Защита WEB ресурсов организации

· Анализ защищенности внешних WEB ресурсов организации (сайтов, интернет порталов, корпоративных ресурсов для партнеров и сотрудников), разработка и внедрение рекомендаций по защите от внешних угроз безопасности.

· Внедрение программно-аппаратных комплексов по защите от распределенных атак отказа в обслуживании (DDoS).

 

65 Провести анализ возможных угроз безопасности информационным системам по следующему признаку - возможности нанесения ущерба субъекту отношений от источника внутренних угроз

Угрозы классифицируются по возможности нанесения ущерба субъекту отношений при нарушении целей безопасности. Ущерб может быть причинен каким-либо субъектом (преступление, вина или небрежность), а также стать следствием, не зависящим от субъекта проявлений. При обеспечении конфиденциальности информации это может быть хищение (копирование) информации и средств ее обработки, а также ее утрата (неумышленная потеря, утечка).

При обеспечении целостности информации список угроз таков:

· модификация (искажение) информации;

· отрицание подлинности информации;

· навязывание ложной информации.

При обеспечении доступности информации возможно ее блокирование, либо уничтожение самой информации и средств ее обработки

Все источники угроз можно разделить на классы, обусловленные типом носителя, а классы на группы по местоположению.

Источники угроз безопасности информации подразделяются на внешние и внутренние.

Внутренними источниками являются:

· противозаконная деятельность политических, экономических и криминальных структур и отдельных лиц в области формирования, распространения и использования информации, направленная в т.ч. и на нанесение экономического ущерба государству;

· неправомерные действия различных структур и ведомств, приводящие к нарушению законных прав работников в информационной сфере;

· нарушения установленных регламентов сбора, обработки и передачи информации;

· преднамеренные действия и непреднамеренные ошибки персонала автоматизированных систем, приводящие к утечке, уничтожению, искажению, подделке, блокированию, задержке, несанкционированному копированию информации;

· отказы технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах;

· каналы побочных электромагнитных излучений и наводок технических средств обработки информации.

 

66 Провести анализ возможных решений для защиты информационных систем от внутренних угроз информационной безопасности

В последнее время все большую популярность среди производителей средств защиты информации (СЗИ) от внутренних угроз приобретают программные и программно-аппаратные средства защиты от несанкционированного доступа (НСД) и копирования. Программные части систем защиты можно классифицировать по принципу действия на:

· системы, участвующие в вычислительном процессе и использующие сложные логические механизмы;

· системы, использующие шифрование защищаемых ресурсов;

· системы, хранящие в аппаратной части последовательность выполнения программного кода.

Под программно-аппаратными СЗИ часто понимаются средства, основанные на использовании так называемых аппаратных (электронных) ключей или замков. Также в качестве такого устройства могут использоваться смарт-карты и иные устройства.

Многие компании, специализирующиеся на решениях защиты информационных систем, предлагают сегодня средства контроля и управления доступом в корпоративную сеть с автоматизированных рабочих мест сотрудников организации. Здесь рассматривается комплекс вопросов, связанных с классификацией программных и программно-аппаратных СЗИ, их достоинствами и недостатками, критериями/условиями выбора данного типа средств.

 

67 Провести анализ основных видов угроз безопасности информационным системам

Угроза нарушения конфиденциальности - заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней. В терминах компьютерной безопасности угроза нарушения конфиденциальности имеет место всякий раз, когда получен доступ к некоторой секретной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой. Иногда, в связи с угрозой нарушения конфиденциальности, используется термин «утечка».

Угроза нарушения целостности - включает в себя любое умышленное изменение информации, хранящейся в вычислительной системе или передаваемой из одной системы в другую. Когда злоумышленники преднамеренно изменяют информацию, говорится, что целостность информации нарушена. Целостность также будет нарушена, если к не санкционированному изменению приводит случайная ошибка программного или аппаратного обеспечения.

Санкционированными изменениями являются те, которые сделаны уполномоченными лицами с обоснованной целью (например, санкционированным изменением является периодическая запланированная коррекция некоторой базы данных).

