Amenintari de securitate: parole slabe si atacuri DDoS

Deși atacurile DDoS continuă să afecteze site-urile, vulnerabilitățile software și parolele slabe rămân cele mai mari amenințări de securitate.

Potrivit unor noi studii, atacurile DDoS (distributed denial-of-service) continuă să crească în volum, însă parolele slabe și vulnerabilitățile comune ale site-urilor rămân cei mai semnificativi vectori de atac, scrie eweek.com

Administratorii care nu au cunoștințe despre securitatea web sau timpul de a administra procesele de securitate își pun site-urile în pericol, iar parolele slabe și neconfigurate sunt comune. De asemenea, vulnerabilitățile software-urilor sunt greu de detectat și de reparat, a explicat Tony Perez, director al firmei de securitate IT Sucuri.

Deși vulnerabilitatea Heartbleed, de exemplu, este mai veche de un an, majoritatea site-urilor nu au luat măsurile necesare pentru a evita compromiterea certificatelor digitale. Într-un caz recent, Magento, un furnizor comercial, și-a actualizat software-ul în luna februarie a acestui an, însă peste două luni, jumătate dintre instalațiile sale erau vulnerabile.

,,Este aproape imposibil pentru dezvoltatori să țină pasul cu vulnerabilitățile. Ei încearcă să-și administreze site-ul și este dificil pentru ei să fie la curent cu toate actualizările și să le instaleze”, a spus Perez.

În mod normal, două din cinci site-uri arată semne de compromitere, se arată într-un raport Sucuri. Deși ratele de infecție sunt mari – deoarece administartorii care își scanează site-urilor deja suspectează că sunt compromise – chiar și un singur procent înseamnă că nouă milioane de site-uri sunt infectate.

Trend-ul nu este surprinzător. În urmă cu trei ani, atacatorii au început să se concentreze pe serverele Web, folosind PC-urile personale pentru a alimenta botnets. Serverele Web au o lățime de bandă mai mare decât o conexiune de Internet dintr-o locuință, ceea ce înseamnă că un server compromis are o valoare mai mare pentru hackeri.

În 2013, cercetătorii au descoperit un botnet care ghicea parole – încercând între zece și 100 de parole pe fiecare site – pentru a compromite peste 6.000 de gazde. Experții din cadrul firmei Sucuri au descoperit botnets construiți din mii de website-uri, care au fost folosite pentru a inunda rețelele victimelor.

Pentru că este o platformă populară, WordPress reprezintă o țintă preferată a hackerilor. Potrivit W3Techs, WordPress reprezintă 24% din total site-urilor studiate. Deși cercetătorii care descoperă vulnerabilități le raportează pentru a grăbi procesul de îmbunătățire a securității, deseori acestea sunt folosite de atacatori înainte ca administratorii își pot actualiza sistemele, a spus Mark Maunder, director al firmei de securitate WordPress, Wordfence.

Deși vulnerabilitățile și parolele slabe scad securitatea unui site, atacurile DDoS au devenit din ce în ce mai comune. Această creștere este cauzată de două trend-uri care ușurează procesul de inundare a rețelelor: vectori de atac ușor de exploatat (atacuri de amplificare) și serviciile subterane (botnet de angajat).

Atacurile de amplificare transformă un pachet moderat într-un atac mult mai mare, inundând țintele cu date inutile. Inițial, atacatorii abuzau sistemele DNS (Domain Name System) pentru a amplifica și redirecționa atacul, însă au trecut la alte protocoale, precum NTP (Network Time Protocol) sau SSDP (Simple Service Discovery Protocol).

Routerele de acasă sau de la birou folosesc SSDP pentru a permite dispozitivelor UpnP (Universal Plug & Play) să se configureze. Atacurile care exploatează SSDP constituie 20% din atacurile DDoS, se arată într-un raport publicat de firma de securitate Akamai.

De asemenea, peste 40% din atacurile asupra straturilor de rețea, în care datele copleșesc conexiunile în rețea, folosesc un botnet angajat. Acești botnets permit oricărui atacator să închirieze un număr de computere compromise, iar prețul mediu pentru închiriere pe oră este de 38 de dolari, arată firma de securitate Incapsula.

Numărul atacurilor DDoS a crescut în mod progresiv, dublându-se față de anul 2014, însă durează și mai puțin timp, susține firma Akamai. Totuși, Incapsula a descoperit că 20% din atacuri durează peste cinci zile.

Încercarea de blocare a acestui tip de atacuri folosind originea pachetelor este inutilă. În prima jumătate a anului, majoritatea traficului a venit de la computere din cinci țări: China, Vietnam, SUA, Brazilia și Tailanda, a explicat Incapsula.