Отрывок из книги Антона Евгеньева «Ценность ваших решений»

ForbesHi-Tech

Информационная безопасность: десять основных видов хакерских атак

Редакция Forbes Young

Фото Getty Images

У хакерских атак может быть несколько основных целей: дестабилизация или полный отказ работы сайта, компьютера или смартфона, получение полного контроля над ними, а также сбор информации. Финансовый ущерб атаки обычно можно измерить, а вот репутационные потери — очень сложно. Почему всем нам как пользователям нельзя игнорировать вопрос информационной безопасности, защиты данных и программного обеспечения и какими бывают хакерские атаки — читайте в отрывке из книги Антона Евгеньева «Ценность ваших решений. Как современные технологии и искусственный интеллект меняют наше будущее».

Обложка книги
«Ценность
ваших решений.
Как современные
технологии и
искусственный
интеллект
меняют наше
будущее»

Развитие технологий и появление различных решений работы с данными сделали наш мир «гигантской библиотекой», в которой хранится вся имеющаяся информация о прошлом и настоящем человечества. Кандидат экономических наук Антон Евгеньев сейчас занимается научными исследованиями и разработкой решений в области больших данных и алгоритмов искусственного интеллекта. В своей книге «Ценность ваших решений. Как современные технологии и искусственный интеллект меняют наше будущее» он констатирует: чтобы быть успешными, мы все больше опираемся на цифровой мир данных и алгоритмов. Поэтому сейчас остро встает вопрос информационной безопасности, защиты данных и программного обеспечения. К примеру, последствиями хакерских атак могут стать прекращение функционирования сайтов и приложений, незаконное использование платежных средств или кража значимых данных. «Завтра же, когда алгоритмы на основе данных будут управлять целыми индустриями, а цифровые данные для каждого человека станут самым значимым его накоплением, позволяющим пользоваться всеми благами человеческой цивилизации в цифровую эпоху, важность решений в области информационной безопасности станет определяющей», — предупреждает Евгеньев.

Книга «Ценность ваших решений. Как современные технологии и искусственный интеллект меняют наше будущее» выходит в декабре в издательстве «Альпина PRO». Forbes Young публикует отрывок об основных видах хакерских атак.

Существует очень много видов хакерских атак, ниже приведем основные. Все это множество просто описывает разные способы достижения трех возможных целей:

  • получение полного контроля над информационной системой, сетью, компьютером или смартфоном;
  • добыча информации;
  • дестабилизация или полный отказ работы информационной системы / сайта / сети / компьютера / смартфона / телефона.

Не претендуя на полноту (эта книга не по информационной безопасности, но обойти этот момент нельзя), хотелось бы познакомить читателя с основными видами хакерских атак.

1. APT-атака (Advanced Persistent Threat) — это целевая продолжительная атака повышенной сложности, чаще всего комбинация нескольких видов атак для достижения поставленной задачи. Таргетированные атаки — атаки, направленные на конкретные коммерческие организации или государственные ведомства. Как правило, такие атаки не носят массового характера и готовятся довольно продолжительное время. Изучаются информационные системы атакуемого объекта, используемое программное обеспечение. Вредоносное программное обеспечение для атаки разрабатывается специально, чтобы штатные антивирусы и средства защиты объекта атаки не смогли обнаружить угрозу. Чаще всего это уязвимости «нулевого дня» и особые алгоритмы связи с исполнителями/заказчиками атаки.

2. Веб-уязвимости. Атака на сайты с использованием слабых мест в программном обеспечении. Это, пожалуй, наиболее распространенный вид, и условно такие атаки можно разделить на несколько подвидов.

