Главная страница
Медицина
Финансы
Экономика
Биология
Ветеринария
Сельское хозяйство
Юриспруденция
Право
Языкознание
Языки
Логика
Философия
Религия
Этика
Политология
Социология
История
Информатика
Вычислительная техника
Физика
Математика
Промышленность
Энергетика
Искусство
Культура
Химия
Электротехника
Связь
Автоматика
Геология
Экология
Начальные классы
Строительство
образование
Механика
Воспитательная работа
Русский язык и литература
Дошкольное образование
Реферат
Урок
Отчет
Программа
Закон
Курсовая
Задача
Занятие
Решение
Лекция
Протокол

WEb практикум. Web'cepbep


Скачать 4.76 Mb.
НазваниеWeb'cepbep
АнкорWEb практикум
Дата22.01.2023
Размер4.76 Mb.
Формат файлаdocx
Имя файлаWEB.docx
ТипДокументы
#898678
страница2 из 18
1   2   3   4   5   6   7   8   9   ...   18
ГЛАВА 1

Основы безопасности

В этой главе мы познакомимся с основами, базовой теорией взлома web-сайтов и выясним, каким образом идет поиск уязвимостей. В начале главы поверхностно бу­дет затронута тема социальной инженерии, в дальнейшем мы не будем использо­вать ее (ну, может, совсем чуть-чуть) для достижения необходимого результата.

Содержимое этой главы пересекается с некоторыми отрывками из других моих книг, потому что мне уже много приходилось писать о безопасности. В этой главе я собрал самое интересное из своих предыдущих работ (но не все, а только то, что касается web), дополнил и обновил информацию с учетом текущих реалий. Даже если вы читали мои предыдущие книги, эта глава не должна стать для вас скучным чтивом.

  1. Социальная инженерия

Социальная инженерия — это очень мощное оружие, которое может срабатывать даже там, где программы на сервере написаны идеально, потому что она использу­ет самое слабое звено — человека. Наверное, каждая уязвимость связана с челове­ческим фактором, ведь серверные программы, в которых мы будем искать уязвимо­сти, написаны человеком и именно он делает ошибку, которая приводит к взлому. В данном случае социальная инженерия ищет слабое место (можно сказать, уязви­мость, если проводить аналогию с программами) в человеке.

С помощью социальной инженерии происходило большинство наиболее громких взломов и создавались самые известные вирусы. В моей молодости много шума наделал вирус "Анны Курниковой", когда пользователям приходило письмо с вложением и предложением посмотреть фотографию обнаженной Анны. Это то­же социальная инженерия, которая играет на слабостях человека. Любопытство мужчин, которые запускали прикрепленный файл и таким образом заражали свой компьютер, помогло распространению этого вируса. А ведь на тот момент муж­ская половина была большей частью пользователей интернета. В данном случае использовалась слабость (можно снова назвать уязвимостью) человека — любо­пытство и похоть.

Социальная инженерия основана на психологии человека и использует его слабые стороны. С ее помощью хакеры заставляют жертву делать то, что им нужно: зара­жают компьютеры, получают пароли. Сколько раз я слышал про украденные номе­ра кредитных карт с помощью простых почтовых сообщений. Пользователь получа­ет письмо с просьбой сообщить свой пароль, потому что база данных банка пору­шилась из-за погодных условий, проказ хакера или неисправности оборудования. Ничего не подозревающие пользователи всегда сообщают данные, потому что бо­ятся потерять информацию.

Да, в последнее время доверчивость у пользователей интернета уменьшается бла­годаря СМИ. Теперь уже все сложнее найти человека, который откроет свой пароль в ответ на поддельное письмо от службы поддержки. Сейчас наоборот, пользовате­ли боятся использовать некоторые защищенные и очень полезные сервисы. Но и хакеры не дремлют и ищут все новые и новые методы, все более изощренные спосо­бы обмануть людей.

Есть и такие хакеры, которые редко придумывают что-либо новое, а используют старые и проверенные способы. И, несмотря на это, всегда находятся те, кто попа­даются на удочку. Я пользуюсь интернетом уже очень долгое время и ежедневно получаю десятки писем с просьбой запустить файл для обновления защиты или для того, чтобы увидеть что-то интересное. А ведь достаточно часто отправители — пользователи зараженных компьютеров. Значит, кто-то открывает такие вложения.

