Сейчас мало кто уделяет должное внимание угрозам, направленным на интернет-порталы, поскольку нет достаточного понимания возможных последствий. Отсутствуют данные, которые помогают связать потерю информации через портал или недоступность портала и реальные денежные потери. В общей массе есть исключения и относятся они к компаниям, чей бизнес напрямую завязан на порталах: интернет магазины, торговые площадки, системы интернет-банкинга. Для них связь между простоем портала и упущенной прибылью является прямой и четко понятной для владельцев, но большая часть бизнеса пока игнорирует данные угрозы. "Общий уровень защищенности web-ресурсов российских компаний оставляет желать лучшего. В части технических средств можно подобрать решения и построить эшелонированную защиту, – отмечает Карпова Виктория, специалист компании ICL-КПО ВС. – Но почти всегда возникают проблемы с эффективной эксплуатацией и поддержанием должного уровня защищенности, который может быть достигнут только посредством непрерывного анализа попыток проникновений, реагирования на них и проактивных действий, направленных на уменьшение рисков взлома от неизвестных векторов атак".
Даже множественные публикации случаев взлома/сбоев web-порталов по большей части игнорируются. Изменить ситуацию может только еще более массовое освящение данной темы и информирование о угрозах (которые реальны) и рисках (которые крайне высоки) для каждого, кто так или иначе начинает работать через интернет.
Согласно оценкам Positive Technologies (компания провела исследование уязвимостей web-порталов российских компаний), через портал каждого третьего предприятия можно проникнуть в корпоративную сеть и развить атаку вплоть до получения полного контроля над инфраструктурой. "Рецепт защиты же для всех один: периодически проводить анализ защищенности, выявлять уязвимости на как можно более ранних стадиях жизненного цикла веб-приложения и использовать средства превентивной защиты, в том числе на уровне приложений (web application firewall)", – говорит Евгения Поцелуевская, руководитель отдела аналитики компании Positive Technologies.
"Нездоровый интерес" к интернет-порталу может проявлять как внешний, так и внутренний злоумышленник, то есть инсайдер. Для внутреннего злоумышленника наиболее вероятной целью может быть кража данных, хотя возможны и более сложные схемы в виде закладки уязвимостей, которые впоследствии будут эксплуатироваться "соратником" – внешним злоумышленником. Внешние атаки можно сгруппировать по нескольким наиболее характерным преследуемым целям.
DoS и DDoS
Цель таких атак – нарушение доступности web-портала для пользователей. Для примера можно привести следующие случаи: нарушение доступа к торговой площадке во время проведения на ней торгов по определенному лоту; нарушение доступа к web-порталу на котором должен быть опубликован финансовый отчет; нарушение доступа к порталу новостного агентства; нарушение доступа к почтовому серверу.
Технически этот тип атак реализуется при помощи DoS и DDoS-атак (атака, препятствующая осуществлению доступа пользователя к информации или сервису). Отличие DoS-атаки от DDoS заключается в том, что в первом случае атакующим является один узел или соединение, в то время как во втором используется множество узлов и соединений, зачастую расположенных в разных странах. Наиболее часто встречающейся разновидностью является атака, переполняющая память сервера множеством запросов. В результате сервер не в состоянии отвечать на входящие запросы либо отвечает настолько медленно, что сессия прерывается.
Целью атаки может выступать отдельно взятый сервер, порт или сервис целевой системы, целая сеть или отдельно взятый компонент в сети. Помимо этого, могут быть атакованы ресурсы системы (полоса пропускания, дисковое пространство, процессорные буферы), настройки (маршруты), данные о состоянии (преждевременные обрывы сессии). Кроме того, DoS-атака может активизировать заранее заложенных "червей", срабатывающих при сбое системы и работе в режиме, отличном от штатного состояния.
Этот тип атак крайне сложно обнаружить без специализированных средств (для примера: атака может длиться на протяжении дней и заключаться в постепенном установлении соединений, по которым не передается никакая информация). Организация такой атаки стоит от $50. Если оценивать вероятность встречи с данным типом атаки для среднестатистической компании, то следует признать, что она очень высока – инструменты для реализации доступны, а заказ на стороне обойдется очень дешево.
Искажение информации
Целью злоумышленника в этом случае является искажение информации, представленной на web-портале. Для примера можно привести следующие случаи: возможность какой-то группе заявить о себе (anonymous); искажение информации для введения пользователей/клиентов в заблуждение. Для технической реализации необходим доступ к web-порталу, для чего может применяться целый набор различного вида атак, например, Session Hijacking и Cross-site Scripting.
Что представляет собой их реализация? В случае Session Hijacking злоумышленник получает доступ к пользовательской сессии, например, перенаправляет трафик между пользователем и сервером через себя. При реализации Cross-site Scripting мошенник помещает команду в поле ввода, которая выполняется на стороне браузера пользователя. В обоих случаях злоумышленник получает доступ в систему.
Риск реализации таких атак очень высок независимо от того, является ли web-портал интересным в данный момент времени широкой аудитории. Не всегда успешная реализация приводит к эксплуатации полученного доступа – он может быть оставлен "про запас" и использоваться, когда это потребуется злоумышленнику.
Нарушение работы системы
Порой мошенникам требуется нарушить функционирование системы, например, работу платежных сервисов (затруднение доступа к проверке состояния счета); вывести из строя торговый сервер (получение конкурентного преимущества в торгах) или справочную систему/call-центр (переманивание клиентов).
Технически реализация этой атаки может включать в себя любой из видов атак (от DoS до эксплуатации хорошо известных уязвимостей программного обеспечения). Для примера – сервер может работать на версии Apache, для которой была обнаружена уязвимость и выпущено исправление, закрывающее ее. Но обновление по каким-то причинам не было установлено. Злоумышленнику достаточно лишь проверить версию Apache и воспользоваться набором инструментов, эксплуатирующих данную уязвимость. Риск реализации этих атак также крайне высок в силу обилия автоматизированных средств и способов достижения желаемого результата.
Проникновение во внутрь
Целью злоумышленника в данном случае является не сам портал, а то, что за ним находится. Web используется как "дверь" для входа в корпоративную сеть с последующей кражей информации. Это могут быть кража пользовательской информации (логины, пароли), (случай с порталом Yahoo); получение доступа к внутренним базам полиции и государственных учреждений (взлом Anthony Borell ряда web-ресурсов); проникновение во внутреннюю сеть с использованием пользовательских данных системы удаленного доступа.
Проникнуть во внутреннюю сеть можно, например, путем применения атак вида SQL Injection, когда мошенник, используя недостатки контроля вводимых данных, выполняет sql-код, позволяющий получить доступ к базе данных. Вероятность столкнуться с подобными атаками для каждой компании, имеющей внешние ресурсы, следует считать высокой, опять-таки в силу простоты и автоматизации средств проникновения и взлома.
Сегодня хакеры не используют какой-то один тип атак, они применяют комплексные каскадные атаки, то есть целый набор технологий и методов взлома, заключает Василий Дягилев, глава представительства компании Check Point в России и СНГ. "Каждая компания должна понимать, что многоуровневые атаки требуют такой же многоуровневой защиты. Для того чтобы гарантированно защитить информацию от всего спектра существующих угроз, необходим комплексный подход, учитывающий все аспекты функционирования корпоративных сетей. Этого можно достичь за счет использования всей линейки средств, обеспечивающих защиту информации: антивирусов, межсетевых экранов, антиспамов, антиботов, криптографических программ, DLP-систем, DDoS-протекторов и многих других", – поясняет он.
Поделиться
