В новостях полно сообщений о крупных утечках данных. Быстрый опрос, проведенный за последние несколько лет, выявил огромное количество разрушительных утечек данных, которые выявили все: от кредитных карт (Target) до номеров социального страхования, истории работы (взлом OPM) и номеров кредитных карт (Experian). Заинтересованный наблюдатель может задаться вопросом, насколько усердно эти компании пытаются защитить ваши данные.
Если вы спросите, вы узнаете, что корпорации делают все возможное, чтобы защитить свои системы. Крупная атака стоит больших денег и подрывает доверие клиентов.
Однако обеспечить безопасность компьютерных систем крайне сложно. Если вы забудете раствор на отдельном кирпиче, ваш дом, скорее всего, не упадет. Но в сфере компьютерной безопасности именно это и происходит.
Безопасность — это сложно
Сложность систем безопасности может удивить непосвященного. Если бы только был большой переключатель «Хакеры выключены».
Хотя ни один образованный человек не представляет, что безопасность — это так просто, истинный уровень сложности трудно понять. Миллионы строк кода для описания тысяч функций работают в нескольких средах и взаимодействуют с огромным количеством дополнительных систем. Даже при идеальном коде к
Contents
Безопасность — это сложно
ктур и соединений представляет собой потенциальный недостаток безопасности или «вектор атаки», которым можно воспользоваться.В безопасности сумма возможностей для компрометации называется «поверхностью атаки». Даже когда приложения содержат наиболее конфиденциальные данные, их поверхность атаки пугающе огромна. Сложность современных приложений исключает любую другую реальность.
Открытый исходный код – это риск
Подавляющее большинство Интернета работает на программном обеспечении с открытым исходным кодом. Это программное обеспечение поддерживается добровольцами, без каких-либо формальных правил проверки кода, кроме тех, которые они установили сами. Планы основаны на наличии свободных участников, их опыте и интересах.
С одной стороны, открытый исходный код необходим. Мы не можем позволить каждому программисту повторно закрепить колесо. И действительно, люди, которые создают и поддерживают обыденные проекты с открытым исходным кодом, поддерживающие Интернет, достойны канонизации. Но добровольная основа многих проектов с открытым исходным кодом означает, что слепое ожидание безопасности и совместимости представляет собой серьезный риск.
Хотя важные проекты часто получают финансовую поддержку от корпораций, этой поддержки зачастую недостаточно по сравнению с работой, необходимой для обеспечения безопасности проекта. Не ищите ничего, кроме Сердцекровие , огромной уязвимости SSL, существовавшей за десять лет до ее открытия.
Поскольку подавляющее большинство систем безопасности работают на программном обеспечении с открытым исходным кодом, всегда существует вероятность скрытой, но разрушительной ошибки, ск
Открытый исходный код – это риск
ым исходным кодом.Хакерам нужно победить только один раз
В мире цифровой безопасности есть такое выражение: программистам нужно побеждать каждый раз, а хакерам — только один раз. Достаточно одной трещины в броне, чтобы база данных была скомпрометирована.
Иногда эта ошибка возникает из-за того, что разработчик срезал путь или проявил халатность. Иногда это результат неизвестной атаки нулевого дня. Каким бы осторожным ни был разработчик, глупо воображать, что вы залатали все дыры в безопасности.
Объявление любого замка «устойчивым к взлому» — это самый быстрый способ узнать, насколько оптимистичны были ваши проектировщики замков. Компьютерные системы ничем не отличаются. Ни одна система не может быть взломана. Это зависит только от имеющихся ресурсов.
Пока в системе присутствуют люди на любом этапе, от проектирования до реализации, систему можно разрушить.
Баланс между удобством и безопасностью
Безопасность – это всегда баланс между удобством и безопасностью. Идеально защищенную систему невозможно использовать. Чем безопаснее система, тем сложнее ее использовать. Это фундаментальная истина системного проектирования.
Безопасность создает препятствия, которые необходимо преодолеть. Ни один блокпост, который стоит преодолеть, не может занять нулевое время. Следовательно, чем выше безопасность системы, тем менее ее можно использовать.
Скромный пароль — прекрасный пример этих взаимодополняющих качеств в действии.
Вы могли бы сказать, что чем длиннее пароль, тем сложнее его взломать методом перебора, поэтому длинные пароли для всех, не так ли? Но пароли — это классический палка о двух концах. Более длинные пароли труднее взломать, но и их труднее запомнить. Теперь разочарованные пользователи будут дублировать учетные данные и записывать свои логины. Я имею в виду, какой сомнительный персонаж будет смотреть на секретную записку под рабочей клавиатурой Дебры?
Злоумышленникам не нужно беспокоиться о взломе пароля. Им просто нужно найти заметку на мониторе помощника регионального менеджера, и они получат весь доступ, который пожелают. Не то чтобы Дуайт когда-либо был таким небрежным.
Мы обеспечиваем баланс между безопасностью и удобством, чтобы наши системы были удобными и безопасными. Это означает, что каждая система в той или иной степени небезопасна. Ха
Хакерам нужно победить только один раз
кнуть туда.Заключение: как происходит утечка данных
Определяющей характеристикой хакерской атаки является обман на уровне системы. Тем или иным образом вы заставляете часть системы безопасности сотрудничать против ее замысла. Если злоумышленник убедит охранника пропустить его в безопасное место или нарушит протоколы безопасности на сервере, это можно назвать «взломом».
Разнообразие атак «в дикой природе» чрезвычайно велико, поэтому любое резюме может дать лишь общий обзор, прежде чем углубляться в детали отдельных атак. По крайней мере, начинающий хакер должен изучить систему, которую он атакует.
Как только уязвимость обнаружена, ею можно воспользоваться. С практической точки зрения злоумышленник может искать открытые порты на сервере, чтобы узнать, какие службы и в какой версии работает на устройстве. Сопоставьте это с известными уязвимостями, и в большинстве случаев вы обнаружите жизнеспособные векторы атак. Во многих случаях это смерть от тысячи порезов: небольшие уязвимости, соединенные вместе, чтобы получить доступ. Если это не сработает, есть атаки на пароли, предлоги, социальная инженерия, подделка учетных данных… список растет с каждым днем.
Обнаружив уязвимость, хакер может воспользоваться ею и получить несанкционированный доступ. Благодаря такому несанкционированному доступу они крадут данные.
И именно поэтому утечки данных происходят постоянно.
