Probleme de securitate a rețelei IP

Analiza amenințărilor la securitatea rețelei.

Pentru a organiza comunicațiile într-un mediu de rețea eterogen, se utilizează un set de protocoale TCP/IP, asigurând compatibilitatea între computere de diferite tipuri. Compatibilitatea este unul dintre principalele avantaje ale TCP/IP, motiv pentru care majoritatea rețelelor de calculatoare acceptă aceste protocoale. În plus, protocoalele TCP/IP oferă acces la resursele Internetului global.

Datorită popularității sale, TCP/IP a devenit standardul de facto pentru interconectarea. Cu toate acestea, ubicuitatea stivei de protocoale TCP/IP și-a expus și punctele slabe. Atunci când și-au creat ideea, arhitecții stivei TCP/IP nu au văzut niciun motiv să-și facă griji în mod deosebit cu privire la protejarea rețelelor construite pe deasupra. Prin urmare, specificațiile versiunilor timpurii ale protocolului IP nu aveau cerințe de securitate, ceea ce a condus la vulnerabilitatea inerentă a implementării acestuia.

Creșterea rapidă a popularității tehnologiilor de internet este însoțită de o creștere a amenințărilor serioase de dezvăluire a datelor personale, a resurselor corporative critice, a secretelor de stat etc.

În fiecare zi, hackerii și alți actori rău intenționați amenință resursele de informații online, încercând să obțină acces la acestea folosind atacuri speciale. Aceste atacuri devin din ce în ce mai sofisticate ca impact și mai simplu de executat. Doi factori principali contribuie la aceasta.

În primul rând, aceasta este pătrunderea pe scară largă a Internetului. Astăzi, milioane de computere sunt conectate la această rețea. Cu multe milioane de computere conectate la Internet în viitorul apropiat, probabilitatea ca hackerii să obțină acces la computere vulnerabile și rețele de calculatoare este în creștere. În plus, utilizarea pe scară largă a Internetului permite hackerilor să facă schimb de informații la scară globală.

În al doilea rând, există proliferarea pe scară largă a sistemelor de operare și a mediilor de dezvoltare ușor de utilizat. Acest factor reduce drastic cerințele pentru nivelul de cunoștințe al atacatorului. Anterior, un hacker avea nevoie de cunoștințe și abilități bune de programare pentru a crea și distribui malware. Acum, pentru a obține acces la instrumentul unui hacker, trebuie doar să cunoașteți adresa IP a site-ului dorit și, pentru a efectua un atac, trebuie doar să faceți clic pe mouse.

Problemele de asigurare a securității informațiilor în rețelele de computere corporative sunt cauzate de amenințările de securitate la adresa stațiilor de lucru locale, a rețelelor locale și a atacurilor asupra rețelelor corporative care au acces la rețelele publice de date.

Atacurile de rețea sunt la fel de variate ca și sistemele pe care le vizează. Unele atacuri sunt foarte dificile. Altele pot fi realizate de un operator obișnuit care nici nu își imaginează ce consecințe pot avea activitățile sale.

Un intrus, atunci când efectuează un atac, își stabilește de obicei următoarele obiective:

v încălcarea confidențialității informațiilor transmise;

v încălcarea integrității și fiabilității informațiilor transmise;

v perturbarea sistemului ca întreg sau a părților sale individuale.

Din punct de vedere al securității, sistemele distribuite se caracterizează în primul rând prin prezență atacuri de la distanță , deoarece componentele sistemelor distribuite folosesc de obicei canale deschise de transmisie a datelor și un intrus nu poate doar să asculte pasiv informațiile transmise, ci și să modifice traficul transmis (influență activă). Iar dacă impactul activ asupra traficului poate fi înregistrat, atunci impactul pasiv este practic nedetectabil. Dar deoarece în timpul funcționării sistemelor distribuite schimbul de informații de serviciu între componentele sistemului se realizează și prin canale deschise de transmisie a datelor, informațiile de serviciu devin același obiect de atac ca și datele utilizatorului.

Dificultatea detectării faptului unui atac de la distanță plasează acest tip de acțiune ilegală pe primul loc în ceea ce privește gradul de pericol, deoarece împiedică un răspuns în timp util la amenințare, în urma căruia contravenientul crește șansele de a efectua cu succes. în afara atacului.

Securitatea rețelei locale în comparație cu securitatea rețelei de internet diferă prin aceea că, în acest caz, securitatea este pe primul loc ca importanță. încălcări ale utilizatorilor înregistrați , întrucât, în general, canalele de transmisie a datelor din rețeaua locală sunt situate într-o zonă controlată și protecția împotriva conectării neautorizate la acestea este implementată prin metode administrative.

În practică, rețelele IP sunt vulnerabile la o serie de metode de intruziune neautorizată în procesul de schimb de date. Pe măsură ce tehnologiile informatice și de rețea se dezvoltă (de exemplu, odată cu apariția aplicațiilor mobile Java și a controalelor ActiveX), lista de posibile tipuri de atacuri de rețea asupra rețelelor IP se extinde constant [Galitsky A.V., Ryabko S.D., Shangin V.F. Protejarea informațiilor în rețea - analiza tehnologiilor și sinteza soluțiilor. M.: DMK Press, 2004].

Să ne uităm la cele mai comune tipuri de atacuri de rețea.

Ascultarea cu urechea (adulmecare). O mare parte din datele din rețelele de calculatoare sunt transmise într-un format nesecurizat (text simplu), care permite unui atacator cu acces la liniile de date din rețeaua dvs. să asculte sau să citească traficul. Pentru a asculta cu urechea la rețelele de calculatoare pe care le folosesc adulmecă Mirositoare de pachete este un program de aplicație care interceptează toate pachetele de rețea transmise printr-un anumit domeniu.

În prezent, sniffer-ii operează în rețele pe o bază complet legală. Sunt utilizate pentru diagnosticarea defecțiunilor și analiza traficului. Cu toate acestea, deoarece unele aplicații de rețea transferă date în format text (Telnet, FTP, SMTP, POP3 etc.), utilizarea unui sniffer poate dezvălui informații utile și uneori sensibile (de exemplu, nume de utilizator și parole).

Mirosirea parolei transmis printr-o rețea în formă necriptată prin „interceptare” pe canal este un tip de atac de interceptare. Interceptarea autentificarii și a parolei reprezintă o amenințare majoră, deoarece utilizatorii folosesc adesea aceeași autentificare și parolă pentru mai multe aplicații și sisteme. Mulți utilizatori au, în general, o singură parolă pentru a accesa toate resursele și aplicațiile. Dacă aplicația rulează în modul client/server și datele de autentificare sunt transmise prin rețea într-un format text care poate fi citit, aceste informații pot fi probabil folosite pentru a accesa alte resurse corporative sau externe.

În cel mai rău caz, un hacker obține acces la nivel de sistem la o resursă de utilizator și o folosește pentru a crea noi atribute de utilizator care pot fi folosite pentru a accesa rețeaua și resursele acesteia în orice moment.

Puteți preveni amenințarea sniff-ului de pachete folosind următoarele:
masuri si mijloace:

v utilizarea parolelor unice pentru autentificare;

v instalarea de hardware sau software care recunoaște
adulmecători;

v aplicarea protecției criptografice a canalelor de comunicație.

Schimbarea datelor. Un atacator care știa să citească
datele dvs., vor putea face următorul pas - schimbați-le. Date în
pachetul poate fi schimbat chiar dacă atacatorul nu știe nimic
despre expeditor sau destinatar. Chiar dacă nu ai nevoie de stricte
confidențialitatea tuturor datelor transmise, probabil că nu doriți,
astfel încât acestea să fie schimbate pe parcurs.

Analiza traficului în rețea. Scopul unor astfel de atacuri
tip sunt ascultarea canalelor de comunicare și analiza transmise
date și informații despre servicii pentru a studia topologia și arhitectura
construirea unui sistem, obținerea de informații critice despre utilizator
(de exemplu, parolele utilizatorului sau numerele cardurilor de credit transmise
în formă deschisă). Protocoalele precum FTP sunt susceptibile la acest tip de atac.
sau Telnet, a cărui particularitate este că numele de utilizator și parola
transmise în cadrul acestor protocoale în text clar.

Înlocuirea unui subiect de încredere. Majoritatea rețelelor și funcționează
sistemele utilizează adresa IP a computerului pentru a determina dacă
acesta este destinatarul de care este nevoie. În unele cazuri, poate fi incorect
atribuirea unei adrese IP (înlocuirea adresei IP a expeditorului cu o altă adresă) - astfel
se numeste metoda de atac falsificarea adresei(falsificarea IP).

Falsificarea IP are loc atunci când un atacator, în interiorul sau în afara unei corporații, se uită la un utilizator legitim. Un atacator ar putea folosi o adresă IP care se află în intervalul de adrese IP autorizate sau o adresă externă autorizată căreia i se permite accesul la anumite resurse de rețea. Un atacator poate folosi, de asemenea, programe speciale care modelează pachetele IP, astfel încât acestea să pară că provin de la adrese interne autorizate din rețeaua corporativă.