Угроза отказа служб - возникает всякий раз, когда в результате преднамеренных действий, предпринимаемых другим пользователем или злоумышленником, блокируется доступ к некоторому ресурсу вычислительной системы.

Реально блокирование может быть:

· постоянным - запрашиваемый ресурс никогда не будет получен,

· или оно может вызывать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным.

 

68 Провести анализ возможного ущерба предприятию при реализации угроз информационной безопасности информационным системам

По отношению к предприятию угрозы делятся на:

· внутренние - занесение вируса в сеть сотрудниками, кража информации сотрудниками

· внешние - хакерская атака на компьютеры компании

По намеренности угрозы могут быть:

· преднамеренными - вредоносное ПО или человек, угрожающие компании;

· непреднамеренными. - случайное удаление данных сотрудником.

По цели можно выделить угрозы, направленные на:

· получение, уничтожение или изменение данных;

· нарушение работы или контроль над работой ПО и прочие.

Одной из наиболее частых хакерских атак на компьютеры предприятий является получение закрытых сведений для дальнейшего их незаконного использования (пароли к интернет-банкам, учётным записям электронной почты, финансовой и личной информации и т.д.). Такую угрозу можно классифицировать как внешнюю преднамеренную угрозу, направленную на получение данных.

 

При нарушении защищенности ИС предприятия, как и любого хозяйствующего субъекта, злоумышленник имеет возможность получить доступ к информации, содержащей сведения:

· характеризующие финансовое состояние и планы организации (финансовые отчеты, различная бухгалтерская документация, бизнес-планы, договоры и др.);

· персональные данные клиентов и сотрудников организации;

· технологические и конструкторские разработки, ноу-хау компании и т. п.;

· внутренние (служебные записки, аудиозаписи совещаний, презентации «только для сотрудников» и т. д.);

· технические сведения, необходимые для несанкционированного доступа в сеть либо на сайт организации третьих лиц (логины и пароли, сведения об используемых средствах защиты и т. п.).

Хищение информации такого рода принесет компании как прямой, так и косвенный ущерб.

Можно выделить три основных вида прямого ущерба:

· потеря конкурентного преимущества;

· иски от потерпевших в результате утечек клиентов и партнеров;

· штрафы со стороны правоохранительных или надзорных органов.

Потеря конкурентного преимущества – наиболее существенный вид ущерба, поскольку она может привести к самым большим убыткам, для компании. Например, на устранение несанкционированных изменений в информации или коде сайта компании могут потребоваться внушительные материальные и временные затраты.

Прямой ущерб от хищения информации определяется стоимостью конструкторских разработок, реализации бизнес-планов и многого другого, которые просто посчитать, т.к. она обычно уже заранее известна.

Размеры косвенного ущерба оценить гораздо труднее, а иногда о нем можно и никогда не узнать, но именно он приносит наибольшие убытки, т.к. выражается в потере деловой репутации компании.

 

69 Провести анализ возможных угроз при подключении локальной или корпоративной сети к глобальным сетям

При подключении локальной или корпоративной сети к глобальным сетям администратор сетевой безопасности должен решать следующие задачи:

· Защита локальной или корпоративной сети от несанкционированного удаленного доступа со стороны глобальной сети;

· Скрытие информации о структуре сети и ее компонент от пользователей глобальной сети;

· Разграничение доступа из/в защищаемой локальной сети в/из незащищенную глобальную сеть.

При этом наиболее распространены следующие способы атак:

· Вход с узла сети с недопустимым сетевым адресом.

· «Заваливание» сетевыми пакетами при помощи программы ping.

· Соединение с разрешенного сетевого адреса по запрещенному сетевому адресу.

· Соединение по запрещенному или неподдерживаемому сетевому протоколу.

· Подбор пароля пользователя по сети.

· Модификация таблицы маршрутизации с помощью ICMP пакета типа REDIRECT.

· Модификация таблицы маршрутизации с помощью нестандартного пакета протокола RIP.

