Новейшие киберугрозы
Новейшие киберугрозы
ВИДЫ ПРЕСТУПЛЕНИЙ
СЦЕНАРИИ ПОКУШЕНИЯ
4.40M
Category: internetinternet

6ЛК 6

1.

КАЗАНСКИЙ ГОСУДАРСТВЕННЫЙ
ЭНЕРГЕТИЧЕСКИЙ УНИВЕРСИТЕТ
Лекция №6
ВИДЫ УГРОЗ
(продолжение)
ОСНОВЫ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
Лектор: Зарипова Римма Солтановна

2.

10. Атаки на цепочку поставок – мошенники взламывают ПО одной
компании и получают доступ к программам другой.
Атака в цепочке поставок (атака третьей стороны, взлом бэкдора (дефект
алгоритма, лазейка)) происходит, когда хакер проникает в систему
предприятия через стороннего партнера или поставщика, который
предоставляет программные услуги этой организации. Это называется
атакой на цепочку поставок, т. к. уязвимой точкой, через которую происходит
атака, является цепочка поставок ПО. Атаки такого типа масштабны и их сложно
обнаружить. Киберпреступники нацелены на цепочки поставок ПО, т.к. одно
нарушение позволяет им одновременно получить тысячи жертв.
Например, компания Avast испортила загружаемые пользователями
обновления ПО с помощью вредоносного бэкдора. Миллионы компьютеров были
подвергнуты воздействию, и этот инцидент усилил этот вид угроз, при котором
заражается надежное, широко распространенное ПО.
Любая компания-разработчик ПО является потенциальной целью атаки
на ПО в цепочке поставок. Для атаки достаточно всего одного взломанного ПО,
чтобы распространить вредоносное ПО по всей цепочке поставок.

3.

11. Атаки с использованием ИИ, когда заведомо ложные
данные помогают обучать искусственный интеллект.
ИИ
может
применяться
для
широкого
спектра
киберпреступных целей. С помощью ИИ злоумышленники
могут быстро собирать информацию о жертве, создавать
контент для атак (текст фишингового письма, аудио- или
видеодипфейк), генерировать вредоносный код и искать
уязвимости в атакуемых приложениях.
Зловредные инструменты, в которые интегрированы
технологии ИИ, могут использоваться для автоматизации
анализа больших объемов данных, например в атаках по
побочным каналам и проведении отдельных этапов атаки.

4.

12. Криптоджекинг (скрытый майнинг) – применение
вредоносного ПО для взлома устройств в целях
использования их для скрытого майнинга криптовалют.
Возможно, что пользователь заметит небольшое
снижение скорости работы его устройства, но вряд ли
подумает о том, что это связано с попыткой атаки на него
для
майнинга
криптовалют.
Одна
из
наиболее
распространенных техник заключается в том, чтобы
получить контроль над процессором устройства жертвы
(CPU) или процессором его видеокарты (GPU) через
посещение
какого-нибудь
веб-сайта,
зараженного
вредоносной программой для майнинга криптовалют.

5.

13. Man-in-the-Middle («человек по середине», MITM-атака) – перехват
данных в момент их передачи от отправителя до конечных получателей, что
позволяет преступнику просматривать содержимое передаваемых сообщений,
удалять и изменять их. Это кибератака, при которой злоумышленник тайно
перехватывает, прослушивает, изменяет общение между двумя сторонами
(например, пользователем и сайтом). Атакующий встраивается в канал связи,
оставаясь незамеченным, и получает доступ к любым данным. Всё, что ваше
устройство отправляет в интернет и получает обратно, проходит через «руки»
атакующего. Он может просто читать, а может делать подмены на ходу (например,
подменить номер счета в платежном поручении или ссылку на скачивание вируса).
Пример: активное прослушивание, при котором мошенник устанавливает
независимые связи с жертвами и передаёт сообщения между ними. Тем самым он
заставляет жертв поверить, что они разговаривают непосредственно друг с другом
через частную связь, но весь разговор управляется злоумышленником.
Защита: избегать открытых Wi-Fi сетей, проверять SSL-сертификаты сайтов и
использовать двухфакторную аутентификацию.
SSL-сертификат — это цифровой документ, удостоверяющий подлинность сайта и включающий
шифрование данных между браузером пользователя и сервером. Он переводит сайт с протокола HTTP на
безопасный HTTPS, что отображается значком «замочка» в адресной строке.

6.

Как обнаружить MITM-атаку
Обнаружить MITM атаку сложно. Но есть аспекты, на которые следует
обратить внимание при просмотре веб-страниц. В основном это
касается URL-адреса в адресной строке.
URL-адрес защищенного веб-сайта начинается с «HTTPS». Если
в URL-адресе отсутствует буква «S» и он читается как «HTTP», это
сигнализирует, что ваше соединение небезопасно. Также следует
обратить внимание на SSL-значок замочка слева от URL-адреса,
который также обозначает защищенный веб-сайт.

7.

