Кибербезопасность с нуля: базовые навыки для старта в IT

Каждый раз, когда вы открываете веб-сайт, совершаете покупку в интернет-магазине или просто берете смартфон в руки, вы оставляете невидимый след. В цифровую эпоху информация о людях стала одним из самых ценных ресурсов. Для IT-специалиста, особенно в сфере кибербезопасности, понимание того, как эти данные собираются, хранятся и утекают, является фундаментальным навыком. Защита инфраструктуры начинается с понимания того, что именно мы защищаем.

Что такое персональные данные

Персональные данные (ПД) — это любая информация, которая прямо или косвенно позволяет идентифицировать конкретного человека. В юридической и технической практике этот термин трактуется очень широко.

> Персональные (или личные) данные — это любая информация, которая позволяет определить конкретного человека. Как минимум это фамилия, имя, отчество, номера и серии документов, номер телефона. > > xn--80aidamjr3akke.xn--p1ai

Контекст имеет решающее значение. Само по себе имя «Александр» не является персональными данными — в мире миллионы Александров. Но комбинация «Александр + номер телефона» или «Александр + рабочий email» уже позволяет точно указать на конкретного человека. Для сотового оператора ваш номер телефона — это ключ к огромной базе данных, где хранятся ваши паспортные данные, адрес прописки и история перемещений.

В IT-индустрии личную информацию принято делить на несколько категорий:

| Категория данных | Описание | Примеры | | :--- | :--- | :--- | | Явные (Explicit) | Информация, которую вы предоставляете осознанно и добровольно. | ФИО, дата рождения, номер паспорта, адрес доставки, реквизиты карты. | | Поведенческие (Behavioral) | Данные, которые собираются в фоновом режиме на основе ваших действий. | История поиска, лайки, время активности в приложении, маршруты навигаторов. | | Технические (Technical) | Информация об устройствах и сетях, которые вы используете. | IP-адрес, модель смартфона, версия ОС, разрешение экрана, MAC-адрес роутера. | | Биометрические (Biometric) | Физиологические особенности, используемые для идентификации. | Отпечаток пальца, скан лица (Face ID), рисунок вен, запись голоса. |

Цифровой след и как за нами следят

Совокупность всех данных, которые вы оставляете в интернете, называется цифровым следом. Он бывает активным (когда вы сами публикуете пост в соцсети) и пассивным (когда сайт незаметно фиксирует, сколько секунд вы читали конкретную статью).

Сбор пассивного цифрового следа — это основа бизнес-модели многих IT-гигантов. Для этого используются различные технологии:

Файлы cookie — небольшие текстовые фрагменты, которые сайты сохраняют в вашем браузере. Они позволяют сайту «узнавать» вас при повторном визите. Существуют third-party cookies (сторонние куки), которые принадлежат не тому сайту, который вы читаете, а рекламным сетям. Они следят за вами при переходе с одного сайта на другой.

Браузерный фингерпринтинг (Browser Fingerprinting) — метод идентификации устройства без использования cookie. Сервер собирает сотни мелких параметров: какие шрифты установлены на вашем компьютере, какой язык выбран, какой размер окна браузера. Комбинация этих мелочей создает уникальный «отпечаток», который совпадает только у одного из миллионов пользователей.

Пиксели отслеживания — невидимые картинки размером 1x1 пиксель, встроенные в электронные письма или веб-страницы. Когда вы открываете письмо, ваш почтовый клиент загружает эту картинку с сервера отправителя, тем самым сообщая ему ваше точное время прочтения и IP-адрес.

Собранные данные часто продаются брокерам данных (Data Brokers) — компаниям, которые агрегируют информацию из тысяч источников, создают подробные профили людей и продают их рекламодателям, банкам или политическим технологам.

!Схема сбора цифрового следа: как разрозненные данные формируют профиль пользователя.

Утечки данных: главная угроза приватности

Даже если вы доверяете компании свои данные, это не гарантирует их сохранность. Компании регулярно подвергаются хакерским атакам. Только в 2020 году в России произошло почти 2400 утечек из различных информационных систем, в результате чего в открытый доступ попало около 11 миллиардов записей.

Когда база данных интернет-магазина или медицинской лаборатории оказывается в руках злоумышленников, ваши данные начинают использоваться для социальной инженерии и фишинга.

Например, мошенник звонит вам и не просто представляется «службой безопасности банка», а называет ваши последние покупки, домашний адрес и девичью фамилию матери. Обладая такой информацией, злоумышленнику гораздо проще усыпить вашу бдительность и заставить перевести деньги на подставной счет.

Математика паролей: как защитить свои аккаунты

Первый рубеж защиты личных данных — это пароль. Многие пользователи до сих пор используют пароли вроде qwerty123 или дату своего рождения. Чтобы понять, почему это опасно, нужно посмотреть на математику взлома.

Хакеры редко угадывают пароли вручную. Они используют автоматизированные программы, которые перебирают миллионы вариантов в секунду (атака Brute Force — полный перебор). Количество возможных комбинаций пароля вычисляется по формуле:

Где: * — общее количество возможных комбинаций. * — размер алфавита (количество уникальных символов, которые могут быть использованы). * — длина пароля (количество символов).

Рассмотрим пример. Допустим, ваш пароль состоит только из 8 строчных английских букв. В английском алфавите 26 букв, значит , а .

(около 208 миллиардов комбинаций).

Современная видеокарта среднего класса может перебирать около 10 миллиардов паролей в секунду. Это значит, что пароль из 8 строчных букв будет взломан примерно за 20 секунд.