· Запрос несанкционированного удаленного администрирования с запрещенного адреса

· Запрос на изменение пароля при соединении со стороны открытой сети.

· Соединение с использованием DNS spoofing.

· Соединение с разрешенного адреса по разрешенному адресу в неразрешенное время

Приведенное перечисление видов угроз охватывает несколько областей глобальной сети:

· локальный участок, традиционная местная управляемая и администрируемая в организации локальная сеть,

· стык локальная / глобальная сеть,

· участок глобальной сети, используемый для передачи конфиденциальной информации, администрируемый коллективным администратором безопасности,

· неуправляемый участок глобальной сети.

 

70 Провести анализ наиболее распространённых и опасных угроз информационной безопасности информационным системам

Самыми частыми и опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки: пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. Иногда такие ошибки приводят к прямому ущербу (неправильно введенные данные, ошибка в программе, вызвавшая остановку или разрушение системы). Иногда они создают слабые места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования).

Согласно данным Национального института стандартов и технологий США (NIST), 45% случаев нарушения безопасности - следствие непреднамеренных ошибок, 10% кражи и подлоги (нечестные сотрудники), 15% занимают вирусы и 5% физические уязвимости.

Нечестные сотрудники

Физические уязвимости

Ошибки пользователя

Вирусы

Атаки из вне

45%

10%

5%

15%

25%

В большинстве расследованных случаев виновниками оказывались штатные сотрудники организаций отлично знакомые с режимом работы и защитными мерами. Наличие мощного информационного канала связи с глобальными сетями при отсутствии должного контроля за его работой может дополнительно способствовать такой деятельности.

Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны вредить весьма эффективно. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа к информационным ресурсам аннулировались.

Преднамеренные попытки получения несанкционированного доступа через внешние коммуникации занимают в настоящее время около 25% всех возможных нарушений (атака извне).

При анализе рисков возникновения угроз необходимо принять во внимание тот факт, что компьютеры в корпоративной или локальной сети организации не всегда бывают достаточно защищены, чтобы противостоять атакам или хотя бы регистрировать факты нарушения информационной безопасности. Так, тесты Агентства зашиты информационных систем показали, что 88% компьютеров имеют слабые места с точки зрения информационной безопасности, которые могут активно использоваться для получения несанкционированного доступа.

 

71 Провести анализ наиболее распространенных угроз безопасности информационным системам

Несанкционированный доступ (НСД) – наиболее распространенный вид компьютерных нарушений. Он заключается в получении пользователем доступа к ресурсу, на который у него нет разрешения в соответствии с принятой в организации политикой безопасности.

Отказ в услуге. Представляет собой преднамеренную блокировку легального доступа к информации и другим ресурсам.

Незаконное использование привилегий. Злоумышленники, применяющие данный способ атаки, обычно используют штатное программное обеспечение, функционирующее в нештатном режиме. Незаконный захват привилегий возможен либо при наличии ошибок в самой системе, либо в случае халатности при управлении системой. Строгое соблюдение правил управления системой защиты, соблюдение принципа минимума привилегий позволяет избежать таких нарушений.

«Скрытые каналы». Представляют собой пути передачи информации между процессами системы, нарушающие системную политику безопасности. В среде с разделением доступа к информации пользователь может не получить разрешение на обработку интересующих его данных, однако может придумать для этого обходные пути. «Скрытые каналы» могут быть реализованы различными путями, в частности при помощи программных закладок («троянских коней»).

«Маскарад». Под «маскарадом» понимается выполнение каких-либо действий одним пользователем от имени другого пользователя. Такие действия другому пользователю могут быть разрешены. Нарушение заключается в присвоении прав и привилегий.

«Сборка мусора». После окончания работы обрабатываемая информация не всегда полностью удаляется из памяти ПК. Данные хранятся на носителе до перезаписи или уничтожения; при выполнении этих действий на освободившемся пространстве диска находятся их остатки. При искажении заголовка файла их прочитать трудно, но все же возможно с помощью специальных программ и оборудования. Такой процесс принято называть «сборкой мусора». Он может привести к утечке важной информации.