14. Спуфинг («подмена») – создание клонов доменов или
ПО, которые пользователи принимают за оригинальные и
вводят в них свои данные. Подмена (спуфинг-атака) может
происходить через сайты, эл. почту, звонки, сообщения, IP-адреса
и серверы.
Цель спуфинга – получить доступ к личной информации,
украсть
деньги,
обойти
контроль
доступа
к
сети,
распространить вредоносное ПО через ссылки на зараженные
веб-страницы или файлы, вложенные в эл. сообщение. При
любой форме общения в интернете мошенники будут пытаться
использовать спуфинг, чтобы попытаться украсть вашу онлайнличность и ИТ-активы.
Когда мошенник маскирует себя под другого человека,
организацию, сайт, отправителя, то это спуфинг.

8.

9.

10.

11.

15. Сниффер сети – захват и анализ сетевого трафика,
чтобы получить доступ к передаваемой информации.
Сниффер – это ПО, которое анализирует входящий и
исходящий трафик с ПК, подключенного к интернету. Оно
следит за тем, какие сайты посещаются, какие файлы
загружаются и выгружаются.
Есть 4 сферы, где сниффер используется в благих целях:
сетевые инженеры, системные администраторы, специалисты по
кибербезопасности, корпорации – для отслеживания трафика.
Но сниффер может быть использован и злоумышленниками для
кражи данных. Снифферы анализируют все, что через них
проходит, включая незашифрованные пароли и учетные
данные. Поэтому хакеры, имеющие к ним доступ, могут
завладеть личной информацией пользователей.

12.

16. Бэкдоры (backdoor, черный ход) – уязвимость, дающая
несанкционированный доступ к данным. Это вредоносное ПО
или намеренно оставленная лазейка (дефект алгоритма) в коде
ПО, которая даёт доступ к ПК для несанкционированных действий.
Вредоносные коды могут встраиваться в ПО, в аппаратную часть
или в файлы, хранящиеся на ПК. Они позволяют делать с ПК всё, что
в них заложил автор. Бэкдор позволяет копировать данные,
передавать их на чужие устройства. Это ПО используется для
объединения компьютеров-жертв в «ботнеты», централизованно
управляемые злоумышленниками в своих целях.
Есть группа бэкдоров, способных распространяться по сети и
внедряться в другие ПК как сетевые черви. Но в отличие от червей,
они распространяются по сети не самопроизвольно, а по команде
«хозяина», управляющего данной программой. Многие черви
содержат в себе бэкдоры, которые позволяют хакерам использовать
зараженные девайсы для сканирования сетей, взлома и атак.

13.

17. Тайпсквоттинг / киберсквоттинг – регистрация хакером
доменных имён, похожих на авторитетные сайты, с расчетом
на то, что пользователь при вводе имени сайта допустит
ошибку по невнимательности (например, поставит точку).
Цель: путём обмана вынудить пользователей посетить
вредоносные сайты с веб-адресами, являющимися намеренно
неправильно написанными названиями известных веб-сайтов. На
поддельных сайтах у жертв обманом запрашиваются личные
данные.
Опечатки при тайпсквоттинге подразумевают небольшие
ошибки, которые пользователи могут допустить при вводе адреса
сайта с клавиатуры. Тайпсквоттинг также известен как
перехват веб-адресов, имитация доменов или использование
поддельных веб-адресов.

14.

18. SQL-инъекция – это уязвимость веб-безопасности,
которая позволяет мошеннику вмешиваться в запросы,
которые приложение делает к своей БД. Это позволяет
просматривать данные, доступ к которым имеет само
приложение. Это могут быть данные других пользователей или
любые другие данные, которые преступник обычно не может
получить.
Во многих случаях мошенник может изменять или удалять
эти данные, вызывая постоянные изменения в содержимом
или поведении приложения.
Успешная
атака
SQL-инъекции
может
привести
к
несанкционированному доступу к конфиденциальным данным,
таким как пароли, данные кредитных карт или личная
информация пользователей.

15.

19. Сталкерское вредоносное ПО – это коммерческое ПО,
которое применяется для скрытого наблюдения и
вторжения в личную жизнь человека (для слежки).
Такое ПО продается через специализированные сайты, т.к.
официальные магазины приложений стараются не допускать
его размещения у себя. Продается под видом легального ПО.
Это ПО позволяет смотреть фотографии, файлы,
хранящиеся на устройстве пользователя, через него можно
подсматривать за человеком через камеру его смартфона в
режиме реального времени, а также видеть календарь и список
контактов, определять местоположение, читать историю
браузера, SMS и переписки в мессенджерах, записывать
переговоры, удаленно контролировать устройство.

16.

