CC BY
219
Дудников Е.А. ©
Аспирант кафедры компьютерных технологий и управления Санкт-Петербургский национальный исследовательский университет информационных
технологий, механики и оптики
АНАЛИЗ СУЩЕСТВУЮЩИХ ЦЕЛЕЙ СЕТЕВЫХ АТАК И СПОСОБОВ АТАК НА
WEB-СЕРВИСЫ
Аннотация
В данной статье рассматриваются все существующие цели сетевых атак. Производиться аналитическое исследование процентного соотношения целей сетевых атак и атак на WEB-сервисы с целью выявления наиболее критичной области для защиты.
Ключевые слова: сетевые атаки, способы сетевых атак, защита информации, цели сетевых атак.
Keywords: network attack, methods of network attacks, information security, goals of network attacks.
Введение
Современные уровни и темпы развития средств информационной безопасности значительно отстают от уровней и темпов развития информационных технологий.
С ростом популярности интернет ресурсов возникает множество проблем связанных с их использованием и вытекающими последствиями:
1. Поскольку интернет является системой объединённых компьютерных сетей он стал источником внедрения и распространения вредоносного кода (вредоносного ПО) для уничтожения, блокирования, модификации или копирования информации, нарушения работоспособности компьютеров.
2. Интернет является одним из основных каналов утечки персональных данных и конфиденциальной информации. Примером этому служит использование бесплатных почтовых клиентов и почтовых ящиков. Контроль данного ресурса сводится к минимуму, что влечет за собой как проникновение из вне различных вредоносных программ, так и возможность отправить за пределы организации конфиденциальной информации и персональных данных(инсайдеры).
3. В любой системе или приложении есть недостатки(уязвимости), используя которые можно нарушить целостность и работоспособность. Уязвимость может быть вызвана результатом ошибок в прикладном ПО, недостатков, допущенных при проектировании системы, ненадежных паролей авторизации, ошибок при программировании, вирусов и других вредоносных программ, межсайтовым скриптингом, а также SQL-инекциями.
4. Использование ресурсов интернета на сегодняшний день не представляется без использования WEB-сервисов, приложений которые могут быть обнаружены, запущены и опубликованы посредством интернета. Они точно так же уязвимы к атакам, однако используются различные принципы проведения атаки. Атака на WEB-сервис может привести к утечке информации и затем к удаленному выполнению команд и т.д. [1,301-304]
1.1 Цели сетевых атак
Согласно консорциуму безопасности Web-приложений (The Web Application Security Consortium) на 2013 г. Процент атак на Web-приложения составляет:
© Дудников Е.А., 2015 г.
Рис. 1.1. Цели сетевых атак
Из рис. 1.1 видно, что основные цели сетевых атак, а именно таких как уничтожение информации, установка вредоносного программного обеспечения, кражи информации и дезинформации связаны с раскрытием, модификацией информации, для получения несанкционированного доступа к правам владельца у которого есть доступ на использование ресурсов ЭВМ. Так же стоит отметить такие цели как вынужденное бездействие сети, целью которого является распределенный отказ от обслуживания и даже такие неочевидные как ссылочный спам, целью которого является повышение индекса цитирования сайта. [2,16-18] Просуммировав данные цели сетевых атак, получаем следующую диаграмму:
Рис.1.2. Обобщение целей сетевых атак
Из рис.1.2 следует, что 21% атак связан с атаками, с целью которых является вынужденное бездействие сети, к другим 13.5% относятся новые, еще не известные атаки и другие незначительные атаки, такие как фишинг, мошенничество и т.д.
61% целей сетевых атак направлены на файловую систему ОС, следовательно, наиболее актуальным, на сегодняшний день является защита от сетевых атак файловых ресурсов операционной системы.
1.2 Способы атак на Web-сервисы
Наиболее распространенными объектами атаки являются Web-приложения, т.к. используются во многих организациях как наиболее критичные ресурсы, которые должны постоянно поддерживать многомиллионные транзакции. Так же атаки на Web-приложения могут повлечь за собой заражение клиентов непосредственно связанных с сервером. [3].
На рис.1.3 представлены основные способы вторжения на Web-сервисы.
Рис.1.3. Способы вторжения на WEB-сервисы
Важно отметить, что 11% всех успешных атак составляют неизвестные ранее методы. Это связано как с неэффективным мониторингом атак, так и с нежеланием жертв раскрывать данные об успешных атаках.
Также следует отметить, что большинство сетевых атак на web-сервесы связаны с неверной настройкой самих Web-серверов.
К таким атакам можно отнести следующие[4]:
а. Атаки, использующие недостаточную аутентификацию - эта уязвимость возникает, когда web-сервер позволяет атакующему получать доступ к важной информации или функциям сервера без должной аутентификации.
б. Атаки на клиентов web-сервера, которые учитывают доверительные отношения между пользователем и севером: пользователь ожидает, что сайт предоставит ему легитимное содержимое, и не ожидает атак со стороны сайта:
1) подмена содержимого, при которой злоумышленник заставляет пользователя поверить, что полученные страницы сгенерированы web-сервером, а не переданы из внешнего источника;
2) межсайтовое выполнение сценариев (англ. Cross-siteScripting, XSS) - уязвимость, позволяющая атакующему передать серверу исполняемый код, который будет перенаправлен браузеру пользователя. Специфика подобных атак заключается в том, что вредоносный код может использовать авторизацию пользователя в веб-системе для получения к ней
расширенного доступа или для получения авторизационных данных пользователя. Вредоносный код может быть вставлен в страницу как через уязвимость в веб-сервере, так и через уязвимость на компьютере пользователя.Для термина используют сокращение «XSS», чтобы не было путаницы с каскадными таблицами стилей, использующими сокращение «CSS».XSS находится на третьем месте в рейтинге ключевых рисков Web-приложений согласно OWASP 2013. Долгое время программисты не уделяли им должного внимания, считая их неопасными. Однако это мнение ошибочно: на странице или в HTTP-Cookie могут быть весьма уязвимые данные (например, идентификатор сессии администратора или номера платёжных документов), а там, где нет защиты от CSRF, атакующий может выполнить любые действия, доступные пользователю. Межсайтовый скриптинг может быть использован для проведения DoS-атаки; [5,89-91]
3) Межсайтовая подделка запросов (англ. Cross-SiteRequestForgery, CSRF) -уязвимость, аналогичная XSS, направленная на то, что браузер пользователя не проверяет источник запроса. CSRF - это вариант Межсайтового выполнения сценариев (XSS).
