¿Qué son las vulnerabilidades, amenazas y ataques de la red? ¿Qué es una amenaza de red o una vulnerabilidad de red? Las amenazas de Internet más peligrosas

¿Qué son las vulnerabilidades, amenazas y ataques de la red? ¿Qué es una amenaza de red o una vulnerabilidad de red? Las amenazas de Internet más peligrosas

La red como objeto de protección.

La mayoría de los sistemas automatizados de procesamiento de información modernos son sistemas distribuidos construidos sobre arquitecturas de red estándar y que utilizan conjuntos estándar de servicios de red y software de aplicación. Las redes corporativas "heredan" todos los métodos "tradicionales" de intervención no autorizada en los sistemas informáticos locales. Además, se caracterizan por canales específicos de penetración y acceso no autorizado a la información debido al uso de tecnologías de red.

Enumeremos las principales características de los sistemas informáticos distribuidos:

  • lejanía territorial de los componentes del sistema y presencia de un intenso intercambio de información entre ellos;
  • una amplia gama de métodos utilizados para presentar, almacenar y transmitir información;
  • integración de datos para diversos fines pertenecientes a diversos sujetos dentro de bases de datos unificadas y, a la inversa, colocación de datos requeridos por algunos sujetos en varios nodos de red remotos;
  • abstraer a los propietarios de los datos de las estructuras físicas y la ubicación de los datos;
  • uso de modos de procesamiento de datos distribuidos;
  • participación en el proceso de procesamiento automatizado de información de una gran cantidad de usuarios y personal de diversas categorías;
  • acceso directo y simultáneo a recursos de una gran cantidad de usuarios;
  • heterogeneidad de equipos y software informáticos utilizados;

¿Qué son las vulnerabilidades, amenazas y ataques de la red?

En seguridad informática el término " vulnerabilidad" (Inglés) vulnerabilidad) se utiliza para indicar una falla en el sistema, mediante la cual un atacante puede violar intencionalmente su integridad y causar un funcionamiento incorrecto. Las vulnerabilidades pueden ser el resultado de errores de programación, fallas en el diseño del sistema, contraseñas débiles, virus y otro malware, inyecciones de scripts y SQL. Algunas vulnerabilidades se conocen sólo teóricamente, mientras que otras se utilizan activamente y tienen vulnerabilidades conocidas.

Normalmente, una vulnerabilidad permite a un atacante "engañar" a una aplicación para que realice una acción que no debería tener derecho a realizar. Esto se hace introduciendo de alguna manera datos o código en el programa en lugares tales que el programa los perciba como "propios". Algunas vulnerabilidades surgen debido a una verificación insuficiente de la entrada del usuario y permiten que se inserten comandos arbitrarios (inyección SQL, XSS, SiXSS) en el código interpretado. Otras vulnerabilidades surgen de problemas más complejos, como escribir datos en un búfer sin verificar sus límites (desbordamiento del búfer). El análisis de vulnerabilidades a veces se denomina sondeo, por ejemplo, cuando hablan de sondear una computadora remota, se refieren a buscar puertos de red abiertos y la presencia de vulnerabilidades asociadas con las aplicaciones que utilizan estos puertos.

Bajo amenaza(en general) suelen entender un evento, acción, proceso o fenómeno potencialmente posible que podría conducir a un daño a los intereses de alguien. Se definirá una amenaza a los intereses de los sujetos de las relaciones de información como aquel evento, proceso o fenómeno que, a través de su impacto sobre la información u otros componentes del SA, puede conducir directa o indirectamente a un daño a los intereses de estos sujetos.

Ataque de red- una acción cuyo objetivo es tomar el control (aumentar los derechos) sobre un sistema informático remoto/local, o desestabilizarlo, o negar el servicio, así como obtener datos de los usuarios que utilizan este sistema informático remoto/local. información cibercrimen informática

¿Con qué frecuencia nos encontramos con problemas con la seguridad de nuestro ordenador cuando se trata de Internet? Hay muchas amenazas provenientes de la World Wide Web. Y más aún si el ordenador es de un usuario inexperto. Después de todo, con el desarrollo de las tecnologías de Internet, se desarrollan en paralelo varios tipos de amenazas de Internet. Estos incluyen programas antivirus, spam, etc. Por lo tanto, nos conviene poder reconocer y prevenir los daños que se pueden causar a programas importantes o al sistema operativo en su conjunto, al mismo tiempo que ahorramos tiempo y recursos financieros que luego podemos gastar en la recuperación de datos.