20. Эксплойт (exploit) — вредоносное ПО, которое
проникает на устройство через уязвимость и запускает
на нём вредоносный код. Представляет собой как отдельный
исполняемый файл, так и фрагмент вредоносного кода.
Задача эксплойта — проникнуть в систему через уязвимость и
обеспечить запуск вредоносного кода.
Эксплойты специально создаются для разных групп ПО:
браузеров, ОС, прикладного ПО (пример: офисные ПО),
серверного ПО, веб-сервисов, аппаратных компонентов.
Удаленные эксплойты попадают в систему через интернет. Для
проникновения
локальных
эксплойтов
киберпреступники
используют методы социальной инженерии, например, фишинг.
Пользователя обманом заставляют перейти по ссылке на
заражённый эксплойтом сайт или открыть вложенный файл, в
котором содержится эксплойт.

17.

Проникнув в уязвимость, эксплойт устанавливает в систему
прикреплённое к его телу вредоносное ПО или загружает его с сервера
киберпреступников. После чего те могут похитить личные данные
пользователя, превратить его устройства в часть ботнет-сети, нарушить
работу системы и т.д.
Поскольку эксплойты проникают в систему через уязвимость, срок их
годности ограничен. Спустя какое-то время разработчики выпускают
обновления, в которых содержатся патчи, закрывающие
уязвимость. Задача пользователя — вовремя устанавливать эти
обновления. Если этого не сделать, система продолжит оставаться под
угрозой.
Создаются
эксплойты
высококвалифицированными
киберпреступниками и продаются в даркнете как средство доставки
вредоносного ПО. Для специалистов по кибербезопасности эксплойты —
отличный инструмент, чтобы продемонстрировать разработчикам ПО,
как может эксплуатироваться уязвимость.

18.

ОСНОВНЫЕ ОТЛИЧИЯ ЭКСПЛОЙТ И БЭКДОР
Эксплойт (exploit) — это инструмент для взлома защиты,
использующий уязвимости в ПО для получения доступа.
Бэкдор — это лазейка (скрытый доступ), установленная в
системе для долгосрочного скрытого управления ею.
Эксплойт открывает дверь, а бэкдор позволяет входить и выходить
незамеченным. Принцип: Эксплойт «пробивает» защиту. Бэкдор — это
«черный вход», обходящий аутентификацию.
Цель: Эксплойт нацелен на эксплуатацию ошибки (сломать).
Бэкдор нацелен на сохранение доступа (закрепиться).
Время действия: Эксплойт работает однократно или в момент
атаки. Бэкдор обеспечивает постоянный доступ в будущем.
Пример взаимодействия: хакер использует эксплойт, чтобы
воспользоваться уязвимостью в браузере, и через него устанавливает
бэкдор для постоянного кражи паролей.

19.

21. Кейлоггеры – скрытный тип шпионского ПО, который
записывает и крадёт последовательность нажатия клавиш (и
многое другое), вводимые пользователем на устройстве.
Понятие «кейлоггер» или «рекордер нажатий клавиш» - это ПО,
которое регистрирует то, что пользователь печатает на
клавиатуре. Они могут позволить преступникам подслушивать,
наблюдать через камеру или слушать через микрофон смартфона.
Кейлоггеры проникают в устройства так же, как и другое
вредоносное ПО. Они устанавливаются, когда кликают на вложение
файла. Вложения могут прийти по эл. почте, соц. сетям, через
сообщение или посещение зараженного веб-сайта, который
эксплуатирует уязвимость в нем и загружает вредоносное ПО на
отправку. Также кейлоггеры редко приходят в одиночку. Троян,
доставляющий кейлоггер, может подмешать и другое вредоносное
ПО в систему.

20.

22. Скрипт вирусы (Script) – это вредоносное ПО, которое
использует возможности командных оболочек или браузеров для
выполнения вредоносных действий. Они заражают файлы, крадут
данные или распространяются через интернет, часто маскируясь
под обычные системные или веб-скрипты.
Они живут в Интернете. При посещении зараженного сайта браузер
загружает и запускает вредоносный код. Сам по себе он безвредный, но
может содержать более опасные вирусы. Ссылки на вирусные страницы
рассылаются в сообщениях через e-mail или мессенджеры.
Вирусы влияют на работу браузеров, меняют настройки и
захватывают их, позволяя хакерам делать изменения в вебстраницах на стороне клиента. В основном они направлены на сайты
соц.сетей. Некоторые способны инициировать DDoS-атаки, чтобы делать
функционирование серверов максимально медленным.
Пишутся на языке JavaScript. Примеры Script: JS.fornight.

21.