Теперь усложним задачу. Добавим заглавные буквы (еще 26), цифры (10) и специальные символы (32). Теперь наш алфавит символа. Увеличим длину пароля до 12 символов ().

комбинаций.

При той же скорости перебора в 10 миллиардов паролей в секунду на взлом такого пароля уйдут миллионы лет. Именно поэтому длина пароля и разнообразие символов имеют критическое значение.

!Интерактивный калькулятор надежности пароля

Двухфакторная аутентификация (2FA)

Даже самый сложный пароль бесполезен, если вы ввели его на поддельном (фишинговом) сайте или если он утек из базы данных самого сервиса. Для решения этой проблемы была создана двухфакторная аутентификация (2FA).

Принцип 2FA заключается в том, что для доступа к аккаунту нужно предъявить доказательства из двух разных категорий (факторов):

Фактор знания: то, что вы знаете (ваш пароль или ПИН-код).

Фактор владения: то, что у вас есть (смартфон, на который приходит SMS, приложение-генератор кодов вроде Google Authenticator или аппаратный USB-ключ).

Фактор свойства: то, кем вы являетесь (биометрия — отпечаток пальца или лицо).

Если хакер украдет ваш пароль (фактор знания), он все равно не сможет войти в аккаунт, так как у него нет вашего смартфона (фактор владения), генерирующего одноразовые коды.

Приватность как профессиональный стандарт в IT

Для обычного пользователя защита данных — это вопрос личной безопасности. Для IT-специалиста — это профессиональная обязанность и требование закона.

Во всем мире действуют строгие законы о защите данных. В Европе это GDPR (General Data Protection Regulation), в России — 152-ФЗ «О персональных данных». Эти законы обязывают компании собирать только те данные, которые действительно нужны для работы сервиса, надежно их шифровать и удалять по первому требованию пользователя. Нарушение этих правил грозит компаниям многомиллионными штрафами.

В современной разработке применяется концепция Privacy by Design (Приватность по умолчанию). Это значит, что защита личных данных закладывается в архитектуру приложения еще на этапе его проектирования, а не добавляется в конце как дополнительная опция. Например, если вы разрабатываете приложение для фонарика, оно технически не должно запрашивать доступ к контактам или геолокации пользователя.

Понимание того, как работают механизмы отслеживания, как математически оценивается стойкость паролей и как применять многофакторную защиту, является базой. Эти знания позволят вам не только обезопасить свою цифровую жизнь, но и создавать IT-продукты, которым пользователи смогут доверять.

В прошлой статье мы разобрали, как защитить свои личные данные, почему важна длина пароля и как работает двухфакторная аутентификация. Однако даже самый сложный пароль не спасет, если злоумышленник взломает сам сервер, на котором хранятся ваши данные. Информация не существует в вакууме — она постоянно передается по кабелям, маршрутизаторам и радиоволнам.

Для специалиста по кибербезопасности понимание того, как устроены сети и как защитить инфраструктуру компании, является абсолютно критичным навыком. Защита сетей и систем — это фундамент, на котором строится вся остальная информационная безопасность.

Как компьютеры находят друг друга: IP-адреса и порты

Чтобы понять, как защищать сеть, нужно разобраться, как данные по ней перемещаются. Интернет и локальные сети работают по принципу почтовой службы.

Каждое устройство в сети имеет свой уникальный идентификатор — IP-адрес (Internet Protocol Address). Он выглядит как набор чисел, например 192.168.1.15. Это аналог почтового адреса здания.

Но на одном сервере может работать множество разных программ: веб-сайт, электронная почта, база данных. Чтобы данные попали к нужной программе, используются порты. Порт — это число от 0 до 65535, которое работает как номер квартиры или кабинета в здании.

Например, когда вы открываете сайт в браузере, ваш компьютер отправляет запрос на IP-адрес сервера и стучится в порт 443 (стандартный порт для защищенного веб-трафика HTTPS). Если вы отправляете email, используется порт 25 (SMTP).

Хакеры постоянно сканируют сети в поисках «открытых дверей» — портов, за которыми работают уязвимые или устаревшие программы. Первая задача сетевой безопасности — закрыть все ненужные двери.

Модель OSI: как данные превращаются в сигналы

В IT-индустрии для описания сетевого взаимодействия используется модель OSI (Open Systems Interconnection). Это теоретическая модель, которая делит процесс передачи данных на 7 логических уровней — от физического (кабели и радиоволны) до прикладного (программы, с которыми работает пользователь).

Понимание этой модели необходимо, потому что кибератаки происходят на разных уровнях, и для каждого уровня нужны свои методы защиты.

| Уровень модели OSI | Что происходит | Пример атаки | Метод защиты | | :--- | :--- | :--- | :--- | | 7. Прикладной | Работа приложений (HTTP, DNS) | Взлом веб-сайта (SQL-инъекция) | Web Application Firewall (WAF) | | 4. Транспортный | Доставка данных (TCP, UDP) | Перегрузка сервера запросами (DDoS) | Системы защиты от DDoS | | 3. Сетевой | Маршрутизация (IP-адреса) | Подмена IP-адреса (Спуфинг) | Межсетевые экраны (Файрволы) | | 2. Канальный | Передача внутри локальной сети | Перехват трафика (ARP-spoofing) | Настройка безопасности коммутаторов | | 1. Физический | Электрические сигналы, свет | Физическое подключение к кабелю | Охрана зданий, шифрование |

Направления угроз: вертикальный и горизонтальный трафик

В любой корпоративной инфраструктуре данные движутся в разных направлениях. Специалисты по безопасности делят сетевой трафик на две категории:

Вертикальный трафик (Север-Юг) — это обмен данными между внутренней сетью компании и внешним интернетом. Например, когда клиент заходит на сайт интернет-магазина или когда сотрудник скачивает файл из сети.

