Что такое кибератаки и какие они бывают
Краткий гайд по всем видам угроз, которые подстерегают вас в Сети и не только.
Журналист, изучает Python. Любит разбираться в мелочах, общаться с людьми и понимать их.
По данным «Ростелеком-Солар», в 2022 году только в России было выявлено 911 тысяч событий ИБ — то есть состояний информационных систем, которые могли привести к утечкам данных, выходу серверов из строя и так далее. Количество таких событий растёт из года в год, и существенную их долю составляют кибератаки. В этой статье мы решили разобраться, какие они бывают, как работают и почему от них иногда так сложно защититься.
Кибератака — это воздействие на с целью повредить её, получить или ограничить к ней доступ, собрать конфиденциальные данные.
Чтобы совершить кибератаку, злоумышленники ищут уязвимости в информационной системе. Например, если веб-приложение позволяет клиентам загружать файлы напрямую, хакер непременно запустит туда вирус. Если сервер способен обрабатывать только 100 запросов в секунду, злоумышленник будет отправлять их десятками тысяч, чтобы запросы остальных пользователей не обрабатывались.
К жертве могут даже втереться в доверие и «по-дружески» узнать у неё информацию, которая поможет при дальнейшем взломе. Или убедить подключить заражённую USB-флешку к компьютеру.
Способов обмануть систему и человека — множество. И от каждого нужно уметь защищаться.
Зачем и кого атакуют киберпреступники в РоссииИнфографика: Solar JSOC CERT
Кибератаки делятся на виды весьма условно. Кроме того, чтобы повысить шансы на успех, в одном нападении преступники могут использовать сразу несколько подходов. Например, переход по фишинговой ссылке может спровоцировать установку вредоносного ПО. Тем не менее попробуем провести некоторую типизацию.
Загрузка вредоносного программного обеспечения — самый распространённый вид компьютерных атак. Его задача — заразить информационную систему и остаться в ней.
То, как такое ПО попадает в систему и ведёт себя в ней, зависит от самой программы. Вот несколько самых частых подходов.
Что будет происходить после заражения компьютера, тоже зависит от особенностей вредоносного ПО.
Если вредоносная программа скрывает следы своего присутствия не очень тщательно, то обнаружить её наличие можно по косвенным признакам: пропадает часть системной или оперативной памяти, процессы выполняются медленнее обычного и зависают, периодически случаются сбои.
Но лучший способ найти вредоносное ПО — это, конечно, антивирус.
DoS-атаки (расшифровывается как denial of service, или отказ в обслуживании) перегружают информационную систему. Для этого злоумышленники отправляют сразу множество запросов, которые она не успевает обработать. Системе не хватает мощности серверов или пропускной способности сети, и она начинает сбоить.
В результате время обработки всех запросов резко увеличивается. Часто информационная система вообще перестаёт отвечать, и пользователи не могут получить к ней доступ.
Подобные атаки могут длиться от нескольких минут до часов и даже суток. За это время, скажем, интернет-магазин может потерять миллионы рублей.
Но чаще злоумышленники используют не DoS, а DDoS-атаки. Дополнительная D означает Distributed (распределённый). Этот вид отличается тем, что запросы отправляются не с одного компьютера, а сразу со множества разных.
Для проведения DDOS-атаки не нужна армия киберзлодеев. Небольшая группа хакеров получает контроль над тысячами узлов Сети, превращая их в ботнет, и те по сигналу заваливают жертву мусорным трафиком. Как правило, зомби (то есть узлами ботнета) становятся небольшие устройства со слабыми механизмами защиты: дешёвые IP-камеры, умные видеорегистраторы и гаджеты для умного дома. Но иногда это могут быть смартфоны, персональные компьютеры и даже серверы.
Иногда DDoS-атаки проводят как отвлекающий манёвр. Пока служба информационной безопасности разбирается с ней, злоумышленники могут незаметно проводить кибератаку другого вида.
При фишинговых атаках злоумышленник притворяется доверенным источником и обманом вынуждает жертву перейти по фальшивой ссылке, открыть заражённое вложение в электронном письме или даже самостоятельно сообщить конфиденциальные данные.
При таком подходе используют неосведомлённость или невнимательность жертвы. « Сотрудники службы безопасности банка», которые звонят людям и запрашивают у них данные платёжных карт, занимаются именно фишингом.
Фишинговые атаки бывают массовые и целевые. При массовой главное — развесить как можно больше «крючков», на которые клюнут жертвы. А вот целевая атака направлена на конкретную жертву, на которую предварительно собирают информацию, чтобы повысить шансы на успех.
Ещё бывает уэйлинг. Если fishing переводится как «рыбалка», то whaling — «китобойный промысел». Это подвид фишинга, в котором в жертвы выбирают высшее руководство компаний и известных личностей.
