Курсовая работа на тему кибератаки. Кибератаки. Современное развитие информационных систем
 Скачать 168 Kb.
|
|
МИНОБРНАУКИ РОССИИ Федеральное государственное бюджетное образовательное учреждение высшего образования «Тверской государственный технический университет» (ТвГТУ) Кафедра «Информационные системы» К защите допустить Заведующий кафедрой ИС Б.В. Палюх подпись И.О.Ф. “__“_______ 2021 г. к у р с о в а я р а б о т а на тему «Современное развитие информационных систем» Направление: 09.03.02 Информационные системы и технологии Профиль: Информационные системы в административном управлении Студент (ка): Усынина Ксения Алексеевна ___________ фамилия, имя, отчество подпись Форма обучения: заочная Группа: ИСТ-20.76 Руководитель: к.т.н., доцент Борисов А. Л. ___________ ученая степень, звание, фамилия, инициалы подпись Консультанты по разделам: Аналитическая часть к.т.н., доцент Борисов А. Л. ___________ ученая степень, звание, фамилия, инициалы подпись Практическая часть к.т.н., доцент Борисов А. Л. ___________ ученая степень, звание, фамилия, инициалы подпись Нормоконтролер: ____________________________________ ___________ фамилия, имя, отчество подпись Тверь 2021 МИНОБРНАУКИ РОССИИ Федеральное государственное бюджетное образовательное учреждение высшего образования «Тверской государственный технический университет» (ТвГТУ) Кафедра «Информационные системы» Утверждаю Заведующий кафедрой ИС Б.В. Палюх подпись И.О.Ф. “__“_______ 2021 г. З А Д А Н И Е на курсовую работу бакалавра Студент (ка): Усынина Ксения Алексеевна фамилия, имя, отчество Направление: 09.03.02 Информационные системы и технологии Профиль: Информационные системы в административном управлении Тема: «Кибератаки веб-серверов и защита от них» (утверждена приказом ректора от «__» ____________2021г. № _________) Срок сдачи студентом законченной работы ___________________________ Исходные данные к работе _________________________________________ Перечень графического (иллюстративного) материала: _________________ ___ _____________________________________________________________ Консультанты по проекту (работе): Аналитическая часть к.т.н., доцент Борисов А. Л. ___________ ученая степень, звание, фамилия, инициалы подпись Практическая часть к.т.н., доцент Борисов А. Л. ___________ ученая степень, звание, фамилия, инициалы подпись Дата выдачи задания «__» _____________2021г. Руководитель: к.т.н., доцент Борисов А. Л. ___________ ученая степень, звание, фамилия, инициалы подпись Задание получила Усынина Ксения Алексеевна __________ Ф.И.О. студента подпись Тверь 2021 Введение. Кибератака – покушение на информационную безопасность компьютерной системы, действие, целью которого является захват контроля (повышение прав) над удалённой/локальной вычислительной системой, либо её дестабилизация, либо отказ в обслуживании. Рост объёмов информации, компьютерных сетей и числа пользователей, упрощение их доступа к циркулирующей по сетям информации существенно повышает вероятность хищения или разрушения этой информации. Компьютерная преступность стала настоящим бичом экономики развитых государств. Так, например, 90% фирм и организаций в Великобритании в разное время становились объектами электронного пиратства или находились под его угрозой, в Нидерландах жертвами компьютерной преступности стали 20% различного рода предприятий. В ФРГ с использованием компьютеров ежегодно похищается информация на сумму 4 млрд. евро, а во Франции - 1 млрд. евро. Наибольшую общественную опасность представляют преступления, связанные с неправомерным доступом к компьютерной информации. Известно, рассматриваемое правонарушение имеет очень высокую латентность, которая по различным данным составляет 85-90% . Более того, факты обнаружения незаконного доступа к информационным ресурсам на 90% носят случайный характер. Преступление данного вида, как показывает мировая практика, наносит огромный материальный и моральный вред. Так, например, ежегодные потери только делового сектора США от несанкционированного проникновения в информационные базы данных составляют от 150 до 300 млрд. долларов. В современных условиях социально-экономического развития Российской Федерации компьютерная преступность стала реальностью общественной жизни. Подтверждением роста компьютерных преступлений в России являются статистические данные Совета безопасности Российской