Стали проблемой для всех пользователей ПК, имеющих доступ к Интернету без исключений. Многие компании используют брандмауэры и механизмы шифрования в качестве решений проблем безопасности, чтобы оставаться защищенными от возможных угроз. Тем не менее этого не всегда бывает достаточно.

Классификация сетевых угроз

Сетевые угрозы классифицируют на четыре категории:

1. Неструктурированные угрозы;
2. Структурированные угрозы;
3. Внутренние угрозы;
4. Внешние угрозы.

Неструктурированные угрозы

Неструктурированные угрозы часто включают несфокусированные нападения на одну или несколько сетевых систем. Атакуемые и зараженные системы могут быть неизвестны преступнику. Программные коды, такие как вирус, червь или троянский конь несложным образом могут попасть на Ваш ПК. Некоторые общие термины, о которых следует знать:

Вирус – вредоносная программа, способная реплицироваться с небольшим вмешательством пользователя (или совсем без его вмешательства), а реплицируемые программы также могут реплицироваться.

Червяк – форма вируса, распространяющаяся путем создания дубликатов на других дисках, системах или сетях. К примеру, червь, работающий с системой электронной почты, может отправлять свои копии на каждый адрес в адресной книге системы электронной почты.

Троянский конь – это, на первый взгляд, полезная программа (возможно игра или скринсейвер), но в фоновом режиме она может выполнять другие задачи, такие как удаление или изменение данных, или же захват паролей. Настоящий троянский конь не является технически вирусом, потому что он не реплицируется.

Неструктурированные атаки с использованием кода, который воспроизводит себя и отправляет копию всем пользователям электронной почты, могут легко пересечь земной шар за несколько часов, вызывая проблемы для сетей и отдельных лиц по всему миру. Хотя первоначальное намерение могло быть незначительным.

Структурированные угрозы

Структурированные угрозы ориентированы на одного или нескольких лиц; воспроизведятся людьми с навыками более высокого уровня, активно работающими над компрометацией системы. У злоумышленников, в этом случае, есть определенная цель. Они, как правило, хорошо осведомлены о дизайне сети, безопасности, процедурах доступа и инструментах взлома, и у них есть возможность создавать сценарии или приложения для достижения своих целей.

Внутренние угрозы

Внутренние угрозы исходят от лиц, имеющих авторизованный доступ к сети. Это может быть недовольный сотрудник или несчастный уволенный сотрудник, доступ которого все еще активен. Многие исследования показывают, что внутренние атаки могут быть значительными как по количеству, так и по размеру потерь.

Внешние угрозы

Внешние угрозы - это угрозы отдельных лиц вне организации, часто использующих Интернет или коммутируемый доступ. Эти злоумышленники не имеют авторизованного доступа к системам.

Результатом классификации определенной угрозы может быть комбинация двух или более угроз. Например, атака может быть структурирована из внешнего источника и, в то же время, может иметь одного или нескольких скомпрометированных сотрудников внутри, активно продвигающих усилия.

Необходимость думать о сетевой безопасности почему-то считается правом только больших компаний, типа Badoo , Google и Google , Яндекс или Telegram , которые открыто объявляют конкурсы за нахождение уязвимостей и всеми способами поднимают безопасность своих продуктов, веб-приложений и сетевых инфраструктур. При этом подавляющее большинство существующих веб-систем содержат «дыры» различного характера (исследование за 2012 год от Positive Technologies , уязвимости средней степени риска содержат 90% систем).

Что такое сетевая угроза или сетевая уязвимость?

WASC (Web Application Security Consortium) выделял несколько базовых классов, каждый из которых содержит несколько групп, в общей сложности уже 50 , распространенных уязвимостей, использование которых может нанести ущерб компании. Полная классификация выложена в виде WASC Thread Classification v2.0 , и на русском языке есть перевод предыдущей версии от InfoSecurity - Классификация угроз безопасности Web-приложений , который будет использован за основу классификации и существенно дополнен.

Основные группы угроз безопасности сайтов

Недостаточная аутентификация при доступе к ресурсам

В эту группу угроз входят атаки на основе Подбора (Brute Force), Злоупотребление функционалом (Abuse of Functionality) и Предсказуемое расположение ресурсов (). Основное отличие от недостаточной авторизации заключается в недостаточной проверке прав (или особенностей) уже авторизованного пользователя (например, обычный авторизованный пользователь может получить права администратора, просто зная адрес панели управления, если не производится достаточная проверка прав доступа).