«Люки». Представляют собой скрытую, недокументированную точку входа в программный модуль. «Люки» относятся к категории угроз, возникающих вследствие ошибок реализации какого-либо проекта (системы в целом, комплекса программ и т. д.). Поэтому в большинстве случаев обнаружение «люков» – результат случайного поиска.

Вредоносные программы. В последнее время участились случаи воздействия на вычислительную систему специально созданными программами. Для обозначения всех программ такого рода был предложен термин «вредоносные программы». Эти программы прямо или косвенно дезорганизуют процесс обработки информации или способствуют утечке или искажению информации.

 

72 Провести анализ наиболее распространенных видов вредоносных программ

«Вирус» – это программа, которая способна заражать другие программы, модифицируя их так, чтобы они включали в себя копию вируса.

«Троянский конь» – программа, которая содержит скрытый или явный программный код, при исполнении которого нарушается функционирование системы безопасности. «Троянские кони» способны раскрыть, изменить или уничтожить данные или файлы. Их встраивают в программы широкого пользования, например, в программы обслуживания сети, электронной почты.

«Червяк» – программа, распространяемая в системах и сетях по линиям связи. Такие программы подобны вирусам: заражают другие программы, а отличаются от вирусов тем, что не способны самовоспроизводиться.

«Жадная» программа – программа, которая захватывает (монополизирует) отдельные ресурсы вычислительной системы, не давая другим программам возможности их использовать.

«Бактерия» – программа, которая делает копии самой себя и становится паразитом, перегружая память ПК и процессор.

«Логическая бомба» – программа, приводящая к повреждению файлов или компьютеров (от искажения данных – до полного уничтожения данных). «Логическую бомбу» вставляют, как правило, во время разработки программы, а срабатывает она при выполнении некоторого условия (время, дата, ввода кодового слова).

«Лазейки» – точка входа в программу, благодаря которой открывается доступ к некоторым системным функциям. Обнаруживается путем анализа работы программы.

 

73 Провести анализ возможных угроз безопасности и уязвимости в беспроводных сетях

При построении беспроводных сетей одной из наиболее острых проблем является обеспечение их безопасности. Если в обычных сетях информация передается по проводам, то радиоволны, используемые для беспроводных решений, достаточно легко перехватить при наличии соответствующего оборудования. Принцип действия беспроводной сети приводит к возникновению большого количества возможных уязвимостей для атак и проникновений.

Оборудование беспроводных локальных сетей WLAN (Wireless Local Area Network) включает в себя точки беспроводного доступа и рабочие станции для каждого абонента.

Точки доступа АР (Access Point) выполняют роль концентраторов, обеспечивающих связь между абонентами и между собой, а также функцию мостов, осуществляющих связь с кабельной локальной сетью и с Интернетом. Каждая точка доступа может обслуживать несколько абонентов. Несколько близко расположенных точек доступа образуют зону доступа Wi-Fi, в пределах которой все абоненты, снабженные беспроводными адаптерами, получают доступ к сети. Такие зоны доступа создаются в местах массового скопления людей: в аэропортах, студенческих городках, библиотеках, магазинах, бизнес-центрах и т. д.

У точки доступа есть идентификатор набора сервисов SSID (Service Set Identifier). SSID - это 32-битная строка, используемая в качестве имени беспроводной сети, с которой ассоциируются все узлы. Идентификатор SSID необходим для подключения рабочей станции к сети. Чтобы связать рабочую станцию с точкой доступа, обе системы должны иметь один и тот же SSID. Если рабочая станция не имеет нужного SSID, то она не сможет связаться с точкой доступа и соединиться с сетью.

Главное отличие между проводными и беспроводными сетями связано с наличием неконтролируемой области между конечными точками беспроводной сети. Это позволяет атакующим, находящимся в непосредственной близости от беспроводных структур, производить целый ряд нападений, которые невозможны в проводном мире.

При использовании беспроводного доступа к локальной сети угрозы безопасности существенно возрастают.