Федерации, согласно которым выявлено более 800 000 попыток осуществления компьютерных атак на официальные информационные ресурсы органов государственной власти, при этом более 69 000 из них - на официальное Internet-представительство Президента России. О динамике и масштабах компьютерных преступлений наглядно свидетельствуют следующие данные. За последние десять лет их число возросло в 22,3 раза и продолжает расти в среднем в 3,5 раза ежегодно. Ежегодный размер материального ущерба от этих преступных посягательств составляет 613,7 млн. руб. Средний ущерб, причиняемый потерпевшему от одного компьютерного преступления, равен 1,7 млн. руб. С определенной долей успеха расследуется лишь около 49% преступлений, обвинительные приговоры выносятся лишь в 25,5% случаев от общего числа возбужденных уголовных дел. По сообщению Управления “К” МВД России удалось раскрыть свыше 7000 преступлений в сфере высоких технологий, более 4000 из них подпадают под ст. 272 Уголовного Кодекса (УК) “Неправомерный доступ к компьютерной информации”. Основная часть преступлений - это компьютерные преступления, связанные с незаконным доступом к информации и с использованием вредоносных программ. Анализ сложившейся ситуации показывает, что около 16% злоумышленников - молодые люди в возрасте до 18 лет, 58% - лица от 18 лет до 25 лет, около 70% из них имеют высшее либо незаконченное высшее образование. Принцип работы вэб-сервера. Веб-сервер (web-server) – это сервер, отвечающий за прием и обработку запросов (HTTP-запросов) от клиентов к веб-сайту. В качестве клиентов обычно выступают различные веб-браузеры. В ответ веб-сервер выдает клиентам HTTP-ответы, в большинстве случаев – вместе с HTML-страницей, которая может содержать: всевозможные файлы, изображения, медиа-поток или любые другие данные. Также веб-сервер выполняет функцию исполнения скриптов, например, таких как CGI, JSP, ASP и PHP, которые отвечают за организацию запросов к сетевым службам, базам данных, доступу к файлам, пересылке электронной почты и другим приложениям электронной коммерции. Термин “веб-сервер” также применяется к техническим устройствам и программному обеспечению, которые выполняют функции веб-сервера. Это может быть какой-нибудь компьютер, который специально выделен из группы персональных компьютеров или рабочая станция, на которых установлено и работает сервисное программное обеспечение. Клиент пользователя, которым преимущественно является веб-браузер, передает веб-серверу запросы на получение ресурсов, обозначенных URL-адресами. Ресурсы – это HTML-страницы, цифровой медиа контент, медиа-потоки, различные изображения, файлы данных, или любые другие данные, необходимые клиенту. В ответ веб-сервер передает клиенту запрошенные им данные. Этот обмен происходит с помощью протокола HTTP. HTTP (англ. HyperText Transfer Protocol – протокол передачи гипертекста) – это сетевой протокол прикладного уровня передачи данных. Основным принципом протокола HTTP является технология «клиент-сервер», обеспечивающая взаимодействие сети и пользователя. В случае малой организации веб-сервер может быть целостной системой, которая будет состоять из: HTTP-сервера – служит для запросов к веб-страницам; FTP-сервера – применяется для загрузки файлов через Интернет; NNTP-сервера – выполняет доступ к группам новостей; SMTP-сервера – для электронной почты.  Веб-сервер является службой, обычно ожидающей соединений на порту с номером 80. Программное обеспечение клиента, обычно браузер, соединяется с этим портом и отправляет HTTP-запросы. Веб-сервер отвечает, отправляя запрошенные данные, такие, как HTML-страницы, сценарии JavaScript, и.т.д. В некоторых случаях служба может быть настроена таким образом, что будет ожидать соединений на других портах, что является небольшим шагом в направлении повышения безопасности ее работы. Веб-серверы могут поддерживать параллельную работу и других служб, таких, как FTP или NNTP, которые работают на своих стандартных портах.Рисунок показывает соответствие веб-служб уровням OSI. Протокол HTTP осуществляет работу на уровне 7 OSI, в то время, как HTTPS (уровень защищенных сокетов (Secure Sockets Layer)) работает на уровне 6.  