Phishing

El phishing es una de las amenazas de Internet más peligrosas. Este es un tipo de fraude en Internet que se basa en obtener acceso a datos personales. Esto puede suceder a través de correos electrónicos supuestamente enviados por una empresa conocida. Como resultado, el usuario, sin sospechar nada, sigue el enlace proporcionado en la carta y termina en un sitio web donde se le solicita que proporcione sus datos. De esta forma, los estafadores obtienen datos confidenciales de una persona. Por tanto, esté atento y no deje sus datos personales si no está seguro de la fiabilidad del recurso.

Virus

Los más comunes son los programas de virus. Dependiendo del tipo, pueden dañar tu computadora de diferentes maneras. Algunos afectan el funcionamiento del software, otros roban nombres de usuario y contraseñas, otros envían spam desde su dirección IP y otros utilizan su computadora para llevar a cabo ataques a la red.

Reglas básicas de seguridad

Las herramientas obligatorias de protección informática incluyen, preferiblemente con licencia o con una base de datos de virus actualizada con frecuencia. Cabe señalar que con dicho programa estará protegido incluso en ausencia de acceso a Internet, a menos, por supuesto, que desee que le presenten un "regalo" en una unidad extraíble. Para obtener protección adicional, utilice firewalls y programas de filtrado de spam. Es importante actualizar el software que utiliza a tiempo. Y sigue estas recomendaciones:

  • no descargue archivos desconocidos;
  • no siga enlaces sospechosos;
  • no utilice contraseñas simples y cortas;
  • no comparta contraseñas con nadie;
  • no visite sitios con contenido dudoso;
  • Tenga cuidado al utilizar Internet en lugares públicos, ya que existe una alta probabilidad de que le roben su contraseña.

Los fabricantes de enrutadores a menudo no se preocupan demasiado por la calidad de su código, razón por la cual las vulnerabilidades son comunes. Hoy en día, los enrutadores son un objetivo prioritario para los ataques a la red, lo que permite a las personas robar dinero y datos sin pasar por los sistemas de seguridad locales. ¿Cómo puedo comprobar yo mismo la calidad del firmware y la idoneidad de la configuración? Utilidades gratuitas, servicios de verificación en línea y este artículo le ayudarán con esto.

Los enrutadores de consumo siempre han sido criticados por su falta de confiabilidad, pero un precio alto no garantiza una alta seguridad. En diciembre pasado, los especialistas de Check Point descubrieron más de 12 millones de enrutadores (incluidos los modelos superiores) y módems DSL que podían ser pirateados debido a una vulnerabilidad en el mecanismo para obtener configuraciones automáticas. Se utiliza ampliamente para configurar rápidamente equipos de red en el lado del cliente (CPE - equipo de las instalaciones del cliente). Durante los últimos diez años, los proveedores han estado utilizando el protocolo de gestión de equipos de suscriptores CWMP (CPE WAN Management Protocol) para este fin. La especificación TR-069 brinda la capacidad de enviar configuraciones usándola y conectar servicios a través del Servidor de configuración automática (ACS - Servidor de configuración automática). Los empleados de Check Point descubrieron que muchos enrutadores tienen un error al procesar las solicitudes CWMP, y los proveedores complican aún más la situación: la mayoría de ellos no cifran la conexión entre ACS y el equipo del cliente y no limitan el acceso mediante direcciones IP o MAC. En conjunto, esto crea las condiciones para un fácil ataque de intermediario.

A través de una implementación vulnerable de CWMP, un atacante puede hacer casi cualquier cosa: establecer y leer parámetros de configuración, restablecer la configuración a los valores predeterminados y reiniciar el dispositivo de forma remota. El tipo de ataque más común consiste en reemplazar las direcciones DNS en la configuración del enrutador con servidores controlados por el atacante. Filtran solicitudes web y redirigen a páginas falsas las que contienen llamadas a servicios bancarios. Se crearon páginas falsas para todos los sistemas de pago populares: PayPal, Visa, MasterCard, QIWI y otros.