Перечислим основные уязвимости и угрозы беспроводных сетей.

· Вещание радиомаяка

· Обнаружение WLAN

· Подслушивание

· Ложные точки доступа в сеть

· Отказ в обслуживании

· Атаки типа «человек в середине»

· Анонимный доступ в Интернет

Вещание радиомаяка. Точка доступа включает с определенной частотой широковещательный «радиомаяк», чтобы оповещать окрестные беспроводные узлы о своем присутствии. Эти широковещательные сигналы содержат основную информацию о точке беспроводного доступа, включая, как правило, SSID, и приглашают зарегистрироваться беспроводные узлы в данной области. Любая рабочая станция, находящаяся в режиме ожидания, может получить SSID и добавить себя в соответствующую сеть. Вещание радиомаяка является врожденной патологией беспроводных сетей. Многие модели позволяют отключать содержащую SSID часть этого вещания, чтобы несколько затруднить беспроводное подслушивание, но SSID, тем не менее, посылается при подключении, поэтому все равно существует небольшое окно уязвимости.

Обнаружение WLAN. Для обнаружения беспроводных сетей WLAN используется, например, утилита NetStumber совместно со спутниковым навигатором глобальной системы позиционирования GPS. Данная утилита идентифицирует SSID сети WLAN, а также определяет, используется ли в ней система шифрования WEP. Применение внешней антенны на портативном компьютере делает возможным обнаружение сетей WLAN во время обхода нужного района или поездки по городу. Надежным методом обнаружения WLAN является обследование офисного здания с переносным компьютером в руках.

Подслушивание. Подслушивание ведут для сбора информации о сети, которую предполагается атаковать впоследствии. Перехватчик может использовать добытые данные, для того чтобы получить доступ к сетевым ресурсам. Оборудование, используемое для подслушивания в сети, может быть не сложнее того, которое применяется для обычного доступа к этой сети. Беспроводные сети по своей природе позволяют соединять с физической сетью компьютеры, находящиеся на некотором расстоянии от нее, как если бы эти компьютеры находились непосредственно в сети. Это позволяет подключиться к беспроводной сети, располагающейся в здании, человеку, сидящему в машине на стоянке рядом с ним. Атаку посредством пассивного прослушивания практически невозможно обнаружить.

Ложные точки доступа в сеть. Опытный атакующий может организовать ложную точку доступа с имитацией сетевых ресурсов. Абоненты, ничего не подозревая, обращаются к этой ложной точке доступа и сообщают ей свои важные реквизиты, например аутентификационную информацию. Этот тип атак иногда применяют в сочетании с прямым глушением, чтобы заглушить истинную точку доступа в сеть.

Отказ в обслуживании. Полную парализацию сети может вызвать атака типа «отказ в обслуживании» (DoS). Цель любой атаки отказа в обслуживании состоит в создании помехи при доступе пользователя к сетевым ресурсам. Беспроводные системы особенно восприимчивы к таким атакам. Физический уровень в беспроводной сети - абстрактное пространство вокруг точки доступа. Злоумышленник может включить устройство, заполняющее весь спектр на рабочей частоте помехами и нелегальным трафиком, - такая задача не вызывает особых трудностей. Сам факт проведения DoS-атаки на физическом уровне в беспроводной сети трудно доказать.

Атаки типа «человек в середине». Атаки типа «человек в середине» выполняются на беспроводных сетях гораздо проще, чем на проводных, так как к проводной сети требуется реализовать определенный вид доступа. Обычно атаки «человек в середине» используются для нарушения конфиденциальности и целостности сеанса связи. Атаки «человек в середине» более сложны, чем большинство других атак: для их проведения требуется подробная информация о сети. Злоумышленник обычно подменяет идентификацию одного из сетевых ресурсов. Злоумышленник использует возможность прослушивания и нелегального захвата потока данных с целью изменения его содержимого, необходимого для удовлетворения некоторых своих целей, например для спуфинга IP-адресов, изменения МАС-адреса для имитирования другого хоста и т. д.

