислительные машины.
Атаки по энергопотреблению (Power-monitoring attacks)
Корреляционная атака по мощности (correlation power analisys) является эффективным типом атаки, который позволяет анализировать зависимость между расчетным и измеренным током питания в процессе шифрования. По изменениям протекающих в схеме токов, злоумышленник может определить происходящие в чипе процессы.
Выделяют 2 основных вида атак:
Противодействие таким атакамАтаки анализа мощности обычно не могут быть обнаружены устройствами, поскольку мониторинг злоумышленников чаще всего пассивен, более того атака неагрессивна. В результате наличие детекторов оказывается неэффективным методом борьбы. Вместо этого инженеры криптосистем должны следить за тем, чтобы изменения потребляемой мощности устройств не раскрывали информацию о выполняемых процессах. Простой анализ мощности может легко отличить результат условных переходов при выполнении алгоритмов, поскольку устройство делает разные операции, потребляя разную мощность, в зависимости от того, выбрано ли условное переходное состояние. По этой причине следует позаботиться о том, чтобы не было секретных значений, влияющих на условные переходы. Дифференциальный анализ мощности предотвратить труднее, поскольку даже небольшие отклонения в потребляемой мощности могут привести к уязвимостям, которые можно использовать. Некоторые стратегии противодействия включают алгоритмические модификации, которые приводят к тому, что операции происходят с данными, которые связаны с фактическим значением с помощью некоторой математической зависимости, которая сохраняется после криптографических операций. Другие подходы основываются на модификации оборудования: изменение внутренней тактовой частоты микросхемы используется для рассинхронизации электрических сигналов, что в свою очередь усложняет идентификацию исполняемых инструкций.
Атаки по времени (timing attacks)
Множество атак, базирующихся на изучении поведения системы с течением времени, в зависимости от получаемых данных.
Временные характеристики криптографической системы зависят как от реализуемых алгоритмов, так и от ключей шифрования, используемых в определенный момент в алгоритме. Различие времени выполнения операций обуславливается оптимизацией производительности, ветвлением, наличием условных операторов в алгоритмах, инструкций процессора, ОЗУ.
Основным подходом для взлома систем является статистический анализ данных, полученных в ходе реализации криптоалгоритма.
Первая реализованная атакаВпервые данная атака была проведена П. Кохером в 1996 году в отношении алгоритма шифрования RSA. Для получения исходного сообщения необходимо провести вычисление в выражении , где С – шифротекст, N – модуль алгоритма RSA, d – секретный ключ. Злоумышленнику нужно найти d, для этого требуется, чтобы вычислительная система производила расчеты на специально выбранных значениях С. Точные вычисления затраченного на реализацию времени и изменения временных интервалов обработки, позволяют атакующей стороне восстанавливать по одному биту секретного ключа за раз. То есть атака по времени сводится к проблеме обнаружения сигнала. Явное изменение приходящего сигнала символизирует приход целевого бита секретного ключа, а шум приводит всего лишь к небольшому колебанию приходящего сигнала. Таким образом, количество требуемых отсчетов синхронизации определяется свойствами сигнала и шума. Возможные способы защитыНаиболее распространенным способом защиты от временных атак является внесение в алгоритм случайности, которая позволяет регулярно варьировать временя исполнения. Это приводит к небольшой потере производительности в пределах от 2% до 10% процентов. Другим способом обезопасить вычислительную систему – квантовать все вычисления, то есть сделать их кратными некоторому заранее заданному кванту времени. Главный недостаток этого подхода состоит в том, что этот квант времени будет определяться самым большим временем выполнения алгоритма, а это исключает возможность оптимизации производительности.
Акустические атаки (acoustic cryptanalysis)
Совокупность атак, базирующихся на статистическом анализе различных звуков, производимых вычислительной системой в ходе работы.
Первоначально атаки были нацелены на принтеры, подключенные к компьютерам, и электромеханические шифровальные машины. В данный момент атаки в приоритете используют звуки внешних устройств ввода и шумы, издаваемые внутренними компонентами. Основной мишенью таких атак становятся изолированные от внешней сети вычислительные системы, доступ к которым сильно ограничен.