La peculiaridad de este ataque es que el navegador se ejecuta en un sistema operativo limpio y envía una solicitud a la dirección ingresada correctamente de un sistema de pago real. Verificar la configuración de red de su computadora y buscar virus en ella no revela ningún problema. Además, el efecto persiste si te conectas al sistema de pago a través de un enrutador pirateado desde otro navegador e incluso desde otro dispositivo de la red doméstica.

Dado que la mayoría de las personas rara vez verifican la configuración de su enrutador (o incluso confían este proceso a los técnicos del ISP), el problema pasa desapercibido durante mucho tiempo. Normalmente se enteran por exclusión, después de que el dinero ha sido robado de las cuentas y una comprobación informática no ha arrojado ningún resultado.

Para conectarse a un enrutador a través de CWMP, un atacante utiliza una de las vulnerabilidades comunes típicas de los dispositivos de red de nivel básico. Por ejemplo, contienen un servidor web de terceros, RomPager, escrito por Allegro Software. Hace muchos años, se descubrió un error en el procesamiento de cookies, que se corrigió rápidamente, pero el problema persiste. Dado que este servidor web forma parte del firmware, no es posible actualizarlo de una sola vez en todos los dispositivos. Cada fabricante tuvo que lanzar una nueva versión para cientos de modelos que ya estaban a la venta y convencer a sus propietarios para que descargaran la actualización lo antes posible. Como ha demostrado la práctica, ninguno de los usuarios domésticos hizo esto. Por lo tanto, la cantidad de dispositivos vulnerables asciende a millones incluso diez años después del lanzamiento de las correcciones. Además, los propios fabricantes siguen utilizando la antigua versión vulnerable de RomPager en su firmware hasta el día de hoy.

Además de los enrutadores, la vulnerabilidad afecta a los teléfonos VoIP, cámaras de red y otros equipos que pueden configurarse de forma remota mediante CWMP. Normalmente, para esto se utiliza el puerto 7547. Puede verificar su estado en el enrutador utilizando el servicio gratuito Shields Up de Steve Gibson. Para hacer esto, escriba su URL (grc.com) y luego agregue /x/portprobe=7547.

La captura de pantalla muestra sólo un resultado positivo. Negativo no garantiza que no haya vulnerabilidad. Para excluirlo, deberá realizar una prueba de penetración completa, por ejemplo, utilizando el escáner Nexpose o el marco Metasploit. Los propios desarrolladores a menudo no están preparados para decir qué versión de RomPager se utiliza en una versión particular de su firmware y si existe. Este componente definitivamente no está presente sólo en firmware alternativo de código abierto (hablaremos de ello más adelante).

Registrar un DNS seguro

Es una buena idea verificar la configuración de su enrutador con más frecuencia e inmediatamente registrar manualmente direcciones de servidor DNS alternativas. Éstos son algunos de ellos disponibles de forma gratuita.

  • DNS seguro de Comodo: 8.26.56.26 y 8.20.247.20
  • Norton ConnectSafe: 199.85.126.10, 199.85.127.10
  • DNS público de Google: 8.8.8.8, 2001:4860:4860:8888 - para IPv6
  • DNS abierto: 208.67.222.222, 208.67.220.220

Todos ellos bloquean sólo sitios infectados y de phishing, sin restringir el acceso a recursos para adultos.