Кибератака виды и цели. Прежде всего следует понимать, что хакерские атаки условно можно поделить на 3 категории: Относительно безобидные - те атаки, которые не наносят ущерба компьютерному оборудованию и системам. Как правило подобные действия осуществляются с целью внедрения в компьютерные системы шпионских программ, основная цель которых заключается в сборе конфиденциальной информации. Подобные программы никак себя не обнаруживают и не влияют на работу компьютеров. По сути владелец компьютера может долгое время работать, не подозревая, что все его личные данные утекают к хакеру. Естественно, данные действия являются незаконными, так как, обычно украденные данные используются в мошеннических целях. Злонамеренные – к таким атакам можно отнести те кибератаки, которые явно нацелены на внесение осложнений в работу отдельных компьютеров или целых сетей. В данном случаи, внедренное вредоносное программное обеспечение, будет саботировать работу компьютера: уничтожать или шифровать данные, ломать операционную систему, выключать или перезагружать ПК. К данному виду кибератак относятся всевозможные вирусы шифровщики и вымогатели типа WannaCry и Petya. Конечным результатом подобных действий может быть потеря времени и доходов многих компаний, нарушение доставки товаров и услуг клиентам, и тому подобные последствия. Кибертерроризм - является самым опасным среди всех разновидностей хакерских атак, так как целями нападения избираются различные важные государственные и коммунальные структуры типа энергоснабжения или транспортного сообщения. Поскольку атаки такого рода могут быстро разрушить инфраструктуру страны, они считаются идеальным средством ослабления нации. Успешно проведенная кибератака на ключевые точки инфраструктуры, может запросто парализовать страну на некоторое время нанеся колоссальные убытки. К счастью, многие страны признают реальную угрозу кибертерроризма и предпринимают шаги по защите государственных и общественных систем от любого типа интернет-атак путем дублирования систем. Атаки отказа в обслуживании и использованием сниффера (DoS and sniffing) Поскольку веб-сайт использует IP-адрес с открытым доступом из Интернет, атака отказа в обслуживании может с легкостью вывести веб-сервер из строя. Аналогично, захват пакетов при помощи сниффера может использоваться для перехвата пользовательских идентификаторов и паролей, передаваемых в текстовой форме при том условии, что шифрование и другие меры повышения безопасности не были применены при настройке. Практически все атаки, относящиеся ко 2 и 3 уровням OSI, такие, как атаки потоками пакетов, SYN-сегментов и другие возможны в отношении IP-адреса и номера порта, на которых работает веб-сервер. Атаки отказа в обслуживании уровня протокола HTTP (HTTP DoS attack) В отличие от атаки отказа в обслуживании сетевого уровня, данная атака осуществляется на уровне 7 OSI. В этом типе атаки страницы веб-сайта автоматически просматриваются для создания списка страниц, на которые должен быть осуществлен доступ с целью получения информации о том, какие из страниц загружаются дольше других. После этого выбираются страницы, на генерацию которых уходит больший промежуток времени, и отправляется множество HTTP-запросов веб-серверу, каждый из которых обращается к одной из выбранных страниц. Для обслуживания каждого запроса веб-сервер резервирует системные ресурсы. При исчерпании ресурсов, сервер в конечном счете перестает отвечать на запросы. Взломщики зачастую используют простые сценарии для отправки потока HTTP GET-запросов в ходе осуществления данного типа атаки. Если веб-сайт содержит только статические HTML-страницы, эта атака не дает значительных результатов. Тем не менее, если генерируются динамические страницы и осуществляются запросы к серверу баз данных, эта атака может причинить значительный ущерб. Хотя эта атака может закончиться, а может и не закончиться похищением данных, она без сомнения может привести к неработоспособности сайта, отпугивая посетителей и причиняя ущерб репутации. Похищение данных для входа на портал (Access control exploitation) Обычно при посещении веб-порталов пользователи получают идентификаторы и пароли для доступа к дополнительным функциям. Администраторы порталов также имеют идентификационные данные для осуществления технического обслуживания и управления содержимым. Если веб-службы и приложения спроектированы без использования техник безопасного программирования, взломщики могут использовать их уязвимости для повышения привилегий. Например, если веб-сервер не обновлен до последней версии с