Atacurile de falsificare IP sunt adesea punctul de plecare pentru alte atacuri. Exemplu clasic este ataca ca " refuzul serviciului"(DoS), care începe cu adresa altcuiva, ascunzând adevărata identitate a hackerului. De obicei, falsificarea IP se limitează la inserarea de informații false sau comenzi rău intenționate în fluxul normal de date transmise între o aplicație client și server sau printr-un canal de comunicație între dispozitivele egale.

Amenințarea de falsificare poate fi atenuată (dar nu eliminată) prin următoarele măsuri:

v configurarea corectă a controlului accesului din rețeaua externă;

v suprimarea încercărilor de falsificare a rețelelor altor persoane de către utilizatorii rețelei lor.

Trebuie reținut că IP spoofing poate apărea dacă utilizatorii sunt autentificați pe baza adreselor IP, astfel încât introducerea unor metode suplimentare de autentificare a utilizatorilor (bazate pe parole unice sau alte metode criptografice) poate preveni atacurile de IP spoofing.

Mediere. Un atac de tip om-in-the-middle implică interceptarea activă, interceptarea și controlul datelor transmise de către un nod intermediar invizibil. Când computerele comunică la niveluri scăzute de rețea, ele nu pot determina întotdeauna cu cine comunică.

Mediere în schimbul de chei necriptate (atac Man-in-the-Middle). Pentru a efectua un atac Man-in-the-Middle, un atacator are nevoie de acces la pachetele transmise prin rețea. Un astfel de acces la toate pachetele transmise de la un ISP către orice altă rețea poate fi, de exemplu, obținut de un angajat al acestui furnizor. Sniffer-urile de pachete, protocoalele de transport și protocoalele de rutare sunt adesea folosite pentru acest tip de atac.

Într-un caz mai general, atacurile Man-in-the-Middle sunt efectuate pentru a fura informații, a intercepta sesiunea curentă și a obține acces la resursele rețelei private, pentru a analiza traficul și a obține informații despre rețea și utilizatorii acesteia, pentru a efectua DoS atacuri și distorsionează datele transmise și introducerea de informații neautorizate în sesiunile de rețea.

Atacurile Man-m-the-Middle pot fi combatute eficient doar folosind criptografie. Pentru a contracara acest tip de atac, este utilizată infrastructura de gestionare a cheilor publice PKI (Public Key Infrastructure).

Deturnarea sesiunii. După finalizarea procedurii inițiale de autentificare, conexiunea stabilită de utilizatorul legitim, de exemplu, cu un server de e-mail, este comutată de către atacator la o nouă gazdă, iar serverul original primește comanda să încheie conexiunea. Drept urmare, „interlocutorul” utilizatorului legitim este înlocuit în liniște.

După ce a obținut acces la rețea, atacatorul are mari oportunități:

v poate trimite date incorecte către aplicații și servicii de rețea, provocând blocarea sau funcționarea defectuoasă a acestora;

v poate inunda un computer sau o întreagă rețea cu trafic până când sistemul se blochează din cauza supraîncărcării;

v În cele din urmă, atacatorul poate bloca traficul, ceea ce va duce la pierderea accesului la resursele de rețea pentru utilizatorii autorizați.

Refuzarea serviciului (DoS). Acest atac este diferit de alte tipuri de atacuri. Nu are ca scop obținerea accesului la rețeaua dvs. sau extragerea oricărei informații din acea rețea. Un atac DoS face ca rețeaua unei organizații să nu fie disponibilă pentru utilizare normală prin depășirea limitelor permise ale rețelei, sistemului de operare sau aplicației. În esență, acest atac interzice utilizatorilor normali accesul la resurse sau computere din rețeaua unei organizații.

Majoritatea atacurilor DoS se bazează pe slăbiciunile generale ale arhitecturii sistemului. În cazul unor aplicații server (cum ar fi un server Web sau un server FTP), atacurile DoS pot implica preluarea tuturor conexiunilor disponibile pentru acele aplicații și menținerea acestora ocupate, prevenind

servicii pentru utilizatorii obișnuiți. Atacurile DoS pot folosi protocoale de internet obișnuite, cum ar fi TCP și ICMP (Internet Control Message Protocol).

Atacurile DoS sunt dificil de prevenit, deoarece necesită coordonare cu ISP-ul dumneavoastră. Dacă traficul destinat să vă copleșească rețeaua nu poate fi oprit la furnizor, atunci la intrarea în rețea nu veți mai putea face acest lucru, deoarece toată lățimea de bandă va fi ocupată.

Dacă acest tip de atac este efectuat simultan prin mai multe dispozitive, spunem noi despre atacul distribuit de denial of service DDoS(DoS distribuit).

Ușurința de implementare a atacurilor DoS și prejudiciul enorm pe care acestea îl provoacă organizațiilor și utilizatorilor atrag atenția sporită a administratorilor de securitate a rețelei asupra acestor atacuri.

Atacurile cu parole. Scopul acestor atacuri este de a obține parola și autentificarea utilizatorului legitim. Atacatorii pot efectua atacuri cu parole folosind metode precum:

v O înlocuire adrese IP (spoofing 1P);

v ascultarea cu urechea (adulmecare);

v căutare simplă.

Falsificarea IP și sniffingul de pachete au fost discutate mai sus. Aceste metode vă permit să capturați parola unui utilizator și să vă autentificați dacă sunt transmise în text clar pe un canal nesigur.

Deseori hackerii încearcă să ghicească parola și să se autentifice, folosind numeroase încercări de acces. Această abordare se numește atac cu forță brută(atac cu forță brută). Acest atac folosește un program special care încearcă să obțină acces la o resursă publică (de exemplu, un server). Dacă, ca urmare, atacatorul reușește să ghicească parola, acesta obține acces la resurse ca utilizator obișnuit. Dacă acest utilizator are privilegii de acces semnificative, un atacator își poate crea o „permisă” pentru acces viitor, care va rămâne în vigoare chiar dacă utilizatorul își schimbă parola și autentificarea.

Instrumentele pentru interceptarea, selectarea și spargerea parolelor sunt considerate în prezent practic legale și sunt produse oficial de un număr destul de mare de companii. Acestea sunt comercializate ca software de auditare de securitate și de recuperare a parolelor pierdute și pot fi achiziționate legal de la dezvoltatori.

Atacurile cu parole pot fi evitate prin neutilizarea parolelor cu text simplu. Utilizarea parolelor unice și a autentificării criptografice poate elimina practic amenințarea unor astfel de atacuri. Din păcate, nu toate aplicațiile, gazdele și dispozitivele acceptă aceste metode de autentificare.

Când utilizați parole obișnuite, trebuie să găsiți o parolă greu de ghicit. Lungimea minimă a parolei trebuie să fie de cel puțin opt caractere. Parola trebuie să includă caractere majuscule, numere și caractere speciale (#, $, &, % etc.).

Ghicind cheia. O cheie criptografică este un cod sau un număr necesar pentru a decripta informațiile protejate. Deși găsirea cheii de acces este dificilă și necesită multe resurse, este totuși posibilă. În special, pentru a determina valoarea unei chei, se poate folosi un program special care implementează metoda de căutare exhaustivă. Cheia la care atacatorul are acces se numește compromisă. Atacatorul folosește cheia compromisă pentru a obține acces la datele transmise protejate fără știrea expeditorului și destinatarului. Cheia face posibilă decriptarea și modificarea datelor.

Atacurile la nivel de aplicație. Aceste atacuri pot fi efectuate în mai multe moduri. Cel mai frecvent dintre ele este exploatarea deficiențelor cunoscute în software-ul serverului (FTP, HTTP, servere Web).

Principala problemă a atacurilor la nivel de aplicație este că folosesc adesea porturi care au voie să treacă prin firewall.

Informațiile despre atacurile la nivel de aplicație sunt publicate pe scară largă pentru a permite administratorilor să corecteze problema folosind module corective (patch-uri). Din păcate, mulți hackeri au acces și la aceste informații, ceea ce le permite să învețe.

Este imposibil să eliminați complet atacurile la nivel de aplicație. Hackerii descoperă și publică în mod constant noi vulnerabilități în programele de aplicații de pe site-urile lor de internet.

O bună administrare a sistemului este importantă aici. Pentru a vă reduce vulnerabilitatea la acest tip de atac, puteți lua următorii pași:

v analiza fișierele jurnal ale sistemului de operare și fișierele jurnal de rețea folosind aplicații analitice speciale;

v monitorizarea datelor CERT privind punctele slabe ale software-ului aplicației;

v utilizați cele mai recente versiuni de sisteme de operare și aplicații și cele mai recente module de corecție (patch-uri);

v utilizați sistemele de detectare a atacurilor IDS (Intrusion Detection Systems).

Inteligența rețelei este colectarea de informații de rețea folosind date și aplicații disponibile public. Când pregătește un atac împotriva unei rețele, un hacker încearcă de obicei să obțină cât mai multe informații despre acesta.

