Необходимость думать о сетевой безопасности почему-то считается правом только больших компаний, типа Badoo , Google и Google , Яндекс или Telegram , которые открыто объявляют конкурсы за нахождение уязвимостей и всеми способами поднимают безопасность своих продуктов, веб-приложений и сетевых инфраструктур. При этом подавляющее большинство существующих веб-систем содержат «дыры» различного характера (исследование за 2012 год от Positive Technologies , уязвимости средней степени риска содержат 90% систем).
Что такое сетевая угроза или сетевая уязвимость?
WASC (Web Application Security Consortium) выделял несколько базовых классов, каждый из которых содержит несколько групп, в общей сложности уже 50 , распространенных уязвимостей, использование которых может нанести ущерб компании. Полная классификация выложена в виде WASC Thread Classification v2.0 , и на русском языке есть перевод предыдущей версии от InfoSecurity - Классификация угроз безопасности Web-приложений , который будет использован за основу классификации и существенно дополнен.
Основные группы угроз безопасности сайтов
Недостаточная аутентификация при доступе к ресурсам
В эту группу угроз входят атаки на основе Подбора (Brute Force), Злоупотребление функционалом (Abuse of Functionality) и Предсказуемое расположение ресурсов (). Основное отличие от недостаточной авторизации заключается в недостаточной проверке прав (или особенностей) уже авторизованного пользователя (например, обычный авторизованный пользователь может получить права администратора, просто зная адрес панели управления, если не производится достаточная проверка прав доступа).
Эффективно противодействовать таким атакам можно только на уровне логики приложения. Часть атак (например, слишком частый перебор) могут быть заблокированы на уровне сетевой инфраструктуры.
Недостаточная авторизация
Сюда можно отнести атаки, направленные на легкость перебора реквизитов доступа или использование каких-либо ошибок при проверке доступа к системе. Кроме техник Подбора (Brute Force) сюда входит Угадывания доступа (Credential and Session Prediction) и Фиксация сессии (Session Fixation).
Защита от атак этой группы предполагает комплекс требований к надежной системе авторизации пользователей.
Сюда входят все техники изменить содержимое веб-сайта без какого-либо взаимодействия с сервером, обслуживающим запросы - т.е. угроза реализуется за счет браузера пользователя (но при этом обычно сам браузер не является «слабым звеном»: проблемы заключаются в фильтрации контента на стороне сервера) или промежуточного кэш-сервера. Виды атак: Подмена содержимого (Content Spoofing), Межсайтовые запросы (XSS, Cross-Site Scripting), Злоупотребление перенаправлениями (URL Redirector Abuse), Подделка межсайтовых запросов (Cross-Site Request Forgery), Расщепление HTTP-ответа (HTTP Response Splitting , Контрабанда HTTP-ответа (HTTP Response Smuggling), а также Обход маршрутизации (Routing Detour), Расщепление HTTP-запроса (HTTP Request Splitting) и Контрабанда HTTP-запроса (HTTP Request Smuggling).
Значительная часть указанных угроз может быть блокирована еще на уровне настройки серверного окружения, но веб-приложения должны также тщательно фильтровать как поступающие данные, так и ответы пользователя.
Выполнение кода
Атаки на выполнение кода являются классическими примерами взлома сайта через уязвимости. Злоумышленник может выполнить свой код и получить доступ к хостингу, где расположен сайт, отправив определенным образом подготовленный запрос на сервер. Атаки: Переполнение буфера (Buffer Overflow), Форматирование строки (Format String), Целочисленное переполнение (Integer Overflows), LDAP внедрение (LDAP Injection), Mail внедрение (Mail Command Injection), Нулевой байт (Null Byte Injection), Выполнение команд ОС (OS Commanding), Исполнение внешнего файла (RFI, Remote File Inclusion), Внедрение SSI (SSI Injection), Внедрение SQL (SQL Injection), Внедрение XPath (XPath Injection), Внедрение XML (XML Injection), Внедрение XQuery (XQuery Injection) и Внедрение XXE (XML External Entities).
Не все из указанных типов атак могут касаться вашего сайта, но корректно они блокируются только на уровне WAF (Web Application Firewall) или фильтрации данных в самом веб-приложении.
Разглашение информации
Атаки этой группы не являются угрозой в чистом виде для самого сайта (поскольку сайт никак от них не страдает), но могут нанести вред бизнесу или использованы для проведения других типов атак. Виды: Отпечатки пальцев (Fingerprinting) и Обход директорий (Path Traversal)
Правильная настройка серверного окружения позволит полностью защититься от таких атак. Однако, также нужно обратить внимание на страницы ошибок веб-приложения (они могу содержать большое количество технической информации) и работу с файловой системой (которая может быть компрометирована недостаточной фильтрацией входных данных). Также бывает, что в поисковом индексе появляются ссылки на какие-либо уязвимости сайта, и это само по себе является существенной угрозой безопасности.