Эффективно противодействовать таким атакам можно только на уровне логики приложения. Часть атак (например, слишком частый перебор) могут быть заблокированы на уровне сетевой инфраструктуры.

Недостаточная авторизация

Сюда можно отнести атаки, направленные на легкость перебора реквизитов доступа или использование каких-либо ошибок при проверке доступа к системе. Кроме техник Подбора (Brute Force) сюда входит Угадывания доступа (Credential and Session Prediction) и Фиксация сессии (Session Fixation).

Защита от атак этой группы предполагает комплекс требований к надежной системе авторизации пользователей.

Сюда входят все техники изменить содержимое веб-сайта без какого-либо взаимодействия с сервером, обслуживающим запросы - т.е. угроза реализуется за счет браузера пользователя (но при этом обычно сам браузер не является «слабым звеном»: проблемы заключаются в фильтрации контента на стороне сервера) или промежуточного кэш-сервера. Виды атак: Подмена содержимого (Content Spoofing), Межсайтовые запросы (XSS, Cross-Site Scripting), Злоупотребление перенаправлениями (URL Redirector Abuse), Подделка межсайтовых запросов (Cross-Site Request Forgery), Расщепление HTTP-ответа (HTTP Response Splitting , Контрабанда HTTP-ответа (HTTP Response Smuggling), а также Обход маршрутизации (Routing Detour), Расщепление HTTP-запроса (HTTP Request Splitting) и Контрабанда HTTP-запроса (HTTP Request Smuggling).

Значительная часть указанных угроз может быть блокирована еще на уровне настройки серверного окружения, но веб-приложения должны также тщательно фильтровать как поступающие данные, так и ответы пользователя.

Выполнение кода

Атаки на выполнение кода являются классическими примерами взлома сайта через уязвимости. Злоумышленник может выполнить свой код и получить доступ к хостингу, где расположен сайт, отправив определенным образом подготовленный запрос на сервер. Атаки: Переполнение буфера (Buffer Overflow), Форматирование строки (Format String), Целочисленное переполнение (Integer Overflows), LDAP внедрение (LDAP Injection), Mail внедрение (Mail Command Injection), Нулевой байт (Null Byte Injection), Выполнение команд ОС (OS Commanding), Исполнение внешнего файла (RFI, Remote File Inclusion), Внедрение SSI (SSI Injection), Внедрение SQL (SQL Injection), Внедрение XPath (XPath Injection), Внедрение XML (XML Injection), Внедрение XQuery (XQuery Injection) и Внедрение XXE (XML External Entities).

Не все из указанных типов атак могут касаться вашего сайта, но корректно они блокируются только на уровне WAF (Web Application Firewall) или фильтрации данных в самом веб-приложении.

Разглашение информации

Атаки этой группы не являются угрозой в чистом виде для самого сайта (поскольку сайт никак от них не страдает), но могут нанести вред бизнесу или использованы для проведения других типов атак. Виды: Отпечатки пальцев (Fingerprinting) и Обход директорий (Path Traversal)

Правильная настройка серверного окружения позволит полностью защититься от таких атак. Однако, также нужно обратить внимание на страницы ошибок веб-приложения (они могу содержать большое количество технической информации) и работу с файловой системой (которая может быть компрометирована недостаточной фильтрацией входных данных). Также бывает, что в поисковом индексе появляются ссылки на какие-либо уязвимости сайта, и это само по себе является существенной угрозой безопасности.

Логические атаки

В этой группе отнесли все оставшиеся атаки, возможность которых заключается, в основном, в ограниченности серверных ресурсов. В частности, это Отказ в обслуживании (Denial of Service) и более точечные атаки - Злоупотребление SOAP (SOAP Array Abuse), Переполнение XML-атрибутов XML Attribute Blowup и Расширение XML-сущностей (XML Entity Expansion).

Защита от них только на уровне веб-приложений, либо блокировки подозрительных запросов (сетевое оборудование или веб-прокси). Но при появление новых видов точечных атак необходимо проводить аудит веб-приложений на предмет уязвимости им.