Recunoașterea rețelei se realizează sub formă de interogări DNS,
testarea ecou (ping sweep) și scanarea portului. Interogările DNS vă ajută să înțelegeți cine deține un anumit domeniu și ce adrese sunt atribuite acelui domeniu. Adresele ping dezvăluite de DNS vă permite să vedeți ce gazde rulează de fapt într-un mediu dat. După ce primește o listă de gazde, hackerul folosește instrumente de scanare porturi pentru a compila o listă completă de servicii acceptate de acele gazde. Ca rezultat, se obțin informații care pot fi folosite pentru hacking.

Este imposibil să scapi complet de inteligența rețelei. Dacă, de exemplu, dezactivați ecoul ICMP și răspunsul ecou pe routerele edge, scăpați de testarea ping, dar pierdeți datele necesare pentru a diagnostica defecțiunile rețelei. În plus, puteți scana porturi fără testare ping prealabilă. Va dura mai mult timp, deoarece va trebui să scanați adrese IP inexistente.

Sistemele IDS la nivel de rețea și gazdă fac de obicei o treabă bună de a alerta administratorii cu privire la recunoașterea continuă a rețelei, permițându-le să se pregătească mai bine pentru un atac viitor și să alerteze ISP-ul pe a cărui rețea un sistem este prea băgacios.

Abuz de încredere. Acest tip de acțiune nu este un atac în sensul deplin al cuvântului. Reprezintă exploatarea rău intenționată a relațiilor de încredere care există într-o rețea. Un exemplu tipic de astfel de abuz este situația din partea periferică a rețelei corporative. Acest segment găzduiește de obicei servere DNS, SMTP și HTTP. Deoarece toate aparțin aceluiași segment, piratarea unuia dintre ele duce la piratarea tuturor celorlalte, deoarece aceste servere au încredere în alte sisteme din rețeaua lor.

Riscul de încălcare a încrederii poate fi redus prin controlul mai strict al nivelurilor de încredere din rețeaua dvs. Sistemele situate în afara firewall-ului nu ar trebui să aibă niciodată încredere absolută din partea sistemelor protejate de firewall.

Relațiile de încredere ar trebui limitate la protocoale specifice și, dacă este posibil, autentificate nu numai prin adrese IP, ci și prin alți parametri. Programe rău intenționate. Astfel de programe includ viruși de computer, viermi de rețea și programe troiene.

Viruși sunt programe rău intenționate care sunt inserate în alte programe pentru a îndeplini o anumită funcție nedorită pe stația de lucru a utilizatorului final. Un virus este de obicei dezvoltat de atacatori în așa fel încât să rămână nedetectat într-un sistem informatic cât mai mult timp posibil. Perioada inițială de repaus a virușilor este un mecanism de supraviețuire a acestora. Virusul se manifestă în întregime la un anumit moment în timp, când are loc un eveniment de apelare, de exemplu vineri 13, o dată cunoscută etc.

Un tip de program antivirus este vierme de rețea, care este distribuit în rețeaua globală și nu își lasă copia pe un suport magnetic. Acest termen este folosit pentru a denumi programe care, cum ar fi teniile, se deplasează printr-o rețea de calculatoare de la un sistem la altul. Viermele folosește mecanisme de suport de rețea pentru a determina care gazdă poate fi afectată. Apoi, folosind aceleași mecanisme, viermele își transferă corpul în acest nod și fie devine activat, fie așteaptă condiții adecvate pentru activare. Viermii de rețea sunt un tip periculos de malware, deoarece ținta atacului lor poate fi oricare dintre milioanele de computere conectate la internetul global. Pentru a vă proteja împotriva unui vierme, trebuie să luați măsuri de precauție împotriva accesului neautorizat la rețeaua internă.

Virușii informatici sunt legați de așa-numitele "Cai troieni"(programe troiene). Un „cal troian” este un program care arată ca o aplicație utilă, dar îndeplinește de fapt funcții dăunătoare (distrugerea software-ului
furnizarea, copierea și trimiterea de fișiere cu date confidențiale către atacator etc.). Pericolul unui cal troian constă într-un bloc suplimentar de comenzi introduse în programul original inofensiv, care este apoi furnizat utilizatorilor AS. Acest bloc de comenzi poate fi declanșat la apariția oricărei condiții (data, starea sistemului) sau la o comandă externă. Un utilizator care rulează un astfel de program pune în pericol atât fișierele sale, cât și întregul sistem în ansamblu.

Conform raportului Sophos Security Threat Management, caii troieni au depășit numărul virușilor și viermilor cu patru la unu în prima jumătate a anului 2006, față de dublarea în primele șase luni ale anului 2005. Sophos raportează, de asemenea, apariția unui nou tip de „programe troiene”. , numit ransomware. Astfel de programe fură date de pe computerele infectate, iar apoi utilizatorului i se cere să plătească o anumită răscumpărare pentru ele.

Stațiile de lucru ale utilizatorilor finali sunt extrem de vulnerabile la viruși, viermi și cai troieni.

O caracteristică a malware-ului modern este direcționarea aplicației software specifice, care a devenit un standard de facto pentru majoritatea utilizatorilor, în primul rând Microsoft Internet Explorer și Microsoft Outlook. Crearea masivă de viruși pentru produsele Microsoft se explică nu numai prin nivelul scăzut de securitate și fiabilitate al programelor, ci și prin distribuția globală a acestor produse. Autorii de software rău intenționat încep să exploreze din ce în ce mai multe „găuri” în SGBD-urile populare, middleware-urile și aplicațiile de afaceri corporative construite pe deasupra acestor sisteme.

Virușii, viermii și caii troieni sunt în continuă evoluție, iar tendința principală în dezvoltarea lor este polimorfismul. Astăzi este deja destul de dificil să tragem o linie între un virus, un vierme și un troian; folosesc aproape aceleași mecanisme; diferența stă doar în gradul de utilizare. Designul software-ului rău intenționat a devenit atât de unificat astăzi încât, de exemplu, este aproape imposibil să distingem un virus de e-mail de un vierme cu funcții distructive. Chiar și programele „troiene” au o funcție de replicare (ca unul dintre mijloacele de contracarare a instrumentelor antivirus), astfel încât, dacă se dorește, pot fi numite viruși (cu un mecanism de distribuție sub formă de mascarada ca programe de aplicație).

Pentru a vă proteja împotriva acestor programe rău intenționate, este necesar să luați o serie de măsuri:

v împiedicarea accesului neautorizat la fișierele executabile;

v testarea software-ului achiziționat;

v monitorizarea integrității fișierelor executabile și a zonelor de sistem;

v crearea unui mediu închis de execuție a programului.

Virușii, viermii și caii troieni sunt combateți folosind un software antivirus eficient care funcționează la nivel de utilizator și, eventual, la nivel de rețea. Pe măsură ce apar noi viruși, viermi și cai troieni, trebuie instalate noi baze de date cu instrumente și aplicații antivirus.

Spam și phishing se referă la amenințări non-software. Prevalența acestor două amenințări a crescut semnificativ în ultima vreme.

Spam, al cărui volum depășește acum 80% din volumul total al traficului de e-mail, poate reprezenta o amenințare la adresa disponibilității informațiilor prin blocarea serverelor de e-mail sau poate fi folosit pentru a distribui software rău intenționat.

phishing(phishing) este un tip relativ nou de fraudă pe internet, al cărui scop este obținerea de date de identificare a utilizatorilor. Aceasta include furtul de parole, numere de card de credit, conturi bancare, coduri PIN și alte informații confidențiale care oferă acces la banii utilizatorului. Phishingul nu exploatează defectele tehnice ale software-ului, ci mai degrabă credulitatea utilizatorilor de internet. Termenul phishing în sine, în consonanță cu pescuitul, înseamnă pescuit de recoltare a parolei - pescuit pentru o parolă. Într-adevăr, phishing-ul este foarte asemănător cu pescuitul. Atacatorul aruncă o momeală pe Internet și „prinde toți peștii” - utilizatorii de internet care vor lua momeala.

Atacatorul creează o copie aproape exactă a site-ului web al băncii selectate (sistem de plată electronică, licitație etc.). Apoi, folosind tehnologia spam, se trimite o scrisoare prin email, compusa in asa fel incat sa fie cat mai asemanatoare cu o scrisoare reala de la banca selectata. La alcătuirea scrisorii se folosesc siglele băncii, numele și prenumele directorilor adevărați de bancă. O astfel de scrisoare, de regulă, informează că, din cauza unei modificări a software-ului în sistemul de internet banking, utilizatorul trebuie să confirme sau să-și schimbe acreditările. Motivul modificării datelor poate fi o defecțiune a software-ului băncii sau un atac al hackerilor. Prezența unei legende plauzibile care încurajează utilizatorul să întreprindă acțiunile necesare este o componentă indispensabilă a succesului phisher-urilor frauduloase. În toate cazurile, scopul unor astfel de litere este același - de a forța utilizatorul să facă clic pe linkul furnizat și apoi să introducă datele lor confidențiale (parole, numere de cont, coduri PIN) pe site-ul de suprapunere al băncii (sistem de plată electronic, licitație) . După ce a vizitat un site fals, utilizatorul își introduce datele confidențiale în rândurile corespunzătoare, iar apoi escrocii obțin acces la căsuța sa poștală în cel mai bun caz, sau la contul său electronic în cel mai rău caz.