Desconéctate y reza

Hay otros problemas conocidos desde hace mucho tiempo que los propietarios de dispositivos de red o (con menos frecuencia) sus fabricantes no están dispuestos a solucionar. Hace dos años, los expertos de DefenseCode descubrieron un conjunto completo de vulnerabilidades en enrutadores y otros equipos de red activos de nueve empresas importantes. Todos ellos están asociados con una implementación de software incorrecta de componentes clave. En particular, la pila UPnP en el firmware para chips Broadcom o el uso de versiones anteriores de la biblioteca abierta libupnp. Junto con los especialistas de Rapid7 y CERT, los empleados de DefenseCode encontraron alrededor de siete mil modelos de dispositivos vulnerables. Durante seis meses de escaneo activo de un rango aleatorio de direcciones IPv4, se identificaron más de 80 millones de hosts que respondieron a una solicitud UPnP estándar a un puerto WAN. Una quinta parte de ellos admitía el servicio SOAP (Protocolo simple de acceso a objetos) y 23 millones permitían la ejecución de código arbitrario sin autorización. En la mayoría de los casos, un ataque a enrutadores con tal agujero en UPnP se lleva a cabo mediante una solicitud SOAP modificada, lo que provoca un error en el procesamiento de datos y el resto del código termina en un área arbitraria de la RAM del enrutador, donde se ejecuta con derechos de superusuario. En los enrutadores domésticos, es mejor desactivar UPnP por completo y asegurarse de que las solicitudes al puerto 1900 estén bloqueadas. El mismo servicio de Steve Gibson ayudará con esto. El protocolo UPnP (Universal Plug and Play) está habilitado de forma predeterminada en la mayoría de los enrutadores, impresoras de red, cámaras IP, NAS y electrodomésticos inteligentes. Está habilitado de forma predeterminada en Windows, OS X y muchas versiones de Linux. Si es posible afinar su uso, no está tan mal. Si las únicas opciones disponibles son "activar" y "desactivar", entonces es mejor elegir esta última. A veces, los fabricantes introducen software deliberadamente en los equipos de red. Lo más probable es que esto suceda a instancias de los servicios de inteligencia, pero en caso de escándalo, las respuestas oficiales siempre mencionan "necesidad técnica" o "un servicio propio para mejorar la calidad de la comunicación". Se han descubierto puertas traseras integradas en algunos enrutadores Linksys y Netgear. Abrieron el puerto 32764 para recibir comandos remotos. Dado que este número no corresponde a ningún servicio conocido, este problema es fácil de detectar, por ejemplo, utilizando un escáner de puertos externo.

INFORMACIÓN

Otra forma de realizar una auditoría gratuita de la red doméstica es descargar y ejecutar el antivirus Avast. Sus nuevas versiones contienen el asistente de verificación de red, que identifica vulnerabilidades conocidas y configuraciones de red peligrosas.

Los valores predeterminados son para los corderos.

El problema más común con la seguridad del enrutador sigue siendo la configuración de fábrica. Estas no son solo direcciones IP internas, contraseñas e inicios de sesión de administrador comunes para toda la serie de dispositivos, sino que también incluyen servicios que aumentan la comodidad a costa de la seguridad. Además de UPnP, el protocolo de control remoto Telnet y el servicio WPS (Configuración protegida de Wi-Fi) suelen estar habilitados de forma predeterminada. A menudo se encuentran errores críticos en el procesamiento de solicitudes Telnet. Por ejemplo, los enrutadores D-Link de las series DIR-300 y DIR-600 permitieron recibir un shell de forma remota y ejecutar cualquier comando a través del demonio telnetd sin ninguna autorización. En los enrutadores Linksys E1500 y E2500, la inyección de código era posible mediante ping regular. El parámetro ping_size no se verificó, como resultado de lo cual la puerta trasera se cargó en el enrutador mediante el método GET en una línea. En el caso del E1500, no fueron necesarios trucos adicionales durante la autorización. Simplemente se podría establecer una nueva contraseña sin ingresar la actual. Se identificó un problema similar con el teléfono VoIP Netgear SPH200D. Además, al analizar el firmware, resultó que estaba activa una cuenta de servicio oculta con la misma contraseña. Con Shodan, puedes encontrar un enrutador vulnerable en un par de minutos. Todavía le permiten cambiar cualquier configuración de forma remota y sin autorización. Puede aprovechar esto de inmediato o puede hacer una buena acción: busque a este desafortunado usuario en Skype (por IP o nombre) y envíele un par de recomendaciones; por ejemplo, cambie el firmware y lea este artículo.

