Компьютерная атака
Компьютерная атака — это целенаправленное действие или последовательность действий, направленных на нарушение конфиденциальности, целостности, доступности информации или работоспособности информационной системы, а также на получение несанкционированного доступа к ней. Компьютерные атаки являются основным инструментом киберпреступности, кибершпионажа, кибертерроризма и кибервойны.
Классификация компьютерных атак
Компьютерные атаки классифицируются по множеству признаков, включая цель, вектор атаки, используемые уязвимости и последствия.
По цели воздействия
- Атаки на доступность (DoS/DDoS-атаки): Направлены на то, чтобы сделать ресурс (веб-сайт, сервер, сеть) недоступным для легитимных пользователей. Наиболее распространённый тип — распределённая атака типа «отказ в обслуживании» (DDoS), при которой злоумышленник использует множество скомпрометированных устройств (ботнет) для отправки огромного количества запросов к цели.
- Атаки на конфиденциальность: Нацелены на получение несанкционированного доступа к защищённой информации. К ним относятся перехват трафика, кража баз данных, фишинг для получения паролей, а также атаки типа «человек посередине» (Man-in-the-Middle, MitM).
- Атаки на целостность: Направлены на изменение данных без разрешения. Примеры — внедрение вредоносного кода в программное обеспечение, подмена данных в транзакциях, атаки на системы управления базами данных с целью искажения информации.
- Атаки на аутентификацию: Цель — обойти механизмы проверки подлинности пользователя. Это может быть подбор паролей (брутфорс), использование украденных учётных данных, атаки на протоколы аутентификации (например, Kerberos).
По вектору атаки
- Сетевые атаки: Проводятся через компьютерные сети. Включают сканирование портов, перехват пакетов, спуфинг (подмену IP-адресов), атаки на сетевые протоколы (например, ARP-spoofing, DNS-spoofing).
- Атаки на уровне приложений: Нацелены на уязвимости в веб-приложениях, базах данных, почтовых серверах и другом программном обеспечении. Классические примеры — SQL-инъекции, межсайтовый скриптинг (XSS), внедрение команд (Command Injection).
- Атаки на физическом уровне: Предполагают физический доступ к оборудованию: установка «жучков», подключение к аппаратным портам, кража носителей информации.
- Социальная инженерия: Атаки, эксплуатирующие человеческий фактор, а не технические уязвимости. Злоумышленник манипулирует людьми, чтобы получить конфиденциальную информацию или доступ к системе. Наиболее известный метод — фишинг.
По используемым уязвимостям
- Эксплойты нулевого дня (Zero-day): Атаки, использующие уязвимости, о которых разработчику программного обеспечения ещё неизвестно, и для которых не существует официального исправления (патча). Считаются наиболее опасными.
- Атаки на известные уязвимости: Используют уязвимости, для которых уже выпущены обновления безопасности. Такие атаки эффективны против систем, которые не были своевременно обновлены.
- Атаки на конфигурацию: Эксплуатируют ошибки в настройках систем: слабые пароли по умолчанию, открытые порты, неправильно настроенные права доступа.
Основные методы и инструменты
Вредоносное программное обеспечение (ВПО)
ВПО является ключевым инструментом для многих компьютерных атак. К основным типам относятся:
- Вирусы и черви: Самовоспроизводящиеся программы. Вирусы внедряются в другие файлы, черви распространяются по сети самостоятельно.
- Трояны (троянские кони): Программы, маскирующиеся под легитимное ПО, но выполняющие вредоносные действия (например, шпионаж, установка бэкдоров).
- Шифровальщики (Ransomware): Шифруют файлы на атакованном устройстве и требуют выкуп за их расшифровку. Являются одной из самых серьёзных угроз для бизнеса и государственных организаций.
- Шпионское ПО (Spyware): Собирает информацию о пользователе (нажатия клавиш, историю браузера, пароли) без его ведома.
- Бэкдоры (Backdoors): Программы, предоставляющие злоумышленнику удалённый несанкционированный доступ к системе.
- Ботнеты: Сети из заражённых устройств (ботов), управляемые злоумышленником (C&C-сервером). Используются для проведения DDoS-атак, рассылки спама, майнинга криптовалют.
Фишинг и социальная инженерия
- Фишинг: Массовая рассылка электронных писем, имитирующих сообщения от легитимных организаций (банков, госорганов, сервисов), с целью заставить получателя перейти по вредоносной ссылке или открыть заражённое вложение.
- Целевой фишинг (Spear phishing): Атака, нацеленная на конкретное лицо или организацию. Злоумышленник предварительно собирает информацию о жертве для создания убедительного сообщения.