Tehnologiile Phisher sunt îmbunătățite și sunt utilizate metode de inginerie socială. Ei încearcă să sperie clientul și să vină cu un motiv critic pentru ca acesta să renunțe la datele sale confidențiale. De obicei, mesajele conțin amenințări, cum ar fi blocarea unui cont dacă destinatarul nu respectă cerințele stabilite în mesaj.

A apărut un conjugat cu conceptul de phishing - farming . Aceasta este, de asemenea, o înșelătorie, al cărei scop este obținerea datelor personale ale utilizatorilor, dar nu prin poștă, ci direct prin site-uri web oficiale. Fermierii înlocuiesc adresele digitale ale site-urilor Web legitime de pe serverele DNS cu adresele celor false, drept urmare utilizatorii sunt redirecționați către site-uri de înșelătorie. Acest tip de fraudă este și mai periculos, deoarece este aproape imposibil să observi un fals.

În zilele noastre, escrocii folosesc adesea cai troieni. În acest caz, sarcina phisher-ului este mult simplificată - este suficient să forțați utilizatorul să meargă la site-ul de phishing și să „prelueze” un program care va găsi în mod independent tot ceea ce este necesar pe hard disk-ul victimei. Împreună cu programele troiene, acestea au început să fie folosite keyloggers. Pe site-urile false, instrumentele spyware care urmăresc apăsările de taste sunt descărcate pe computerele victimelor. Când utilizați această abordare, nu este necesar să găsiți acces la clienții unei anumite bănci sau companii și, prin urmare, phisher-ii au început să falsifice site-uri cu scop general, cum ar fi fluxurile de știri și motoarele de căutare.

Succesul înșelătoriilor de tip phishing este facilitat de nivelul scăzut de conștientizare a utilizatorilor cu privire la regulile de funcționare ale companiilor în numele cărora acționează infractorii. În special, aproximativ 5% dintre utilizatori nu știu un fapt simplu: băncile nu trimit scrisori prin care le solicită să-și confirme numărul cardului de credit și PIN-ul online.

Potrivit analiștilor (www.cnews.ru), pagubele cauzate de phisheri economiei globale s-au ridicat la 14 miliarde de dolari în 2003, iar un an mai târziu au ajuns la 44 de miliarde de dolari. Conform statisticilor Symantec, la mijlocul anului 2004, filtrele companiei blocau până la 9 milioane de e-mailuri cu conținut de phishing în fiecare săptămână. Până la sfârșitul anului, 33 de milioane fuseseră deja eliminate în aceeași perioadă.

Filtrele de spam rămân principala apărare împotriva phishingului. Din păcate, instrumentele software anti-phishing au o eficiență limitată, deoarece atacatorii exploatează în primul rând psihologia umană, mai degrabă decât defecte software. Măsurile tehnice de securitate sunt dezvoltate în mod activ, în primul rând pluginuri pentru browsere populare. Esența protecției este blocarea site-urilor care sunt incluse în „listele negre” de resurse frauduloase. Următorul pas ar putea fi sistemele de generare a parolelor unice pentru accesul la Internet la conturile bancare și conturile din sistemele de plată și distribuirea pe scară largă a nivelurilor suplimentare de protecție printr-o combinație de introducere a unei parole folosind o cheie hardware USB.

Atacurile enumerate asupra rețelelor IP sunt posibile din mai multe motive:

v utilizarea canalelor publice de transmitere a datelor. Datele critice sunt transmise prin rețea în formă necriptată;

v vulnerabilități în procedurile de autentificare implementate în stiva TCP/IP. Informațiile de identitate la nivelul IP sunt transmise în text clar;

v absența în versiunea de bază a stivei de protocol TCP/IP a mecanismelor care asigură confidențialitatea și integritatea mesajelor transmise;

v expeditorul este autentificat prin adresa sa IP. Procedura de autentificare se realizează numai în etapa de stabilire a conexiunii, iar ulterior nu se verifică autenticitatea pachetelor primite;

v lipsa controlului asupra traseului mesajelor pe Internet, ceea ce face ca atacurile la rețea la distanță să fie practic nepedepsite.

Tipuri de atacuri

Pătrunderea într-o rețea de calculatoare se realizează sub formă de atacuri.

Un atac este un eveniment în care cei din afară încearcă să pătrundă în rețelele altcuiva. Un atac modern de rețea implică adesea exploatarea vulnerabilităților software. Unele dintre cele obișnuite de la începutul anilor 2000 au fost atacuri de denial-of-service, DoS (Dental of Service) și DDoS distribuite (Distributed DoS). Un atac DoS face ca ținta atacului să nu fie disponibilă pentru utilizare normală, depășind limitele permise de funcționare a unui astfel de dispozitiv de rețea. DoS este un atac țintit (concentrat), deoarece provine dintr-o singură sursă. În cazul DDoS distribuit, atacul este efectuat din surse multiple distribuite în spațiu, aparținând adesea unor rețele diferite. În urmă cu câțiva ani, a început să fie folosit termenul de cod software rău intenționat al complexului militar-industrial, ceea ce înseamnă viruși, viermi, sisteme troiene, instrumente pentru atacuri în rețea, trimitere de spam și alte acțiuni nedorite pentru utilizator. Având în vedere natura diversă a amenințărilor, sistemele moderne de protecție au devenit complexe și multistratificate. Viermii de rețea distribuie copii ale lor prin rețelele de computere folosind e-mail și mesagerie. Cele mai comune programe troiene în prezent sunt cele care efectuează acțiuni neautorizate: distrug datele și folosesc resursele computerului în scopuri rău intenționate. Cele mai periculoase programe troiene includ spyware. Colectează informații despre toate acțiunile utilizatorului și apoi, fără ca utilizatorul să observe, transmite aceste informații atacatorilor. Anul 2007 poate fi numit anul „moartei” malware-ului non-comercial. Nimeni nu mai dezvoltă aceste programe pentru auto-exprimare. Se poate observa că în 2007, niciun program rău intenționat nu ar fi avut un motiv financiar. Unul dintre noile programe malware este considerat a fi Storm Worm, care a apărut în ianuarie 2007. Pentru a se răspândi, viermele a folosit atât metode tradiționale, cum ar fi e-mailul, cât și distribuție sub formă de fișiere video. Tehnica de a ascunde prezența cuiva în sistem (rootkit-uri) poate fi folosită nu numai în programele troiene, ci și în viruși de fișiere. Malware-ul se străduiește acum să supraviețuiască pe sistem chiar și după ce este descoperit.

Una dintre modalitățile periculoase de a le ascunde prezența este utilizarea tehnologiei pentru a infecta sectorul de pornire al hard diskului - așa-numitele „bootkits”. Un astfel de program rău intenționat poate câștiga controlul chiar înainte ca partea principală a sistemului de operare să se încarce.

Gama de probleme de securitate nu se mai limitează la sarcina de a proteja împotriva virușilor, cu care a trebuit să ne confruntăm cu aproximativ cinci ani în urmă. Pericolul scurgerilor de informații interne a devenit mai grav decât amenințările externe. În plus, odată cu începutul secolului 21, scopul criminalității informatice a fost furtul de informații economice, conturi bancare, perturbarea sistemelor de informații ale concurenților și trimiterea în masă a reclamelor. Nu mai puțin, și uneori chiar o amenințare mai mare pentru sistemele IT corporative este reprezentată de persoane din interior - angajații companiei care au acces la informații confidențiale și le folosesc în scopuri nefavorabile. Mulți experți consideră că daunele cauzate de persoane din interior nu sunt mai puțin semnificative decât cele cauzate de malware. Este caracteristic faptul că o parte semnificativă a scurgerilor de informații se produce nu din cauza acțiunilor rău intenționate ale angajaților, ci din cauza neatenției acestora. Principalele mijloace tehnice de combatere a acestor factori ar trebui să fie mijloacele de autentificare și de administrare a accesului la date. Cu toate acestea, numărul incidentelor continuă să crească (cu aproximativ 30% pe an în ultimii ani). Treptat, măsurile de securitate împotriva scurgerilor/insiderilor încep să fie integrate în sistemul general de securitate a informațiilor. În concluzie, oferim o clasificare generalizată a amenințărilor de rețea (Fig. 11.3)

Cursul 33 Tipuri și tipuri de atacuri de rețea

Cursul 33

Subiect: Tipuri și tipuri de atacuri de rețea

Un atac de rețea de la distanță este un efect distructiv al informațiilor asupra unui sistem de calcul distribuit, efectuat în mod programatic prin canale de comunicație.