Горизонтальный трафик (Запад-Восток) — это передача данных внутри самой локальной сети. Например, когда компьютер бухгалтера обращается к внутреннему серверу баз данных.

Исторически компании тратили миллионы на защиту периметра (вертикального трафика), строя «цифровые крепости». Но современные реалии показывают, что этого недостаточно.

> Недостаточный контроль за горизонтальным трафиком так же опасен по части последствий, как и неподконтрольный вертикальный. Кибератака, начавшаяся с хоста в локальной сети, может привести к компрометации всей инфраструктуры. > > habr.com

Если злоумышленник обманом заставит рядового сотрудника открыть зараженное письмо (фишинг), хакер окажется внутри периметра. После этого он начнет перемещаться по горизонтальному трафику от одного компьютера к другому, пока не доберется до самых ценных серверов. Этот процесс называется боковым перемещением (Lateral Movement).

Межсетевые экраны (Файрволы): первый рубеж обороны

Главный инструмент контроля сетевого трафика — это межсетевой экран, или файрвол (Firewall).

Файрвол работает как строгий охранник на входе в здание. У него есть список правил (Access Control List), в котором прописано, кому можно входить, а кому нельзя. Правила обычно строятся на основе IP-адресов и портов.

Пример простого правила файрвола: Разрешить входящий трафик с любого IP-адреса на IP-адрес нашего веб-сервера по порту 443*. Запретить* весь остальной входящий трафик.

Если хакер попытается подключиться к серверу по порту 22 (порт для удаленного администрирования), файрвол просто отбросит этот пакет данных, так как для него нет разрешающего правила.

!Интерактивный симулятор файрвола — наглядно показывает, как правила разрешают или блокируют сетевые пакеты

Однако традиционные файрволы имеют серьезный недостаток: они смотрят только на «конверт» (IP и порт), но не заглядывают внутрь «письма» (самого пакета данных). Если хакер отправит вредоносный код через разрешенный порт 443, обычный файрвол его пропустит.

Системы обнаружения и предотвращения вторжений (IDS/IPS)

Чтобы решить проблему «слепоты» файрволов, были созданы системы глубокого анализа трафика — IDS и IPS.

IDS (Intrusion Detection System — система обнаружения вторжений) работает как камера видеонаблюдения. Она анализирует содержимое сетевых пакетов и сравнивает их с базой известных хакерских атак (сигнатур). Если IDS видит подозрительную активность — например, кто-то пытается подобрать пароль, отправляя тысячи запросов в секунду, — она поднимает тревогу и отправляет уведомление администратору. Но сама IDS ничего не блокирует.

IPS (Intrusion Prevention System — система предотвращения вторжений) — это следующий шаг. Она работает как вооруженная охрана. Заметив атаку, IPS не просто сигнализирует, но и мгновенно разрывает соединение, блокируя IP-адрес злоумышленника.

Современные корпоративные решения часто объединяют файрвол, IPS, антивирус и веб-фильтр в одно мощное устройство, которое называется NGFW (Next-Generation Firewall — межсетевой экран следующего поколения).

Сегментация сети: принцип подводной лодки

Даже самые лучшие файрволы и IPS могут дать сбой. Поэтому в архитектуре сетей применяется принцип сегментации.

Сегментация — это разделение единой корпоративной сети на несколько изолированных подсетей. Это похоже на конструкцию подводной лодки: она разделена на герметичные отсеки. Если лодка получает пробоину, затапливается только один отсек, а весь корабль остается на плаву.

!Схема сегментации корпоративной сети: разделение на изолированные зоны для повышения безопасности.

На практике это означает, что: * Гостевой Wi-Fi для посетителей офиса должен быть полностью изолирован от внутренней сети. * Компьютеры рядовых сотрудников не должны иметь прямого доступа к серверам с финансовыми базами данных. Серверы, которые «смотрят» в интернет (например, веб-сайт компании), помещаются в специальную изолированную зону — DMZ (Demilitarized Zone*).

Если хакер взломает веб-сайт в DMZ, он окажется заперт в этом сегменте. Чтобы добраться до внутренних баз данных, ему придется преодолевать дополнительные внутренние файрволы, что даст службе безопасности время на обнаружение и блокировку атаки.

Защита веб-приложений (WAF)

Особое место в сетевой безопасности занимают веб-приложения (сайты, порталы, API). Обычные файрволы и IPS часто не могут распознать специфические атаки на сайты, такие как внедрение вредоносного кода в формы поиска или подделка файлов cookie.

Для защиты на самом высоком, прикладном уровне (7 уровень модели OSI) используется WAF (Web Application Firewall).

WAF анализирует каждый HTTP-запрос пользователя к сайту. Если пользователь вводит в поле «Имя» обычный текст — WAF пропускает запрос. Но если вместо имени пользователь вводит кусок программного кода, пытаясь обмануть базу данных (SQL-инъекция), WAF мгновенно блокирует этот запрос.

Обеспечение безопасности сетей и систем — это не разовая настройка одного устройства, а построение глубоко эшелонированной обороны. Комбинируя правильную архитектуру (сегментацию), контроль доступа (файрволы) и глубокий анализ трафика (IPS и WAF), IT-специалисты создают среду, в которой любая аномалия быстро выявляется и нейтрализуется.