- Вишинг (Vishing): Голосовой фишинг — атаки по телефону.
- Смишинг (Smishing): Фишинг через SMS-сообщения.
- Претекстинг (Pretexting): Создание вымышленного сценария (легенды) для получения информации от жертвы.
Атаки на веб-приложения
- SQL-инъекция (SQLi): Внедрение вредоносного SQL-кода в запрос к базе данных. Позволяет злоумышленнику читать, изменять или удалять данные, а иногда и получить полный контроль над сервером.
- Межсайтовый скриптинг (XSS): Внедрение вредоносного скрипта на веб-страницу. При просмотре страницы другим пользователем скрипт выполняется, что может привести к краже сессионных cookie, перенаправлению на фишинговые сайты или другим действиям.
- Межсайтовая подделка запроса (CSRF): Атака, при которой злоумышленник заставляет аутентифицированного пользователя выполнить нежелательное действие на веб-сайте (например, изменить пароль или перевести деньги).
История и известные примеры
Развитие компьютерных атак неразрывно связано с развитием компьютерных сетей и интернета.
- 1988 год: Червь Морриса — одна из первых крупных сетевых атак. Черви поразили около 6000 компьютеров (примерно 10% от всех подключённых к сети ARPANET), что привело к значительным сбоям.
- 1999 год: Вирус Melissa — один из первых массовых макровирусов, распространявшихся через электронную почту.
- 2000 год: DDoS-атаки на крупные сайты, такие как Yahoo!, eBay, Amazon, продемонстрировали уязвимость инфраструктуры интернета.
- 2007 год: Атаки на Эстонию — серия DDoS-атак на правительственные, банковские и медиа-сайты Эстонии, которые часто называют первой кибервойной на государственном уровне.
- 2010 год: Stuxnet — сложный сетевой червь, атаковавший иранские центрифуги по обогащению урана. Считается первым известным кибероружием, способным наносить физический ущерб.
- 2017 год: WannaCry — масштабная атака с использованием программы-шифровальщика, поразившая сотни тысяч компьютеров в 150 странах, включая системы здравоохранения Великобритании.
- 2020 год: SolarWinds — атака на цепочку поставок, при которой злоумышленники внедрили вредоносный код в обновление популярного программного обеспечения SolarWinds Orion, что позволило им получить доступ к сетям тысяч организаций, включая правительственные учреждения США.
- 2022 год: Атаки на критическую инфраструктуру России и Украины в ходе конфликта. В России наблюдался рост DDoS-атак на государственные порталы, банки и транспортные системы, а также атак с использованием шифровальщиков на промышленные предприятия. В ответ на это в России были приняты меры по усилению кибербезопасности, включая создание Национального координационного центра по компьютерным инцидентам (НКЦКИ).
Защита от компьютерных атак
Защита от компьютерных атак является комплексной задачей и включает в себя организационные, технические и правовые меры.
- Технические меры:
- Использование межсетевых экранов (файрволов) и систем обнаружения и предотвращения вторжений (IDS/IPS).
- Регулярное обновление программного обеспечения (patch management).
- Использование антивирусного и антишпионского ПО.
- Шифрование данных (как передаваемых, так и хранящихся).
- Внедрение многофакторной аутентификации (MFA).
- Резервное копирование данных и создание планов восстановления после аварий.
- Организационные меры:
- Разработка и внедрение политики информационной безопасности.
- Регулярное обучение сотрудников основам кибергигиены и выявлению фишинговых атак.
- Проведение аудитов безопасности и тестирований на проникновение (пентестов).
- Ограничение привилегий пользователей (принцип минимальных привилегий).
- Правовые меры:
- В Российской Федерации основным законом в этой сфере является Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- Уголовный кодекс РФ предусматривает ответственность за неправомерный доступ к компьютерной информации (ст. 272), создание, использование и распространение вредоносных программ (ст. 273) и нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации (ст. 274).
- Действует система ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации), координирующая усилия по защите критической информационной инфраструктуры (КИИ).
Источники
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- Уголовный кодекс Российской Федерации (Глава 28. Преступления в сфере компьютерной информации).
- Доктрина информационной безопасности Российской Федерации (утверждена Указом Президента РФ от 05.12.2016 № 646).
- Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
- Материалы Национального координационного центра по компьютерным инцидентам (НКЦКИ).
- Отчёты и публикации ведущих компаний в области кибербезопасности (Kaspersky, Positive Technologies, Group-IB).
- Стандарты и рекомендации в области информационной безопасности (ISO/IEC 27001, NIST).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →