Истории

Кибербезопасность – это не только защита от хакеров

Истории
Анна Самойдюк
Анна Самойдюк

Ex-редактор направления «Истории».

Анна Самойдюк

Компьютерная индустрия продолжает захватывать мир, а вместе с ней развивается и индустрия безопасности ПО. Чем больше программ выпускается, тем выше вероятность хакерских атак, поэтому сегодня цифровая безопасность важна, как никогда. Как же сделать наши системы более надежными и защищенными?  

Кибербезопасность – это не только защита от хакеров
Присоединиться

Скандал с модулем left-pad

Left-pad – простая программа, заполняющая левую часть строки нулями или пробелами. Эта функция в основном используется для форматирования текстового вывода. Имплементация очень проста; на момент скандала функция состояла из 11 строк кода на JavaScript. Тем не менее, тысячи разработчиков применяли этот код в своих программах, зачастую даже сами того не подозревая – они просто подключали библиотеки, основанные модулях, которые используют другие модули, содержащие left-pad.

Скандал начался с того, что разработчик Азер Кочулу удалил свой модуль left-pad из популярного инструмента для управления библиотеками JavaScript npm. Когда это произошло, все проекты, использующие проекты, основывающиеся на left-pad, сломались. Это стало большой головной болью для всего сообщества JavaScript.

Взглянем на проблему под другим углом: что если бы в библиотеке был небольшой баг, который умный хакер мог бы использовать в свою пользу?

Поскольку многие люди полагались на этот код не по своей воле, такой баг мог легко остаться незамеченным.

Фото: Instagram/Meduza

Простые ошибки могут вызывать катастрофические проблемы

В прошлом году издание Atlantic опубликовало статью под названием «Приближающийся программный апокалипсис», в которой рассматривалась необычайная сложность современных систем программного обеспечения и то, как простые ошибки могут привести к катастрофическим проблемам. Пример? Шестичасовое отключение службы 911 во всем штате Вашингтон:

Поломка 911 была связана с программным обеспечением, работающим на сервере в городе Энглвуд, штат Колорадо. Сервер, управляемый провайдером Intrado, постоянно отслеживал, сколько вызовов направлялось диспетчерам 911 по всей стране. Программисты Intrado установили максимальный порог счетчика системы.

Незадолго до полуночи десятого апреля счетчик превысил указанное ими число, и это привело к хаосу. Новые звонки просто перестали поступать. Это длилось шесть часов.

И хотя поломка не была результатом скоординированной атаки, очень просто представить ее как часть гениального плана: хакеры умышленно превышают максимальный порог счетчика прямо перед серьезным ограблением, и под общий шум выбираются сухими из воды.

В число задач программиста входит прогнозирование ошибок такого типа. Продумать все возможные баги для любой программы – очень важно. К сожалению, такие небольшие промахи могут оказать серьезное влияние на нашу жизнь.

Вот вам еще один пример: однажды хакерам удалось использовать «умный термометр для аквариума» для кражи базы данных казино. В данном случае термометр был менее защищенным, чем другие входные точки. И это не единственный пример уязвимости IoT-устройств. Производители таких девайсов должны начать всерьез воспринимать безопасность, а люди – осознавать все риски и проблемы технологии.

Фото: Unsplash

Рост и развитие индустрии безопасности ПО продолжит формировать траекторию нашего будущего. Цифровые системы играют сегодня важнейшую роль в банковском деле, системе голосования, медицине, автомобилях, самолетах, поездах, имплантированных медицинских устройствах и так далее. И каждая из этих цифровых систем потенциально уязвима. В 2018 году в индустрии цифровой безопасности работают множество профессионалов с разным набором навыков. Кто же они?

Хакеры, тестировщики, проверяющие систему на возможность проникновения, и правительственные агенты

Первые взламывают системы и делают незаконные вещи. Цели и мотивы хакеров могут быть довольно разными – от вымогательств до кражи записей из баз данных, но все они сводятся к одному вопросу: «Что я могу сделать, чего не хотел бы владелец системы?».

Иногда для такой работы требуются глубокие знания в области разработки и реализации ПО. Возьмем к примеру атаку на кошелек для хранения криптовалют MyEtherWallet.com. Хакеры использовали уязвимость в двух важных сетевых протоколах. Во-первых, они атаковали DNS (систему доменных имен), которая переводит понятные человеку имена вроде MyEtherWallet.com в понятные компьютеру IP-адреса, используемые для маршрутизации интернет-трафика. Эта атака позволила злоумышленникам отправить поддельные IP-адреса в ответ на запросы MyEtherWallet.com.

Затем хакеры атаковали BGP (протокол граничного шлюза), использующий IP-адреса и контролирующий то, как перемещается трафик. Эта атака заставила трафик проходить через зараженные компьютеры, что позволило злоумышленникам атаковать все больше DNS-запросов.  

В результате пользователи, напечатавшие «MyEtherWallet.com» в адресной строке браузера, были перенаправлены на фишинговый веб-сайт, который выглядел так же, как MyEtherWallet.com. Когда ни о чем не подозревающие люди печатали свои логины и пароли, эта информация отправлялась хакерам, которые затем опустошали аккаунты.

Фото: Unsplash

Взлом системы требует креативности, гибкости и особого образа мышления. Хакеры – с плохими или хорошими намерениями – думают о разных вариантах взлома. Если одна стратегия не сработала, они пробуют другую.