Supercúmulo de agujeros masivos

Los problemas rara vez vienen solos: la activación de WPS conduce automáticamente a la activación de UPnP. Además, el PIN estándar o la clave de autenticación previa utilizada en WPS anula toda la protección criptográfica de nivel WPA2-PSK. Debido a errores de firmware, WPS a menudo permanece habilitado incluso después de deshabilitarlo a través de la interfaz web. Puede averiguarlo utilizando un escáner de Wi-Fi, por ejemplo, la aplicación gratuita Wifi Analyzer para teléfonos inteligentes con sistema operativo Android. Si el propio administrador utiliza los servicios vulnerables, no será posible rechazarlos. Es bueno que el enrutador le permita protegerlos de alguna manera. Por ejemplo, no acepte comandos en el puerto WAN ni establezca una dirección IP específica para uso de Telnet. A veces simplemente no hay forma de configurar o simplemente deshabilitar un servicio peligroso en la interfaz web y es imposible cerrar el agujero con los medios estándar. La única salida en este caso es buscar un firmware nuevo o alternativo con un conjunto ampliado de funciones.

Servicios alternativos

Los firmwares abiertos más populares son DD-WRT, OpenWRT y su bifurcación Gargoyle. Solo se pueden instalar en enrutadores de la lista de compatibles, es decir, aquellos para los cuales el fabricante del chipset ha revelado las especificaciones completas. Por ejemplo, Asus tiene una serie separada de enrutadores que fueron diseñados originalmente con miras al uso de DD-WRT (bit.ly/1xfIUSf). Ya cuenta con doce modelos desde el nivel básico hasta el nivel corporativo. Los enrutadores MikroTik ejecutan RouterOS, que no es inferior en flexibilidad a la familia *WRT. Este es también un sistema operativo de red completo basado en el kernel de Linux, que admite absolutamente todos los servicios y cualquier configuración imaginable. Actualmente se puede instalar firmware alternativo en muchos enrutadores, pero tenga cuidado y verifique el nombre completo del dispositivo. Con el mismo número de modelo y apariencia, los enrutadores pueden tener diferentes revisiones, lo que puede ocultar plataformas de hardware completamente diferentes.

control de seguridad

Puede comprobar la vulnerabilidad de OpenSSL utilizando la utilidad gratuita ScanNow de Rapid7 (bit.ly/18g9TSf) o su versión simplificada en línea (bit.ly/1xhVhrM). La verificación en línea se realiza en unos segundos. En un programa separado, puede configurar un rango de direcciones IP, por lo que la prueba lleva más tiempo. Por cierto, los campos de registro de la utilidad ScanNow no se verifican de ninguna manera.

Después del análisis, se mostrará un informe y una oferta para probar el escáner de vulnerabilidades más avanzado Nexpose, dirigido a redes empresariales. Está disponible para Windows, Linux y VMware. Dependiendo de la versión, el período de prueba gratuito está limitado de 7 a 14 días. Las limitaciones se relacionan con la cantidad de direcciones IP y áreas de escaneo.

Desafortunadamente, instalar firmware alternativo de código abierto es sólo una forma de aumentar la seguridad y no proporcionará una seguridad completa. Todo el firmware se basa en un principio modular y combina una serie de componentes clave. Cuando se detecta algún problema en ellos, afecta a millones de dispositivos. Por ejemplo, una vulnerabilidad en la biblioteca abierta OpenSSL también afectó a los enrutadores con *WRT. Sus funciones criptográficas se han utilizado para cifrar sesiones de acceso remoto a través de SSH, organizar VPN, administrar un servidor web local y otras tareas populares. Los fabricantes comenzaron a publicar actualizaciones con bastante rapidez, pero el problema aún no se ha eliminado por completo.

Constantemente se encuentran nuevas vulnerabilidades en los enrutadores y algunas de ellas se explotan incluso antes de que se publique una solución. Todo lo que puede hacer el propietario del enrutador es desactivar los servicios innecesarios, cambiar la configuración predeterminada, limitar el control remoto, verificar la configuración con más frecuencia y actualizar el firmware.

Los virus son programas que pueden agregar código malicioso a los programas instalados en su computadora. Este proceso se llama infección.

El principal objetivo del virus es propagarse. En el proceso de propagación, los virus pueden eliminar archivos e incluso el sistema operativo, dañar la estructura de datos y bloquear el trabajo de los usuarios.

gusanos

Los gusanos son programas maliciosos que utilizan recursos de la red para propagarse. El nombre de esta clase se debe a la capacidad de los gusanos de "arrastrarse" de una computadora a otra utilizando redes, correo electrónico y otros canales de información.

