Ваш сайт можно взломать? Почему вам нужно беспокоиться

Опубликовано: 11 Апреля, 2023

Недавние атаки, направленные на Калифорнийский университет в Лос-Анджелесе и TJX Group, вызвали шок, который заставил многие организации переосмыслить свои инфраструктуры безопасности. В этой статье освещаются известные эпизоды хакерских атак в декабре 2006 г. и приводятся столь необходимые статистические данные о взломе веб-приложений.


Апокалипсис сегодня


Тот факт, что вы думаете, что ваши данные в безопасности, не означает, что ваша база данных с конфиденциальной информацией об организации еще не была клонирована и находится в другом месте, готовой к продаже тому, кто предложит самую высокую цену. Что еще хуже, только недавно было обнаружено, что хакеры не просто продают вашу информацию; они также продают тот факт, что у вас есть уязвимости, другим, будь то хакеры, промышленные шпионы или террористы.


Все это звучит апокалиптично, не правда ли? Что ж, вместо того, чтобы быть ангелом судьбы, я позволю статистике говорить самой за себя.


TJX Company Inc.,


Компании TJX, владельцы магазинов TJ Maxx, Marshalls, Winners, HomeGoods, AJ Wright и Bob, 17 января этого года сообщили, что 40 миллионов данных кредитных и дебетовых карт их клиентов были украдены. Параллельно федеральный кредитный союз SEFCU опубликовал аналогичное предупреждение о том, что в результате хакерской атаки были скомпрометированы личные данные 10 000 его клиентов.


Еще 60 банков, в том числе Citizen Union Savings Bank и Bank of America, похоже, имеют клиентов, чьи кредитные и дебетовые карты были взломаны в результате этой атаки.


Бен Каммарата, председатель и исполняющий обязанности главного исполнительного директора TJX Companies, заявил, что природа взлома неизвестна, и два эксперта по компьютерной безопасности изучают проблему. Предупреждение, выпущенное SEFCU, проливает больше света и гласит: «Мошенник мог получить доступ к… информации о карте через одну из этих организаций в платежной сети, включая продавца».


SC Magazine сообщает, что хакеры использовали данные взлома для покупки товаров в ряде штатов США, Гонконге и Швеции.


Далее следует дайджест последних событий:



  • Согласно веб-сайту 3WCAX-TV, ожидается, что атака обойдется потребителям в одну целых пять миллионов долларов. Эта статья была опубликована до того, как начались судебные иски.
  • Брайан Фрага, Standard-Times, сообщает, что на этой неделе в Окружной суд США (Бостон) против TJX был подан коллективный иск. Сумма требуемой компенсации не разглашается. Согласно SC Magazine, вчера житель Западной Вирджинии подал еще один иск и предъявляет иск TJX на 5 миллионов долларов.
  • Согласно сообщению, опубликованному сегодня в , член палаты представителей от штата Массачусетс Эд Марки, председатель подкомитета Палаты представителей по телекоммуникациям и Интернету, призвал Федеральную торговую комиссию расследовать хакерские атаки.
  • Сегодня правительство Канады заявило, что начинает расследование в отношении TJX и утечки данных.
  • Следует отметить, что взлом мог начаться в мае 2006 г., а нарушение было обнаружено только в декабре 2006 г. (и обнародовано в январе 2007 г.).

Университеты


Университетские системы обычно сильно децентрализованы, что затрудняет обеспечение надежной безопасности. До такой степени, что один отдел может развернуть усиленную инфраструктуру безопасности, в то время как другие бездействуют в мерах безопасности, что делает всю систему слабой.


Ниже приведены некоторые из недавних взломов университетов из-за уязвимостей веб-приложений:




  • В прошлом месяце хакер проник в огромную базу данных Калифорнийского университета в Лос-Анджелесе, содержащую личную информацию (включая номера социального страхования, даты рождения, домашние адреса и контактную информацию) о 800 000 человек. Университет США.


  • В январе 2007 года Университет Аризоны сообщил о взломе, произошедшем в ноябре и декабре прошлого года, который затронул несколько сервисов, согласно информации Центра обмена конфиденциальной информацией. Количество произведенных записей пока не разглашается.


  • В декабре 2006 года Университет Колорадо в Боулдере подвергся хакерской атаке, в результате которой были украдены тысячи имен и номеров социального страхования — в общей сложности было скомпрометировано 17 500 записей.