23. Дефейсмент (дефейс, англ. defacement — «искажение»,
«обезображивание») — это тип хакерской атаки, при которой
мошенники получают доступ к веб-сайту и изменяют его
внешний вид или содержимое для нанесения ущерба бизнесу.
Хакеры часто используют дефейсмент как «доску достижений». В Интернете есть площадки с
архивами с историей дефейсмент-взломов. Можно проследить, сколько раз и кем был изменен
какой-то сайт. В списках есть и известные ресурсы, принадлежащие крупным компаниям.
Дефейсеры используют автоматические утилиты для поиска уязвимых серверов и
эксплуатации найденных уязвимостей. Эксплойт автоматически загружает на зараженный сервер
бэкдор, который затем будет обеспечивать доступ к зараженному серверу. Бэкдор является
центральным элементом любой дефейсмент-атаки: внедряясь на взломанный сайт изнутри, он
может осуществлять дальнейшие незаконные действия — преодолевать защиту, красть
информацию, читать/изменять файлы, в том числе SQL базы, взламывать пароли, менять
пользовательские привилегии. Сервер, на котором расположен сайт, может стать инструментом
для рассылки спама или выполнения DDoS-атак. После проведения атаки дефейс автоматически
заносится в архив. Одна из наиболее серьезных проблем в борьбе с дефейсами состоит в том,
что дефейсеры не только эксплуатируют технические уязвимости, они еще и пользуются
невежественностью администраторов сайтов. Большинство людей, которые сегодня работают с
веб-серверами, не понимают важности того, что система должна отвечать современным
требованиям и быть полностью закрытой патчами.

22. Новейшие киберугрозы

НОВЕЙШИЕ КИБЕРУГРОЗЫ
Новейшие киберугрозы, получившие распространение в последние годы:
1. Мобильные угрозы. Увеличение вредоносных программ для
мобильных устройств, особенно на платформе Android, включая
шпионские программы и программы для кражи данных.
2. Уязвимости Интернета вещей (IoT). Увеличение числа атак на
устройства IoT, где часто отсутствует адекватная защита.
3. Атаки на облачные сервисы. Возрастание числа атак на облачные
инфраструктуры, особенно на неправильно настроенные облачные
хранилища и сервисы.

23. Новейшие киберугрозы

НОВЕЙШИЕ КИБЕРУГРОЗЫ
4. Скрытые вредоносные программы, способные избегать
обнаружения антивирусами и другими системами безопасности.
5. Промпт-инъекция — это киберугроза, исходящая из
взаимодействия с языковыми моделями и системами ИИ. В
отличие от традиционных атак, таких как SQL-инъекции, промптинъекция нацелена на манипуляцию вводом данных в AI-системы,
чтобы заставить их выдавать нежелательные или потенциально
вредоносные результаты.
Эти категории предоставляют обзор разнообразных угроз, с которыми
информационные системы и компьютерные сети могут столкнуться в
современном цифровом мире. Эффективное противостояние им требует
комплексного подхода и постоянного обновления мер безопасности и
соблюдения цифровой гигиены.

24. ВИДЫ ПРЕСТУПЛЕНИЙ

Для получения несанкционированного доступа хакеры совершают
преступления нескольких уровней:
Единичные – нацелены на получение выгоды мгновенно.
Кибератаки

заранее
спланированные
массовые
преступления для нанесения ущерба работе организации.
Кибертеррор – запланированная кибератака на сети, ИС,
ПО, данные и направленная на достижение политических
или идеологических мотивов преступников.
Главная цель преступлений: кража данных с помощью хакинга для
продажи их конкурентам или для требования выкупа. Чаще всего от их
атак страдают государственные организации.
Украденная информация легко продается. Обычно для этого
злоумышленники используют следующие сценарии:

25. СЦЕНАРИИ ПОКУШЕНИЯ

26.

ДЕЙСТВИЯ В СЛУЧАЕ КИБЕРАТАКИ:

27.

ТЕСТИРОВАНИЕ СИСТЕМ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ.
ПЕНТЕСТ
Пентест (тестирование на проникновение) — это имитация хакерской
атаки на ИС, которую проводят с согласия владельца. Цель: устранить
слабые места в безопасности до того, как их найдут злоумышленники.
Пентест — один из способов проверить, насколько компания защищена от
угроз. Во время пентестов имитируют взлом систем и утечки данных. Это
помогает опередить хакеров — выявить слабые места компании и найти
способы устранить уязвимости.
Тестирование на проникновение проводят не только для ПО или техники,
но и с сотрудниками. Много взломов связаны с человеческим фактором: люди
открывают подозрительные ссылки или по ошибке дают мошенникам
персональные данные. Задача белого хакерства — выяснить, как
обманывают людей. Например, сотрудникам компании намеренно отправляют
письма с просьбой пройти по ссылке. Если они её откроют, значит в компании
недостаточно рассказывают о цифровой гигиене и о том, как она влияет на
прибыль и убытки.

28.

ЧЕМ ПЕНТЕСТ ОТЛИЧАЕТСЯ ОТ АУДИТА БЕЗОПАСНОСТИ?
Аудит
Пентест
Проверка на соответствие
Проверка на прочность
Всё ли правильно с точки
зрения политики
и процессов
А можно ли взломать прямо
сейчас, и если да —
то насколько серьезно?
Аудит смотрит на документацию, архитектуру, логику. А
пентест — на практику, ошибки конфигурации, уязвимости
в коде, слабые пароли, человеческий фактор. Часто
их используют в связке: аудит показывает, что задумано,
а пентест — что реально происходит.

29.