Я никогда не открываю вложения, и это одна из причин, почему мне не нужны ан­тивирусы уже лет 15.

Несмотря на широкое использование защитных программных комплексов и анти­вирусных программ, количество вирусов не уменьшается, а если и уменьшается, то не сильно. Каждый день в интернете появляются новые пользователи, которые еще ничего не знают о мерах предосторожности. Именно они чаще всего попадаются на различные уловки.

Итак, давайте рассмотрим некоторые способы, которыми пользуются хакеры. Это поможет вам распознавать их и отделять попытки психологического воздействия от простого общения с людьми. Помните, что социальная инженерия максимально сильна в интернете, когда вы не можете воочию оценить намерения своего собе­седника.

Классика — взлом через смену пароля. Жертве приходит письмо с просьбой обно­вить свои реквизиты на web-странице банка, и при этом ссылка из письма указыва­ет совершенно на другой web-сайт, где введенные пользователем данные попадают в руки хакеру.

Мне регулярно приходят письма, в которых используется очень старый и давно за­бытый способ социальной инженерии. Письмо имеет примерно следующее содер­жание: "Здравствуйте. Я администратор компании ХХХХХ. Наша база была под­вержена атаке со стороны хакера, и мы боимся, что некоторые данные были изме­нены. Просьба просмотреть следующую информацию, и если что-то неверно, то сообщите мне, я восстановлю данные в базе".

После этого может идти перечисление данных обо мне, которые легко получить через социальные сети.

У меня есть сайты, поэтому мои данные легко находят в интернете с помощью сер­виса whois. На любом web-сайте регистрации доменов есть такая служба, позво­ляющая определять имя владельца домена. Хакер может воспользоваться этим и указать в письме всю найденную информацию. Помимо этого, он может указать еще два параметра: имя пользователя и пароль. Конечно же, эти данные хакер, ско­рее всего, не знает, поэтому здесь будут неверные значения. Кое-кто из пользовате­лей при получении таких писем теряется и, волнуясь за свой web-сайт, открывает ссылку из письма, которая ведет на зловредный сайт, и там через какую-либо форму сообщает хакеру уже правильные параметры доступа.

Данный метод использует хороший психологический прием: сначала приводится достоверная информация, и только в параметрах доступа заложена ошибка. Таким образом завоевывается расположение и доверие жертвы, и если пользователь не­знаком с таким принципом социальной инженерии, то вероятность получить пароль достаточно высока. Это подтверждает не только множество знаменитых взломов в 80-х годах прошлого столетия, но и то, что этот метод существует и работает даже в наши дни.

Сейчас количество взломов этим методом сократилось, однако это может быть лишь затишьем перед бурей. Пользователи могут расслабиться, и атака снова ста­нет популярной. Ведь все новое — это хорошо забытое старое. Если немного мо­дифицировать подход, чтобы пользователи сразу не заметили подвоха, то атака может стать очень эффективной.

Задача хакера — войти в доверие к защищающейся стороне и узнать пароли досту­па. Для этого используются психологические приемы воздействия на личность. Че­ловеку свойственны любопытство, доверчивость и чувство страха. Любое из этих чувств может стать причиной утери информации.

Благодаря излишнему любопытству мы верим призывам открыть прикрепленный к письму файл и самостоятельно запускаем на своем компьютере вирусы. В силу на­шей доверчивости хакерам удается узнать секретную информацию. Но самые силь­ные эмоции вызывает страх. Именно на страхе и боязни потери паролей основана большая часть атак, с помощью которых пользователя вынуждают сказать необхо­димые сведения.

Еще две слабости, которые очень часто приводят к положительному результату, — жадность и алчность. Деньги портят людей, а хакеры умеют этим пользоваться. Наилучший результат достигается тогда, когда хакер использует сразу несколько слабостей: например, страх и любопытство одновременно.

У нас на работе есть отдел, который занимается безопасностью. Они регулярно рассылают письма с напоминанием, что нельзя открывать ссылки из писем, источ­ник которых нам неизвестен. Несмотря на то, что многие прекрасно знают о про­блемах безопасности, подобные напоминания помогают держать нас в тонусе.