Introducere

Pentru a organiza comunicațiile într-un mediu de rețea eterogen, se utilizează un set de protocoale TCP/IP, asigurând compatibilitatea între computere de diferite tipuri. Acest set de protocoale a câștigat popularitate datorită compatibilității și furnizării accesului la resursele internetului global și a devenit un standard pentru interconectarea. Cu toate acestea, ubicuitatea stivei de protocoale TCP/IP și-a expus și punctele slabe. În special din această cauză, sistemele distribuite sunt susceptibile la atacuri de la distanță, deoarece componentele lor folosesc de obicei canale deschise de transmisie a datelor, iar atacatorul nu poate doar să asculte pasiv informațiile transmise, ci și să modifice traficul transmis.

Dificultatea de a detecta un atac de la distanță și relativa ușurință de implementare (datorită funcționalității redundante a sistemelor moderne) plasează acest tip de acțiune ilegală pe primul loc în ceea ce privește gradul de pericol și împiedică un răspuns în timp util la amenințare, ca un rezultat al căruia atacatorul crește șansele de implementare cu succes a atacului.

Clasificarea atacurilor

După natura impactului

Pasiv

Activ

Impactul pasiv asupra unui sistem de calcul distribuit (DCS) este un impact care nu afectează direct funcționarea sistemului, dar, în același timp, poate încălca politica de securitate a acestuia. Lipsa influenței directe asupra funcționării RVS duce tocmai la faptul că influența pasivă la distanță (RPI) este dificil de detectat. Un posibil exemplu de PUV tipic într-un DCS este ascultarea unui canal de comunicație într-o rețea.

Impact activ asupra DCS - un impact care are un impact direct asupra funcționării sistemului în sine (deteriorarea funcționalității, modificarea configurației DCS etc.), care încalcă politica de securitate adoptată în acesta. Aproape toate tipurile de atacuri de la distanță sunt influențe active. Acest lucru se datorează faptului că însăși natura efectului dăunător include un principiu activ. Diferența clară dintre influența activă și influența pasivă este posibilitatea fundamentală de detectare a acesteia, deoarece în urma implementării sale apar unele modificări în sistem. Cu o influență pasivă, nu rămâne absolut nicio urmă (datorită faptului că atacatorul vede mesajul altcuiva în sistem, nimic nu se va schimba în același moment).

Prin scopul influenței

Încălcarea funcționării sistemului (acces la sistem)

Încălcarea integrității resurselor informaționale (IR)

Încălcarea confidențialității IR

Această caracteristică, prin care se face clasificarea, este în esență o proiecție directă a trei tipuri de bază de amenințări - refuzul serviciului, dezvăluirea și încălcarea integrității.

Scopul principal urmărit în aproape orice atac este obținerea accesului neautorizat la informații. Există două opțiuni fundamentale pentru obținerea informațiilor: distorsiunea și interceptarea. Opțiunea de interceptare a informațiilor înseamnă obținerea accesului la ea fără posibilitatea de a le schimba. Prin urmare, interceptarea informațiilor duce la încălcarea confidențialității acestora. Ascultarea unui canal într-o rețea este un exemplu de interceptare a informațiilor. În acest caz, există acces nelegitim la informații fără posibile opțiuni de înlocuire a acesteia. De asemenea, este evident că încălcarea confidențialității informațiilor se referă la influențe pasive.

Capacitatea de a înlocui informațiile ar trebui înțeleasă fie ca control complet asupra fluxului de informații între obiectele sistemului, fie ca abilitatea de a transmite diverse mesaje în numele altcuiva. Prin urmare, este clar că înlocuirea informațiilor duce la o încălcare a integrității acesteia. O astfel de influență distructivă a informațiilor este un exemplu tipic de influență activă. Un exemplu de atac de la distanță conceput pentru a încălca integritatea informațiilor este atacul de la distanță (RA) „False RVS object”.

Pe baza prezenței feedback-ului de la obiectul atacat

Cu feedback

Fără feedback (atac unidirecțional)

Atacatorul trimite niște solicitări obiectului atacat, la care se așteaptă să primească un răspuns. În consecință, între atacator și atacat apare un feedback, permițându-i acestuia să răspundă în mod adecvat la tot felul de modificări ale obiectului atacat. Aceasta este esența unui atac de la distanță, efectuat în prezența feedback-ului de la obiectul atacator. Astfel de atacuri sunt cele mai tipice pentru RVS.

Atacurile în buclă deschisă se caracterizează prin faptul că nu trebuie să reacționeze la modificările obiectului atacat. Astfel de atacuri sunt de obicei efectuate prin trimiterea de cereri unice către obiectul atacat. Atacatorul nu are nevoie de răspunsuri la aceste solicitări. O astfel de UA poate fi numită și UA unidirecțională. Un exemplu de atacuri unidirecționale este un atac tipic DoS.

După starea începerii impactului

Influența de la distanță, la fel ca oricare alta, poate începe să aibă loc numai în anumite condiții. Există trei tipuri de astfel de atacuri condiționate în RVS:

Atacul la cererea obiectului atacat

Atacul la apariția unui eveniment așteptat asupra obiectului atacat

Atacul neconditionat

Impactul atacatorului va începe cu condiția ca ținta potențială a atacului să transmită o solicitare de un anumit tip. Un astfel de atac poate fi numit atac la cererea obiectului atacat. Acest tip de UA este cel mai tipic pentru RVS. Un exemplu de astfel de solicitări pe Internet sunt cererile DNS și ARP, iar în Novell NetWare - o solicitare SAP.

Un atac la apariția unui eveniment așteptat asupra obiectului atacat. Atacatorul monitorizează continuu starea sistemului de operare a țintei de la distanță a atacului și începe să influențeze când are loc un anumit eveniment în acest sistem. Obiectul atacat însuși este inițiatorul atacului. Un exemplu de astfel de eveniment ar fi atunci când sesiunea unui utilizator cu serverul este întreruptă fără a lansa comanda LOGOUT în Novell NetWare.

Un atac necondiționat este efectuat imediat și indiferent de starea sistemului de operare și a obiectului atacat. Prin urmare, atacatorul este inițiatorul atacului în acest caz.

Dacă funcționarea normală a sistemului este întreruptă, alte obiective sunt urmărite și nu se așteaptă ca atacatorul să obțină acces ilegal la date. Scopul său este de a dezactiva sistemul de operare al obiectului atacat și de a face imposibil accesul altor obiecte de sistem la resursele acestui obiect. Un exemplu de atac de acest tip este un atac DoS.

După localizarea subiectului atacului în raport cu obiectul atacat

Intrasegmental

Intersegmental

Cateva definitii:

Sursa atacului (subiectul atacului) este programul (eventual operatorul) care conduce atacul și are un impact direct.

Gazdă - un computer care este un element al rețelei.

Routerul este un dispozitiv care direcționează pachete într-o rețea.

O subrețea este un grup de gazde care fac parte dintr-o rețea globală, diferă prin faptul că routerul le alocă același număr de subrețea. De asemenea, putem spune că o subrețea este o asociere logică a gazdelor prin intermediul unui router. Gazdele din aceeași subrețea pot comunica direct între ele fără a utiliza un router.

Un segment de rețea este o combinație de gazde la nivel fizic.

Din punctul de vedere al unui atac la distanță, este extrem de importantă locația relativă a subiectului și obiectului atacului, adică dacă sunt în segmente diferite sau identice. În timpul unui atac intra-segment, subiectul și ținta atacului sunt situate în același segment. În cazul unui atac intersegment, subiectul și ținta atacului sunt localizate în diferite segmente de rețea. Această caracteristică de clasificare face posibilă aprecierea așa-numitului „grad de îndepărtare” a atacului.

Se va arăta mai jos că un atac intra-segment este mult mai ușor de efectuat decât un atac inter-segment. De asemenea, observăm că un atac la distanță inter-segment reprezintă un pericol mult mai mare decât unul intra-segment. Acest lucru se datorează faptului că, în cazul unui atac intersegment, ținta și atacatorul pot fi localizați la o distanță de multe mii de kilometri unul de celălalt, ceea ce poate împiedica semnificativ măsurile de respingere a atacului.

În funcție de nivelul modelului de referință ISO/OSI la care se realizează impactul

Fizic

Conductă

Reţea

Transport

Sesiune

Reprezentant

Aplicat

Organizația Internațională pentru Standardizare (ISO) a adoptat standardul ISO 7498, care descrie interconectarea sistemelor deschise (OSI), căruia îi aparțin și RBC-urile. Fiecare protocol de comunicare în rețea, precum și fiecare program de rețea, pot fi proiectate într-un fel sau altul pe modelul de referință OSI cu 7 straturi. Această proiecție pe mai multe niveluri face posibilă descrierea funcțiilor utilizate într-un protocol sau program de rețea în termeni de model OSI. UA este un program de rețea și este logic să îl luăm din punct de vedere al proiecției pe modelul de referință ISO/OSI.

Scurtă descriere a unor atacuri de rețea

Fragmentarea datelor

Când un pachet de date IP este transmis printr-o rețea, pachetul poate fi împărțit în mai multe fragmente. Ulterior, la atingerea destinației, pachetul este reconstruit din aceste fragmente. Un atacator poate iniția trimiterea unui număr mare de fragmente, ceea ce duce la o depășire a bufferelor software pe partea de recepție și, în unele cazuri, la o prăbușire a sistemului.