Пентестер — это специалист по ИБ, который пытается найти все
возможные способы взлома системы. Если у него получается обойти
защиту, завладеть данными и взять ПК или систему под контроль, он
фиксирует эту уязвимость и добавляет в отчёт по итогам теста. С этим
документом работают другие специалисты по ИБ. Продумывают, что
изменить в ИС, описывают это в виде требований для разработчиков и
передают технической команде.
Пентестер как детектив. Но здесь надо не расследовать преступления, а
совершать их в безопасной среде, планировать тестирование (атаку), уметь
работать по своему и внешнему чек-листу, быть стрессоустойчивым,
терпеливым и готовым к вызовам. От внимательности зависит результат всей
работы: не заметил какую-то деталь — пропустил уязвимость.
Тестирование на проникновение — микс из традиционного тестирования,
программирования и системного администрирования. Чтобы заниматься
этичным хакингом, нужно разбираться в технологиях, которые используют
браузер и серверная часть сайта или приложения, и понимать, как устроена
архитектура корпоративных сетей и как настроить сетевое оборудование.

30.

КАКИЕ БЫВАЮТ ПЕНТЕСТЕРЫ?
ВНУТРЕННИЙ ПЕНТЕСТЕР
ВНЕШНИЙ ПЕНТЕСТЕР
Работает внутри команды как штатный
сотрудник
Компания нанимает его под проект
Разбирается во внутренних системах,
процессах, технологиях компании. Знает,
какие есть внутренние политики и правила
безопасности.
Его сила — в знании популярных и
нестандартных методов, которые хакеры
используют для атак снаружи.
Есть полный доступ к внутренним ресурсам
компании, информация о структуре систем,
архитектуре сети, иногда — исходные коды
программ.
Ограничен в доступе. Ему предоставляют
только информацию, которую мошенник мог
бы получить без внутренней поддержки. Не
владеет полным представлением о
внутренних механизмах компании.
Для комплексной системы безопасности нужны оба специалиста, поэтому нет
задачи выбрать между двумя этими направлениями. Внутренний эксперт
понимает особенности компании, а внешний может заметить неочевидные
проблемы, которых не видно изнутри.

31.

ВИДЫ ПЕНТЕСТОВ
Есть 3 основных вида тестирования на проникновение: внешний (черный
ящик), внутренний (белый ящик) и смешанный (серый ящик).
1. Чёрный ящик. Это метод имитации внешней атаки, где тестировщик заранее
не получает никакой информации о внутренней инфраструктуре компании. Он
действует как реальный хакер, зная только название организации, и собирает данные
самостоятельно из открытых источников. Он исследует слабые места в компонентах
инфраструктуры, которые подключены к интернету. Пример: уязвимости в формах
ввода на сайтах, серверы, офисную технику, подключенную к Wi-Fi.
2. Белый ящик. Специалист получает информацию о компании как
администратор с доступами во все ИС. Он исследует, насколько защищены
внутренние системы и БД, легко ли получить доступ к чувствительной информации.
Этот способ помогает тщательно проверить все внутренние ресурсы и защиту данных
от сотрудников с разным уровнем доступа к ним.
3. Серый ящик. Пентестер знает, как устроена инфраструктура компании, и
продумывает атаки на известные ему ресурсы и сотрудников. Пример:
использует фишинговые письма, звонки, личное общение. Разбрасывает флешки с
вредоносными файлами в офисе, устраивается на работу как стажёр, получает
физический доступ к локальной сети под видом монтажника камер видеонаблюдения.

32.

КАКОЙ ВИД ПЕНТЕСТА ВЫБРАТЬ?
Это зависит от целей бизнеса и уровня зрелости ИС.
• Нужна внешняя оценка рисков? Тогда «черный ящик».
• Важно понять, что произойдёт, если скомпрометируют
пользователя? Тогда подходит «серый ящик».
• Нужно «всё выкопать» и составить детальный план
доработок? Лучше взять «белый ящик».
Часто используют гибрид: часть проверки делают по
сценарию черного ящика, а потом проводят
дообследование с доступом к внутренним данным.

33.

СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ И АТАКИ НА СОТРУДНИКОВ
Самые уязвимое место — это люди. Причём не из-за злого умысла, а потому
что они работают с письмами, файлами, звонками, могут что-то открыть, нажать,
рассказать, потерять.
Реальный кейс: пентестер отправил от имени «службы безопасности» письмо
в отдел бухгалтерии. В нём был логотип компании, подпись, имя ИТ-директора.
Внутри была просьба срочно пройти двухфакторную авторизацию по новой
системе с ссылкой на поддельный сайт. Через 20 минут один из сотрудников ввёл
свои данные. Сессия была зафиксирована, пароли собраны. Через них пентестер
получил доступ к внутреннему порталу, где нашёл документы, в том числе с VPNдоступом и конфигурацией бухгалтерской системы.
Фишинговые письма были на вид «нормальные»: не вирусы, не спам, не
иероглифы. Всё выглядело логично и по делу. Важно, что такая атака могла
пройти любой антивирус, потому что в ней не было вредоносного кода. Только
доверие, привычка и невнимательность. Социальная инженерия — не только
фишинг. Это звонки «от лица техподдержки», визиты «в офис по поводу кабеля»,
забытые флешки. Человеческий фактор остаётся самой незащищённой
частью инфраструктуры, особенно если не проводить обучение и тесты.

