Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах Пользователи Компании Лента заказов Курс по ITSM

Правда ли что "кулхацкеры" - это школьники? Несерьёзное пятничное исследование.

Правда ли что "кулхацкеры" - это школьники? Несерьёзное пятничное исследование.

Давно не писал ничего про информационную безопасность сайтов, однако сегодня неожиданно появилась идея для несерьёзного, пятничного исследования. 

Итак, регулярно на форумах можно встретить утверждения, что взломом сайтов занимаются "школьники" и шутливые посты на тему, что мол вот, скоро 1 сентября, станет легче - все пойдут учиться (в школы, колледжи, институты) и некогда будет заниматься ерундой. 
На одном из сайтов, где я оказываю услугу Администрирования Безопасности я действительно заметил серьёзный спад активности злоумышленников в последние недели, а потому решил провести небольшое исследование. 

Итак, я взял несколько сайтов на 1С-Битрикс, где был установлен и включён модуль проактивной защиты, а журнал событий настроен на хранение информации 30 или более дней. 
Замер производился за 2 неравных промежутка времени, однако при делании на равные промежутки ситуация серьёзно не изменилась. 

Заранее прошу прощения за то, что таблицу вставляю картинкой, а не таблицей - у нас в блогах не работает объединение ячеек 

1.png 

Примечания

  1. На большом проекте очень много разного рода пользователей (легитимных), поэтому быстро отделить попытки брутфорса от просто ошибок авторизации не представляется.
  2. среднеразмерный проект действительно показывает спад. Однако следует отметить, что пик враждебной активности на нём вообще наблюдался сразу после процедуры по "излечению", когда вероятно нарушитель (а может его клиенты или просто узнавшие о взломе с ресурсов вроде античата все желающие) решил попытаться отбить "свою собственность" обратно. Однако, постоянный мониторинг и обрезание потенциальных хвостов (включая блокировку прокси, через которые производились атаки) на непродолжительный период в купе с отсутствием результата привели к спаданию активности - нет смысла ломиться в добротную запертую дверь, если есть куча целей полегче.
  3. ещё неприятно удивил один крошечный ресурс с едва ли не нулевой посещаемостью, где за последнюю неделю (а там журналирование настроено всего на 7 дней) было зафиксировано более 11 тысяч попыток брутфорса админки на логин admin. Коего, к чести владельцев сайта в системе никогда не было. Т.е. целью для довольно мощных, хотя и непродуманных атак становятся и совсем крошечные сайты, благо вычислительные мощности, необходимые для построения соответствующих систем (просто скрипт на сервере, атака с локальной машины через прокси/соксы, ботнет или тому подобное) сейчас стоят сущие копейки. 


Показывает ли это "исследование", что все хаккеры - хорошо подготовленные профессионалы, закончившие школу? Нет конечно - как писал в начале, я и цели такой не ставил. Скорее уж немного развлечь аудиторию и напомнить о необходимости бдительности! 

P.S. Коллеги, если у вас есть аналогичная статистика, то я с удовольствием включу её в таблицу (абсолютно анонимно), если вы ею поделитесь!

 

оригинальный пост (там изменения в таблице могут появиться раньше, чем на остальных источниках)

Комментарии (6)

  • Аватар

    Яковлев Андрей Михайлович [swtws], 23 сентября 2013, 16:22

    0

    1. Правдаю, это подростки - script kiddy, есть такой термин, то есть ищут готовые эксплойты и брутфорсеры и давай половую зрелость доказывать.

    2. Уязвимость сайта можно проверить с помощью uptime.netcraft.com так например

     

    • Аватар

      Задойный Алексей [lexnekr], 23 сентября 2013, 17:54

      0

      Андрей, шуточное "исследование" выше показывает некое несоответсвтие с тем, что скрипт-киддисы - это реальные школьники. Т.е. либо эти школьники не стали более занятыми в связи с началой учебного года, либо предположеине не совсем верно.

      Вообще, исторически все такие термины возникли не из-за малого возраста субъекта, из-за желания его как-то обидеть, "опустить" во время перехода на личности в форумных дискуссиях. Самый просто вариант - померяться чем-нибудь. Например возрастом.

      =)

       

      2) Не совсем понимаю что ваш сервис демонстрирует в моём случае. Однако мне в принципе такие сканеры кажутся довольно бесполезными, ибо есть немало профессиональных сканеров (десктопных и серверных, запускающихся как правило через прокси\соксы).

      Т.е. я не говорю, что сервис плох, я лишу прошу ликвидировать возникшую в моих знаниях лакуну, связанную с сабжем. Если вам не трудно. =)

      • Аватар

        Яковлев Андрей Михайлович [swtws], 23 сентября 2013, 18:13

        0
        Про сервис лучше у владельцев спросить. Но он лет 15 существует, раньше этого теста не было. Просто на заводских CMS он ничего не видит (даже беслатных), а вот на самоделках иногода 9 из 10. В общем, хоть какая то проверка. Вообще студии должны проводить тестирование чем удобно и давать заказчику результат.  
        • Аватар

          Задойный Алексей [lexnekr], 23 сентября 2013, 20:07

          0

          Ну, на заводских CMS свои проблемы. И они побольше уязвимостей в самописах.

          Одни логины типа admin\administrator - находка для начинающих вредителей.

          А самопис ещё надо просканировать хорошо....

           

          Просто вот засканил я 2 сайта на битриксе. Один 0, другой 1 балл риска. А откуда балл из отчёта не ясно совершенно.

           

          Даже сканер портов обычно понятнее отчёт даёт - там хотя бы просто список открытых портов. А с ними уже сам думай что делать...