Анонимный доступ в Интернет. Незащищенные беспроводные ЛВС (локальные вычислительные сети) обеспечивают хакерам наилучший анонимный доступ для атак через Интернет. Хакеры могут использовать незащищенную беспроводную ЛВС организации для выхода через нее в Интернет, где они будут осуществлять противоправные действия, не оставляя при этом своих следов. Организация с незащищенной ЛВС формально становится источником атакующего трафика, нацеленного на другую компьютерную систему, что связано с потенциальным риском правовой ответственности за причиненный ущерб жертве атаки хакеров.

 

74 Провести анализ возможных киберугроз

1. Увеличение количества 0-day уязвимостей

Хакерам нужны новые способы внедрения своих вредоносных программ на компьютеры пользователей. Разработчики ПО регулярно закрывают обнаруженные уязвимости, но хакеры оперативно находят и эксплуатируют новые дыры в безопасности популярных продуктов, которые используются как для массового заражения, так и для целевых постоянных атак повышенной сложности. Гонка хакеров и производителей ПО продолжается уже не первый год. Но количество уязвимостей нулевого дня растет особенно быстро в последнее время, поскольку этот рост стимулируется новыми проектами, такими как Zerodium, которые выплачивают высокие вознаграждения авторам новых эксплоитов. Этот фактор, а также тот факт, что эксплуатация уязвимостей нулевого дня может иметь самые широкие последствия – от создания ботнетов для рассылки спама и DDoS атак, до краж баз персональных и платежных данных клиентов крупных организаций – обусловил первое место данной тенденции в нашем рейтинге.

2. Ориентация атак на компании, содержащие самые большие клиентские базы

Традиционно хакерские атаки были направлены на самые «денежные» сегменты рынка: финансовый, энергетический, здравоохранение. Но последние месяцы уходящего года показали, что интерес для взлома представляют любые компании, содержащие крупные базы клиентов. Так, мы сообщали об утечке данных клиентов British Gas, о взломе крупнейшего бесплатного хостинга 000Webhost, сетей отелей Hilton и Starwood, производителя игрушек VTech. Совсем свежая информация – о масштабной утечке персональных данных фанов Hello Kitty. Каждый месяц характеризуется минимум одной миллионной утечкой конфиденциальных данных. На сегодняшний день невозможно спрогнозировать, кто станет следующей жертвой хакеров. Это привело к тому, что банкиры поставили киберугрозы на первое место и опасаются их больше, чем экономического кризиса, а заработок экспертов по информационной безопасности взлетел до небес, составляя для некоторых пятизначные суммы в день.

3. Фокус на платежные инструменты (PoS-терминалы, банкоматы, банковские карты)

Тема скимминга уже практически не появляется в новостных заголовках, как это было раньше. Сейчас хакеры пишут специальные вирусы под PoS-терминалы (упоминавшиеся выше взломы отелей Hilton и Starwood были осуществлены с помощью вирусов для PoS-терминалов), учатся обходить защиту банковских карт с помощью чипов и взламывают банкоматы программными методами. Ситуация усугубляется тем, что с января 2016 компания Microsoft прекращает поддержку встраиваемой версии Windows XP, которая используется во многих банкоматах. Отсутствие поддержки приведет в этом году к атакам на банкоматы с использованием новых уязвимостей, патчи от которых уже никто не выпустит. Злоумышленники проводят широкомасштабные кампании по инфицированию PoS терминалов по всему миру с целью массовой кражи данных о картах покупателей.