Los gusanos tienen una tasa de propagación muy alta. Entran en una computadora, determinan las direcciones de red de otras computadoras y envían copias de sí mismos a estas direcciones. Los gusanos también pueden utilizar datos de la libreta de direcciones de clientes de correo electrónico.

Los representantes de esta clase de malware a veces crean archivos de trabajo en los discos del sistema, pero es posible que no accedan a los recursos de la computadora, con excepción de la RAM.

Los gusanos se propagan más rápido que los virus.

troyanos

Los programas troyanos son programas que realizan acciones no autorizadas por el usuario en las computadoras afectadas. Por ejemplo, destruyen información en los discos, provocan que el sistema se congele, roban información confidencial y cosas por el estilo.

Esta clase de malware no es un virus en el sentido tradicional del término, es decir, no infecta otros programas ni datos. Los programas troyanos no pueden penetrar en los ordenadores por sí solos y los atacantes los distribuyen bajo la apariencia de software "útil". Además, el daño que causan puede ser muchas veces mayor que las pérdidas de un ataque de virus tradicional.

software espía

El software espía es un software que le permite recopilar información sobre un usuario u organización individual sin su conocimiento. Es posible que ni siquiera te des cuenta de que tienes software espía en tu computadora. Normalmente, el objetivo del software espía es:

  • Seguimiento de las acciones del usuario en la computadora.
  • Recopilar información sobre el contenido del disco duro. En este caso, estamos hablando de escanear algunos directorios y el registro del sistema para compilar una lista del software instalado en la computadora.
  • Recopilar información sobre la calidad de la comunicación, método de conexión, velocidad del módem, etc.

Sin embargo, estos programas no se limitan a recopilar información; suponen una amenaza real para la seguridad. Al menos dos de los programas más conocidos, Gator y eZula, permiten a un atacante no sólo recopilar información, sino también controlar el ordenador de otra persona.

Otro ejemplo de software espía son los programas que se insertan en un navegador instalado en una computadora y redirigen el tráfico. Es posible que haya encontrado programas similares si, cuando solicitó un sitio, se abrió otro.

Phishing

El phishing es un tipo de fraude en Internet cuyo objetivo es obtener acceso a los inicios de sesión y contraseñas de los usuarios.

Para obtener los datos del usuario, el atacante crea una copia exacta del sitio web de la banca online y redacta una carta lo más parecida posible a una carta real del banco seleccionado. En la carta, el atacante, disfrazado de empleado del banco, pide al usuario que confirme o cambie sus credenciales y proporciona un enlace a un sitio web falso de banca en línea. El propósito de dicho correo electrónico es lograr que el usuario haga clic en el enlace proporcionado e ingrese sus datos.

Para obtener más información sobre el phishing, consulte la Enciclopedia de Kaspersky Lab. Para obtener información sobre protección contra spam y phishing, consulte Kaspersky Lab.

rootkits

Los rootkits son utilidades que se utilizan para ocultar actividades maliciosas. Disfrazan malware para evitar ser detectados por programas antivirus.

Los rootkits también pueden modificar el sistema operativo de una computadora y reemplazar sus funciones básicas para ocultar su propia presencia y las acciones que realiza el atacante en la computadora infectada.

Encriptadores

Los cifradores son programas que, una vez en una computadora, cifran archivos valiosos: documentos, fotografías, partidas guardadas, bases de datos, etc., de tal manera que no se pueden abrir. Es decir, el usuario no podrá utilizar archivos cifrados. Y los creadores del ransomware exigen un rescate por descifrarlo.

Programas mineros

Los programas mineros son programas que, sin el conocimiento del usuario, conectan su dispositivo al proceso de minería. Básicamente, el dispositivo pasa a formar parte de una red distribuida, cuya potencia informática se utiliza para extraer algunas criptomonedas por cuenta del propietario del programa minero.

En la mayoría de los casos, el minero accede al ordenador mediante un programa malicioso especialmente creado, el llamado dropper, cuya función principal es instalar en secreto otro software. Estos programas suelen disfrazarse de versiones pirateadas de productos con licencia o generadores de claves de activación que los usuarios buscan, por ejemplo, en sitios de alojamiento de archivos y descargan deliberadamente.

broma

engaño: programas que muestran información falsa al usuario. El objetivo principal de dichos programas es obligar al usuario a pagar por el programa o servicio impuesto. No causan daño directo a la computadora, pero muestran mensajes que indican que dicho daño ya se ha causado o se causará. Es decir, advierten al usuario de un peligro que en realidad no existe.

