Wandalizm w internecie nadal popularny
Analiza ataków na 57 witryn WWW, które miały miejsce w ubiegłym roku, pokazała, iż 24 proc. tych ataków sprawdzało się do zniszczenia samej witryny, a nie do uzyskania korzyści finansowych.
Z raportu, sponsorowanego przez Breach Security i wspieranego przez Web Application Security Consortium, wynika że chociaż korzyści finansowe są istotnym motywem ataków na wirtyny webowe, czynnik ideologiczny nie może być ignorowany.
W roku2008 wykonano ataki na setki tysięcy witryn, ale w raporcie ustanowiono ściśle kryteria dla ich analizy. Przyglądano się wyłącznie tym incydentom, które były publicznie ujawnione i związane z problemami bezpieczeństwa aplikacji webowych, a także miały wyraźny wpływ na organizacje.
Takie kryteria pozwalają na rozpoznanie potencjalnego wpływu na biznes, a nie tylko błędów technicznych, co jest istotne dla zarządzania ryzykiem.
Wandalizm w odniesieniu do witryn webowych może wnosić mniejsze ryzyko dla organizacji niż atak "finansowy", ale także uwidacznia słabość zabezpieczeń stron WWW.
Raport odnotowuje, że większość aktów wandalizmu była natury politycznej, wycelowanych w partie polityczne, kandydatów w wyborach czy agencje rządowe, często z towarzyszącym mu zamieszczaniem specyficznych komunikatów na zaatakowanej witrynie. Inne miały aspekt kulturowy i były to głównie ataki hakerów islamskich niszczące witryny należące do różnych organizacji kulturowego "Zachodu".
Witryny rządowe, wymiaru sprawiedliwości i organizacji politycznych były najliczniejszą grupą będąca celem aktów wandalizmu.
Drugą, najbardziej popularną motywacją była kradzież wrażliwych informacji, która dotyczyła 19 proc. z 57 analizowanych włamań. Wyprzedza ona umieszczenie kodu złośliwego (16 proc.) i spowodowanie strat finansowych (13 proc.). Pozostałe ataki spowodowały czasowe wyłączenie witryny lub zainfekowanie robakiem.
Najpopularniejszym rodzajem ataku był SQL injection - 30 proc. z 57 ataków wykonane było tą technika. Na drugim miejscu uplasował się atak cross-site scripting, która to metoda pozwala na ściągniecie danych lub kodu złośliwego z innej witryny WWW.
Komentarze (2)
Gość to nie problem ludzi, co się nie uczą. Jest to problem tylko technologii, którą z założenia przeznaczona jest dla dużego grona użytkowników, a nie prawdziwych programistów. Produkcja oprogramowania jest tańsza (bo każdy może programować – moja babcia też!). Ten wybór podejmują korporacje i firmy wprowadzające nowe technologie. Jak okaże się, że dana technologia jest zbyt niebezpieczna to łatwiej/taniej wprowadzić nową (nieprzetestowaną i niby bezpieczniejszą). Później się okazuje, że są z nią problemy, a tak na prawdę jest równie niebezpieczna jak poprzednia. Więc co się robi? Wprowadza nową technologię niby bezpieczniejszą ;) tylko ile osób to testowało jeśli mają korzystać z tego miliony osób (ludzie to nie te liczby co powinny być!).
SQL Injection i XSS to elementarne błędy projektowe i programistyczne. Dlaczego, programistów i projektantów będących na etapie podstwa pisania małych stron internetowych dopuszcza się do pracy zawodowej? Upadek poziomu kształcenia jest katastrofalny, czy to jest ta poprawność polityczna aby każdy idiota kończył studia i to z dobrą oceną i jeszcze wiekszym przekonaniem o jakieś swojej wartości zawodowej?
- Kingston: Nowa linia dysków SSD
- Microsoft zapowiada nowy system plików - ReFS
- Intel: SSD 520 - nowa linia szybkich dysków
- Praktyczne porady dla administratorów na 2012 rok
- Co powinien wiedzieć każdy specjalista IT?
- Narzędzia dla administratorów sieci
- Windows Intune 3.0 - szansa na perfekcyjne narzędzie?
- Kontrowersyjne decyzje Oracle odnośnie Javy
- Testy penetracyjne pomogą w obronie przed cyberatakami
- MSP: kierunki rozwoju technologii w 2012 roku
Polecane
Przełomowy rok... znowu
Lektura firmowych informacji prasowych i prognoz firm analitycznych nie pozostawia wątpliwości - każdego roku...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...