В прошлой статье мы построили надежную оборону для корпоративной сети: разделили ее на сегменты, настроили файрволы и системы обнаружения вторжений. Мы научились защищать периметр и контролировать трафик. Однако злоумышленнику не обязательно проникать на сервер, чтобы украсть данные. Информация постоянно путешествует по кабелям провайдеров, маршрутизаторам и радиоволнам Wi-Fi. Если хакер подключится к транзитному узлу и перехватит этот трафик, никакие файрволы не помогут.

Единственный способ защитить данные, которые покинули безопасный периметр — сделать их абсолютно нечитаемыми для всех, кроме законного получателя. Именно эту задачу решает криптография — наука о методах обеспечения конфиденциальности и подлинности информации.

Для специалиста по кибербезопасности криптография — это не абстрактная высшая математика, а базовый рабочий инструмент. Понимание того, как данные превращаются в секретный шифр и обратно, необходимо для настройки защищенных каналов связи, безопасного хранения паролей и защиты от подделки документов.

Принцип Керкгоффса: почему алгоритмы должны быть открытыми

Исторически шифрование сводилось к запутыванию текста. Например, знаменитый шифр Цезаря просто сдвигал каждую букву алфавита на три позиции вправо (А превращалась в Г, Б — в Д). Главной тайной в таких системах был сам метод шифрования. Если враг узнавал алгоритм, система становилась бесполезной.

В современной информационной безопасности такой подход называется Security through obscurity (безопасность через неясность) и считается в корне неверным. В XIX веке голландский криптограф Огюст Керкгоффс сформулировал правило, на котором строится вся современная защита данных:

> Система должна оставаться безопасной, даже если злоумышленнику известно о ней всё, кроме секретного ключа. > > Принцип Керкгоффса

Это означает, что современные алгоритмы шифрования (такие как AES или RSA) абсолютно открыты. Любой хакер может изучить их исходный код. Надежность системы обеспечивается исключительно сложностью математической задачи и секретностью криптографического ключа — уникального набора данных, который используется для преобразования информации.

Процесс шифрования можно описать базовой формулой:

Где — зашифрованный текст (Ciphertext), — математическая функция шифрования (Encryption), — секретный ключ (Key), а — исходный открытый текст (Plaintext).

Без знания переменной восстановить исходный текст из шифра должно быть математически невозможно за адекватное время, даже если алгоритм известен всем.

Симметричное шифрование: один ключ на двоих

Самый интуитивно понятный вид защиты данных — симметричное шифрование. В этой модели для блокировки (шифрования) и разблокировки (расшифровки) информации используется один и тот же секретный ключ.

Представьте себе надежный металлический сейф. Вы кладете в него письмо, закрываете на ключ, а затем отправляете сейф курьером своему коллеге. Чтобы коллега смог прочитать письмо, у него должен быть дубликат вашего ключа.

Самый популярный в мире стандарт симметричного шифрования — AES (Advanced Encryption Standard). Он используется повсеместно: от защиты архивов с паролем на вашем компьютере до шифрования данных в банковских базах. AES работает очень быстро и может за доли секунды зашифровать гигабайты видео или текстовых файлов.

Надежность AES зависит от длины ключа. Стандартный ключ AES-256 состоит из 256 бит (нулей и единиц). Количество возможных комбинаций такого ключа равно . Это число настолько огромно, что если бы все компьютеры на Земле перебирали триллионы паролей в секунду, им не хватило бы времени существования Вселенной, чтобы угадать правильный ключ.

Однако у симметричного шифрования есть одна критическая уязвимость — проблема распределения ключей.

Если вы хотите безопасно общаться с банком через интернет, вам нужен общий секретный ключ. Но как передать этот ключ банку так, чтобы его не перехватили хакеры по пути? Отправлять ключ в открытом виде нельзя. Эта логическая ловушка десятилетиями тормозила развитие безопасного интернета.

Асимметричное шифрование: революция двух ключей

Проблема передачи ключа была гениально решена в 1970-х годах с изобретением асимметричного шифрования. В этой системе у каждого участника есть не один, а пара математически связанных ключей:

Публичный ключ (Public Key) — открыт для всех. Его можно публиковать на сайте, отправлять по почте или диктовать по телефону.

Приватный ключ (Private Key) — хранится в строжайшем секрете и никогда не покидает устройство владельца.

Главная магия асимметричной криптографии заключается в следующем правиле: то, что зашифровано публичным ключом, можно расшифровать только соответствующим приватным ключом.

Аналогия из реальной жизни — почтовый ящик с прорезью. Ваш публичный ключ — это адрес и прорезь ящика. Любой человек в мире может подойти и бросить туда письмо (зашифровать сообщение). Но как только письмо упало внутрь, достать его сможет только тот, у кого есть физический ключ от дверцы ящика (приватный ключ).

!Схема асимметричного шифрования: использование публичного и приватного ключей для безопасной передачи сообщения.

Самый известный алгоритм асимметричного шифрования — RSA (назван по первым буквам фамилий создателей: Ривест, Шамир, Адлеман).

Если Алиса хочет отправить секретный документ Бобу, процесс выглядит так:

Боб генерирует пару ключей и открыто отправляет Алисе свой публичный ключ.

Алиса берет документ, шифрует его публичным ключом Боба и отправляет результат по интернету.

Хакер перехватывает файл, но не может его прочитать, так как публичный ключ умеет только «закрывать» замок.