исправлением уязвимости, выражающейся в возможности удаленного исполнения кода, злоумышленники могут разработать сценарий для эксплуатации этой уязвимости и получить доступ к серверу для удаленного управления. В некоторых случаях это может случиться из-за того, что не были использованы техники безопасного программирования и в результате после завершения разработки остались незамеченные недоработки в системе безопасности, которые сделали веб-сервер восприимчивым к атакам. Атаки, основанные на вводе некорректных данных форм (Forms input invalidation) передачи для обработки серверу. После этого сервер проверяет корректность введенной информации и сохраняет ее в базе данных. Иногда процесс проверки корректности данных переносится на пользовательский браузер или на сервер базы данных. Если эти проверки или не достаточно строги или некорректно используются, у взломщиков появляется возможность эксплуатации недоработок. Например, если если поле, такое, как идентификатор PAN обязательно для заполнения и проверка на наличие дубликатов записей не проводится должным образом, злоумышленник может программно отправить ряд форм с некорректными идентификаторами PAN, заполнив базу данных недействительными записями. Это в конечном счете может помочь злоумышленнику провести атаку отказа в обслуживании просто запрашивая страницу, отображающую элементы базы данных, которых не существует. Эксплуатация недоработок в коде (Code exploitation) Хотя эта уязвимость и аналогична предыдущей, существует разница в том, как взломщики ее эксплуатируют. Обычно разработчики делают предположения, задавая ограничения вводимых пользователями данных. Типичными примерами являются предположения о том, что имя пользователя не должно превышать 50 символов или числовые значения всегда должны быть положительны. Эти предположения опасны с точки зрения безопасности, поскольку взломщики могут эксплуатировать их. Например, атака может быть проведена путем заполнения поля имени пользователя 100 символами, тем самым нарушая целостность данных или путем ввода отрицательных значений в числовые поля для получения некорректных результатов расчетов. Атаки, описанные выше используются неопытными взломщиками и использование техник безопасного программирования помогает избежать их. Теперь давайте рассмотрим технически более сложные атаки, которые также часто используются. Модификация_кук_(Cookie_poisoning)'>Модификация кук (Cookie poisoning) Как было описано ранее, куки представляют из себя небольшие фрагменты данных, обрабатываемые браузером (хранящиеся на жестком диске клиентской системы) и используемые для хранения пользовательской информации. В куках хранится информация о наших покупках на сайтах, о настройках сайтов и о их предыдущем посещении для улучшения пользовательских качеств. Хотя вмешаться в работу с куками и не так просто, профессиональный взломщик может получить контроль над ними и изменить их содержимое. Модификации чаще всего производятся при помощи вредоносного программного обеспечения (трояна или вируса), работающего в виде фонового процесса и манипулирующего куками с целью получения персональных данных пользователя и отправки их взломщику. Помимо этого, вредоносное программное обеспечение может также изменить содержимое кук для наступления более серьезных последствий, таких, как отправка приобретенных товаров на адрес, доступный взломщику или соединение браузера с сайтами, на которых расположены рекламные вставки, приносящие доход взломщику, и.т.д. Если информация о сессии хранится в куках, профессиональные взломщики могут получить к ней доступ и провести атаку перехвата с участием человека (man-in-the-middle). Похищение сессий (Session hijacking) Веб-сервер обслуживает множество браузеров одновременно, принимая запросы и отправляя запрашиваемые ресурсы. При работе с каждым соединением веб-серверу необходимо иметь возможность идентифицировать каждое соединение. Для этого используются идентификаторы - динамически генерируемые на основе IP-адреса клиента, даты, времени и других данных текстовые строки. Взломщики могут похитить этот идентификатор путем программного подбора, захватив данные при помощи сниффера или использовав атаку, основанную на межсайтовом скриптинге. Как только идентификатор похищен, он может быть использован для осуществления поддельного веб-запроса и похищения пользовательской информации. Модификация