Hoax incluye, por ejemplo, programas que asustan al usuario con mensajes sobre una gran cantidad de errores de registro encontrados, controladores obsoletos y similares. Su objetivo es recibir una recompensa por parte del usuario por detectar y corregir errores inexistentes.

Correo basura

El spam es correo masivo de naturaleza no solicitada. Por ejemplo, el spam son correos de carácter político y de campaña, etc.

  • con ofertas para retirar una gran cantidad de dinero;
  • involucrarse en pirámides financieras;
  • destinado a robar contraseñas y números de tarjetas de crédito;
  • con una solicitud para enviar cartas de felicidad a amigos, por ejemplo.

El spam aumenta significativamente la carga en los servidores de correo y aumenta el riesgo de perder información importante para el usuario.

Otros programas peligrosos

Una variedad de programas diseñados para crear otros programas maliciosos, organizar ataques DoS en servidores remotos y piratear otras computadoras. Dichos programas incluyen utilidades para piratas informáticos (Hack Tools), diseñadores de virus y similares.

El artículo está dirigido a aquellos que han comenzado a pensar en la seguridad de la red o continúan haciéndolo y están fortaleciendo la protección de las aplicaciones web contra nuevas amenazas; después de todo, primero debe comprender qué amenazas pueden existir para poder prevenirlas.

Por alguna razón, la necesidad de pensar en la seguridad de la red se considera un derecho solo de las grandes empresas, como Badoo, Google y Google, Yandex o Telegram, que convocan abiertamente concursos para encontrar vulnerabilidades y aumentar la seguridad de sus productos, aplicaciones web y infraestructuras de red en todos los sentidos. Al mismo tiempo, la gran mayoría de los sistemas web existentes contienen "agujeros" de varios tipos (un estudio de 2012 de Positive Technologies, el 90% de los sistemas contienen vulnerabilidades de riesgo medio).

¿Qué es una amenaza de red o una vulnerabilidad de red?

WASC (Web Application Security Consortium) ha identificado varias clases básicas, cada una de las cuales contiene varios grupos, un total de 50, vulnerabilidades comunes, cuyo uso puede causar daños a una empresa. La clasificación completa se publica en el formulario WASC Thread Classification v2.0, y en ruso hay una traducción de la versión anterior de InfoSecurity - Clasificación de amenazas a la seguridad de aplicaciones web, que se utilizará como base para la clasificación y se ampliará significativamente.

Principales grupos de amenazas a la seguridad de los sitios web

Autenticación insuficiente al acceder a recursos

Este grupo de amenazas incluye ataques de fuerza bruta, abuso de funcionalidad y ubicación de recursos predecibles. La principal diferencia con una autorización insuficiente es que no hay una verificación suficiente de los derechos (o características) de un usuario ya autorizado (por ejemplo, un usuario autorizado normal puede obtener derechos administrativos simplemente conociendo la dirección del panel de control si hay suficiente verificación de derechos de acceso). no se realiza).

Estos ataques sólo pueden contrarrestarse eficazmente en el nivel de la lógica de la aplicación. Algunos ataques (por ejemplo, ataques de fuerza bruta demasiado frecuentes) se pueden bloquear en el nivel de infraestructura de red.

Autorización insuficiente


Esto puede incluir ataques destinados a forzar fácilmente los detalles de acceso o explotar cualquier error al verificar el acceso al sistema. Además de las técnicas de fuerza bruta, esto incluye la predicción de credenciales y sesiones y la fijación de sesiones.

La protección contra ataques de este grupo requiere un conjunto de requisitos para un sistema de autorización de usuarios confiable.

Esto incluye todas las técnicas para cambiar el contenido de un sitio web sin ninguna interacción con el servidor que atiende las solicitudes, es decir, la amenaza se implementa a través del navegador del usuario (pero normalmente el navegador en sí no es el "eslabón débil": el problema radica en el filtrado de contenidos en el lado del servidor) o un servidor de caché intermedio. Tipos de ataques: suplantación de contenido, secuencias de comandos entre sitios, abuso de redirector de URL, falsificación de solicitudes entre sitios, división de respuestas HTTP, contrabando de respuestas HTTP, así como desvío de enrutamiento, división de solicitudes HTTP y contrabando de solicitudes HTTP.