Более ранние скрытые акустические каналы прослушки полагались на наличие звукового оборудования в составе вычислительной системы. Для осуществления политики безопасности было запрещено использование такого рода оборудования, чтобы создать, так называемую, “акустическую изоляцию”. Также отключение поддержки звуковых устройств материнской платой может быть произведено в BIOS. Такие меры позволяют противостоять наиболее простым акустическим атакам.
В наше время существуют методы получения данных от изолированных вычислительных систем, которые базируются на изучении звуков, производимых CPU и вентиляторами охлаждения, так как эти звуки напрямую связаны с программным обеспечением. Как пример, вредоносный код на зараженном компьютере может намеренно регулировать скорость вращения охлаждающих вентиляторов, для управления формой издаваемой звуковой волны.
Противодействие атакамВыделяют 3 основных категории противодействия:Процедурные. Главный подход – изоляция систем. Вычислительные системы располагаются в закрытых зонах, где запрещено использование мобильных телефонов, микрофонов и другого электронного оборудования. Однако такая изоляция не всегда возможна ввиду практических соображений. Программные контрмеры заключаются в использовании конечных точек доступа для обнаружения вредоносных действий на компьютере. Аппаратное противодействие может включать детекторы шума, которые контролируют звуковую волну в определенных диапазонах, однако возможны ложные срабатывания из-за окружающего шума. Также не исключается физическая изоляция, при которой корпус компьютера покрывается специальным шумоизолирующим слоем, но этот метод очень дорог и непрактичен в больших масштабах.
Примеры кибертерроризма
Компьютерные серверы, устройства и сети, доступные через Интернет, часто используются в кибертеррористической деятельности. Целями являются защищенные правительственные сети.
Примеры кибертерроризма включают:
Потребность в модели
Зачем вообще нужна система или модель какой-либо деятельности? Она помогает действовать эффективнее, т.е. не изобретать велосипед каждый раз и не тратить драгоценные ресурсы на сведение воедино разрозненных результатов или избыточные шаги. Также система позволяет быстрее вовлекать в ее реализацию новых участников, что особенно актуально сейчас, при дефиците готовых ИБ-специалистов и необходимости решать многие вопросы в режиме
Безусловно, любая систематизация начинается с анализа текущих достижений в данном направлении: что об этом уже говорят авторитетные источники, что есть в лучших практиках (но о них чуть позже).
Сама же модель должна быть, во-первых, легко воспринимаемой и по возможности иметь графическое представление, а во-вторых, инвариантной к изменению целей и средств атакующих, т.к. в противном случае потребуется каждый раз ее перерабатывать.
Классификация атак по взаимодействию с криптосистемой
По контролю над криптосистемой атаки разделяют на:
По уровню доступа к криптографической системе посягательства делятся на:
По методу анализа данных атаки подразделяют на:
Типы хакеров
Хакер в белой шляпе (White Hat Hacker)
Это опытные высоковалифицированные хакеры, обладающие знаниями в области кибербезопасности. Белые хакеры работают на правительства или организации и им официально разрешено проникать в системы. Они используют уязвимости в системе, чтобы взломать её и оценить уровень кибербезопасности организации.
Задача белых хакеров – обнаруживать слабые места в системе и укреплять их, чтобы отражать внешние угрозы. Белые хакеры придерживаются рекомендаций, установленных правительством.
Хакер в черной шляпе (Black Hat Hacker)
Это опытные компьютерные специалисты и важные участники кибертерроризма. У черных хакеров всегда преступные мотивы – они проникают в системы, чтобы украсть конфиденциальные данные или повредить систему. Они используют различные методы взлома, в зависимости от их уровня навыков и знаний.
Как правило, они продают украденные ресурсы в дарквебе, используют их в личных целях или вымогают деньги за возврат данных у жертвы.
Хакер в серой шляпе (Grey Hat Hacker)
Это хакер или ИБ-специалист, который иногда может нарушать законы, но не имеет злого умысла, типичного для хакера в черной шляпе. Такие хакеры могут иметь как преступные, так и этичные намерения. В этом случае, хакер классифицируется как серый хакер, если мотивом является личная выгода.