Ping atac de inundații

Acest atac necesită ca atacatorul să aibă acces la canalele de internet rapide.

Programul ping trimite un pachet ICMP de tip ECHO REQUEST, setând ora și identificatorul acestuia în el. Nucleul mașinii receptoare răspunde la o astfel de solicitare cu un pachet ICMP ECHO REPLY. După ce l-a primit, ping afișează viteza pachetului.

În modul de operare standard, pachetele sunt trimise la intervale regulate, practic fără încărcare în rețea. Dar, în modul „agresiv”, un val de pachete de solicitare/răspuns ecou ICMP poate provoca congestie pe o linie mică, împiedicând-o să transmită informații utile.

Protocoale non-standard încapsulate în IP

Pachetul IP conține un câmp care specifică protocolul pachetului încapsulat (TCP, UDP, ICMP). Atacatorii pot folosi o valoare nestandard a acestui câmp pentru a transmite date care nu vor fi înregistrate de instrumentele standard de control al fluxului de informații.

Atacul ștrumfilor

Atacul ștrumf implică trimiterea de solicitări ICMP de difuzare către rețea în numele computerului victimei.

Ca urmare, calculatoarele care au primit astfel de pachete de difuzare răspund computerului victimă, ceea ce duce la o reducere semnificativă a debitului canalului de comunicație și, în unele cazuri, la izolarea completă a rețelei atacate. Atacul ștrumfului este extrem de eficient și răspândit.

Contracare: pentru a recunoaște acest atac, este necesar să se analizeze încărcarea canalului și să se determine motivele scăderii debitului.

Atacul de falsificare DNS

Rezultatul acestui atac este introducerea unei corespondențe forțate între o adresă IP și un nume de domeniu în memoria cache a serverului DNS. Ca urmare a unui atac reușit, toți utilizatorii serverului DNS vor primi informații incorecte despre numele de domenii și adresele IP. Acest atac este caracterizat de un număr mare de pachete DNS cu același nume de domeniu. Acest lucru se datorează necesității de a selecta niște parametri de schimb DNS.

Contracare: pentru a detecta un astfel de atac, este necesar să analizați conținutul traficului DNS sau să utilizați DNSSEC.

Atacul de falsificare IP

Un număr mare de atacuri pe Internet sunt asociate cu falsificarea adresei IP sursă. Astfel de atacuri includ și falsificarea syslog, care implică trimiterea unui mesaj către computerul victimei în numele unui alt computer din rețeaua internă. Deoarece protocolul syslog este folosit pentru a menține jurnalele de sistem, prin trimiterea de mesaje false către computerul victimei, este posibilă inducerea de informații sau acoperirea urmelor accesului neautorizat.

Contramăsuri: detectarea atacurilor legate de falsificarea adresei IP este posibilă prin monitorizarea primirii pe una dintre interfețele unui pachet cu adresa sursă a aceleiași interfețe sau prin monitorizarea primirii pachetelor cu adrese IP ale rețelei interne pe interfața externă .

Impunerea pachetului

Atacatorul trimite în rețea pachete cu o adresă de retur falsă. Cu acest atac, un atacator poate comuta conexiunile stabilite între alte computere la propriul computer. În acest caz, drepturile de acces ale atacatorului devin egale cu drepturile utilizatorului a cărui conexiune la server a fost comutată la computerul atacatorului.

Sniffing - ascultarea unui canal

Posibil numai în segmentul de rețea locală.

Aproape toate plăcile de rețea acceptă capacitatea de a intercepta pachetele transmise pe un canal comun de rețea locală. În acest caz, stația de lucru poate primi pachete adresate altor computere din același segment de rețea. Astfel, tot schimbul de informații din segmentul de rețea devine disponibil atacatorului. Pentru a implementa cu succes acest atac, computerul atacatorului trebuie să fie situat în același segment de rețea locală ca și computerul atacat.

Interceptarea pachetelor pe router

Software-ul de rețea al unui router are acces la toate pachetele de rețea trimise prin router, permițând interceptarea pachetelor. Pentru a efectua acest atac, atacatorul trebuie să aibă acces privilegiat la cel puțin un router din rețea. Deoarece atât de multe pachete sunt transmise de obicei printr-un router, interceptarea totală a acestora este aproape imposibilă. Cu toate acestea, pachetele individuale pot fi bine interceptate și stocate pentru analiza ulterioară de către un atacator. Cea mai eficientă interceptare a pachetelor FTP care conțin parole de utilizator, precum și e-mail.

Forțarea unei rute false pe o gazdă folosind ICMP

Pe Internet există un protocol special ICMP (Internet Control Message Protocol), una dintre funcțiile căruia este de a informa gazdele despre schimbarea routerului curent. Acest mesaj de control se numește redirecționare. Este posibil să trimiteți un mesaj de redirecționare fals de la orice gazdă din segmentul de rețea în numele routerului către gazda atacată. Ca urmare, tabelul de rutare curent al gazdei se modifică și, în viitor, tot traficul de rețea al acestei gazde va trece, de exemplu, prin gazda care a trimis mesajul de redirecționare fals. În acest fel, este posibil să se impună în mod activ o rută falsă într-un segment de Internet.

Alături de datele obișnuite trimise printr-o conexiune TCP, standardul prevede și transmiterea de date urgente (în afara benzii). La nivelul formatelor de pachete TCP, acesta este exprimat ca un pointer urgent diferit de zero. Majoritatea computerelor cu Windows instalat au protocolul de rețea NetBIOS, care utilizează trei porturi IP pentru nevoile sale: 137, 138, 139. Dacă vă conectați la o mașină Windows prin portul 139 și trimiteți mai mulți octeți de date OutOfBand acolo, atunci implementarea NetBIOS va neștiind ce să facă cu aceste date, pur și simplu blochează sau repornește mașina. Pentru Windows 95, acesta arată de obicei ca un ecran cu text albastru care indică o eroare în driverul TCP/IP și incapacitatea de a lucra cu rețeaua până când sistemul de operare este repornit. NT 4.0 fără pachete de service repornește, NT 4.0 cu pachetul ServicePack 2 se blochează pe un ecran albastru. Judecând după informațiile din rețea, atât Windows NT 3.51, cât și Windows 3.11 pentru grupuri de lucru sunt susceptibile la un astfel de atac.

Trimiterea datelor la portul 139 duce la o repornire a NT 4.0 sau la un „ecran albastru al morții” cu Service Pack 2 instalat. O trimitere similară a datelor la 135 și la alte porturi duce la o încărcare semnificativă a procesului RPCSS.EXE. Pe Windows NT WorkStation, acest lucru duce la o încetinire semnificativă; Windows NT Server practic îngheață.

Falsificarea gazdei de încredere

Implementarea cu succes a atacurilor de la distanță de acest tip va permite atacatorului să efectueze o sesiune cu serverul în numele unei gazde de încredere. (Gazdă de încredere - o stație care se conectează legal la server). Implementarea acestui tip de atac constă de obicei în trimiterea de pachete de schimb de la stația atacatorului în numele unei stații de încredere aflate sub controlul acestuia.

Tehnologii de detectare a atacurilor

Rețelele și tehnologiile informaționale se schimbă atât de repede încât mecanismele de protecție statică, care includ sisteme de control al accesului, firewall-uri și sisteme de autentificare, în multe cazuri nu pot oferi o protecție eficientă. Prin urmare, sunt necesare metode dinamice pentru a detecta și a preveni rapid încălcările de securitate. O tehnologie care poate detecta încălcările care nu pot fi identificate folosind modelele tradiționale de control al accesului este tehnologia de detectare a intruziunilor.

În esență, procesul de detectare a atacurilor este procesul de evaluare a activităților suspecte care au loc într-o rețea corporativă. Cu alte cuvinte, detectarea intruziunilor este procesul de identificare și de răspuns la activități suspecte îndreptate către resursele de calcul sau de rețea.

Metode de analiză a informațiilor din rețea

Eficacitatea unui sistem de detectare a atacurilor depinde în mare măsură de metodele folosite pentru a analiza informațiile primite. Primele sisteme de detectare a intruziunilor, dezvoltate la începutul anilor 1980, au folosit metode statistice pentru a detecta atacurile. În prezent, la analiza statistică au fost adăugate o serie de tehnici noi, începând cu sistemele expert și logica fuzzy și terminând cu utilizarea rețelelor neuronale.

Metoda statistica

Principalele avantaje ale abordării statistice sunt utilizarea unui aparat deja dezvoltat și dovedit de statistică matematică și adaptarea la comportamentul subiectului.