Una parte importante de estas amenazas se puede bloquear en el nivel de configuración del entorno del servidor, pero las aplicaciones web también deben filtrar cuidadosamente tanto los datos entrantes como las respuestas de los usuarios.

Código de ejecución

Los ataques de ejecución de código son ejemplos clásicos de piratería de sitios web a través de vulnerabilidades. Un atacante puede ejecutar su código y obtener acceso al alojamiento donde se encuentra el sitio enviando una solicitud especialmente preparada al servidor. Ataques: desbordamiento de búfer, cadena de formato, desbordamiento de enteros, inyección LDAP, inyección de comandos de correo, inyección de bytes nulos, ejecución de comandos del sistema operativo (comandos del sistema operativo), ejecución de archivos externos (RFI, inclusión remota de archivos), inyección SSI, inyección SQL, inyección XPath, Inyección XML, Inyección XQuery e Implementación de XXE (Entidades Externas XML).

No todos estos tipos de ataques pueden afectar a tu sitio web, pero se bloquean correctamente sólo a nivel de WAF (Web Application Firewall) o filtrado de datos en la propia aplicación web.

Divulgación de información

Los ataques de este grupo no son una amenaza pura para el sitio en sí (ya que el sitio no los sufre de ninguna manera), pero pueden dañar una empresa o usarse para llevar a cabo otros tipos de ataques. Tipos: huellas dactilares y recorrido de ruta

La configuración adecuada del entorno del servidor le permitirá protegerse completamente de dichos ataques. Sin embargo, también debe prestar atención a las páginas de error de la aplicación web (que pueden contener mucha información técnica) y al manejo del sistema de archivos (que puede verse comprometido por un filtrado de entrada insuficiente). También sucede que en el índice de búsqueda aparecen enlaces a algunas vulnerabilidades del sitio, y esto en sí mismo es una amenaza importante para la seguridad.

Ataques lógicos

Este grupo incluye todos los ataques restantes, cuya posibilidad radica principalmente en los recursos limitados del servidor. En particular, se trata de denegación de servicio y ataques más dirigidos: abuso de matrices SOAP, explosión de atributos XML y expansión de entidades XML.

La protección contra ellos se realiza únicamente a nivel de la aplicación web o bloqueando solicitudes sospechosas (equipos de red o servidores proxy web). Pero con la aparición de nuevos tipos de ataques dirigidos, es necesario auditar las aplicaciones web en busca de vulnerabilidades.

ataques DDoS


Como debe quedar claro en la clasificación, un ataque DDoS en el sentido profesional es siempre el agotamiento de los recursos del servidor de una forma u otra. Otros métodos (aunque se mencionan en Wikipedia) no están directamente relacionados con un ataque DDoS, pero representan uno u otro tipo de vulnerabilidad del sitio. Wikipedia también describe los métodos de protección con suficiente detalle; no los duplicaré aquí.



Popular en la categoría:
Cómo fusionar capas en Photoshop en una o combinarlas en un grupo Cómo combinar varias capas en Photoshop
Cómo fusionar capas en Photoshop en una o combinarlas en un grupo...
leer
Transferir contactos a un nuevo teléfono Android
Transferir contactos a un nuevo teléfono Android
leer
Samsung Galaxy se reinicia solo - Soluciones Galaxy note 4 se reinicia solo
Samsung Galaxy se reinicia solo - Soluciones Galaxy Note...
leer
Características clave de Kaspersky Rescue Disk
Características clave de Kaspersky Rescue Disk
leer

Últimos artículos
MacBook no se conecta a wifi MacBook no ve...
leer
Cómo ganar dinero con WebMoney
leer
Tableta "Supra": opiniones de clientes
leer
Ubicaciones de barcos en tiempo real
leer
Los mejores programas para Android Grabar llamadas desde...
leer
Eliminar a los no seguidores en Twitter
leer
Conexión a Internet en una computadora portátil: todo lo posible...
leer
Samsung Galaxy S IV es el nuevo buque insignia...
leer
Arriba