Их цели могут быть разными: получить доступ к данным, повредить, изменить или удалить их. У нас есть подборка способов защиты от SQL-инъекций.
При атаках на цепочку поставок злоумышленники ищут уязвимости у разработчиков ПО. Найдя брешь в защите, они получают доступ исходному коду и внедряют в него вредоносные фрагменты.
В результате добросовестные компании вместе со своими продуктами начинают распространять зловредов, даже не подозревая об этом. Клиенты (а ими могут быть не только пользователи, но и другие компании) скачивают программы и тем самым заражаются.
Такие компьютерные атаки особенно опасны тем, что подрывают доверие к жертве. Кто захочет пользоваться продуктом компании, которая заражает компьютеры клиентов вирусами?
XSS расшифровывается как cross-site scripting — межсайтовый скриптинг. При этом виде атаки злоумышленники внедряют вредоносные скрипты в незащищённые сайты и веб-приложения.
Затем, когда пользователь посещает веб-страницу, браузер выполняет эти скрипты. Они могут собирать информацию о жертве или незаметно перенаправлять её на страницу-клон. При drive-by-атаках (их ещё называют атаками со скрытой загрузкой) такие скрипты тайно устанавливают на компьютер вредоносное ПО.
Как мы уже сказали выше, в наиболее уязвимом положении находится . Умную лампочку заразить вредоносным ПО проще, чем персональный компьютер. Тем более в некоторых случаях в ней может вообще не быть антивируса.
При атаках типа man-in-the-middle (человек посередине) злоумышленники перехватывают трафик между двумя узлами связи, оставаясь незамеченными. Они могут как просто собирать информацию, так подменять её на другую.
Чтобы не стать жертвой таких атак, нужно передавать данные по защищённым протоколам. Даже если данные перехватят, они будут у злоумышленника в зашифрованном виде.
Разрабатывая информационные системы, приходится прикрывать все гипотетические слабые места. При этом киберпреступнику для успешной атаки достаточно найти всего одну уязвимость.
Поэтому многие крупные компании держат у себя не только «защитников», но и «нападающих», которые постоянно испытывают собственные системы на прочность. Это называется наступательной кибербезопасностью.
Но под угрозой находятся не только корпорации. Информационная безопасность — удовольствие недешёвое, поэтому малый и средний бизнес может использовать менее совершенные способы защиты. Это делает их более лёгкой мишенью для киберпреступников.
Для взлома компьютерной системы нужно гораздо меньше денег и ресурсов, чем для её защиты. Из-за этого на рынке хакеров даже падают расценки, иногда в десятки раз. При этом специалистов по безопасности не хватает.
Наиболее распространённые уязвимости в российских компанияхИнфографика: Solar JSOC CERT
Если вы начинающий разработчик и хотите научиться защищать информационные системы от компьютерных атак, у нас есть гайд по кибербезопасности.
Добиться 100%-й защиты от компьютерных атак нельзя. Но если заботиться о своей информационной безопасности, шанс стать жертвой киберпреступников значительно снизится.
Ежегодно в мире происходят миллионы кибератак. Но лишь единицы будоражат общественность и вызывают обсуждения. Расскажем о нескольких громких случаях.
В нашем тесте вы можете найти больше историй о кибератаках и попробовать отличить реальные от вымышленных.
В марте 2017 года Microsoft выпустила обновление для Windows, в котором устранили опасную уязвимость системы. Но обновить операционную систему успели не все, и в мае началась эпидемия червя-вымогателя WannaCry, который использовал эту самую уязвимость (и некоторые другие).
Червь зашифровывал данные на компьютере и требовал заплатить выкуп — иначе всё удалял. Да и если платили, тоже удалял: в коде червя были ошибки, из-за которых он не мог связать выкуп с жертвой. Хотя были сообщения и о том, что выкуп помогал и данные расшифровывались.
Вот что видели пользователи заражённых компьютеровИзображение: Wikimedia Commons
Меньше чем за месяц WannaCry заразил более полумиллиона компьютеров по всему миру. Из-за него останавливались заводы и переносились медицинские операции.
Он существует до сих пор. Злоумышленники периодически выпускают к WannaCry патчи, чтобы он мог использовать больше уязвимостей в Windows.
Через несколько месяцев после эпидемии WannaCry появился патч к уже известному вымогателю Petya. Он использовал те же уязвимости, что и WannaCry. Но оказалось, что новый червь только маскировался под вымогателя. Это стиратель. Так как он оказался не Петей, то и назвали его соответственно — NotPetya.
Червь не предусматривал расшифровку файлов и мог только удалять их, чем успешно занимался. Его задачей было не принести создателям деньги, а нанести как можно больше ущерба жертвам.