DDoS-атаки

Как должно быть понятно из классификации, DDoS-атака в профессиональном смысле - это всегда исчерпание ресурсов сервера тем или иным способом (вторая D - это Distributed, т.е. распределенная DoS атака). Другие методы (хотя и упомянуты в Википедии) напрямую к DDoS-атаке отношения не имеют, но представляют тот или иной вид уязвимости сайта. Там же в Википедии достаточно подробно изложены методы защиты, здесь их дублировать не буду.

До недавнего времени я даже не знал, что роутер Avast пугает своих пользователей "страшными" предупреждениями относительно их роутеров. Как оказалось, антивирус Avast проводит проверку Wi-Fi роутеров. Он выдает результаты, что маршрутизатор настроен неправильно, устройство уязвимо для атак, или вообще, что роутер заражен и инфицирован, а злоумышленники уже перехватили DNS-адреса и успешно переправляют вас на вредоносные сайты, крадут данные кредитных карт и вообще все очень плохо. Все эти предупреждения конечно же приправлены опасным красным цветом и запутанными инструкциями, в которых даже хороший специалист без пива не разберется. Я не говорю уже об обычных пользователях. Вот так выглядят найденные проблемы на роутере D-Link DIR-615:

Устройство уязвимо для атак:

Из вариантов решения конечно же обновление прошивки роутера. Ибо что еще 🙂 Так же Avast может выдавать сообщение, что ваш роутер защищен слабым паролем, или роутер не защищен от взлома.

В отдельных случаях можно увидеть сообщение, что ваш роутер инфицирован , и соединения перенаправляются на вредоносный сервер. Антивирус Avast объясняет это тем, что ваш роутер был взломан, и в нем были изменены DNS-адреса на вредоносные. И там же предоставлены инструкции по решению этой проблемы для разных роутеров: ASUS, TP-Link, ZyXEL, D-Link, Huawei, Linksys/Cisco, NETGEAR, Sagem/Sagemco.

Если коротко, то все эти рекомендации направлены на проверку DNS-адресов, и служб связанных с DNS. Через которые злоумышленники могут сменить DNS на вашем роутере и перенаправлять вас на свои вредоносные сайты. Там есть подробные инструкции как все проверить на маршрутизаторах разных производителей.

Как реагировать на предупреждении от Avast об уязвимости роутера?

Думаю, этот вопрос интересует всех. Тем более, если вы зашли на эту страницу. Если вам интересно, как бы я отреагировал на такие предупреждения со стороны антивируса, то ответ простой – никак. Я уверен, что и в моем роутере Avast нашел бы дыры, через которые меня могут взломать. У меня просто Dr.Web. Он таких проверок не делает.

Возможно я ошибаюсь, но ни один антивирус кроме Avast не проверяет Wi-Fi роутеры к которым вы подключены на разного рода уязвимости. А эта функция, которая называется Home Network Security появилась еще в 2015 году. В версии программы Avast 2015.

Avast сканирует маршрутизатор на наличие проблем в безопасности устройства. Хотя, мне не до конца понятно, как он это делает. Например, как он проверяет то же пароль на вход в настройки роутера. Следит за пользователем, или методом подбора? Если подобрал – пароль плохой 🙂 Хотя ладно, я не программист.

Лично я считаю, что все эти предупреждения не боле чем простые рекомендации по усилению защиты вашего маршрутизатора. Это не значит, что вас уже кто-то взломал и ворует ваши данные. Что предлагает Avast:

• Установить хороший пароль и обновлять прошивку роутера. Мол в противном случае вас могут взломать. Ok, это и так понятно. Об этом не обязательно сигнализировать как о какой-то страшной уязвимости. Хотя снова же, мне не понятно, как антивирус определяет что версия программного обеспечения маршрутизатора устарела. Мне кажется, это невозможно.
• Роутер не защищен от подключений из интернета. Скорее всего такое предупреждение появляется после проверки открытых портов. Но по умолчанию, на всех роутерах функция "Доступ из WAN" отключена. Я очень сомневаюсь, что кто-то будет взламывать ваш роутер через интернет.
• Ну и самое страшное, это подмена DNS-адресов. При обнаружении каких-то проблем с DNS, Avast уже прямым текстом пишет о том, что "Ваш роутер инфицирован!". Но в 99% случаев это не так. Снова же, практически всегда роутер автоматически получает DNS от провайдера. А все функции и службы, через которые злоумышленники как-то могут подменить DNS, отключены по умолчанию. Мне кажется, что очень часто антивирус неправильно "понимает" какие-то пользовательские настройки.