Боб получает файл и расшифровывает его своим приватным ключом.

| Характеристика | Симметричное шифрование | Асимметричное шифрование | | :--- | :--- | :--- | | Количество ключей | Один (общий для всех) | Два (публичный и приватный) | | Скорость работы | Очень высокая | Низкая (требует сложных вычислений) | | Главное преимущество | Идеально для больших объемов данных | Решает проблему безопасной передачи ключа | | Популярные алгоритмы | AES, ChaCha20 | RSA, ECC (Эллиптические кривые) |

Хеширование: цифровой отпечаток пальца

Шифрование — это обратимый процесс (текст можно зашифровать и расшифровать). Но в кибербезопасности часто нужна другая операция — хеширование. Это строго одностороннее преобразование данных.

Хеш-функция работает как мясорубка: вы можете прокрутить через нее кусок мяса и получить фарш, но вы никогда не сможете собрать из фарша исходный кусок мяса.

Математически это записывается так:

Где — итоговая хеш-сумма (строка фиксированной длины), — алгоритм хеширования, а — входные данные любого размера (от одного слова до фильма в 4K).

Самый популярный алгоритм хеширования сегодня — SHA-256. Независимо от того, подадите вы на вход слово «Привет» или полное собрание сочинений Толстого, на выходе всегда получится уникальная строка ровно из 64 символов.

Главное свойство надежной хеш-функции — лавинный эффект. Если в исходном тексте объемом в гигабайт изменить хотя бы одну запятую, итоговый хеш изменится до неузнаваемости.

!Интерактивный симулятор хеширования — введите любой текст и посмотрите, как изменение даже одного символа полностью меняет итоговый хеш (лавинный эффект).

Зачем нужно хеширование, если данные нельзя вернуть обратно?

Безопасное хранение паролей. Сайты никогда не хранят ваши пароли в открытом виде. Они хранят только их хеши. Когда вы вводите пароль при входе, сайт вычисляет его хеш и сравнивает с тем, что лежит в базе. Если хакер украдет базу данных, он получит только бесполезные хеши, из которых нельзя «вытащить» реальные пароли.

Проверка целостности файлов. Когда вы скачиваете программу из интернета, разработчик часто публикует рядом ее хеш. Скачав файл, ваш компьютер вычисляет его хеш и сравнивает с оригиналом. Если они совпадают — файл скачался без ошибок и в него не внедрили вирус.

Электронная цифровая подпись (ЭЦП)

Асимметричное шифрование и хеширование вместе создают технологию, без которой невозможен современный электронный документооборот — цифровую подпись.

Мы помним, что публичный ключ расшифровывает то, что зашифровано приватным. Что если сделать наоборот? Что если зашифровать документ своим приватным ключом?

Тогда любой человек в мире сможет расшифровать его вашим публичным ключом. Казалось бы, в чем смысл, если секретности нет? Смысл в аутентификации. Если документ успешно расшифровался вашим публичным ключом, это является 100% математическим доказательством того, что его зашифровали именно вы (ведь приватный ключ есть только у вас).

На практике шифровать весь документ долго. Поэтому процесс создания ЭЦП выглядит так:

Вычисляется короткий хеш документа.

Этот хеш шифруется вашим приватным ключом — это и есть цифровая подпись.

Получатель расшифровывает подпись вашим публичным ключом, получая исходный хеш.

Получатель сам вычисляет хеш документа и сравнивает его с расшифрованным.

Если хеши совпали, значит документ действительно подписали вы (аутентификация) и в него не внесли ни одной правки после подписания (целостность).

Как это работает вместе: магия HTTPS

Каждый раз, когда вы видите значок закрытого замочка в адресной строке браузера (протокол HTTPS), ваш компьютер использует все три описанные технологии одновременно. Этот процесс называется TLS Handshake (рукопожатие).

Асимметричное шифрование слишком медленное, чтобы шифровать им потоковое видео или тяжелые сайты. Симметричное шифрование быстрое, но требует безопасной передачи ключа. Поэтому интернет использует гибридный подход:

Ваш браузер обращается к серверу банка.

Сервер отправляет браузеру свой публичный ключ (в составе цифрового сертификата).

Браузер проверяет цифровую подпись сертификата, чтобы убедиться, что это настоящий банк, а не сайт мошенников.

Браузер генерирует случайный одноразовый симметричный ключ (например, AES).

Браузер шифрует этот симметричный ключ публичным ключом банка (асимметричное шифрование) и отправляет на сервер.

Сервер расшифровывает сообщение своим приватным ключом и достает симметричный ключ.

Теперь у браузера и сервера есть общий секретный симметричный ключ, который никто не смог перехватить. Дальнейшая передача всех данных (паролей, баланса, переводов) шифруется этим быстрым симметричным ключом. А для проверки того, что данные не исказились в пути, к каждому пакету добавляется хеш.

Криптография — это фундамент доверия в цифровом мире. Понимая разницу между симметричными и асимметричными алгоритмами, а также роль хеширования, вы сможете правильно выбирать инструменты для защиты данных и проектировать безопасные IT-системы.

В прошлой статье мы разобрали, как криптография и протокол HTTPS защищают информацию в пути. Благодаря шифрованию, если вы отправляете пароль от своего банка через публичный Wi-Fi в кафе, хакер перехватит лишь бессмысленный набор символов. Канал связи надежно защищен.

Но представьте себе бронированный инкассаторский автомобиль, который перевозит деньги по безопасному маршруту, а затем выгружает их в банк, где двери открыты настежь, а охранник верит на слово любому прохожему. В цифровом мире этот «банк» — само веб-приложение. Если сайт написан с ошибками, злоумышленнику не нужно перехватывать трафик. Он может просто отправить серверу специально сформированный запрос и получить доступ к чужим данным.