În primul rând, profilurile sunt determinate pentru toți subiecții sistemului analizat. Orice abatere a profilului utilizat de la cel de referință este considerată activitate neautorizată. Metodele statistice sunt universale deoarece analiza nu necesită cunoașterea posibilelor atacuri și a vulnerabilităților pe care le exploatează. Cu toate acestea, atunci când utilizați aceste tehnici, apar probleme:

sistemele „statistice” nu sunt sensibile la ordinea evenimentelor; în unele cazuri, aceleași evenimente, în funcție de ordinea în care apar, pot caracteriza activitatea anormală sau normală;

Este dificil să se stabilească valorile limită (prag) ale caracteristicilor monitorizate de sistemul de detectare a intruziunilor pentru a identifica în mod adecvat activitatea anormală;

Sistemele „statistice” pot fi „antrenate” de către atacatori în timp, astfel încât acțiunile de atac să fie văzute ca fiind normale.

De asemenea, trebuie luat în considerare faptul că metodele statistice nu sunt aplicabile în cazurile în care nu există un model de comportament tipic pentru utilizator sau când acțiunile neautorizate sunt tipice pentru utilizator.

Sistem expert

Sistemele experte constau dintr-un set de reguli care captează cunoștințele unui expert uman. Utilizarea sistemelor expert este o metodă comună de detectare a atacurilor în care informațiile despre atac sunt formulate sub formă de reguli. Aceste reguli pot fi scrise, de exemplu, ca o secvență de acțiuni sau ca semnătură. Când oricare dintre aceste reguli este îndeplinită, se ia o decizie cu privire la prezența unei activități neautorizate. Un avantaj important al acestei abordări este absența aproape completă a alarmelor false.

Baza de date a sistemului expert ar trebui să conțină scripturi pentru majoritatea atacurilor cunoscute în prezent. Pentru a rămâne la zi în permanență, sistemele expert necesită o actualizare constantă a bazei de date. Deși sistemele expert oferă o vizibilitate bună asupra datelor de jurnal, actualizările necesare pot fi fie ignorate, fie efectuate manual de către administrator. Cel puțin, acest lucru are ca rezultat un sistem expert cu capacități slăbite. În cel mai rău caz, lipsa întreținerii corespunzătoare reduce securitatea întregii rețele, inducând în eroare utilizatorii săi cu privire la nivelul real de securitate.

Principalul dezavantaj este incapacitatea de a respinge atacurile necunoscute. Mai mult, chiar și o mică modificare a unui atac deja cunoscut poate deveni un obstacol serios în calea funcționării sistemului de detectare a atacurilor.

Rețele neuronale

Cele mai multe metode moderne de detectare a atacurilor folosesc o anumită formă de analiză a spațiului controlat, fie pe bază de reguli, fie abordare statistică. Spațiul controlat poate fi jurnalele sau traficul de rețea. Analiza se bazează pe un set de reguli predefinite care sunt create de administrator sau de sistemul de detectare a intruziunilor însuși.

Orice separare a unui atac în timp sau între mai mulți atacatori este dificil de detectat folosind sisteme expert. Datorită varietății mari de atacuri și hackeri, chiar și ad-hoc, actualizările continue ale bazei de date a regulilor sistemului expert nu vor garanta niciodată identificarea exactă a întregii game de atacuri.

Utilizarea rețelelor neuronale este una dintre modalitățile de a depăși aceste probleme ale sistemelor expert. Spre deosebire de sistemele expert, care pot oferi utilizatorului un răspuns cert cu privire la conformitatea caracteristicilor luate în considerare cu regulile încorporate în baza de date, o rețea neuronală analizează informațiile și oferă posibilitatea de a evalua dacă datele sunt în concordanță cu caracteristicile pe care le are. antrenat să recunoască. În timp ce gradul de corespondență al reprezentării unei rețele neuronale poate ajunge la 100%, fiabilitatea alegerii depinde în întregime de calitatea sistemului în analiza exemplelor de sarcină.

În primul rând, rețeaua neuronală este antrenată să identifice corect folosind un eșantion preselectat de exemple de domenii. Se analizează răspunsul rețelei neuronale și se reglează sistemul în așa fel încât să se obțină rezultate satisfăcătoare. Pe lângă perioada de pregătire inițială, rețeaua neuronală câștigă experiență în timp pe măsură ce analizează datele specifice domeniului.

Un avantaj important al rețelelor neuronale în detectarea abuzului este capacitatea lor de a „învăța” caracteristicile atacurilor deliberate și de a identifica elemente care sunt diferite de cele observate anterior în rețea.

Fiecare dintre metodele descrise are o serie de avantaje și dezavantaje, așa că acum este aproape dificil să găsești un sistem care să implementeze doar una dintre metodele descrise. De regulă, aceste metode sunt utilizate în combinație.

Mailbombing
Cel mai vechi tip de atac. Crește semnificativ traficși numărul de mesaje trimise, care generează o defecțiune a serviciului. Cauzează paralizie nu numai poșta dvs., ci și funcționarea serverului de e-mail în sine. Eficienţă astfel de atacuri sunt considerate zero în aceste zile, de acum furnizor are capacitatea de a se instala prescripţie trafic de la un expeditor.

Buffer overflow
Principiul acestui tip de atac este erori de software, la care memorieîncalcă propriile limite. Acest lucru, la rândul său, forțează încheie procesul urgență sau efectuați o acțiune arbitrară cod binar, unde se utilizează contul curent. Dacă contul este administrator, atunci aceste acțiuni permit obțineți acces complet la sistem.

Viruși, troieni, viermi de e-mail, sniffer
Acest tip de atac combină diverse programe de la terți. Scopul și principiul de funcționare Un astfel de program poate fi extrem de divers, așa că nu are rost să intrăm în detaliu despre fiecare dintre ele. Toate aceste programe au în comun faptul că scopul lor principal este accesul și „ infecţie" sisteme.

Inteligența rețelei
The tip de atac nu oferă în sine nicio acțiune distructivă. Inteligența înseamnă doar colectare de informații intrus - scanarea portului, Interogare DNS, verificarea protecției computerului și verificarea sistemului. De obicei serviciul de informații efectuate înaintea unui atac țintit grav.

Mirosirea pachetelor
Principiul de funcționare se bazează pe caracteristicile de funcționare ale plăcii de rețea. Pachetele primite de acesta sunt trimise pentru procesare, unde aplicațiile speciale interacționează cu ele. Drept urmare, atacatorul obține acces nu numai la informații despre structura sistemului informatic, ci și la informații transmise direct - parolele, mesajeși alte fișiere.

Falsificarea IP
Tipul de atacuri asupra rețele locale, Când calculator folosește atacatorul adresa IP, incluse în acest local net. Un atac este posibil dacă sistem Securitate oferă identificarea tipului de adresă IP, excluzând condițiile suplimentare.

Bărbatul din mijloc
Atacatorul interceptează legăturăîntre două aplicații, rezultând acces la toate informațiile care trec prin acest canal. Scopul atacului nu este numai furt, dar de asemenea falsificare informație. Un exemplu în acest sens atacuri poate servi utilizare asemănătoare aplicatii pentru trișare în jocurile online: informațiile despre evenimentul de joc generate de partea client sunt transmise serverului. Pune în calea ei program-interceptor, care modifică informațiile la cererea atacatorului și le trimite către server în loc de ceea ce a trimis programul client al jocului.

Injectare
De asemenea, un tip destul de larg de atacuri, principiu general din care - implementarea sistemelor informatice cu bucăți de cod de program terță parte în timpul transferului de date, unde codul nu interferează efectiv cu funcționarea aplicației, dar în același timp realizează acțiunea necesară atacatorului.

Refuzarea serviciului
DoS (din engleza Refuzarea serviciului) — atac, care urmărește să forțeze serverul să nu răspundă la solicitări. Acest tip de atac nu presupune direct obținerea unor informații secrete, ci este folosit pentru a paraliza funcționarea serviciilor țintă. De exemplu, unele programe, din cauza erorilor din codul lor, pot provoca excepții, iar atunci când serviciile sunt dezactivate, sunt capabile să execute cod furnizat de un atacator sau atacuri de inundații, când serverul nu este capabil să proceseze toate pachetele primite.

DDoS(din engleza Refuzarea serviciului distribuit- distribuit DoS) - subtip Atacurile DoS, având la fel ţintă ce şi DoS, dar produs nu de pe un singur computer, ci de pe mai multe computere în retelelor. La aceste tipuri atacuri folosit fie aparitie generatoare de erori refuz serviciu, sau protecție declanșată, provocând blocare muncă serviciu, și ca urmare, de asemenea refuz în funcțiune. DDoS folosit acolo unde este normal DoS ineficient. Pentru a face acest lucru, mai multe computere sunt combinate și fiecare produce DoS atac asupra sistemului victimei. Împreună se numește Atacul DDoS.

Metode de protecție împotriva atacurilor de rețea.
Există multe modalități de a vă proteja de intruși, inclusiv antivirusuri, firewall-uri, diverse incorporate filtre etc. Cel mai eficient lucru este profesionalismul utilizatorului. Nu trebuie deschis site-uri suspecte (link-uri), fișiere cu litere de la un expeditor de tip „străin misterios”. Înainte de a deschide atașamentele de la adrese familiare, ar trebui să solicitați confirmarea printr-o altă metodă decât prin e-mail. De regulă, cursurile de îmbunătățire a abilităților informatice și de alfabetizare, desfășurate în aproape orice organizație, pot ajuta în acest sens. Aceasta, însă, nu înlocuiește mecanismele și programele de protecție. Merită să ne amintim că tehnologia atacurilor de rețea nu stă pe loc și, prin urmare, ar trebui să fie efectuată cât mai des posibil Actualizați antivirus, precum și să efectueze verificări complete pe computer.