Логические атаки
В этой группе отнесли все оставшиеся атаки, возможность которых заключается, в основном, в ограниченности серверных ресурсов. В частности, это Отказ в обслуживании (Denial of Service) и более точечные атаки - Злоупотребление SOAP (SOAP Array Abuse), Переполнение XML-атрибутов XML Attribute Blowup и Расширение XML-сущностей (XML Entity Expansion).
Защита от них только на уровне веб-приложений, либо блокировки подозрительных запросов (сетевое оборудование или веб-прокси). Но при появление новых видов точечных атак необходимо проводить аудит веб-приложений на предмет уязвимости им.
DDoS-атаки
Как должно быть понятно из классификации, DDoS-атака в профессиональном смысле - это всегда исчерпание ресурсов сервера тем или иным способом (вторая D - это Distributed, т.е. распределенная DoS атака). Другие методы (хотя и упомянуты в Википедии) напрямую к DDoS-атаке отношения не имеют, но представляют тот или иной вид уязвимости сайта. Там же в Википедии достаточно подробно изложены методы защиты, здесь их дублировать не буду.
Avast всегда пытается быть впереди, когда дело касается защиты пользователей от новых угроз. Все больше и больше людей смотрят фильмы, спортивные трансляции и телешоу на смарт ТВ. Они контролируют температуру в своих домах с помощью цифровых термостатов. Они носят смарт-часы и фитнес-браслеты. В результате потребности в безопасности расширяются за пределы персонального компьютера, чтобы охватить все устройства в домашней сети.
Тем не менее, домашние роутеры, которые являются ключевыми устройствами инфраструктуры домашней сети, часто имеют проблемы безопасности и обеспечивают простой доступ хакерам. Недавнее исследование компании Tripwire показало, что 80 процентов самых продаваемых роутеров имеют уязвимости. Более того, самые распространенные комбинации для доступа к административному интерфейсу, в частности admin/admin или admin/без пароля используется в 50 процентах роутеров по всему миру. Еще 25 процентов пользователей используют адрес, дату рождения, имя или фамилию в качестве паролей к роутеру. В результате более 75 процентов роутеров по всему миру являются уязвимыми для простых парольных атак, что открывает возможности развертывании угроз в домашней сети. Ситуация с безопасностью маршрутизаторов сегодня напоминает 1990-е, когда новые уязвимости обнаруживались каждый день.
Функция “Безопасность домашней сети”
Функция “Безопасность домашней сети” в Avast Free Antivirus , Avast Pro Antivirus , Avast Internet Security и Avast Premier Antivirus позволяет решать перечисленные проблемы с помощью сканирования настроек роутера и домашней сети на предмет потенциальных проблем. В Avast Nitro Update движок обнаружений инструмента “Безопасность домашней сети” был полностью переработан – была добавлена поддержка многопоточного сканирования и был реализован улучшенный детектор взлома DNS. Движок теперь поддерживает сканирования протокола ARP и сканирования портов, выполняемых на уровне драйвера ядра, что позволяет в несколько раз ускорить проверку по сравнению с предыдущей версией.
“Безопасность домашней сети” может автоматически блокировать атаки на роутер с кросс-сайтовыми фальшивыми запросами (CSRF). CSRF-эксплойты эксплуатируют уязвимости сайтов и позволяют киберперступникам передавать несанкционированные команды на веб-сайт. Команда имитирует инструкцию от пользователя, который известен сайту. Таким образом, киберпреступники могут выдавать себя за пользователя, например, переводить деньги жертвы без ее ведома. Благодаря CSRF-запросам, преступники могут удаленно вносить изменения в настройки роутера для того, чтобы перезаписать параметры DNS и перенаправить трафик на мошеннические сайты
Компонент “Безопасность домашней сети” позволяет сканировать настройки домашней сети и роутера на предмет потенциальных проблем безопасности. Инструмент обнаруживает слабые или стандартные пароли Wi-Fi, уязвимые роутеры, скомпрометированные подключения к Интернету и включенный, но не защищенный протокол IPv6. Avast выводит список всех устройств в домашней сети, чтобы пользователи могли проверить, что только известные устройства подключены. Компонент предоставляет простые рекомендации по устранению обнаруженных уязвимостей.
Инструмент также уведомляет пользователя о подключении новых устройств к сети, подключенным к сети телевизорам и другим устройствам. Теперь пользователь может сразу обнаружить неизвестное устройство.
Новый проактивный подход подчеркивает общую концепцию обеспечения максимальной всесторонней защиты пользователей.