Крупные и громкие взломы происходят циклично. Пара-тройка крупных взломов, после чего может быть тишина в течение продолжительного времени. За время за­тишья народ расслабляется и больше подвержен атакам. Чтобы этого не произош­ло, и рассылаются подобные письма.

Как бы ни говорили о том, что социальная инженерия через электронные письма — опасная вещь и она регулярно становится причиной проблем, эффективность этих рассказов все же далека от идеала. Реальность показывает, что люди часто игнори­руют предупреждения в надежде, что их это не коснется.

Но что может быть лучше реальных примеров? Поэтому у нас на работе как-то рас­сылали письмо, которое копировало популярную атаку хакеров и содержало ссыл­ку на фейковый сайт. Говорят, что в результате достаточно большое количество сотрудников кликнуло по ссылке.

Хакеры пользуются социальной инженерией незаметно, но эффективно. Вы даже не почувствуете подвоха, когда у вас попросят пароль или секретную информацию, и послушно все отдадите. Чтобы не попасться на крючок, вы должны иметь пред­ставление о том, какие методы социальной инженерии могут использоваться для достижения необходимой цели. С основными методами можно познакомиться в книге самого знаменитого хакера — Кевина Митника "Искусство обмана: контро­лирование человеческого фактора в безопасности".

Социальная инженерия работает до сих пор, и очень много взломов по сей день со­вершается старым добрым методом — через почту заражается компьютер одного из сотрудников компании. Получив контроль над одним из компьютеров, заражает­ся какое-то программное обеспечение в сети и идет дальнейшее продвижение.

Пока что идет расследование недавнего взлома SolarWinds, но, похоже, именно так он и произошел. Хакеры подбросили зловредный код в одно из приложений, кото­рое используется в компании, что привело в дальнейшем к очень серьезным по­следствиям.

Хотя я и сказал, что не буду в данной книге уделять большого внимания социаль­ной инженерии, давайте все же рассмотрим несколько рекомендаций, как защи­щаться от фейковых писем:

  • всегда проверяйте адрес отправителя. Очень часто почтовые программы прячут e-mail и показывают только имя отправителя. Если хакер отправит письмо от имени info-microsoft.com<an1930123@mail.ru>, то почтовая программа может отобразить только info-microsoft.com, а реальный адрес будет спрятан. При клике на имя программа все же покажет спрятанный e-mail и если это что-то ти­па an1930123@mail.ru, то письмо явно не от Microsoft. Вообще нужно обращать внимание на каждую мелочь в адресе. Солидные компании не рассылают письма от имени e-mail адресов, которые не вызывают доверия;

  • ссылки внутри письма также могут указывать на то, реальное перед нами пись­мо или нет. Если навести на ссылку мышкой, то должна появиться подсказка, которая точно будет указывать реальную ссылку, на которую мы попадем при клике. Если она вызывает доверие и реально указывает на сайт, о котором го­ворится в письме, то можно кликнуть. Если письмо от Microsoft со ссылкой m1cr0soft.com, то, конечно, же это фейк;

♦ если ссылка указывает на сайт, который мы ожидаем, и домен не вызывал во­просов, открываем сайт и после загрузки еще раз проверяем ссылку в браузере. Дело в том, что на сайте могла быть уязвимость, которая после загрузки пере­направила вас на сайт хакера. У крупных компаний, таких как Microsoft или Google, подобное встречается сейчас крайне редко, и я уже не припомню, ко­гда последний раз сообщали о подобном в новостях. Но на небольших сайтах такое еще случается.

  1. Природа взлома

Универсального способа взлома интернета (а точнее, web-сайтов) не существует. Если бы такое средство существовало, интернет бы уже охватили анархия и бес­предел, а все сайты были бы взломаны. Вместо этого каждый раз приходится ис­кать свое решение, которое откроет необходимую дверь для определенного сайта.

Да, есть атаки, которые могут уничтожить любую защиту: DDoS (Distributed Denial of Service, распределенная атака на отказ в обслуживании) или подбор паролей, но затраты на проведение этих атак могут оказаться слишком большими, хотя они не требуют много ума и доступны для реализации даже новичку. За взлом сервера с помощью перебора паролей или за DDoS-атаку хакеры никогда не будут признаны общественностью как профессионалы, поэтому к подобным методам прибегают только в крайних случаях и в основном начинающие взломщики.