  • Техасский университет в Далласе сообщил в декабре 2006 года, что данные 35 000 человек (нынешних студентов и выпускников) были скомпрометированы. По данным Центра обмена информацией о конфиденциальности, были раскрыты номера социального страхования.

Меняющиеся тенденции в том, что мотивирует хакеров


По данным Zone-H, 50 лучших злоумышленников испортили в общей сложности около 2,5 миллионов веб-сайтов по всему миру. Согласно исследованию CSI/FBI Computer Crime and Security Survey 2005, одним из самых впечатляющих результатов стал экспоненциальный рост случаев порчи веб-сайтов, с которыми столкнулись их респонденты: в 2004 году с порчей сталкивались 5% респондентов, а в 2005 году эта цифра возросла до 95. %. Недавние тенденции за последние 12 месяцев показывают, что происходит переход от такого разрушительного вандализма, который получает дурную славу, к краже данных, которая приводит к прибыли. Отчет за 2006 год еще не опубликован.


Статистика


Поскольку многие организации не отслеживают онлайн-активность на уровне веб-приложений, хакеры имеют полную свободу действий, и даже при наличии мельчайших лазеек в коде веб-приложений любой опытный хакер может взломать систему, используя только веб-браузер и некоторую дозу творчества и решимость. Похоже, что большинство хакерских атак обнаруживаются спустя месяцы после первоначального взлома просто потому, что злоумышленники не хотят и не будут покидать аудиторскую проверку. В атаках на веб-приложения вещественных доказательств (например, отсутствующей базы данных) не существует — хакеры заинтересованы в краже данных и сохранении их нетронутыми.


Недавнее исследование, проведенное ведущей исследовательской фирмой, показывает, что 75% кибератак осуществляются на уровне веб-приложений. Пока еще неопубликованные исследования Acunetix подтверждают этот вывод. Конкурирующие организации по безопасности веб-приложений записывают аналогичные данные.


Информационная палата конфиденциальности сообщает о более интересных результатах, включая тот факт, что с февраля 2005 года было скомпрометировано более 100 миллионов записей. Однако эта цифра не включает эпизод TJX с примерно 40 миллионами записей. Из общего числа около 140 миллионов примерно 80 миллионов были вызваны хакерскими атаками. При этом неизвестно, был ли эпизод TJX сетевым или веб-приложением.


Стоимость взлома


Затраты на хакерские атаки для любой организации значительны с возможным финансовым бременем, которое может привести к закрытию:




  • Потеря доверия клиентов, доверия и репутации с последующим ущербом для ценности бренда и последующим влиянием на выручку и прибыльность ;


  • Возможна потеря возможности принимать определенные платежные инструменты, например VISA, Mastercard


  • Негативное влияние на выручку и прибыль в результате любых фальсифицированных транзакций и простоя сотрудников;


  • Простой веб-сайта, фактически означающий закрытие одного из важнейших каналов продаж для электронного бизнеса;


  • расходы, связанные с устранением причиненного ущерба и созданием планов на случай непредвиденных обстоятельств для обеспечения безопасности скомпрометированных веб-сайтов и веб-приложений; а также,


  • Юридические баталии и связанные с ними последствия атак на веб-приложения и слабые меры безопасности, включая штрафы и возмещение ущерба, подлежащие выплате потерпевшим.


На приведенном выше рисунке показаны общие потери, согласно ежегодному обзору компьютерных преступлений и безопасности CSI/FBI за 2005 год.


Сообщается, что общие потери по категориям нарушений (действительно только для США) составляют более 130 миллионов долларов США для 639 респондентов, желающих и способных оценить свои потери. Авторы Обзора также заявляют, что, хотя явные затраты (такие как затраты на переустановку программного обеспечения и реконфигурацию компьютерных систем) более точно учитываются респондентами, неявные затраты (такие как упущенные будущие продажи из-за негативного освещения в СМИ после взлома) труднее поддаются учету. составляют и в значительной степени не представлены в цифрах потерь, представленных здесь.


Теперь это звучит апокалиптично? Я считаю, что есть серьезная необходимость для всех беспокоиться.


Сканер веб-уязвимостей Acunetix


Нажмите здесь, чтобы узнать больше о сканере веб-уязвимостей Acunetix и о том, как это решение помогает регулярно проверять ваш веб-сайт и веб-приложения на наличие уязвимостей для хакерских атак.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023