4. Более сложные шпионские кампании

Некоторые специалисты прогнозируют снижение количества APT-атак в 2016 году, вплоть до полного их отмирания как класса. Но ни промышленный, ни правительственный шпионаж никуда не денутся. Повышенная бдительность безопасников и правозащитников приведет только к тому, что такие атаки станут еще более сложными и замаскированными. Мы станем меньше встречать в новостях какой либо конкретики, но гораздо больше станет таких инцидентов, которые будут характеризоваться словами «детали устанавливаются», «проводится расследование», «предположительно», «источник атаки неизвестен» и т.п. И еще больше станет целенаправленных атак, которые никогда не попадут в прессу. Даже правительственный мониторинг станет менее «гласным». Еще недавно правозащитники радовались, что США сворачивают программу тотального мониторинга граждан. Но ответом властей стало принятие 19 декабря акта CISA (Cybersecurity Information Sharing Act), который ставит под угрозу безопасность персональных данных и потенциально ограничивает гражданские свободы в США. Незадолго до этого похожий акт принял и Евросоюз. В прессу будут попадать только те случаи, которые будут связаны с расследованием громких уголовных дел. Глобально же массовая слежка за гражданами приобретет более скрытный характер. А факты промышленного шпионажа и кражи интеллектуальной собственности и коммерческих секретов будут вскрываться, в основном, благодаря человеческому фактору либо демаскирующим ошибкам в шпионском ПО. В целом за 2015 год произошла утечка более 290 млн. записей с конфиденциальными данными. Какое количество атак осталось незадокументированным – неизвестно.

5. Новые каналы DDoS атак

В 2015 году количество DDoS атак увеличилось на 180% по сравнению с прошлым годом, хотя их интенсивность уменьшилась. Такое впечатление, что хакеры готовятся к чему-то серьезному, пробуя свои возможности традиционно на корневых серверах имен. Судя по всему, возможности существуют нешуточные. В тренде – использование ботнетов из смартфонов, атаки с усилением и DDoS атаки через IoT устройства. Вспомним о том, что ежедневно появляются сообщения о серьезных уязвимостях платформы Android. Мобильные приложения, часто через троянские рекламные модули, активно распространяют зловредный код, в том числе и агентов ботнетов, через которые проводятся DDoS-атаки. И теперь представим, что сотни миллионов зомбированных устройств включились одновременно в масштабную DDoS атаку с отражением и усилением. Какой ресурс устоит? Вопрос риторический. Сеть Интернет может быть разрушена, если кто-то этого по-настоящему захочет.

6. Фокус на устройства Apple

Проблемы безопасности мобильных устройств таятся не только в платформе Android. Устройства Apple также не остаются в стороне. Особенно опасным здесь является тот факт, что пользователи Apple привыкли чувствовать себя в безопасности. Многие ли из них используют антивирус на своем макбуке, не говоря уже про айфон? Увы. Таких единицы. Между тем, количество угроз под iOS и Mac OS X стремительно растет. Так, появился первый в мире концепт программы-вымогателя под Mac OS X, был обнаружен бэкдор в тысячах приложений под iOS, официально опубликованных в App Store, немало уязвимостей найдено в iTunes и QuickTime. Но главное, при наличии достаточной финансовой мотивации, взломать можно все. А такую мотивацию дает, например, стартап Zerodium, который выплачивает до 500 тысяч долларов за удаленный джейлбрейк iOS. Он же организовал конкурс по взлому iOS с призовым фондом 1 млн. долларов, который быстро нашел своих обладателей. С учетом того, что пользователи Apple не привыкли своевременно обновлять свои программы, 2016 год принесет для них довольно много неприятных неожиданностей. А поскольку количество поклонников продуктов Apple стремительно растет, массовый взлом этой платформы будет иметь широкий общественный резонанс.

7. IoT устройства

«Персональные данные были похищены путем взлома чайника» - могли ли вы представить себе такой заголовок в новостях год назад? А как насчет взлома куклы Барби? Добро пожаловать в Интернет вещей. Самые неожиданные устройства оснащаются сегодня «умными» функциями и подключаются к Интернет. Как и все новое, эти функции мало протестированы и содержат много «дыр». Производители создают проприетарное ПО для прошивки устройств, которое не проверяется должным образом на безопасность. Зато сторонние эксперты с удовольствием берут на себя функции по тестированию защищенности этих устройств. Всего месяц назад было найдено более 9 тысяч уязвимостей в IoT устройствах. И это только начало.