Почему количество атак с каждым годом только увеличивается? Я не говорю сей­час о свершившихся или удачных атаках, я говорю о попытках. Раньше вся инфор­мация об уязвимостях хранилась на закрытых BBS (Bulletin Board System, элек­тронная доска объявлений) и была доступна только избранным. К этой категории относились и хакеры, совершавшие безнаказанные атаки, потому что уровень их знаний и опытности был достаточно высок. Проникнуть на такую BBS непосвя­щенному или новичку было очень сложно, а чаще всего просто невозможно. Ин­формация об уязвимостях и программы для реализации атак были доступны огра­ниченному количеству людей.

С одной стороны, информация становится более доступной, с другой стороны — люди становятся более образованными с точки зрения компьютерной грамотности.

Когда только появились машины, то управление ими было доступно только из­бранным, но с распространением машин все больше людей могут ими управлять. Сейчас уже не только профессиональные гонщики соревнуются в скорости, по улицам может гонять кто угодно, хотя это и грозит штрафами.

То же самое и с ИТ. Если раньше только программистам был доступен взлом ком­пьютеров и web-сайтов, то в наше время это может делать практически кто угодно.

С помощью специального софта и за счет возросшей образованности все больше людей пользуются взломом для совершения не очень законных действий.

Мир меняется. Компьютеры становятся более доступными и сейчас уже есть прак­тически в каждой семье.

В настоящее время сведения об уязвимостях стали практически общедоступными. Существует множество сайтов, где можно не только получить подробные инструк­ции по взлому, но и найти программу, которая вообще без специализированных знаний по нажатию кнопки, будет производить атаку. В некоторых случаях доста­точно только указать адрес web-сайта, который вы хотите взломать, нажать на "вол­шебную" кнопку, и компьютер сделает все необходимое сам, без вашего вмеша­тельства, при этом вы абсолютно не будете знать и понимать, как это произошло.

Да, далеко не вся информация попадает в публичный доступ (паблик) сразу после обнаружения. Хакеры могут использовать найденные уязвимости только в опреде­ленных кругах и какое-то время держать информацию доступной только для из­бранной категории. Особенно это касается группировок, которые взламывают про­фессионально. Но со временем и эта информация становится публичной.

С одной стороны, информация действительно должна быть открытой. Администра­торы, зная методы взлома, могут построить соответствующую защиту. Другое дело, что далеко не каждый следит за тенденциями в сфере безопасности, и далеко не все администраторы отрабатывают свою зарплату, строя безопасные сети.

С другой стороны, если закрыть web-сайты, на которых содержится информация об уязвимостях, то количество атак резко сократится. Большинство взломов соверша­ется именно непрофессионалами, которые нашли где-то программу для совершения злодеяний и выполнили ее.

Лично я разрываюсь между двух огней и не могу проголосовать за открытость или закрытость информации. С одной стороны, информация должна быть открыта, а администраторы и программисты должны быть внимательнее и быстрее реагиро­вать на найденные ошибки, а с другой — ее лучше закрыть, чтобы у злоумышлен­ников не было соблазна использовать готовые программы.

Наверное, я все же проголосую за открытость, но при этом правоохранительные органы должны лучше реагировать на действия вандалов, а администраторы долж­ны лучше контролировать безопасность. Каждое общество требует разумного управления. Это не значит, что за каждым щелчком нужно следить, это значит, что взломы должны наказываться по определенным законам. Мы должны вести себя цивилизованно, иначе, как раковая опухоль уничтожает живой организм, мы унич­тожим сами себя.

Безусловно, интересно наблюдать за тем, как две команды хакеров воюют между со­бой, взламывая web-сайты друг друга, но все должно иметь свой предел. Каков этот предел, я судить не могу. Никто не может вынести решение, каким быть интернету, потому что на данный момент он свободен и в каждой стране подчиняется своим за­конам. Но интернет — это единое общество, а закон должен быть для всех единым. Пока не будет закона, его соблюдения и контроля, анархия будет продолжаться.
  1. 1   2   3   4   5   6   7   8   9   ...   18

написать администратору сайта