  • Инъекции — самый распространенный вид веб-уязвимости. Уязвимости подобного класса начинаются SQL-инъекциями в различных их вариантах и заканчиваются RCE — удаленным выполнением кода*. Изучается сайт и протокол его общения между клиентом (Client) и сервером (Server), на котором работает сайт. Составляется список всех запросов Client/Server, затем последовательно, запрос за запросом, начинают проверять защиту сайта на устойчивость к чужому коду. Например, в случае SQL-инъекции, если вдруг находится хоть один запрос, в котором имеется возможность дописать свой код, — это говорит о получении доступа злоумышленника к базе данных сайта. То есть это фактически говорит о доступе ко всем данным, хранящимся на этом ресурсе (учетные записи, пароли, персональные данные клиентов, балансы, транзакционные данные, платежные и банковские данные, социальные связи, истории болезней и многое-многое другое в зависимости от ресурса). В случае RCE-инъекции этот способ позволяет исполнить свой код на стороне сервера (Server). Например, это предоставляет возможность изменить уровень доступа к файлам на данном сервере, что позволяет атакующим получить пароли подключения к серверу, что, в свою очередь, дает полный контроль над ресурсом. При этом можно изменить данные, скачать их, а можно и удалить, только в отличие от SQL-инъекции здесь идет речь не только о данных сайта, а еще и о самом сайте, то есть можно после всего удалить, изменить либо скачать сам сайт.
  • XSS (Cross-Site Scripting) — межсайтовый скриптинг — уязвимость, встречающаяся на данный момент куда реже, чем раньше, но, несмотря на это, не менее опасная для веб-приложений и пользователей. Особенно для пользователей — атака XSS нацелена именно на них. В этом случае прописывается код, который срабатывает на компьютере каждого либо каких-то определенных пользователей, которые посетили ресурс, что предоставляет злоумышленникам доступ не только к серверу сайта, но и к компьютерам/телефонам посетителей. Риску подвергаются данные, хранящиеся на персональных устройствах (персональные и платежные данные, контакты, календари, заметки, переписка, фото, видео и прочее). Также этот способ в сочетании с уязвимостью «нулевого дня» дает возможность быстрого создания ботнета (огромная масса зараженных устройств, подчиняющихся владельцу ботнета, без ведома владельцев устройств).
  • Подделка межсайтовых запросов (CSRF — cross-site request forgery) — это разновидность уязвимости, которая заставляет конечного пользователя выполнить нежелательное действие в веб-приложении, в котором он в настоящий момент проходит проверку подлинности. Нежелательным действием может быть изменение учетных данных пользователя, перевод средств или возможность получить полный доступ через учетную запись пользователя.

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Здоровый симбиоз: почему врачам и айтишникам важно работать в команде Здоровый симбиоз: почему врачам и айтишникам важно работать в команде

Что мешает медикам и «технарям» понять друг друга?

Forbes
Всё идёт по плану Всё идёт по плану

Сегодня не все задумываются о контрацепции в период пременопаузы. А зря...

Новый очаг
Что получится, если скрестить автомобиль с коптером: концепт первой отечественной летающей машины Что получится, если скрестить автомобиль с коптером: концепт первой отечественной летающей машины

Футуристические идеи о летающем транспорте могут обрести материальную форму

ТехИнсайдер
Частички Частички

Рассказ Игоря Волкова о случайности экспериментов

Наука и жизнь
Как понимать картины в музее: простые советы от искусствоведа Как понимать картины в музее: простые советы от искусствоведа

Как правильно воспринимать произведения искусства?

Psychologies
Болезнь от поцелуев Болезнь от поцелуев

Вирус Эпштейна–Барр: чем он опасен и как его вовремя распознать?

Лиза
Ядерный проект века: «Вопрос топлива решится на десятки тысяч лет» Ядерный проект века: «Вопрос топлива решится на десятки тысяч лет»

Создание новых технологий переработки ядерных отходов изменит жизнь человечества

ФедералПресс
Ожидания акций Ожидания акций

Что принесет 2025 год российскому финансовому рынку

Деньги
Щавель, персик и трансформер: что значит странный сленг подростков и почему взрослые его запрещают Щавель, персик и трансформер: что значит странный сленг подростков и почему взрослые его запрещают

Почему сленговые выражения подростков так злят старшие поколения?