URL (URL query-string tampering) Веб-сайты, которые получают данные от сервера базы данных и выводят их в форме Веб-страниц обычно используют запросы в составе URL. Например, если URL веб-сайта http://www.a.com, он может использовать http://www.a.com/showdata?field1=10&field2=15 для передачи параметров field1 и field2 вместе с их значениями - результат выполнения запроса будет представлен в виде веб-страницы. Имея возможность без лишних сложностей модифицировать эту строку запроса, пользователи могут изменить значения параметров до перехода границы значений или заполнить параметры ничего не значащими символами. Это в конечном итоге может дать пользователям доступ к информации, которая не предназначена для них. В худшем случае если в составе запроса присутствуют поля userid и password, может быть применена атака подбора пароля по словарю для получения доступа к системе, пусть даже и в рамках протокола HTTP. Межсайтовый скриптинг (Cross-site scripting) Это наиболее часто встречающаяся уязвимость из области веб-технологий, приводящая к атакам, основанным на межсайтовом скриптинге (XSS) на крупные и известные ресурсы. Было установлено, что большое количество веб-сайтов подвержены этой уязвимости даже сегодня. Эта уязвимость является следствием небезопасного программирования и отсутствия мероприятий по повышению безопасности веб-инфраструктуры. Как мы знаем, клиентский браузер самостоятельно поддерживает безопасность пользователя, не предоставляя доступа к кэшу и кукам никому, кроме пользователя. В этом случае уязвимости веб-приложений позволяют взломщикам вставить сценарий, выполняющийся на стороне клиента, на страницу, посещаемую пользователями. Сценарий чаще всего использует JavaScript в качестве языка программирования. Для того, чтобы понять процесс осуществления атаки, представим страницу, которая принимает имя пользователя и выводит на экран сообщение "Welcome username". Представим, что в поле вводится следующая строка, представляющая сценарий JavaScript: В этом случае после загрузки веб-страницы будет выполнен сценарий, выводящий диалоговое окно с сообщением "You are in trouble". Это обстоятельство может быть использовано взломщиком для модификации кук, похищения сессии и передачи сценария браузеру пользователя. После этого сценарий на JavaScript может быть выполнен в браузере пользователя, причинив возможный ущерб. SQL-инъекции (SQL injection) Как мы увидели ранее, веб-порталы используют серверы баз данных, при этом веб-приложение соединяется с базой данных, осуществляет запрос и предоставляет полученные данные в формате веб-страницы браузеру. Атаки, основанные на SQL-инъекциях, могут производиться в том случае, если входные данные от клиента не достаточно хорошо фильтруются при передаче их из формы базе данных в виде запроса. Это может привести к возможности манипуляции SQL-запросами в большинстве случаев с целью проведения некорректных операций с базой данных. В общем случае в качестве примера этой атаки можно рассмотреть SQL-сервер, доступ к которому осуществляется веб-приложением, причем SQL-запросы не фильтруются промежуточными или проверочными фрагментами кода приложения. Это обстоятельство позволяет атакующему создавать и исполнять свои собственные SQL-запросы к серверу базы данных, которые могут быть простыми запросами SELECT для получения и похищения данных или более опасными запросами, приводящими к таким результатам, как удаление таблиц с данными. В ряде других случаев данные могут быть повреждены путем заполнения базы записями с вредным или случайным содержанием. Несмотря на растущую осведомленность администраторов в области вопросов безопасности, атаки при помощи SQL-инъекций все еще осуществимы в отношении множества сайтов. Хотя и невозможно обсудить все существующие типы атак в рамках данной статьи, давайте рассмотрим несколько менее известных типов атак, которые все чаще используются для нарушения работы веб-сайтов. Атаки, основанные на "медленных" HTTP-запросах (Slow HTTP attack) Хотя этот тип атаки и очень похож на атаку отказа в обслуживании, техника ее проведения немного отличается. В ходе атаки используется тот факт, что каждый HTTP-запрос должен быть полностью принят веб-сервером. Каждый веб-запрос начинается с поля с названием "content-lengh", которое сообщает серверу о том, сколько байт ожидается и заканчивается комбинацией