Как-то так. Вы конечно же можете со мной не согласиться. Мне кажется, что намного проще получить доступ непосредственно к компьютеру, и заразить его, чем делать это с маршрутизатором. Если мы говорим об атаке через интернет. Буду рад увидеть ваше мнение по этому поводу в комментариях.

Как защитить роутер и убрать предупреждение от Avast?

Давайте попробуем разобраться с каждым пунктом, который скорее всего проверяет Avast и выдает предупреждения.

• Роутер защищен слабым паролем. Отсутствует шифрование. В первом случае антивирус имеет введу пароль, который нужно вводить при входе в настройки маршрутизатора. Как правило, по умолчанию пароль admin. Или вообще не установлен. И получается, что все, кто подключен к вашей сети могут зайти в настройки роутера. Поэтому, этот пароль нужно менять. Как это сделать, я писал в статье: . Что касается пароля Wi-Fi сети, то он так же должен быть надежным, и должен использоваться тип шифрования WPA2. Об этом я всегда пишу в инструкциях по настройке роутеров.
• Роутер уязвим из-за старого ПО. Это не совсем так. Но, если для вашей модели маршрутизатора есть новая прошивка, то его желательно обновить. Не только для повышения безопасности, но и для более стабильной работы устройства и новых функций. У нас на сайте есть инструкции по обновлению ПО для маршрутизаторов разных производителей. Можете найти через поиск, или спрашивайте в комментариях. Вот и для .
• Параметры DNS были изменены. Роутер взломан. Честно говоря, таких случаев я еще не видел. Как я уже писал выше, все службы, через которые это может произойти по умолчанию отключены. Чаще всего роутер получает DNS от провайдера автоматически. Единственное, что я могу посоветовать, это не прописывать вручную DNS-адреса, в которых вы не уверены. И если указываете вручную адреса, то лучше используйте только DNS от Google, которые: . Это так же советуют в рекомендациях Avast, которые можно посмотреть на официальном сайте: . Там есть подробные инструкции по решению проблем с DNS практически для всех роутеров.

На этом все. Надеюсь, мне удалось хоть немного пояснить данные предупреждения в антивирусе Avast. Задавайте вопросы в комментариях, и не забывайте делится полезной информацией по данной теме. Всего хорошего!

Посмотрело: 3378

Статья рассчитана на тех, кто начал думать о сетевой безопаности или продолжает это делать и укрепляет защиту веб-приложений от новых угроз - ведь для начала нужно понять, какие вообще могут быть угрозы, чтобы их предовратить.

Необходимость думать о сетевой безопасности почему-то считается правом только больших компаний, типа , и , или , которые открыто объявляют конкурсы за нахождение уязвимостей и всеми способами поднимают безопасность своих продуктов, веб-приложений и сетевых инфраструктур. При этом подавляющее большинство существующих веб-систем содержат «дыры» различного характера ( , уязвимости средней степени риска содержат 90% систем).

Что такое сетевая угроза или сетевая уязвимость?

Основные группы угроз безопасности сайтов

Недостаточная аутентификация при доступе к ресурсам

Эффективно противодействовать таким атакам можно только на уровне логики приложения. Часть атак (например, слишком частый перебор) могут быть заблокированы на уровне сетевой инфраструктуры.

Недостаточная авторизация

Защита от атак этой группы предполагает комплекс требований к надежной системе авторизации пользователей.

Сюда входят все техники изменить содержимое веб-сайта без какого-либо взаимодействия с сервером, обслуживающим запросы - т.е. угроза реализуется за счет браузера пользователя (но при этом обычно сам браузер не является «слабым звеном»: проблемы заключаются в фильтрации контента на стороне сервера) или промежуточного кэш-сервера. Виды атак: Подмена содержимого (), Межсайтовые запросы (XSS, ), Злоупотребление перенаправлениями (), Подделка межсайтовых запросов (), Расщепление HTTP-ответа ( , Контрабанда HTTP-ответа (), а также Обход маршрутизациии (), Расщепление HTTP-запроса () и Контрабанда HTTP-запроса ().

Значительная часть указанных угроз может быть блокирована еще на уровне настройки серверного окружения, но веб-приложения должны также тщательно фильтровать как поступающие данные, так и ответы пользователя.

