СПОСОБ
Данное правонарушение состоит в том, что злоумышленник тем или иным способом изменяет внешний вид публичного веб-сайта потерпевшего, чаше всего его титульную страницу. Технически это можно осуществить, получив доступ на запись к директории, где хранится данные веб-сервера. Также часто дефейс производят воспользовавшись уязвимостью в самом веб-сервере или одном из его CGI-скриптов. Бывает, что злоумышленник изменяет веб-страницу, воспользовавшись штатной функцией под аккаунтом одного из законных пользователей.
Следует отличать дефейс от подмены веб-сайта при помощи атаки на DNS или изменения DNS-записи дли сайта жертвы. Это иной способ, хотя цель атаки может быть такой же, как при дефейсе.
Явление это достаточно распространенное. Фиксируются тысячи подобных инцидентов ежемесячно. Можно предположить, что не все дефенсы попадают в статистику, поскольку для владельца взломанного веб¬сайта выгодно скрыть такой инцидент.
ПРЕСТУПНИК
Мотивы для дефейса бывают следующие (перечислены в порядке убывания частоты):
• стремление продемонстрировать публично свою квалификацию;
• политические, религиозные и иные идеологические мотивы;
• личная неприязнь, личный конфликт с потерпевшим или кем-либо из его работников:
• стремление дискредитировать владельца веб-сайта, испортить ему деловую репутацию в целях конкурентной борьбы, повлиять на его капитализацию в целях биржевой спекуляции;
• стремление продемонстрировать наличие уязвимости в ПО, привлечь к ней внимание.
Вероятный преступник соответствует модели «хакер» или реже «инсайдер».
СЛЕДЫ
На взломанном компьютере следов остается не много. злоумышленник старается по возможности уничтожить их. Не следует удивляться, если следов там вообще найти не удастся. Больше следов можно найти на компьютерах, которые хакер использует в качестве промежуточных узлов для исследования атакуемого веб-сайта и доступа к нему. Также пригодятся статистические данные транзитных провайдеров. А на собственном компьютере злоумышленника следов должно быть еще больше - там должны найтись переработанная или заново изготовленная веб-страница, а также ее промежуточные варианты, средства для осуществления несанкционированного доступа, средства для поиска и эксплуатации уязвимостей на целевом веб-сайте и промежуточных узлах.
Помимо этого, злоумышленнику еще необходимо привлечь общественное внимание к дефейсу. В противном случае акция может остаться незамеченной измененные сайты недолго остаются в таком состоянии, владелец обычно быстро восстанавливает первоначальный вид.
Следовательно, злоумышленник сразу после взлома или незадолго до него каким-либо способом оповестит мир о своем преступлении. Это могут быть сообщения по электронной почте, статья в телеконференции или на веб-форуме. Все эти действия оставят дополнительные следы.
Злоумышленник также будет периодически проверять результат дефейса и отслеживать реакцию общественности на него. Эти действия он может совершать со своего компьютера, без особых мер для анонимизации.
ПОТЕРПЕВШИЙ
Данное правонарушение состоит в том, что злоумышленник тем или иным способом изменяет внешний вид публичного веб-сайта потерпевшего, чаше всего его титульную страницу. Технически это можно осуществить, получив доступ на запись к директории, где хранится данные веб-сервера. Также часто дефейс производят воспользовавшись уязвимостью в самом веб-сервере или одном из его CGI-скриптов. Бывает, что злоумышленник изменяет веб-страницу, воспользовавшись штатной функцией под аккаунтом одного из законных пользователей.
Следует отличать дефейс от подмены веб-сайта при помощи атаки на DNS или изменения DNS-записи дли сайта жертвы. Это иной способ, хотя цель атаки может быть такой же, как при дефейсе.
Явление это достаточно распространенное. Фиксируются тысячи подобных инцидентов ежемесячно. Можно предположить, что не все дефенсы попадают в статистику, поскольку для владельца взломанного веб¬сайта выгодно скрыть такой инцидент.
ПРЕСТУПНИК
Мотивы для дефейса бывают следующие (перечислены в порядке убывания частоты):
• стремление продемонстрировать публично свою квалификацию;
• политические, религиозные и иные идеологические мотивы;
• личная неприязнь, личный конфликт с потерпевшим или кем-либо из его работников:
• стремление дискредитировать владельца веб-сайта, испортить ему деловую репутацию в целях конкурентной борьбы, повлиять на его капитализацию в целях биржевой спекуляции;
• стремление продемонстрировать наличие уязвимости в ПО, привлечь к ней внимание.
Вероятный преступник соответствует модели «хакер» или реже «инсайдер».
СЛЕДЫ
На взломанном компьютере следов остается не много. злоумышленник старается по возможности уничтожить их. Не следует удивляться, если следов там вообще найти не удастся. Больше следов можно найти на компьютерах, которые хакер использует в качестве промежуточных узлов для исследования атакуемого веб-сайта и доступа к нему. Также пригодятся статистические данные транзитных провайдеров. А на собственном компьютере злоумышленника следов должно быть еще больше - там должны найтись переработанная или заново изготовленная веб-страница, а также ее промежуточные варианты, средства для осуществления несанкционированного доступа, средства для поиска и эксплуатации уязвимостей на целевом веб-сайте и промежуточных узлах.
Помимо этого, злоумышленнику еще необходимо привлечь общественное внимание к дефейсу. В противном случае акция может остаться незамеченной измененные сайты недолго остаются в таком состоянии, владелец обычно быстро восстанавливает первоначальный вид.
Следовательно, злоумышленник сразу после взлома или незадолго до него каким-либо способом оповестит мир о своем преступлении. Это могут быть сообщения по электронной почте, статья в телеконференции или на веб-форуме. Все эти действия оставят дополнительные следы.
Злоумышленник также будет периодически проверять результат дефейса и отслеживать реакцию общественности на него. Эти действия он может совершать со своего компьютера, без особых мер для анонимизации.
ПОТЕРПЕВШИЙ
Чаще потерпевшим является юридическое лицо. Обычно предприятие-потерпевший не заинтересовано в разглашении информации об инциденте. Но если широкая огласка уже произошла. позиция потерпевшего может измениться, поскольку необходимо чем-то компенсировать ущерб деловой репутации и как-то оправдаться перед акционерами и клиентами. Быстро найти и привлечь к ответственности злоумышленника это все-таки некоторая компенсация в плане репутации и общественных связей.
К данному преступлению относится все сказанное о потерпевших от DoS-атак.