Тестировщики, проверяющие систему на возможность проникновения – это хакеры, которым компании платят за взлом собственных систем. Они затем рассказывают, как им это удалось, и организации работают над улучшением уязвимостей.

В основном такие тестировщики используют готовые инструменты для выполнения атаки. Многие из них требуют определенных технических знаний, но для того, чтобы ими пользоваться, необязательно быть магистром информатики. Тестировщики могут быть программистами, но в большинстве случаев это просто продвинутые пользователи компьютеров, которым нравится обучаться новым техникам.

Смягчение и предотвращение угроз

Суть смягчения и предотвращения полностью заключается в защите: это разработка систем, которая не позволяет хакерам заниматься незаконными вещами. Люди, работающие над этим, обладают обычно глубокими техническими знаниями.

Сисадмины, DevOps-разработчики и сетевые программисты включены в процесс смягчения и предотвращения. Определенную часть работы берут на себя и разработчики приложений – например, когда нужно восполнить пробелы в безопасности в приложении.

Поскольку безопасность сегодня – главный приоритет в компьютерных системах в целом, ответственность за создание защищенных сетей по умолчанию перешла к людям, которые лучше всего знакомы с системой. Команда, специализирующаяся на Windows, лучше всего знает, как работает Windows и как предотвратить возможность взлома на уровне этой операционной системы.

В больших организациях целые команды занимаются созданием безопасных API для разработчиков приложений. Действительно, если свести весь выбор программистов только к защищенным инструментам, можно сократить количество хакерских атак.

Фото: Unsplash

Большое количество хакерских атак оказывает давление на всех программистов. Очевидно, было бы лучше, если бы разработчики приложений не могли допустить уязвимостей в безопасности, потому что разработчики ОС закрыли всевозможные дыры, но это нереалистично. Таким образом, разработчики приложений и их руководители должны внимательно изучать тему безопасности и защиты.

Системные администраторы также выполняют задачи по смягчению и предотвращению – например, устанавливают защищенные VPN для ограничения доступа к важным внутренним серверам или базам данных, выбирают надежного поставщика облачных услуг и пользуются инструментами для мониторинга, которые будут сообщать о том, что устройства в сети ведут себя странно или отправляют подозрительный трафик.

Простые пользователи также должны принимать участие в смягчении угроз – выбирая сильные пароли, используя двухфакторную аутентификацию и т.д.

Предотвращение же – это игра, правила которой просты: вам нужно быть менее уязвимыми, чем другие. Грабители угонят, скорее, открытую машину, чем закрытую. Карманники, скорее, вытащат кошелек, торчащий из джинсов. Хакеры сначала подбирают общие пароли, прежде чем приступать к серьезной атаке, или ищут слабые точки в сети.

Когда разработчики обнаруживают уязвимость, они незамедлительно реагируют и выпускают обновления, чтобы закрыть утечку. Таким образом, в IT всегда важно быть в курсе последних событий.

Стать востребованным специалистом по кибербезопасности можно, выбрав онлайн-курс в каталоге курсов по информационной безопасности.

Цифровая экспертиза и обнаружение

Атаки неизбежны; суть цифровой экспертизы заключается в расследовании взлома после того, как он произошел. Конечно, нельзя вернуть время назад, но можно помешать хакерам повторить это в будущем уже с кем-то другим, разобраться, что было украдено и определить личности злоумышленников. Поскольку хакеры пользуются разными тактиками для взлома систем, экспертам по цифровой безопасности необходимо хорошо разбираться в этой сфере.

После аудита может быть возбуждено уголовное дело. Специалисты, работающие в этой отрасли, должны также понимать закон и правовые процедуры, чтобы предоставлять судьям и адвокатам только актуальную информацию.

Криптография и шифрование

Фото: Unsplash

Исследователи в области криптографии разрабатывают новые техники шифрования и код для безопасного хранения и передачи данных. Суть криптографии заключается в более абстрактной защите данных. Эта наука тесно переплетается с математикой. По сути она основывается на пяти принципах:

  1. Конфиденциальность: только доверенные лица могут читать сообщение.
  2. Целостность: никто не может менять защищенные данные.
  3. Аутентификация: личность сторон должна быть подтверждена.
  4. Авторизация: для отдельных доверенных сторон могут быть установлены разные уровни доступа.
  5. Неоспоримость: возможность доказать, что сообщение было получено.

Многие криптографы также работают над алгоритмами шифрования, которые будут непроницаемы для квантовых компьютеров, ведь если такая технология появится, криптографические алгоритмы станут совершенно незащищенными.

Безопасность ПО – большой и растущий рынок, но именно сейчас самое время в него окунуться. Если вы уже работаете в IT, сегодня как никогда важно обучиться новым практикам безопасности. Компьютеры и интернет никуда не денутся из нашей жизни, поэтому нам следует понять, как же их защитить.

Источник.


Материалы по теме:

«Отец» интернета утверждает, что у его изобретения есть две врожденные проблемы

Ваши старые твиты выдают о вас больше информации, чем вы думаете

Что такое фишинг и как от него защититься

Сколько зарабатывают охотники за багами

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Материалы по теме

  1. 1 Венчурный фонд Softline инвестировал 100 млн рублей в решение по защите от кибератак
  2. 2 InfoWatch объединил продукты по защите данных в новом интерфейсном решении
  3. 3 ЦБ РФ предупредил о новой схеме мошенничества со сдачей налоговой декларации
  4. 4 Как среднему бизнесу защищаться от новейших киберугроз
  5. 5 Почему неправильная настройка бэкапов дорого обходится бизнесу