Безопасность веб-приложений — это комплекс мер, направленных на поиск и устранение уязвимостей в коде сайтов и онлайн-сервисов. В этой сфере существует свой золотой стандарт — OWASP (Open Worldwide Application Security Project). Это международный открытый проект, который регулярно публикует OWASP Top 10 — список самых критичных и распространенных угроз для веб-приложений. Давайте разберем главные из них.

SQL-инъекция: когда данные становятся командой

Почти любой современный сайт работает с базой данных. Там хранятся логины, пароли, тексты статей, балансы счетов и история покупок. Для общения с базой данных сервер использует специальный язык запросов — SQL (Structured Query Language).

Представьте, что вы вводите свой логин и пароль на сайте. Сервер берет ваши данные и подставляет их в шаблон SQL-запроса:

Этот запрос переводится так: «Выбери все данные из таблицы пользователей, где имя равно 'Иван', а пароль равен 'МойСекретныйПароль'». Если такая запись есть, база отвечает серверу: «Да, такой пользователь существует», и вас пускают в личный кабинет.

SQL-инъекция (SQLi) возникает, когда программист слепо доверяет тому, что ввел пользователь, и просто склеивает текст запроса с пользовательским вводом.

Что произойдет, если вместо логина хакер введет следующую строку: admin' OR '1'='1?

Сервер подставит эту строку в свой шаблон, и итоговый запрос к базе данных будет выглядеть так:

Магия кроется в условии OR '1'='1' (ИЛИ один равно одному). Поскольку единица всегда равна единице, это условие всегда истинно. База данных читает запрос: «Выбери пользователя admin, ИЛИ если 1 равно 1». База послушно возвращает данные администратора, игнорируя проверку пароля. Хакер получает полный доступ к системе.

!Интерактивный симулятор SQL-инъекции — введите вредоносный код и посмотрите, как меняется логика запроса к базе данных.

Как защититься от SQL-инъекций

Главное правило веб-безопасности звучит так:

> Никогда не доверяйте пользовательскому вводу.

Для защиты от SQL-инъекций разработчики используют параметризованные запросы (или подготовленные выражения). В этом случае структура запроса отправляется в базу данных отдельно от самих данных. База данных заранее знает, где заканчивается команда и начинаются данные. Даже если хакер введет OR '1'='1', база воспримет это не как команду к действию, а просто как очень странное имя пользователя, и взлом не удастся.

Межсайтовый скриптинг (XSS): яд в комментариях

Если SQL-инъекция атакует сервер и базу данных, то XSS (Cross-Site Scripting) — это атака, направленная на других пользователей сайта.

Современные браузеры не просто показывают текст и картинки. Они выполняют код на языке JavaScript, который делает страницы интерактивными (анимации, всплывающие окна, отправка сообщений без перезагрузки страницы).

Представьте форум или социальную сеть, где пользователи могут оставлять комментарии. Если сайт не проверяет текст комментариев, хакер может написать сообщение, содержащее невидимый JavaScript-код:

Сервер сохраняет этот комментарий в базу данных. Когда любой другой, ничего не подозревающий пользователь открывает эту страницу, его браузер загружает комментарий. Встретив тег <script>, браузер думает, что это легитимная часть сайта, и послушно выполняет вредоносный код.

С помощью XSS хакер может украсть ваши сессионные файлы (cookies), перехватить нажатия клавиш или совершить действия на сайте от вашего имени.

!Схема атаки XSS: вредоносный скрипт сохраняется на сервере и выполняется в браузере жертвы.

Как защититься от XSS

Чтобы предотвратить XSS, разработчики применяют экранирование (санитизацию) данных. Перед тем как показать текст на экране, сервер заменяет все опасные спецсимволы на их безопасные аналоги.

Например, символ начала тега заменяется на безопасный код. В результате браузер видит не команду к выполнению, а просто текст, и выводит на экран безобидную строку:

<script>отправить_чужой_пароль_хакеру()</script>

Подделка межсайтовых запросов (CSRF)

Еще одна хитрая атака, использующая доверие браузера — CSRF (Cross-Site Request Forgery).

Когда вы входите в свой аккаунт на сайте банка, сервер выдает вашему браузеру специальный пропуск — сессионный cookie. Пока этот пропуск у вас, вам не нужно вводить пароль при каждом переходе со страницы на страницу. Браузер автоматически прикрепляет этот пропуск ко всем запросам к банку.

Как работает атака CSRF:

Вы авторизуетесь на сайте своего банка.

В соседней вкладке вы открываете сайт со смешными картинками, который контролирует хакер.

На сайте хакера спрятан невидимый код, который отправляет запрос в ваш банк: «Перевести 1000 рублей на счет хакера».

Ваш браузер послушно отправляет этот запрос и автоматически прикрепляет к нему ваш банковский пропуск (cookie).

Банк видит правильный пропуск, думает, что это вы, и переводит деньги.

Как защититься от CSRF

Для защиты от этой атаки используется Anti-CSRF токен. Это уникальная, случайная и одноразовая строка символов, которую сервер генерирует для каждой формы на сайте (например, для кнопки «Перевести деньги»).

Когда хакер пытается отправить запрос со своего сайта, у него есть ваш cookie, но он не знает этот секретный одноразовый токен. Без правильного токена банк отклонит операцию, даже если пользователь авторизован.