34.

ЭТАПЫ ТЕСТИРОВАНИЯ НА ПРОНИКНОВЕНИЕ
Проведение пентеста разберём на примере веб-приложения.
1. Сбор информации. Этот этап похож на «шпионаж» перед атакой.
Пентестер ищет всю доступную публичную информацию сайте. Например,
доменные имена, IP-адреса, информацию о структуре сайта, имена
сотрудников, технологии, на которых написано веб-приложение. Использует
сервисы для получения информации о владельце домена, делает
специализированные поисковые запросы для поиска открытой информации
на сайтах и форумах.
2. Анализ уязвимостей. На этом этапе пентестер определяет, есть ли
«дыры» в безопасности приложения или сети, через которые может
попытаться проникнуть мошенник. Он сканирует веб-приложение на наличие
уязвимостей. Проверяет открытые порты, анализирует конфигурации сервера,
проверяет, есть ли уязвимости в коде приложения. Использует инструменты:
для сканирования открытых портов и определения сервисов, для
обнаружения уязвимостей в сетевых устройствах,
для тестирования
безопасности веб-приложения.

35.

3. Эксплуатация. На этом этапе пентестер проверяет, насколько
сложно воспользоваться найденными уязвимостями и проникнуть в
систему. Например, получить доступ к БД. Использует инструменты: для
автоматизации атак и использования известных уязвимостей, для
тестирования на SQL-инъекции, для атак на аутентификацию.
4. Поддержание доступа. Чем дольше у хакеров будет доступ к системам
и данным, тем дороже компании обойдётся уязвимость. На этом этапе
пентестер оценивает, как долго система не замечает, что ее взломали и
атакуют. Он устанавливает инструменты для удалённого доступа и которые
помогают поддерживать доступ в систему на протяжении тестирования.
5. Зачистка следов пребывания. Злоумышленники могут оставить
следы взлома. Например, удалить данные пользователя, оформить
подписки, зайти по логину и паролю с нескольких устройств. Чем больше
таких следов, тем проще компании провести расследование после хакерской
атаки. Опытные хакеры заметают следы своих атак. Пентестеры делают то
же самое после теста на проникновение.

36.

6. Анализ данных. Пентестер анализирует информацию, которую он
смог получить. Оценивает потенциальный ущерб от успешной атаки.
Например, как дорого компании обойдётся утечка данных клиентов из БД.
7. Документирование результатов. Пентестер создает отчёт, где
описывает выявленные уязвимости, даёт рекомендации по их
устранению и общую оценку безопасности веб-приложения.
Вот какую информацию должен содержать отчет:
✅ Понятную структуру, описание рисунков, схем, таблиц.
Формулировки должны быть понятными и для технического специалиста,
и для сотрудников маркетинга или HR.
✅ Детальное описание уязвимостей: где нашли, в чём суть,
скриншоты для наглядности.
✅ Описание процесса тестирования. Пентесты проводят в том числе,
чтобы выполнить требования регуляторов, поэтому добавляют ссылки на
базы уязвимостей ФСТЭК.

37.

✅ Рекомендации по устранению уязвимостей для стека технологий, который
использует заказчик.
✅ Аналитику. Например, общее количество уязвимостей и виды, которые часто
встречаются в компании. Сравнение с предыдущими пентестами.
✅ Последствия для компании, если хакеры воспользуются уязвимостью. Например, ущерб от DDos-атаки. В этом случае злоумышленники перегружают
сервер запросами, пока он не выйдет из строя.
Допустим, на сайте компании, которая разрабатывает сайты, есть форма заявки для связи с
менеджером. Когда клиент заполняет заявку, информация с сайта поступает на сервер. Каждая такая
операция обходится компании в 1000 руб. Обычно сайт может выдержать 50 запросов в минуту.
Представим, что DDoS-атака увеличивает количество запросов в 100 раз. Это означает, что вместо 50
запросов в минуту серверы обрабатывают 5000 запросов, и большинство из них фальшивые. Если атака
продлится час, компания потеряет около 300 млн руб. Запросы сами по себе не являются платной
услугой, но они могут привести к затратам для компании, если не будут правильно обработаны. В
примере цена в 1000 руб. указывает на то, что каждая обработка запроса требует ресурсов: времени
работы сервера, сетевых ресурсов, обслуживания и т.д. В ситуации с DDoS-атакой, когда количество
запросов резко увеличивается, основная проблема заключается в том, что сервер не справляется с
нагрузкой из-за чего реальные клиенты могут не получить доступ к услугам компании, ещё могут
потребоваться дополнительные ресурсы для защиты от атаки или её минимизации. То есть ресурсы
используются неэффективно.
✅ Резюме работы с общими рекомендациями и выводом.