Хакер в зеленой шляпе (Green Hat Hacker)
Это начинающие хакеры. Их цель – усердно работать и получить необходимые навыки, чтобы стать опытными хакерами.
Хакер в красной шляпе (Red Hat Hacker)
Эти хакеры похожи на белых хакеров. Их цель – предотвратить нападение черных хакеров. Красные хакеры не обороняются, а дают сдачи. Хакеры в красных шляпах запускают полномасштабные атаки против киберпреступников, используя целый ряд агрессивных методов.
Хакер в синей шляпе (Blue Hat Hacker)
Они используют взлом как инструмент, чтобы завоевать доверие других хакеров. Это хакеры-любители, не заинтересованные в изучении особенностей взлома. Хакеры в синей шляпе являются опасными участниками кибертерроризма не потому, что они умеют взламывать, а потому, что у них есть злонамеренные цели.
Хакер в желтой шляпе (Yellow Hat Hacker)
Они сосредоточены на взломе аккаунтов соцсетей с помощью различных инструментов. Из-за своих злонамеренных целей этот тип хакера сравним с хакером в черной шляпе. Часто хакера в желтой шляпе также называют хакером в фиолетовой шляпе.
Хакер в фиолетовой шляпе (Purple Hat Hacker)
Хакер в фиолетовой шляпе тестирует свои собственные компьютеры, чтобы проверить свои навыки кибербезопасности и взлома.
Хактивист (Hacktivist)
Эти хакеры стремятся взломать официальные веб-сайты. При этом они выдают себя за активистов, отсюда и название «хактивисты». Хактивист — это человек или группа анонимных хакеров, стремящихся получить доступ к правительственным сетям и веб-сайтам. Данные, полученные из доступных государственных документов, используются для получения социальной или политической выгоды на индивидуальной основе.
Является ли хактивизм преступлением?
Методы, которые используют хактивисты, являются незаконными и представляют собой своего рода киберпреступление. Но правоохранительные органы редко обращают внимания на такие преступления, поэтому они часто остаются безнаказанными. Ущерб в результате взлома обычно невелик, и правоохранительным органам бывает сложно точно определить хакеров.
Самые известные кибертеррористические акты
Центр стратегических и международных исследований (CSIS) составил список самых значимых кибератак с 2006 года. Некоторые из них являются актами кибертерроризма:
Виды кибертерроризма
Усовершенствованные постоянные угрозы (Advanced Persistent Threat, APT) осуществляют доступ к сети с помощью сложных методов проникновения. Оказавшись в сети, кибертеррористы пытаются украсть данные, оставаясь при этом незамеченными. A PT-атаки часто нацелены на организации с ценной информацией, в том числе в национальной обороне, производстве и финансовом секторе.
Вредоносное ПО
Вредоносные программы, компьютерные черви и вирусы используются для атак на военные системы, транспортные и электрические сети, и критически важную инфраструктуру.
DoS-атаки
Атака типа «отказ в обслуживании» (Denial of Service, DoS)
— это атака, направленная на отключение машины или сети, делая их недоступными для пользователей. При DoS-атаках цель заливается трафиком или получает информацию, которая вызывает сбой в работе. DoS-атака блокирует авторизованным пользователям доступ к определенным компьютерным системам и устройствам.
Взлом
Взлом подразумевает собой получение несанкционированного доступа с целью сбора конфиденциальных данных организаций, правительств и коммерческих предприятий.
Программы-вымогатели
Вымогатели
шифруют все данные и системы жертвы, пока она не заплатит требуемый выкуп. Кроме того, некоторые атаки программ-вымогателей приводят к эксфильтрации данных.
Фишинг
Спуфинг
— это кибератака, в рамках которой мошенник выдает себя за какой-либо надежный источник, чтобы получить доступ к важным данным или информации. Основная цель спуфинга – получить доступ к личной информации, украсть деньги, обойти контроль доступа к сети, а также распространить вредоносное ПО.
Заключение
Не стоит не связывать терроризм в цифровом мире с терроризмом в реальном мире. Будет правильней рассматривать кибертерроризм как операционную стратегию, направленную на достижение определенного психологического результата. Несмотря на количество информации и политику в области кибертерроризма, эта деятельность находится «на старте» и только начинает расширяться.