Psychologies
Бесчеловечные хищники морских глубин Бесчеловечные хищники морских глубин

Автономные необитаемые подводные аппараты ВМС США

Обозрение армии и флота
Помощники РПКСН Помощники РПКСН

Роль флота в структуре ядерного сдерживания

Обозрение армии и флота
Роза пустыни в нашем доме Роза пустыни в нашем доме

Мода на так называемые бутылочные деревья принесла нам маленькое чудо — адениум

Наука и жизнь
Любимые места микробов: 10 самых негигиеничных вещей Любимые места микробов: 10 самых негигиеничных вещей

Как долго микробы сохраняются на различных поверхностях?

ТехИнсайдер
Как подготовиться Новому году и не сойти с ума Как подготовиться Новому году и не сойти с ума

Как получить максимум удовольствия и минимум стресса в декабре

Grazia
Принцесса Диана обнимает взрослых сыновей: кто «воскрешает» знаменитостей и почему многих это пугает? Принцесса Диана обнимает взрослых сыновей: кто «воскрешает» знаменитостей и почему многих это пугает?

Мин Чой опубликовал несколько постов с ожившими звездами. Почему это страшно?

Psychologies
Каир: город святости, богатства и нищеты Каир: город святости, богатства и нищеты

Египет бывает разный! Послушаем бывалого путешественника

Зеркало Мира
Зачем суровые древнегерманские воины носили с собой маленькие ложечки Зачем суровые древнегерманские воины носили с собой маленькие ложечки

Странный артефакт, сопровождавший воинов Римской империи практически всю жизнь

ТехИнсайдер
«А на что мне миллион?» «А на что мне миллион?»

Сколько денег было у графа Монте-Кристо

Деньги
Сделай меня незаметно: как меняется отношение к пластической хирургии в наши дни Сделай меня незаметно: как меняется отношение к пластической хирургии в наши дни

Как модернизируется сегмент пластической хирургии?

Forbes
Илья Попов Илья Попов

Илья Попов собрал самую большую в России коллекцию дизайнерских игрушек

Собака.ru
«Хочу перестать грустить и понять, почему шел муж»: как сформулировать работающий запрос к психологу «Хочу перестать грустить и понять, почему шел муж»: как сформулировать работающий запрос к психологу

Какие психологические запросы не работают и как их правильно составлять?

Psychologies
Локальный бизнес: 6 франшиз из регионов, чей бизнес у дома принесет миллионы Локальный бизнес: 6 франшиз из регионов, чей бизнес у дома принесет миллионы

Inс. выбрал интересные локальные проекты из разных городов России

Inc.
Эмоциональное техно Эмоциональное техно

Как можно описать стиль эмоциональной архитектуры?

ТехИнсайдер
Насколько безопасно использование интернет-банкинга? Насколько безопасно использование интернет-банкинга?

Что такое интернет-бакинг и надежен ли он?

Наука и техника
Поднять китеж Поднять китеж

Чем в разные эпохи была сказка для людей, которые ее рисовали

Правила жизни
Что читать у Эдуарда Лимонова перед просмотром байопика Что читать у Эдуарда Лимонова перед просмотром байопика

Гид по лимоновской прозе

РБК
«Девочке скучно»: новый рассказ Евгении Некрасовой «Девочке скучно»: новый рассказ Евгении Некрасовой

Рассказ Евгении Некрасовой из сборника «Верю / не верю»

РБК
Враги женского здоровья: 5 привычек, которые мешают укрепить мышцы тазового дна Враги женского здоровья: 5 привычек, которые мешают укрепить мышцы тазового дна

Отрывок из книги о женском здоровье «Влюбиться в свое тело»

Psychologies
В чем разница между SDR и HDR? Это нужно знать каждому диджитал-артисту! В чем разница между SDR и HDR? Это нужно знать каждому диджитал-артисту!

Как выбрать подходящий формат для вашего проекта? Что значит SDR и HDR?

ТехИнсайдер
Бэтмен против Супермена Бэтмен против Супермена

Tank 700 двойного действия

Автопилот
Открыть в приложении