Интернетмагазин



Download 18,66 Mb.
Pdf ko'rish
bet60/272
Sana25.02.2022
Hajmi18,66 Mb.
#290514
1   ...   56   57   58   59   60   61   62   63   ...   272
Bog'liq
Диогенес Ю., Озкайя Э. - Кибербезопасность. Стратегии атак и обороны - 2020

 
63
Горизонтальное повышение привилегий
Горизонтальное повышение привилегий проще, поскольку позволяет пользо-
вателю применять те же привилегии, которые были получены при первона-
чальном доступе.
Хорошим примером является случай, когда злоумышленник может украсть 
учетные данные администратора сети. Учетная запись администратора уже 
имеет высокие привилегии, которые появятся у злоумышленника сразу после 
получения доступа к ней.
Горизонтальное повышение привилегий также возникает, когда злоумыш-
ленник может получить доступ к защищенным ресурсам, используя обычную 
учетную запись пользователя. Хорошим примером является случай, когда 
обычный пользователь по ошибке может получить доступ к учетной записи 
другого пользователя. Обычно это делается с помощью кражи сеансов и фай-
лов cookie, межсайтового скриптинга, угадывания слабых паролей и регистра-
ции нажатий клавиш.
В конце этого этапа злоумышленник обычно располагает четко установлен-
ными точками входа удаленного доступа в целевую систему. У него также мо-
жет быть доступ к учетным записям нескольких пользователей. Злоумышлен-
ник знает, как избежать обнаружения средствами безопасности, которые могут 
быть у объекта атаки. Это приводит к следующему этапу, называющемуся экс-
фильтрация, или проникновение.
п
роникновение
 
и
 
утечки
 
Это фаза, с которой начинается основная атака. Как только атака достигла дан-
ной фазы, она считается успешной. Обычно злоумышленник может беспре-
пятственно передвигаться по сети жертвы, имея доступ ко всем ее системам 
и конфиденциальным данным, и извлекает конфиденциальные данные орга-
низации. Это могут быть коммерческие секреты, имена пользователей, паро-
ли, личные данные, сверхсекретные документы и другие типы данных. На этом 
этапе злоумышленники обычно крадут огромные массивы данных, которые 
могут быть либо проданы покупателям, либо опубликованы. Крупным компа-
ниям приходилось сталкиваться с ужасными инцидентами, когда их данные 
были украдены.
В 2015 г. хакерская группа взломала и украла 9,7 Гб данных с сайта Ashley 
Madison, службы онлайн-знакомств и общения, предназначенной для людей, со-
стоящих в браке или в отношениях. Хакеры предложили Avid Life Media, компа-
нии, которая владела сайтом, закрыть его, угрожая опубликовать данные поль-
зователей. Материнская компания отказалась от претензий, но хакеры вскоре 
выбросили данные в даркнет – теневой интернет. Данные включали в себя ре-
альные имена, адреса, номера телефонов, адреса электронной почты и учетные 
данные миллионов пользователей. Хакеры призвали людей, пострадавших от 
утечки, подать в суд на компанию и потребовать возмещения убытков.


64  Жизненный цикл атаки
В 2016 г. Yahoo сообщила, что хакерами еще в 2013 г. были украдены данные, 
принадлежащие более чем миллиарду учетных записей пользователей. Ком-
пания заявила, что отдельным случаем, не связанным с происшествием, яв-
ляется кража в 2014 г. пользовательских данных полумиллиона учетных запи-
сей. Yahoo сообщила, что во время инцидента 2013 г. хакеры смогли получить 
имена пользователей, адреса электронной почты, даты рождения, секретные 
вопросы и ответы на них, а также хешированные пароли.
Хакеры предположительно использовали подделанные куки, которые по-
зволили им получить доступ к системам компании без пароля. В 2016 г. был 
взломан LinkedIn и украдены пользовательские данные более 160 млн учетных 
записей.
Вскоре хакеры выставили данные на продажу любым заинтересованным 
покупателям. Сообщалось, что данные содержали электронную почту и за-
шифрованные пароли учетных записей. Эти три инцидента показывают, на-
сколько серьезной становится атака после того, как злоумышленник дойдет до 
этой стадии. Страдает репутация организации, ставшей жертвой хакеров, и ей 
приходится платить огромные суммы денег в качестве штрафов за отсутствие 
защиты пользовательских данных.
Время от времени злоумышленники делают нечто большее, чем просто уда-
ление данных. Они могут удалять или изменять файлы, которые хранятся на 
взломанных компьютерах, системах и серверах. В марте 2017 г. хакеры потре-
бовали выкуп от компании «Apple» и пригрозили стереть данные, относящи-
еся к 300 млн телефонов iPhone, в учетных записях iCloud. Несмотря на то что 
это было мошенничество, подобное доказывает, что такая ситуация возможна. 
В этом случае такая крупная компания, как «Apple», оказалась в центре внима-
ния, когда хакеры пытались выманить у нее деньги. Возможно, что другая ком-
пания в спешке заплатит хакерам, чтобы предотвратить уничтожение данных 
своих пользователей.
Все эти инциденты, с которыми столкнулись Apple, Ashley Madison, LinkedIn 
и Yahoo, показывают значимость данного этапа. Хакеры, которым удается дой-
ти до этой стадии, фактически контролируют ситуацию.
Жертва может не знать, что данные уже украдены, пока хакеры некоторое 
время хранят молчание. После этого атака переходит в новую фазу – тыловое 
обеспечение.

Download 18,66 Mb.

Do'stlaringiz bilan baham:
1   ...   56   57   58   59   60   61   62   63   ...   272




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish