Webové stránky vaší společnosti jsou jako výloha kamenného obchodu. Jejich vzhled je pro vaše zákazníky a partnery klíčový stejně jako to, aby byly bezpečné. Přesto je na celém světě denně napadeno přibližně 30 000 webových stránek. Jaké typy útoků lze očekávat a jak fungují?
1) DoS a DDoS útoky
Odmítnutí služby (DoS – denial of service) je forma kybernetického útoku, při níž se pachatelé snaží narušit nebo zničit webové stránky, síť nebo jiné online služby. Jakým způsobem? Tím, že je zahltí vysokým počtem falešných nebo nevyžádaných požadavků. Kyberzločinci obvykle používají sítě distribuovaných kompromitovaných zařízení, aby narušili systémy tím, že se zaměří na jednu nebo více komponent nezbytných k navázání spojení se síťovým zdrojem, čímž se útok DoS stává útokem DDoS - distribuovaným odepřením služby (distributed denial of service).
Nejběžnějšími typy jsou:
- Volumetrický útok – nejstarší typ (D)DoS útoku, který využívá velké objemy provozu k zaplnění kapacity šířky pásma mezi sítí oběti a internetem nebo kapacity uvnitř sítě oběti. Největší volumetrické útoky se (v současnosti) měří v terabitech za sekundu (Tbit/s), tj. ekvivalent zhruba 9 000 typických internetových připojení.
- Protokolový útok – tento typ útoku zneužívá designu základního komunikačního protokolu k vyčerpání zdrojů cílového systému. Například během tzv. SYN flood může útočník zahltit všechny dostupné porty cílového serverového počítače opakovaným odesíláním paketů s počátečními požadavky na připojení (SYN - synchronizovat), což způsobí, že cílové zařízení bude na legitimní provoz reagovat pomalu nebo vůbec.
- Útok na aplikační vrstvě – tento útok směřuje na veřejně přístupné aplikace prostřednictvím velkého objemu falešného nebo podvodného provozu. Příkladem je útok HTTP flood, který zaplavuje konkrétní webový server jinak legitimními požadavky HTTP GET a HTTP POST (v řádech desítek milionů za sekundu). Přestože server může mít dostatečnou šířku pásma, je zahlcen falešnými požadavky, což omezuje schopnost zpracovávat legitimní požadavky. Pokud útok trvá dostatečně dlouho, serveru dojde kapacita na zpracování požadavků a stane se tak zcela nedostupným.
Odmítnutí služby (DoS) vs. distribuované odmítnutí služby (DDoS)Rozdíl mezi těmito útoky je v počtu útočících strojů. DoS útok obvykle vychází z jednoho zařízení (využívá skriptu nebo nějakého nástroje) a je zaměřen na jeden konkrétní server nebo koncové zařízení. Naproti tomu útoky DDoS jsou prováděny rozsáhlou sítí kompromitovaných zařízení ovládaných útočníkem (známých také jako botnet), která mohou být použita k přetížení vybraných aplikací, webových stránek, služeb, zařízení nebo dokonce celých sítí obětí.
Zdroj: ESET |
2) Útok typu Cross-site scripting
Cross-site scripting (XSS) umožňuje útočníkům ohrozit komunikaci mezi uživateli a zranitelnou aplikací. Jak? Podle OWASP jsou útoky typu cross-site scripting „typem injektáže, při níž jsou škodlivé skripty vloženy do jinak neškodných a důvěryhodných webových stránek.“ Když se škodlivý kód spustí uvnitř prohlížeče oběti, mohou útočníci plně zkompromitovat interakci oběti s aplikací.
Zranitelnost umožňuje útočníkům obejít zásady same-origin policy, které jsou určeny k odlišení webových stránek od sebe navzájem. Kyberzločinci se mohou vydávat za oběti a provádět veškeré akce, které mohou provádět uživatelé, a tedy přistupovat k jakýmkoli uživatelským datům. Pokud mají oběti v rámci aplikace privilegovaný přístup, mohou útočníci získat plnou kontrolu nad všemi funkcemi a daty aplikace.