Выполнение кода

Атаки на выполнение кода являются классическими примерами взлома сайта через уязвимости. Злоумышленник может выполнить свой код и получить доступ к хостингу, где расположен сайт, отправив определенным образом подготовленный запрос на сервер. Атаки: Переполнение буфера (), Форматирование строки (), Целочисленное переполнение (), LDAP внедрение (), Mail внедрение (), Нулевой байт (), Выполнение команд ОС (), Исполнение внешнего файла (RFI, ), Внедрение SSI (), Внедрение SQL (), Внедрение XPath (), Внедрение XML (), Внедрение XQuery () и Внедрение XXE ().

Не все из указанных типов атак могут касаться вашего сайта, но корректно они блокируются только на уровне WAF (Web Application Firewall) или фильтрации данных в самом веб-приложении.

Разглашение информации

Правильная настройка серверного окружения позволит полностью защититься от таких атак. Однако, также нужно обратить внимание на страницы ошибок веб-приложения (они могу содержать большое количество технической информации) и работу с файловой системой (которая может быть компрометирована недостаточной фильтрацией входных данных). Также бывает, что в поисковом индексе появляются ссылки на какие-либо уязвимости сайта, и это само по себе является существенной угрозой безопасности.

Логические атаки

Защита от них только на уровне веб-приложений, либо блокировки подозрительных запросов (сетевое оборудование или веб-прокси). Но при появление новых видов точечных атак необходиом проводить аудит веб-приложений на предмет уязвимости им.

DDoS-атаки

Сеть как объект защиты

Большинство современных автоматизированных систем обработки информации представляют собой распределенные системы, построенные на стандартных сетевых архитектурах и использующие типовые наборы сетевых сервисов и прикладного программного обеспечения. Корпоративные сети "наследуют" все "традиционные" для локальных вычислительных систем способы несанкционированного вмешательства. Кроме того, для них характерны и специфические каналы проникновения и несанкционированного доступа к информации, обусловленные использованием сетевых технологий.

Перечислим основные особенности распределенных вычислительных систем:

• территориальная удаленность компонентов системы и наличие интенсивного обмена информацией между ними;
• широкий спектр используемых способов представления, хранения и передачи информации;
• интеграция данных различного назначения, принадлежащих различным субъектам, в рамках единых баз данных и, наоборот, размещение необходимых некоторым субъектам данных в различных удаленных узлах сети;
• абстрагирование владельцев данных от физических структур и места размещения данных;
• использование режимов распределенной обработки данных;
• участие в процессе автоматизированной обработки информации большого количества пользователей и персонала различных категорий;
• непосредственный и одновременный доступ к ресурсам большого числа пользователей;
• разнородность используемых средств вычислительной техники и программного обеспечения;

Что такое сетевые уязвимости, угрозы и атаки?

В компьютерной безопасности термин "уязвимость " (англ. vulnerability ) используется для обозначения недостатка в системе, используя который злоумышленник может намеренно нарушить её целостность и вызвать неправильную работу. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролей, вирусов и других вредоносных программ, скриптовых и SQL-инъекций. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные эксплойты.

Обычно уязвимость позволяет атакующему "обмануть" приложение - заставить его совершить действие, на которое у того не должно быть прав. Это делается путём внедрения каким-либо образом в программу данных или кода в такие места, что программа воспримет их как "свои". Некоторые уязвимости появляются из-за недостаточной проверки данных, вводимых пользователем, и позволяют вставить в интерпретируемый код произвольные команды (SQL-инъекция, XSS, SiXSS). Другие уязвимости появляются из-за более сложных проблем, таких как запись данных в буфер без проверки его границ (переполнение буфера). Поиск уязвимостей иногда называют зондированием , например, когда говорят о зондировании удалённого компьютера - подразумевают, поиск открытых сетевых портов и наличии уязвимостей, связанных с приложениями, использующими эти порты.

Под угрозой (вообще) обычно понимают потенциально возможное событие, действие, процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам. Угрозой интересам субъектов информационных отношений будем называть такое событие, процесс или явление, которое посредством воздействия на информацию или другие компоненты АС может прямо или косвенно привести к нанесению ущерба интересам данных субъектов.

Сетевая атака - действие, целью которого является захват контроля (повышение прав) над удалённой/локальной вычислительной системой, либо её дестабилизация, либо отказ в обслуживании, а также получение данных пользователей пользующихся этой удалённой/локальной вычислительной системой. информационный киберпреступность вычислительный