38.

Пентест и закон: как не нарушить уголовный кодекс
Важно: пентест без официального согласия заказчика —
это уголовное преступление. Даже если вы «просто проверили
на интерес» или «не собирались ничего ломать по-настоящему».
В России это подпадает под статьи УК РФ:
• Ст. 272 — неправомерный доступ к компьютерной информации,
• Ст. 273 — создание и распространение вредоносных программ,
• Ст. 274 — нарушение правил эксплуатации систем.
Даже если действовать из лучших побуждений, без договора
и разрешения это будет считаться взломом, поэтому:
1. Всегда нужно оформлять официальное согласие со стороны
владельца инфраструктуры.
2. Подписывать договор, получать письменное разрешение.
3. Чётко фиксировать, что входит в работу, а что нет.
4. Не выходить за рамки согласованного.

39.

ОШИБКИ И ЗАБЛУЖДЕНИЯ О ПЕНТЕСТЕ
Даже компании с серьёзным подходом к ИБ иногда совершают одни
и те же ошибки. Не потому что не хотят защититься, а потому что не
до конца понимают, как работает пентест, зачем он нужен, что с ним делать
дальше. Разберём самые частые заблуждения, которые мешают извлечь
из проверки реальную пользу.
«После пентеста можно спать спокойно». Один из самых опасных
мифов — ощущение, что один пентест решает все проблемы. Проверили,
нашли баги, что-то закрыли — значит, всё хорошо. Но безопасность
не работает в формате «один раз и навсегда».
Угрозы меняются, инфраструктура развивается, сотрудники увольняются,
приходят новые. Через месяц или два то, что было проверено, уже может
выглядеть иначе. А новые уязвимости появляются постоянно —
в прошивках, библиотеках, логике приложений.
Пентест
даёт
снимок
уязвимостей
в
конкретный
момент.
Он не гарантирует безопасность в будущем. Спать спокойно можно только
тогда, когда пентест — это часть регулярной работы, а не разовая акция.

40.

ЧТО ДЕЛАТЬ, ЕСЛИ ВАШИ ДАННЫЕ СЛИЛИ?
1. Проверить достоверность утечки. Часто объявления об утечке используют мошенники
для фишинга: они присылают панические сообщения о скомпрометированных данных и
побуждают действовать на эмоциях. Главное — успокоиться и оценить ситуацию.
2. Оценить, какие именно данные скомпрометированы. От этого зависит, какие именно
действия предпринимать. Одно дело — просто попавший в публичное поле адрес эл.
почты или номер телефона. Совсем другое — платежные данные или физический адрес
с подробностями.
3. Если слитой БД нет в публичном доступе, то оценить риски самостоятельно. В случае с
«Яндекс-едой» или СДЭК вы, вероятно, понимаете, что указывали при заполнении
профиля или оформлении доставки.
4. Не вводить свои данные в сторонние сервисы проверки. Некоторые масштабные
утечки сопровождаются публикацией клиентской базы в наглядном виде. Многие тут же
решают проверить на сайте, попали ли их данные в общий список, и вводят свои имена и
номера телефонов. Лучше этого не делать: таким образом злоумышленники могут
пополнить свой каталог или подтвердить актуальность полученной информации.
5. Сменить пароли. И не только для профилей, попавших в утечку. Вполне вероятно, что
вы не придумываете уникальные пароли для каждого сервиса, а используете
чередование из нескольких, которые помните и считаете надежными. В таком случае
лучше сменить все совпадающие пароли.

41.

Как понять, что ваш номер телефона скомпрометирован?
Номер может быть скомпрометирован, если вы внезапно теряете
связь с сетью или получаете сообщения о сбросе пароля, которые вы не
запрашивали. Другие признаки — уведомления об изменениях в
аккаунтах, которые вы не совершали, и жалобы от ваших контактов о
подозрительных сообщениях от вашего номера.
Обращайте внимание на сочетание таких событий за короткий период.
Один спам-звонок не повод для паники. Тревожный сигнал — это полная
потеря сети, при том что устройство и SIM-карта физически целы, в
сочетании с оповещениями о входе или запросами аутентификации, которых
вы не инициировали. Такой набор признаков обычно указывает на подмену
SIM-карты.
Если что-то кажется подозрительным, быстро проверьте аккаунт у
оператора на предмет несанкционированных изменений. Позвоните с
другого телефона или посетите салон лично. Затем войдите в электронную
почту, банковские и социальные аккаунты и проверьте, не вносились ли там
изменения, которых вы не делали.

42.