3) Útoky typu injection
- Code injection – jedná se o zneužití chyby počítače způsobené zpracováním neplatných dat. Útočníci obvykle do zranitelného počítačového programu vloží škodlivý kód a změní tak průběh jeho zpracování. Úspěšné vložení kódu může mít katastrofální následky a umožnit šíření malwaru a počítačových červů ve firemních sítích. Útočníci pak mohou narušit integritu databáze, nastavení soukromí, bezpečnost, a dokonce i správnost dat.
- SQL injection (SQLi) – útočníci se snaží manipulovat s dotazem SQL použitým ve webové aplikaci a získat přímý přístup k datům. Obvykle se tak děje prostřednictvím vstupního pole webového formuláře, polí pro komentáře nebo jiných míst, kde uživatelé komunikují s vaším webem.
- Command injection – jde o zneužití zranitelnosti, která útočníkovi umožňuje provádět libovolné příkazy na serveru, na kterém běží aplikace. Zadané příkazy operačního systému jsou útočníkem obvykle spuštěny s právy zranitelné aplikace. To může ohrozit jak aplikaci a její data, tak celý systém s připojenými servery a infrastrukturou.
4) Útok nultého dne
Podle MIT Technology Review byl v roce 2021 překonán rekord v počtu hackerských útoků nultého dne (zero-day). Zero-day exploit je způsob, jak spustit kybernetický útok prostřednictvím dosud neznámé zranitelnosti. Tyto exploity jsou nejcennějším, co může hacker vlastnit a na volném trhu přesahují cenu 1 milionu dolarů.
Útok nultého dne obvykle začíná zcela neznámou bezpečnostní chybou v operačním systému nebo v aplikaci. Podobným případem je n-day: zranitelnost v operačním systému nebo aplikacích, pro kterou buď nebyla vydána záplata, nebo o ní vývojáři nevěděli nebo ještě neměli dostatek času ji řešit. Ve všech případech dojde ke zneužití útočníky dříve, než se o zranitelnosti dozví všichni (kteří o ní potřebují vědět) nebo než je oprava veřejně dostupná. Proto se uživatelé, kteří důvěřují vydavateli aktualizací, o existenci exploitů často nikdy nedozvědí.
5) Útok man-in-the-middle
Nejznámějším příkladem útoku typu man-in-the-middle (MitM) je aktivní odposlech. V tomto případě útočník zachytí provoz mezi dvěma nebo více oběťmi. To útočníkovi umožňuje nejen vidět konverzaci, ale také ji měnit, přičemž ani jedna z obětí si není vědoma toho, že útočník manipuluje s interakcí.
Většinou se jedná o schopnost obejít vzájemné ověřování nebo podvracet autentizační protokol.
6) Útok hrubou silou
Útok hrubou silou (brute-force attack) využívá metodu pokusu a omylu k prolomení hesel, přihlašovacích údajů nebo šifrovacích klíčů s cílem získat neoprávněný přístup k jednotlivým účtům, systémům a sítím organizací. K útoku se často využívají botnety, protože jsou rychlejší díky velkému množství zařízení, která provádějí hádání paralelně. Botnety je také obtížnější blokovat, protože zahrnují širokou škálu IP adres.
„Mnoho populárních webových stránek a služeb dnes zablokuje přístup po 5 až 10 neúspěšných pokusech o přihlášení z určité IP adresy. Botnet zvyšuje svoje šance na prolomení účtů, protože využívá celou řadu IP adres v určitém geografickém regionu,“ vysvětluje expert společnosti ESET Ondřej Kubovič.
Hacker zkouší více uživatelských jmen a hesel, často pomocí počítače testuje širokou škálu kombinací, dokud nenajde správné přihlašovací údaje. Většinou používá software nebo alespoň nějaký kód či skript, který dokáže uhodnout tisíce hesel během několika sekund či minut. Motivací pro tento útok je zejména šíření malwaru, zneužití firemních reklam nebo údajů o činnosti a poškození pověsti společnosti.