символов возврата каретки и переноса строки (CRLF). Атакующий инициирует HTTP-запрос с большим значением параметра "content-length" и вместо того, чтобы отправлять последовательность символов CRLF для завершения запроса, он просто задерживает обработку запроса, отсылая малые объемы данных веб-серверу. Такое поведение заставляет веб-сервер ожидать данных которые должны быть отправлены клиентом для завершения обработки запроса. Это приводит к потреблению ресурсов веб-сервером. Если один запрос просто выполняется в течение времени, меньшего временного ограничения сессии, установленного в настройках сервера, то обработка множества таких запросов может занять все ресурсы сервера и привести к отказу в обслуживании. Эта цель может быть просто достигнута путем создания таких запросов из одного браузера, что делает эту атаку достаточно опасной. Эксплуатация уязвимостей в криптографических алгоритмах (Cryptographic exploitation) Защищенные веб-сайты используют технологию, основанную на сертификатах SSL для шифрования данных, передаваемых по сети. Это создает иллюзию полной защищенности, что, к сожалению, не соответствует действительности. Многие приложения для осуществления покупок не шифруют содержимое кук и оставляют его в простой текстовой форме. Хотя данные, передающиеся по сети и шифруются с помощью SSL, сценарий для доступа к содержимому кук, выполненный на стороне клиента, может быть использован для похищения данных или идентификатора сессии. Что касается SSL, то современные взломщики используют инструменты для определения и расшифровки данных, зашифрованных с использованием алгоритмов пониженной криптостойкости, делая тем самым технологию SSL бесполезной, хотя это происходит и не так часто. Защита систем на основе свободного программного обеспеченияВеб-сервер Apache, работающий под управлением операционных систем CentOS/RedHat, Ubuntu и Debian приобрел огромную популярность среди свободных решений для построения веб-инфраструктуры. Самым первым шагом является улучшение безопасности работы самого веб-сервера Apache; в Интернет существует масса соответствующих руководств и примеров - для каждого дистрибутива Linux вместе с примерами. Настоятельно рекомендуется закрыть все порты кроме порта для работы веб-сервера и отключить все ненужные службы. Развертывание хорошо настроенного межсетевого экрана или устройства обнаружения проникновений просто необходимо. Как упоминалось ранее,простого межсетевого экрана будет недостаточно; поэтому установка межсетевого экрана с фильтрацией данных для определения наличия атак уровня HTTP-протокола необходима. Меры по повышению безопасности веб-порталов не ограничиваются только веб-сервером, а также затрагивают такие компоненты, как сервера баз данных, веб-службы, и.т.д. Начиная с уровня безопасности сети, следует отметить, что ограничение круга IP-адресов, с которых могут производиться запросы к серверу базы данных, только адресами веб-серверов является хорошей идеей. Работа по запуску программ для поиска руткитов, антивирусных программ и программ для анализа системного журнала должна постоянно проводиться с целью предотвращения попыток взлома. Для повышения безопасности при передаче данных между промежуточными устройствами и веб-сервером должен использоваться мощный механизм аутентификации. Куки должны быть зашифрованы с помощью SSL с применением мощных алгоритмов шифрования. С точки зрения разработки, как мы узнали ранее, необходимо использовать техники безопасного программирования, а также необходимо следовать лучшим практикам для повышения безопасности, таким, как рецензирование кода и тестирование на предмет проникновения в систему. Дополнительные процессы, такие, как проверка вводимых данных на уровне сервера и базы данных также рекомендуются. Эксплуатация веб-уязвимостей является типичным способом осуществления атак на сайты. Из-за простоты осуществления и разработки программного обеспечения для осуществления этих атак инфраструктура, основанная на свободном программном обеспечении также чувствительна к ним - поэтому администраторы сетей должны понимать техники для защиты своей инфраструктуры от потери и похищения данных. Обнаружить и предотвратить атаку на стадии проникновения крайне сложно, а иногда и вовсе невозможно. Если целью злоумышленников является конкретная компания, то рано или поздно они преодолеют периметр. Во-первых, большинство