В ряде фильмов и телевизионных комедий использовался прикол, в котором фигурирует вестибюль многоквартирного дома. На нем показано, как люди, которые там не живут, но которые все равно хотят попасть внутрь, например девушки-гиды, желающие продать арендаторам печенье, просто проводят пальцами по каждой кнопке вызова в каталоге арендаторов, как пианист, исполняющий глиссандо, зная, что хотя бы в одну из десятков жужжащих квартир впустят просто из рефлекса или лени.
Это подходящий пример нарушенной аутентификации в аналоговом мире: автоматизированная система, предназначенная для того, чтобы не пускать нерезидентов и впускать их только путем предоставления индивидуального ручного разрешения, которое легко взломать и использовать без каких-либо сложных инструментов. Информационная безопасность является важной составляющей для безопасности юридических лиц.
Сломанная аутентификация — это термин, который используется в мире информационной безопасности для описания аналогичных типов результатов. Организации всех типов, которые имеют выход в Интернет, такие как веб-сайты и API-интерфейсы, используют ту или иную форму аутентификации, чтобы предотвратить «влезание» неправильных людей , но и они, к сожалению, не справляются с задачей.
Атаки, использующие API
Одной из наиболее распространенных слабых сторон является атака на API, при которой злоумышленники прокладывают себе путь с помощью различных методов, каждый из которых по существу злоупотребляет построением собственного интерфейса API, после чего они могут размещать вредоносное ПО, красть данные, или совершать другие виды преступлений и диверсий.
Одним из таких методов является вставка учетных данных, которая включает использование украденных имен пользователей и паролей, полученных, например, в результате утечки данных, чтобы обмануть API и заставить его распознать действительный идентификатор. Это, кстати, одна из многих причин, почему каждый должен регулярно менять свои пароли.
Родственный метод включает в себя атаки методом грубой силы, которые вместо использования надежных имен и паролей выдают множество угадываемых комбинаций, или придуманные пароли с использованием обычных комбинаций слов. Хотя существуют миллиарды вариантов имен и паролей, существуют миллионы компьютеров, постоянно и быстро выдающих эти миллиарды вариантов. Поэтому это называется атакой грубой силы. Он просто выбрасывает комбинации у входной двери, повторяя каждую из них до тех пор, пока API или веб-сайт не пропустят ее. Это также иллюстрирует, почему пароли никогда не должны содержать такие легко угадываемые слова, а всегда должны состоять из случайно сгенерированных строк букв и цифр с помощью менеджера паролей.
И точно так же, как и сообразительные девушки-гиды, «злоумышленники также будут ограничивать свои атаки с заполнением учетных данных, чтобы избежать обнаружения и, следовательно, избежать срабатывания ограничений скорости на конечных точках API , которые может установить организация. Сервисы с обычно большим потоком трафика могут вообще не распознать атаку с заполнением учетных данных, потому что они не могут отличить действия одного злоумышленника в массе трафика».
Почему мы должны заботиться?
Причина, по которой люди должны беспокоиться об уязвимости API и других областей цифровой инфраструктуры компании, заключается в том, что каждое нарушение и атака имеют далеко идущие и сложные последствия. Они редко бывают одноразовыми. Привилегированные данные становятся доступными для всего Интернета. Внедряются вредоносные программы и другие технологии, что приводит к дальнейшим атакам и разрушениям. Помимо данных, компании сталкиваются с судебными разбирательствами, компенсацией ущерба, потерей доли рынка и рыночной стоимости, ремонтом скомпрометированных систем и задержками в усовершенствовании систем — список можно продолжать, и пока это происходит, огни компании угрожающе мерцают и тускнеют. Поэтому важно доверить свою информационную безопасность профессионалам.