Проблемы аутентификации и управления сессиями

Даже если код сайта идеален, система может быть уязвима из-за неправильной настройки процессов входа в систему. Это обширная категория уязвимостей, которая включает в себя:

Слабые пароли. Если сайт позволяет пользователям ставить пароль 123456 или qwerty, никакая криптография не поможет. Злоумышленники используют автоматизированные программы (брутфорс), которые перебирают тысячи популярных паролей в секунду.

Отсутствие ограничения попыток входа. Если сайт позволяет вводить пароль бесконечное количество раз без блокировки или капчи, хакер рано или поздно угадает нужную комбинацию.

Хранение паролей в открытом виде. Как мы обсуждали в статье по криптографии, пароли должны храниться только в виде необратимых хешей (например, SHA-256). Если база данных утечет, хакеры не должны получить реальные пароли пользователей.

Бесконечные сессии. Если вы зашли в аккаунт на чужом компьютере и забыли нажать «Выйти», а сайт не завершает сессию автоматически через некоторое время, следующий пользователь этого компьютера получит доступ к вашим данным.

Архитектура безопасности: эшелонированная защита

В кибербезопасности есть концепция Defense in Depth (эшелонированная защита). Она означает, что безопасность не должна зависеть от одного единственного барьера. Если один уровень защиты падет, следующий должен остановить атаку.

Для веб-приложений это означает применение комплекса мер:

Безопасность на уровне кода: использование параметризованных запросов, экранирование вывода, проверка типов данных (если ожидается возраст пользователя, сервер должен убедиться, что это число, а не текст).

Безопасность сторонних компонентов: современные сайты собираются из десятков готовых библиотек (open source). Если в популярной библиотеке находят уязвимость, хакеры начинают массово атаковать все сайты, которые ее используют. Разработчики должны регулярно обновлять все зависимости.

Настройка сервера: отключение вывода подробных сообщений об ошибках. Если сайт ломается, пользователь должен видеть просто надпись «Что-то пошло не так», а не кусок исходного кода с указанием версии базы данных (эта информация — подарок для хакера).

Понимание того, как работают веб-уязвимости, меняет взгляд на интернет. Каждое поле ввода, каждая кнопка и каждый комментарий — это потенциальная дверь для злоумышленника. Задача специалиста по кибербезопасности — сделать так, чтобы все эти двери были надежно заперты, а ключи находились только у законных владельцев.

В прошлой статье мы разбирали, как злоумышленники ищут уязвимости в коде сайтов и почему так важно правильно настраивать веб-приложения. Мы научились «запирать двери» и «ставить решетки на окна» нашего цифрового дома. Но в реальном мире ни один замок не дает стопроцентной гарантии. Хакер может украсть ключи (пароли), подкупить охранника (социальная инженерия) или найти окно, о котором строители забыли.

В кибербезопасности существует суровое, но честное правило: вопрос не в том, взломают ли вас, а в том — когда это произойдет. Именно поэтому концепция эшелонированной защиты, о которой мы говорили ранее, не ограничивается только предотвращением атак. Огромная часть работы специалистов по информационной безопасности посвящена тому, чтобы вовремя заметить проникновение и остановить злоумышленника до того, как он нанесет непоправимый ущерб.

Анатомия атаки: Cyber Kill Chain

В кино хакеры обычно яростно стучат по клавиатуре, и через десять секунд на экране появляется надпись «Доступ разрешен». В реальности кибератака — это методичный, многоступенчатый процесс, который может длиться неделями или даже месяцами.

Чтобы эффективно защищаться, специалисты используют модель Cyber Kill Chain (цепочка кибератаки). Это концепция, пришедшая из военной сферы, которая разбивает действия злоумышленника на последовательные этапы. Если защитники смогут разорвать эту цепь хотя бы на одном из этапов, атака провалится.

Рассмотрим классический сценарий взлома корпоративной сети:

Разведка (Reconnaissance). Хакер изучает компанию извне. Он ищет email-адреса сотрудников в открытых источниках, сканирует IP-адреса компании (вспомните нашу статью про сети и порты), чтобы найти уязвимые серверы.

Вооружение (Weaponization). Злоумышленник создает вредоносный файл. Например, документ Microsoft Word со встроенным скрытым кодом (макросом), который будет использовать известную уязвимость.

Доставка (Delivery). Хакер отправляет этот файл бухгалтеру компании под видом срочного акта сверки от важного партнера. Это классический фишинг.

Эксплуатация (Exploitation). Бухгалтер открывает файл. Скрытый код незаметно выполняется в операционной системе.

Установка (Installation). Вредоносная программа закрепляется в системе, чтобы выжить после перезагрузки компьютера.

Управление (Command and Control, C2). Зараженный компьютер связывается с сервером хакера в интернете и ждет дальнейших команд.

Действия у цели (Actions on Objectives). Хакер начинает перемещаться по внутренней сети компании, ищет базы данных с финансовой информацией, скачивает их себе, а затем шифрует компьютеры компании, требуя выкуп.

!Интерактивная модель Cyber Kill Chain — нажимайте на этапы, чтобы увидеть действия атакующего и методы защиты на каждом шаге.

Понимание этой цепочки дает защитникам огромное преимущество. Нам не обязательно блокировать фишинговое письмо на этапе доставки. Если мы заметим странную сетевую активность на этапе управления (C2) и отключим зараженный компьютер от сети, хакер не сможет добраться до главной цели — финансовых данных.

Как защитники видят сеть: Логи и SIEM

Чтобы заметить хакера, нужно постоянно наблюдать за тем, что происходит в компьютерах и сетях. Для этого используются логи (журналы событий).