Одной из стартовых точек распространения NotPetya была офисная программа M. E. Doc, предназначенная для документооборота и подачи отчётности — поэтому его удар особенно сильно пришёлся по бизнесу.
В результате NotPetya оказался одной из самых разрушительных, если не самой разрушительной кибератакой в истории. Ущерб от него составил более 10 млрд долларов.
В 2016 году три американских студента колледжа создали один из крупнейших в мире ботнетов. Он состоял из интернета вещей: в основном камер видеонаблюдения и беспроводных маршрутизаторов (но и тостерами не брезговали) — всего несколько сотен тысяч устройств.
Взломать их было легко, потому что в интернете вещей не особенно беспокоились о безопасности: использовали имена пользователей и пароли по умолчанию.
Ботнет назвали Mirai — в честь аниме Mirai Nikki («Дневник будущего»). Слово mirai означает «будущее».
Создатели ботнета решили заработать на игре Minecraft. К 2016 году там сложился целый рынок серверов: игроки платили деньги, чтобы попасть на сервер с интересным и уникальным миром. Проводя DDoS-атаки на серверы конкурентов, можно переманивать игроков к себе. Эту-то услугу и предлагали создатели Mirai.
Французский интернет-хостинг OVH предлагал хорошие инструменты для защиты Minecraft-серверов от DDoS-атак. Тогда Mirai атаковал и положил его. Потом — сан-францискую ProxyPipe, которая тоже занималась защитой от DDoS-атак. В сентябре 2016 года о Mirai написал журналист Брайан Кребс. После этого атаковали и положили уже его сайт, а ботнетом заинтересовалось ФБР.
Хакеры по всему миру стали использовать наработки американских студентов и создавать собственные варианты Mirai: за следующие полгода подобные ботнеты совершили более 15 тысяч DDoS-атак.
Самая громкая из таких — атака на сервера крупной DNS-компании Dyn в октябре 2016 года. Из-за неё в Северной Америке и части Европы в течение нескольких часов было недоступно множество сайтов, включая Amazon, Netflix, PayPal и Reddit. На Восточном побережье США интернет-соединение либо замедлилось, либо вовсе пропало.
А в результате другой атаки в ноябре 2016 года Mirai-подобный ботнет отключил от интернета всю Либерию.
Создателей Mirai в итоге нашли. В 2018 году их приговорили к пяти годам условно и 62,5 неделям общественных работ.
Жизнь можно сделать лучше!Освойте востребованную профессию, зарабатывайте больше и получайте от работы удовольствие. А мы поможем с трудоустройством и важными для работодателей навыками.
Основная статья: Кибератаки
Классификация моделей кибератак
В феврале 2017 года TAdviser и Sec-Consult составили следующую классификацию моделей кибератак.
Преступление как сервис (Crime-as-a-Service)
Основная статья: Преступление как сервис (Crime-as-a-Service)
Уязвимости протокола канала передачи данных
Проблемы безопасности в слое 2 модели OSI.
Модель атаки:
Уязвимости слоев сетевого и транспортного протокола
Проблемы безопасности в слое 3, 4 and 5 модели OSI.
Модель атаки:
Проблемы с файерволом
Проблемы безопасности, связанные с конфигурацией файервола.
Модель атаки:
Уровень исправлений сервера
Возможно применение известных багов программного обеспечения, несмотря на то что патч уже имеется
Конфигурация сервера / общий тип
Данный класс включает в себя ошибки конфигурации, которые могут быть использованы злоумышленниками, в отношении всех типов серверного программного обеспечения.
Стандартное программное обеспечение и проприетарные приложения
Веб-приложение не имеет достаточных средств аутентификации для защиты своих ресурсов.
Неавторизованный или непривилегированный пользователь может получить доступ к ресурсам, которые защищены или должны быть защищены.
Злоумышленник может нарушить бизнес-правила приложения
Злоумышленник может собирать информацию о внутренних данных приложения или серверном окружении
Способствование атакам со стороны клиента (браузерные атаки)
Этот класс уязвимостей относится к Интернету. В него входят атаки, нацеленные на веб-браузер.
Проблемы подстановки интерпретатора / проверки введенных данных
Приложение передает введенные параметры в базу данных, в API (программные интерфейсы) операционной системы или в другие интерпретаторы без надлежащей проверки данных.
Проблемы управления состоянием / сессией
Переменные состояния или сессии инициализируются и применяются неверно.
Небезопасное управление доверенными данными
Злоумышленник может манипулировать доверенными данными и внутренними данными приложения.
Функциональность в которой нет необходимости, и небезопасная функциональность
Приложение имеет небезопасную по своей сути функциональность.
Использование небезопасных алгоритмов позволяет скомпрометировать уязвимые данные.
Уязвимость, приводящая к отказу в обслуживании
Служба может быть выведена злоумышленником из строя.