Сервисы нагрузочного тестирования делают сайты уязвимыми для злоумышленников
🕛 08.10.2013, 21:41
Создание сценариев нагрузки приводит к тому, что злоумышленник может задействовать несколько независимых учетных записей для одновременной нагрузки на атакуемый сайт. Согласно последнему исследованию, проведенному экспертами по информационной безопасности из «Лаборатории Касперского», сервисы нагрузочного тестирования позволяют проверить web-сайт на «предельную нагрузку». Однако большинство из них создают уязвимость, которую могут эксплуатировать злоумышленники.
Нагрузочное тестирование информационной системы – это оценка характеристик работоспособности тестируемой системы в рамках значений нагрузки, которая не превышает предельное. Стрессовое тестирование, в свою очередь, проводится за рамками предельного значения нагрузки. В большинстве случаев тестируемая система может проявить реакцию, которую вызывают DDoS-атаки.
«Стрессовое тестирование оказывается необходимой процедурой, когда владельцу информационной системы нужно узнать, как она будет вести себя при аномальных нагрузках. Иногда есть необходимость выяснить, как будут справляться с нагрузкой имеющиеся средства защиты от DDoS-атак – для этого также используются процедуры стрессового тестирования», - утверждает Денис Макрушин из «Лаборатории Касперского».
Он считает, что быстрое создание возможных сценариев нагрузки приводит к тому, что злоумышленник может задействовать несколько независимых учетных записей для одновременной нагрузки на атакуемый сайт. ИБ-эксперт подчеркивает, что наиболее эффективными считаются DDoS-атаки, в рамках которых невозможно отличить легитимный трафик от генерируемого ботами.
«Некоторые сервисы предоставляют демонстрационную нагрузку вообще без регистрации, а это может означать, что владелец какого-нибудь «ущербного» ботнета из 50-100 зомби с помощью таких сервисов может в сотни раз увеличить эффективность DDoS-атаки. Один бот генерирует 10 независимых запросов на нагрузочное тестирование в различные веб-сервисы. Те, в свою очередь, независимо друг от друга инициируют сотни запросов. Результат: целевой ресурс задыхается от объемов вполне «легитимного» трафика», - объясняет специалист «ЛК».
Для того чтобы избежать инцидента безопасности, сервисы нагрузочного тестирования должны запрашивать согласие на тест от владельца тестируемой системы. «В дополнение к этому можно использовать CAPTCHA при работе с сервисом. Подобные процедуры верификации заметно усложнят процесс отправки автоматизированных запросов для генерации нагрузки, которые могут осуществлять роботы», - говорит Макрушин.