Лог — это текстовая запись о любом действии в системе. Когда вы вводите пароль, операционная система создает лог. Когда ваш браузер запрашивает страницу в интернете, маршрутизатор создает лог.

Типичная запись в журнале безопасности Windows (событие с ID 4624) выглядит примерно так: «Пользователь Иван успешно вошел в систему на компьютере PC-01 в 09:15 утра с IP-адреса 192.168.1.50».

Проблема в том, что в средней компании серверы, межсетевые экраны и компьютеры сотрудников генерируют миллионы таких записей каждый день. Человек физически не способен прочитать их все.

Здесь на помощь приходит SIEM (Security Information and Event Management — управление информацией и событиями безопасности). Это мощная аналитическая система, которая собирает логи со всех устройств в компании в одну центральную базу, нормализует их (приводит к единому формату) и ищет подозрительные совпадения — корреляции.

!Схема работы SIEM-системы: сбор данных из разных источников, их анализ и выдача оповещения специалисту.

Представьте правило корреляции в SIEM:

Система видит лог: неудачная попытка входа пользователя admin (ошибка пароля).

Через секунду еще одна ошибка. И так 50 раз за минуту.

На 51-й раз система видит лог: успешный вход пользователя admin.

Сразу после этого появляется лог от антивируса: отключена защита в реальном времени.

По отдельности эти события могут затеряться в миллионах других логов. Но SIEM связывает их вместе и мгновенно отправляет специалисту безопасности красное уведомление: «Внимание! Успешный брутфорс (подбор пароля) учетной записи администратора с последующим отключением антивируса».

Два подхода к обнаружению: Сигнатуры и Аномалии

Как именно защитные системы (антивирусы, системы обнаружения вторжений IDS, SIEM) понимают, что происходит что-то плохое? Существует два фундаментальных подхода.

Сигнатурный анализ

Этот метод работает как полицейская база данных с фотографиями преступников. Сигнатура — это уникальный признак известной угрозы.

В статье по криптографии мы обсуждали хеширование. Если антивирусная лаборатория находит новый вирус, она вычисляет его хеш (например, SHA-256) и добавляет в базу. Теперь, если этот файл появится на вашем компьютере, антивирус моментально сравнит его хеш с базой, найдет совпадение (сигнатуру) и удалит файл.

Сигнатурой может быть не только хеш файла, но и известный IP-адрес хакерского сервера или специфическая последовательность байтов в сетевом пакете.

Поведенческий анализ (поиск аномалий)

Сигнатуры отлично работают против старых, известных вирусов. Но что, если хакер написал совершенно новую программу, которой еще нет ни в одной базе мира (так называемая атака Zero-Day или нулевого дня)? Здесь спасает поведенческий анализ.

Система изучает нормальное поведение пользователей и устройств, создавая базовую линию (baseline). Все, что сильно отклоняется от нормы, считается аномалией.

> «Сеть — лицо компании. Анализируя сетевые запросы конкретного человека, можно понять его обычное поведение. Классический пример аномалии — это когда сотрудница отдела кадров начинает обращаться на сайты для программистов, скачивать какие-то инструменты и посещать внутренние ресурсы разработчиков. Подозрительно!»

| Характеристика | Сигнатурный анализ | Поведенческий анализ (Аномалии) | | :--- | :--- | :--- | | Принцип работы | Ищет точное совпадение с известным шаблоном | Ищет отклонения от нормального поведения | | Плюсы | Работает очень быстро, почти не дает ложных срабатываний | Способен находить совершенно новые, неизвестные ранее угрозы | | Минусы | Бесполезен против новых вирусов и модифицированных атак | Требует времени на обучение, часто выдает ложные тревоги (пользователь просто решил поработать в выходной) |

В современных системах безопасности эти два метода всегда работают в паре, дополняя друг друга.

SOC: Люди на страже киберпространства

Даже самые умные системы SIEM и алгоритмы искусственного интеллекта не могут защитить компанию самостоятельно. Они лишь подсвечивают подозрительную активность. Окончательное решение всегда принимает человек.

Для этого в крупных компаниях создаются SOC (Security Operations Center — центр мониторинга информационной безопасности). Это команда аналитиков, которые работают 24/7, глядя на экраны с графиками и логами.

Работа аналитика SOC делится на несколько этапов реагирования на инцидент:

Сортировка (Triage). SIEM выдала предупреждение (алерт). Аналитик должен быстро проверить логи и понять: это реальная атака или ложное срабатывание (например, системный администратор легитимно обновляет сервер)?

Расследование. Если атака реальна, аналитик выясняет масштаб бедствия. Как хакер проник? Какие компьютеры уже заражены? Какие данные пытаются украсть?

Сдерживание (Containment). Главная задача на этом этапе — остановить распространение угрозы. Аналитик может дать команду заблокировать учетную запись скомпрометированного пользователя или физически отключить зараженный сервер от локальной сети, чтобы вирус не перекинулся на соседние машины.

Устранение (Eradication). Удаление вредоносного кода, закрытие уязвимости (например, установка патча на веб-сервер), смена всех скомпрометированных паролей.

Обнаружение и предотвращение кибератак — это бесконечная игра в кошки-мышки. Хакеры придумывают новые способы обхода защиты, а аналитики SOC создают новые правила корреляции и алгоритмы поиска аномалий. В этой сфере критически важно понимать, как работают сети, как шифруются данные и как функционируют приложения — именно поэтому мы так подробно разбирали эти темы в предыдущих статьях.