8. Аппаратные уязвимости одноплатных миникомпьютеров

Все большую популярность приобретают одноплатные миникомпьютеры, основанные на ARM-процессорах, например, Raspberry Pi. Выпущенные в 2012 году, Raspberry Pi заслуженно завоевали популярность среди пользователей. Несмотря на то, что изначально они были ориентированы как дешевый вариант миникомпьютера для образовательных целей, они получили довольно широкое применение. Высокий спрос на эти устройства привел к тому, что 2015 году было выпущено две революционные модели – Raspberry Pi 2 с четырехядерным процессором частотой 900 МГц и 1 ГБ оперативной памяти по цене $35, а также Raspberry Pi Zero с ценой всего $5 (!). Raspberry Pi Zero были распроданы немедленно после выпуска, в связи с чем возник их дефицит и рост цены. Но высокая популярность закономерно имеет и обратный эффект. В 2015 году начала появляться информация об уязвимостях этой платформы. А учитывая тот факт, что еще годом ранее появилась информация о взломе технологии ARM TrustZone, в 2016 году стоит ожидать повышенного интереса хакеров к SoC (System on Chip) на базе ARM процессоров.

9. Фокус на биометрические системы аутентификации

Способы аутентификации с помощью паролей безнадежно устарели. В то же время, рынок систем безопасности достаточно инертный, и все игроки оглядываются на лидеров этого рынка. Вряд ли какой-нибудь новый стартап сможет расшатать фундаментальные основы, такие как стандартные методы аутентификации. В 2015 году ничего кардинально нового в этом направлении, по сути, не произошло. Однако если раньше просто говорили о скором отказе от традиционных паролей в пользу биометрических систем аутентификации, то в 2015 крупные игроки начали запускать и тестировать такие системы. Так, банки Лондона провели испытания системы идентификации клиентов по «селфи», MasterCard запустил систему Selfie Pay и провел успешное тестирование пилотных проектовс использованием технологии MasterCard Identity Check в США и Нидерландах, компания Symantec анонсировала введение методов биометрической аутентификации для своих сервисов в 2016 году. При этом уже не первый год специалисты дискутируют на тему надежности существующих методов биометрической идентификации. Например, по словам немецкого эксперта Яна Крисслера, ему необходимо всего 2 часа, чтобы обмануть датчик отпечатков пальцев любой сложности. Он же научился обманывать и трехмерные системы распознавания лица. И это не пустые слова: ранее Крисслер смог обойти технологию Apple TouchID, воссоздал отпечатки пальцев немецкого министра обороны и сетчатку глаза канцлера Германии. С массовым внедрением систем биометрической идентификации мы услышим об очень громких скандалах глобального масштаба, связанных со взломом таких систем, и начнется это уже в ближайшем обозримом будущем.

10. Фокус на бортовые системы управления (автомобили, самолеты)

Уязвимости бортовых систем управления автомобилей и самолетов – не менее актуальная тема. По уровню своей потенциальной опасности ее можно было бы поставить на первое место, поскольку успешная реализация атак здесь ставит под прямую угрозу человеческие жизни. Но ввиду ее небольшой распространенности пока что (а это может измениться в любой момент) эта тенденция замыкает наш ТОП10. Уже давно ходят разговоры о возможных хакерских атаках на бортовые системы автомобилей и самолетов. А в октябре 2015 года директор Европейского агентства авиационной безопасности подтвердил эти опасения, заявив, что хакеры могут легко проникнуть в критичные системы. Уже в этом году, из-за непрекращающихся боевых действий в Украине, Сирии и других горячих точках планеты, главной причиной крушения гражданских бортов с сотнями невинных человеческих жертв вполне может стать не взрывчатка на борту или вражеская ракета, а хакерская атака. Все возможности для этого были уже неоднократно продемонстрированы на хакерских конференциях. Надеемся, что этого не произойдет ни в этом году, ни когда-либо в дальнейшем. Что касается взлома автомобильных систем, это уже не редкость. Так, только на конференции BlackHat в США в 2015 году были представлены два доклада – о дистанционном взломе пассажирского автомобиля и о взломе физически