Единственное сходство между CSRF и XSS, это использование в качестве вектора атаки клиентов Web-приложений (Client-Side Attack в терминологии WASC). Уязвимости типа CSRF могут эксплуатироваться совместно с XSS или «редиректорами», но представляют собой отдельный класс уязвимостей.
Уязвимость CSRF мало распространена и очень сложна в использовании.
Данные, полученные компанией Positive Technologies в ходе работ по тестированию на проникновение и оценки защищенности Web-приложений показывают, что этой уязвимости подвержена большая часть Web-приложений. В отличие от других уязвимостей CSRF возникает не в результате ошибок программирования, а является нормальным поведением Web-сервера и браузера. Т.е. большинство сайтов, использующих стандартную архитектуру уязвимы «по умолчанию».
в. Атаки, направленные на выполнение кода на web-сервере. В частности внедрение операторов SQL (англ. SQL Injection) - эти атаки направлены на web-серверы, создающие SQL запросы к серверам СУБД на основе данных, вводимых пользователем. [6,184-186]
г. Атаки, направленные на эксплуатацию функций приложения или логики его функционирования:
1) отказ в обслуживании (англ. DenialofService, DoS) - данный класс атак направлен на нарушение доступности web-сервера Большинство DDoS-атак используют уязвимости в основном протоколе Internet (TCP/IP)^ именно, способ обработки системами запроса SYN. Выделяют два основных типа атак, которые вызывают отказ в обслуживании. В результате проведения атаки первого типа, останавливается работа всей системы или сети. Хакер отправляет системе данные или пакеты, которые она не ожидает, и это приводит к остановке системы или к ее перезагрузке. Второй тип DDoS-атаки приводит к переполнению системы или локальной сети при помощи огромного количества информации, которую невозможно обработать.DDoS-атака заключается в непрерывном обращении к сайту со многих компьютеров, которые расположены в разных частях мира. В большинстве случаев эти компьютеры заражены вирусами, которые управляются мошенниками централизовано и объедены в одну ботсеть. Компьютеры, которые входят в ботсеть, рассылают спам, участвуя, таким образом, в DDoS-атаках.
2) Недостаточное противодействие автоматизации - эти уязвимости возникают, в случае, если сервер позволяет автоматически выполнять операции, которые должны проводиться вручную, например, ручной ввод пароля пользователя с запретом автоматического подбора (англ. BruteForce) [7,123-125]
Таким образом, большинство сетевых атак на web-серверы можно предотвратить с помощью грамотного конфигурирования их настроек. Поэтому наиболее актуальной будем считать задачу защиты от сетевых атак рабочих станций и серверов.
Заключение
В наши дни движущей силой и главным объектом всех отраслей деятельности человека является информация, и защищенность конфиденциальной информации, персональных данных, безопасность серверов становится основой экономического развития. Для целенаправленных атак сложные сетевые технологии достаточно уязвимы.
Исходя из анализа статистики, следует, что существует множество способов атак, в том числе неизвестных, но при этом количество целей ограниченно, что влечет за собой необходимость борьбы не с самой атакой, а с ее целью и дальнейшем последствием.
61% целей сетевых атак направлены на файловую систему ОС, следовательно, наиболее актуальным, на сегодняшний день является защита от сетевых атак файловых ресурсов.
Литература
1. А. А. Гладкий // «Безопасность и анонимность работы в Интернете. Как защитить компьютер от любых посягательств извне» - 2012г. - C. 301-304.
2. Ryan Barnett, Sol Bhala, Marc Bown, Jonathan Claudius, Josh Grunzweig, Rob Havelt, Charles
Henderson, Jibran, Ilyas, Ryan Jones (UK), Ryan Jones (U.S.), Paul Kehrer, Mike Kelly, Ryan Merritt, John Miller, Steve Ocepek,. Nicholas J. Percoco (lead), Garret Picchioni, Christopher E. Pogue, Michael Ryan, Luiz Eduardo Dos Santos // Trustware global security report 2013 [Электронный ресурс]. - Режим доступа: https://www.trustwave.com/Resources/Library/Documents/2013-
Trustwave-Global-Security-Report/#
3. Гордейчик С. // Cross-site request forgery [Электронный ресурс]. - Режим доступа:
http: //www. securitylab.ru/analytics/292473 .php
4. Лаборатория защиты // Классификация угроз безопасности Web-приложений 2013 [Электронный ресурс]. - Режим доступа: http://www.f1consulting.ru/websec/classification/
5. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа / Щеглов А.Ю. - СПб: Наука и Техника, 2004г. - C. 89-91.
6. В.П. Мельников, С.А. Клейменов, А.М. Петраков //«Информационная безопасность и защита информации», - 2009г. - C. 184-186.
7. В.Ф. Шаньгин //«Информационная безопасность компьютерных систем и сетей», - 2008г. - C. 123-125.