Consultați-vă cu specialiștii companiei de calculatoare „KLiK” pentru a preveni toate posibilele atacuri ale hackerilor și infecțiile cu virusuri.

Există patru categorii principale de atacuri:

· atacuri de acces;

· atacuri de modificare;

· atacuri de denial of service;

· atacuri la declinarea răspunderii.

Să aruncăm o privire mai atentă la fiecare categorie. Există multe modalități de a efectua atacuri: folosind instrumente special dezvoltate, metode de inginerie socială și prin vulnerabilități în sistemele informatice. În ingineria socială, mijloacele tehnice nu sunt folosite pentru a obține acces neautorizat la un sistem. Un atacator obține informații printr-un simplu apel telefonic sau pătrunde într-o organizație sub masca unui angajat. Aceste tipuri de atacuri sunt cele mai distructive.

Atacurile care vizează captarea informațiilor stocate electronic au o caracteristică interesantă: informațiile nu sunt furate, ci copiate. Rămâne la proprietarul inițial, dar îl primește și atacatorul. Astfel, deținătorul informațiilor suferă pierderi și este foarte greu de detectat momentul în care s-a întâmplat acest lucru.

Atacurile de acces

Atacul de acces este o încercare a unui atacator de a obține informații pe care nu are permisiunea de a le vizualiza. Un astfel de atac este posibil oriunde există informații și mijloace pentru transmiterea acesteia. Un atac de acces are ca scop încălcarea confidențialității informațiilor. Se disting următoarele tipuri de atac de acces:

· aruncarea cu privirea;

· interceptarea cu urechea;

· interceptare.

Privind(snooping) este vizualizarea fișierelor sau documentelor pentru a căuta informații de interes pentru atacator. Dacă documentele sunt stocate sub formă de imprimări, atunci atacatorul va deschide sertarele biroului și va scotoci prin ele. Dacă informațiile sunt pe un sistem informatic, el va căuta fișier după fișier până când va găsi informațiile de care are nevoie.

Ascultarea cu urechea(eavesdropping) este interceptarea neautorizată a unei conversații la care atacatorul nu este un participant. Pentru a obține acces neautorizat la informații, în acest caz, atacatorul trebuie să fie aproape de aceasta. Foarte des folosește dispozitive electronice. Introducerea rețelelor fără fir a crescut probabilitatea de a reuși interceptarea cu urechea. Acum atacatorul nu trebuie să fie în interiorul sistemului sau să conecteze fizic dispozitivul de interceptare la rețea.

Spre deosebire de interceptarea cu urechea interceptare(interceptarea) este un atac activ. Atacatorul captează informații pe măsură ce acestea sunt transmise la destinație. După ce analizează informațiile, el ia decizia de a permite sau de a interzice trecerea lor ulterioară.

Atacurile de acces iau forme diferite în funcție de modul în care sunt stocate informațiile: ca documente pe hârtie sau electronic pe un computer. Dacă informațiile de care are nevoie un atacator sunt stocate în documente pe hârtie, va avea nevoie de acces la acele documente. Ele pot fi găsite în următoarele locuri: în dulapuri, în sertare sau pe mese, într-un fax sau imprimantă la gunoi, într-o arhivă. Prin urmare, un atacator trebuie să intre fizic în toate aceste locații.

Astfel, accesul fizic este cheia pentru obținerea datelor. Trebuie remarcat faptul că o protecție fiabilă a spațiilor va proteja datele numai de la persoane neautorizate, dar nu și de la angajații organizației sau utilizatorii interni.

Informațiile sunt stocate electronic: pe stații de lucru, pe servere, pe computere laptop, pe dischete, pe CD-uri, pe benzi magnetice de rezervă.

Un atacator poate fura pur și simplu mediul de stocare (dischetă, CD, bandă de rezervă sau laptop). Uneori, acest lucru este mai ușor de făcut decât să accesați fișierele stocate pe computere.

Dacă un atacator are acces legal la sistem, va analiza fișierele prin simpla deschidere a acestora unul câte unul. Cu un control adecvat al permisiunii, accesul unui utilizator ilegal va fi refuzat și încercările de acces vor fi înregistrate în jurnale.

Permisiunile configurate corect vor preveni scurgerile accidentale de informații. Cu toate acestea, un atacator serios va încerca să ocolească sistemul de control și să obțină acces la informațiile necesare. Există un număr mare de vulnerabilități care îl vor ajuta în acest sens.

Pe măsură ce informațiile trec prin rețea, acestea pot fi accesate ascultând transmisia. Atacatorul face acest lucru instalând un analizor de pachete de rețea (sniffer) pe sistemul informatic. De obicei, acesta este un computer configurat pentru a capta tot traficul de rețea (nu doar traficul destinat computerului respectiv). Pentru a face acest lucru, atacatorul trebuie să-și crească autoritatea în sistem sau să se conecteze la rețea. Analizorul este configurat pentru a capta orice informație care trece prin rețea, dar mai ales ID-uri și parole de utilizator.

Ascultările se efectuează și în rețelele globale de calculatoare, cum ar fi liniile închiriate și conexiunile telefonice. Cu toate acestea, acest tip de interceptare necesită echipament adecvat și cunoștințe speciale.

Interceptarea este posibilă chiar și în sistemele de comunicații prin fibră optică folosind echipamente specializate, de obicei efectuate de un atacator priceput.

Accesul la informații folosind interceptarea este una dintre cele mai dificile sarcini pentru un atacator. Pentru a reuși, el trebuie să-și plaseze sistemul în liniile de transmisie dintre emițătorul și receptorul informațiilor. Pe Internet, acest lucru se face prin modificarea rezoluției numelui, determinând ca numele computerului să fie convertit într-o adresă incorectă. Traficul este redirecționat către sistemul atacatorului în loc de nodul destinație real. Dacă un astfel de sistem este configurat corespunzător, expeditorul nu va ști niciodată că informațiile sale nu au ajuns la destinatar.

Interceptarea este posibilă și în timpul unei sesiuni de comunicare valide. Acest tip de atac este cel mai potrivit pentru a deturna traficul interactiv. În acest caz, atacatorul trebuie să fie în același segment de rețea în care se află clientul și serverul. Atacatorul așteaptă ca un utilizator legitim să deschidă o sesiune pe server și apoi, folosind un software specializat, deturnează sesiunea în timp ce aceasta rulează.

Atacurile de modificare

Atacul de modificare este o încercare de a schimba neautorizat informații. Un astfel de atac este posibil oriunde există sau sunt transmise informații. Are ca scop încălcarea integrității informațiilor.

Un tip de atac de modificare este înlocuire informații existente, de exemplu, o modificare a salariului unui angajat. Un atac de înlocuire vizează atât informații secrete, cât și publice.

Un alt tip de atac este plus date noi, de exemplu, în informații despre istoria perioadelor trecute. În acest caz, atacatorul efectuează o tranzacție în sistemul bancar, în urma căreia fondurile din contul clientului sunt mutate în propriul său cont.

Atac îndepărtareînseamnă mutarea datelor existente, cum ar fi anularea unei intrări de tranzacție din bilanţul unei bănci, lăsând fondurile retrase din cont să rămână în cont.

La fel ca atacurile de acces, atacurile de modificare sunt efectuate împotriva informațiilor stocate ca documente pe hârtie sau electronic pe un computer.

Este dificil să schimbați documentele fără ca nimeni să observe: dacă există o semnătură (de exemplu, într-un contract), trebuie să aveți grijă să o falsificați, iar documentul sigilat trebuie reasamblat cu grijă. Dacă există copii ale documentului, acestea trebuie refăcute, la fel ca și originalul. Și deoarece este aproape imposibil să găsești toate copiile, este foarte ușor să vezi un fals.

Este foarte dificil să adăugați sau să eliminați intrări din jurnalele de activitate. În primul rând, informațiile din ele sunt aranjate în ordine cronologică, astfel încât orice modificare va fi observată imediat. Cel mai bun mod este să eliminați documentul și să-l înlocuiți cu unul nou. Aceste tipuri de atacuri necesită acces fizic la informații.

Este mult mai ușor să modificați informațiile stocate electronic. Având în vedere că atacatorul are acces la sistem, o astfel de operațiune lasă în urmă un minim de dovezi. Dacă nu există acces autorizat la fișiere, atacatorul trebuie mai întâi să asigure o conectare la sistem sau să modifice setările de control al accesului la fișiere.

Modificarea fișierelor bazei de date sau a listelor de tranzacții trebuie făcută cu mare atenție. Tranzacțiile sunt numerotate secvențial și se va nota eliminarea sau adăugarea numerelor de tranzacție incorecte. În aceste cazuri, trebuie făcută o muncă extinsă în întregul sistem pentru a preveni detectarea.