SIM-подмена – самая большая угроза
Мошенничество с подменой SIM-карт вызывает большую озабоченность
во всём мире. Владельцы часто не замечают скрытую атаку на телефон,
особенно если они не знают, на какие признаки нужно обращать внимание.
Т.к. эти атаки могут причинить финансовый ущерб и навредить социальным
связям человека, а последствия их устранить не просто, то важно понимать,
как они происходят и как можно их предотвратить.
Подмена SIM-карты — это атака, при которой мошенник убеждает
мобильного оператора перевести ваш номер на SIM-карту, находящуюся
под его контролем. Это позволяет мошеннику перехватывать звонки и
SMS на номер. Это самая серьёзная угроза, связанная с номером телефона,
поскольку она полностью обходит защиту, основанную на SMS-кодах.
SIM-атака = доступ к банку, соцсетям и мессенджерам.
Если подмена SIM удаётся, атакующий получает все SMS-коды,
отправляемые на ваш телефон: пароли для входа в эл. почту и банки, доступ
к соц. сетям. Ущерб может быстро вырасти, если компрометируется эл. почта
— мошенник сможет инициировать сбросы паролей во множестве сервисов.

43.

Признаки подмены SIM-карты
Признаки подмены SIM-карты легко заметить, нужно лишь
обращать внимание на ряд моментов.
• Странные уведомления. Могут приходить смс, звонки о
неожиданном изменении условий обслуживания. Срочно звонить
моб. оператору.
• Отсутствие связи. Телефон перестал работать, не может
совершать / принимать звонки, смс, не грузит данные. Обратиться к
моб. оператору.
• Неожиданные посты в соц. сетях.
• Недоступность аккаунтов. Внезапное прекращение доступа к
банковским счетам, аккаунтам в соц.сетях или эл. почте.
• Неожиданные транзакции. Злоумышленники с помощью
подменной SIM-карты могут скрытно переводить деньги со счетов,
привязанных к телефонному номеру.

44.

СПОСОБЫ ЗАЩИТЫ ОТ ПОДМЕНЫ SIM-КАРТЫ
1. Заводить полезные онлайн-привычки. Опасаться фишинговых писем, не
переходить по подозрительным ссылкам, не оставлять ПДн в интернете.
Поставщики услуг никогда не просят держателей аккаунтов выслать по эл.
почте банковские реквизиты или номер паспорта.
2. Защищать мобильные аккаунты. Большинство моб. операторов дают
возможность защиты аккаунтов с помощью уникальных паролей, PIN-кодов и
контрольных слов при попытке внести изменения в аккаунт.
3. Приложения для аутентификации. Для защиты с помощью
двухфакторной аутентификации можно использовать приложенияаутентификаторы. Они позволяют привязать аутентификацию к физическому
устройству, а не к телефонному номеру, что снижает риск взлома SIM-карты.
4. Обратный звонок. Если эта услуга доступна у банков или моб. операторов,
просите их всегда перезванивать на номер, привязанный к аккаунту, перед
тем как вносить изменения. Это может помешать подмене SIM.
5. Не привязывать аккаунты к номеру телефона. Настроить другие
способы аутентификации. Хакеры получат доступ к меньшему числу аккаунтов

45.

РЕКОМЕНДАЦИЯ
Книга «Цифровая гигиена» от Наталья Касперской
Сейчас цифровой мир — это джунгли, подчас
населённые не самыми приятными и небезопасными
формами жизни. Таким он и останется, пока в нём не
будет наведён порядок. Перед вами не очередная
«страшилка», а экспертная оценка цифрового мира
на основе большого объёма изученных данных. В
книге рассматриваются проблемы цифровой
зависимости и отчуждения подростков, воздействия
деструктивных сообществ и токсичного контента,
защиты от фишинга, поиска и оценки достоверности
информации, а также другие явления цифровой
среды. Ситуация в сети очень быстро меняется,
порождая новые опасности, поэтому основная задача
— не только рассказать о существующих рисках, но и
научить вас разбираться в методах защиты.

46.

Домашнее задание (краткий конспект)
1. Какие бывают виды атак доступа. Опишите принципы их действия.
2. Какие бывают виды атак модификации. Опишите принципы их действия.
3. Какие бывают виды атак типа «отказ в обслуживании». Опишите принципы их действия.
4. Какие бывают виды комбинированных атак. Опишите принципы их действия.
5. Напишите основные угрозы и уязвимости беспроводных сетей. Опишите принципы их
действия.
6. Опишите 2 подхода к проблеме обеспечения безопасности компьютерных систем и
сетей.
7. Перечислите меры и средства программно-технического уровня.
8. Опишите спуфинг с подменой номера вызывающего абонента. Опишите принцип
действия.
9. Опишите спуфинг с подменой сайта и его принцип действия.
10. Опишите спуфинг с подменой адреса электронной почты и его принцип действия.
11. Опишите спуфинг с подменой IP-адреса и его принцип действия.
12. Опишите спуфинг с подменой DNS-сервера и его принцип действия.
13. Опишите ARP-спуфинг и его принцип действия.
15. Что такое VBS-черви, напишите принцип их действия и меры защиты от них.
16. Что такое JS-вирусы, напишите принцип их действия и меры защиты от них.
English     Русский Rules