киберпреступников попадает в инфраструктуру компании с помощью фишинга и вредоносных программ. Фишинг — одна из самых эффективных техник проникновения: наше исследование показывает, что каждый третий сотрудник запускает на своем компьютере файл, приложенный к фишинговому письму. Во-вторых, злоумышленники уже научились обходить традиционные средства защиты. Например, для обхода антивирусов они обфусцируют вредоносный код и подписывают его легитимным сертификатом. Все необходимые для этого инструменты преступник может приобрести в даркнете, причём их авторы даже дают гарантию того, что вредоносные программы не будут обнаруживаться антивирусами в течение определённого периода времени. Наконец, если организация стала целью APT-группировки, то не исключено, что высококвалифицированные хакеры смогут эксплуатировать ранее неизвестные изъяны в ПО (уязвимости нулевого дня) или пробраться в целевую инфраструктуру через взлом сторонних компаний, которые менее надёжно защищены. Поэтому предпочтительнее выстраивать такой подход к обеспечению безопасности, который направлен на обнаружение инцидента прежде нанесения ущерба критически важным ресурсам. Эффективным методом выявления атаки является мониторинг и анализ событий, происходящих в инфраструктуре уже после проникновения злоумышленников в локальную сеть, со своевременным реагированием на инциденты. Однако здесь есть свои особенности. Мониторинг событий на конечных узлах позволяет обнаружить факт компрометации, но для того чтобы восстановить цепочку атаки, потребуется отследить перемещения злоумышленников между узлами сети и выявить подключения ко внешним командным серверам. Анализ сетевой активности дополняет картину происходящего в инфраструктуре. Если злоумышленники получили возможность выполнять команды в пределах одного компьютера, то перед ними стоят две задачи: установить связь с командным сервером и начать продвигаться по сети. Все эти действия оставляют следы в сетевом трафике, а скрыть их становится сложнее. Например, если на отдельном узле иногда достаточно воспользоваться упаковщиком для сокрытия вредоносной утилиты, то для того чтобы полностью скрыть идентифицирующие утилиту сетевые запросы к другим узлам или командному серверу, потребуется изменить логику её работы. Кроме того, в атаках часто применяются бесфайловые вредоносные программы (fileless malware), которые исполняются сразу в оперативной памяти. Тело такого объекта не сохраняется на жёстком диске, а в некоторых случаях не создаётся также никаких новых процессов — вредоносный код внедряется в один из уже работающих. При этом сохраняются все функции хакерской программы, в том числе — коммуникации с командным центром. Уголовно-правовые меры по борьбе с киберпреступностью В УК РФ есть ряд законов, относящиеся к сфере информационных технологий. Все они описаны в главе 28, в статьях 272 (Неправомерный доступ к компьютерной информации), 273 (Создание, использование и распространение вредоносных компьютерных программ), 274 (Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей) уголовного кодекса Российской Федерации. Но сфера киберпреступлений настолько обширна, что всего три статьи не могут охватить её всю. Поэтому, здесь есть небольшая особенность и заключается она в том, что в отношении одного гражданина может быть заведено множество уголовных дел. Заключение Сегодня преступления в сфере информационных технологий стали опасными для общественности. Несмотря на то, что компьютерные преступления появились сравнительно недавно, они быстро развиваются. Слабая подготовка правоохранительных органов по расследованию такого рода преступлений и высокий уровень скрытности преступников, способствует развитию киберпреступлениям и привлекает все больше и больше людей. Киберпреступность сильно отличается от традиционных видов преступлений. Следовательно, порождает ряд проблем по развитию защитных мер от несанкционированного доступа к компьютерной информации, с дальнейшим её использованием и распространением вирусных программ, которые нарушают работу систем. Преступления в сфере информационных технологий привлекательны большому числу преступников своей невероятной выгодностью и безнаказанностью преступных деяний. Стисок используемой литературы. Ресурс знаний. Программный проэкт ФРН. Studbooks.net. Что такое.нет. Linux по русски. Виртуальная энциклопедия. |