Çështjet e sigurisë së rrjetit IP

Analiza e kërcënimeve të sigurisë së rrjetit.

Për të organizuar komunikime në një mjedis rrjeti heterogjen, përdoret një grup protokollesh TCP / IP, i cili siguron përputhshmërinë midis kompjuterëve të llojeve të ndryshme. Përputhshmëria është një nga avantazhet kryesore të TCP/IP, prandaj shumica e rrjeteve kompjuterike i mbështesin këto protokolle. Për më tepër, protokollet TCP / IP ofrojnë qasje në burimet e Internetit global.

Për shkak të popullaritetit të tij, TCP/IP është bërë standardi de facto për punën në internet. Megjithatë, gjithëpërfshirja e grumbullit të protokollit TCP/IP ka ekspozuar gjithashtu dobësitë e tij. Kur krijuan idenë e tyre, arkitektët e grupit TCP/IP nuk panë asnjë arsye për t'u shqetësuar shumë për mbrojtjen e rrjeteve të ndërtuara mbi të. Prandaj, specifikimeve të versioneve të hershme të protokollit IP u mungonin kërkesat e sigurisë, gjë që çoi në cenueshmërinë fillestare të zbatimit të tij.

Rritja e shpejtë e popullaritetit të teknologjive të internetit shoqërohet me rritjen e kërcënimeve serioze të zbulimit të të dhënave personale, burimeve kritike të korporatës, sekreteve shtetërore, etj.

Çdo ditë, hakerat dhe ndërhyrës të tjerë kërcënojnë burimet e informacionit të rrjetit, duke u përpjekur të fitojnë akses në to duke përdorur sulme speciale. Këto sulme po bëhen më të sofistikuara në ndikim dhe më të lehta për t'u ekzekutuar. Dy faktorë kryesorë kontribuojnë në këtë.

Së pari, është depërtimi i kudondodhur i internetit. Sot, miliona kompjuterë janë të lidhur në këtë rrjet. Me shumë miliona kompjuterë të lidhur në internet në të ardhmen e afërt, gjasat që hakerët të kenë akses në kompjuterë dhe rrjete kompjuterike të cenueshme po rritet vazhdimisht. Përveç kësaj, përdorimi i gjerë i internetit i lejon hakerët të ndajnë informacione në shkallë globale.

E dyta është kudondodhja e sistemeve operative dhe mjediseve të zhvillimit të lehtë për t'u përdorur. Ky faktor ul ndjeshëm kërkesat për nivelin e njohurive të sulmuesit. Më parë, një haker kërkonte njohuri të mira dhe aftësi programimi në mënyrë që të krijonte dhe shpërndante malware. Tani, për të hyrë në mjetin e hakerimit, thjesht duhet të dini adresën IP të faqes së dëshiruar dhe për të kryer sulmin, thjesht klikoni miun.

Problemet e sigurimit të sigurisë së informacionit në rrjetet kompjuterike të korporatave shkaktohen nga kërcënimet e sigurisë ndaj stacioneve lokale të punës, rrjeteve lokale dhe sulmeve ndaj rrjeteve të korporatave që kanë akses në rrjetet publike të të dhënave.

Sulmet e rrjetit janë po aq të ndryshme sa edhe sistemet që synojnë. Disa sulme janë shumë të vështira. Të tjerat janë në gjendje të kryhen nga një operator i zakonshëm, pa e imagjinuar fare se çfarë pasojash mund të ketë aktiviteti i tij.

Ndërhyrësi, duke kryer një sulm, zakonisht i vendos vetes qëllimet e mëposhtme:

v shkelje e konfidencialitetit të informacionit të transmetuar;

v shkelje e integritetit dhe besueshmërisë së informacionit të transmetuar;

v shkelje e funksionimit të sistemit në tërësi ose pjesëve të tij individuale.

Nga pikëpamja e sigurisë, sistemet e shpërndara karakterizohen kryesisht nga prania e sulme në distancë , pasi që përbërësit e sistemeve të shpërndara zakonisht përdorin kanale të hapura të transmetimit të të dhënave dhe ndërhyrës jo vetëm që mund të dëgjojë në mënyrë pasive informacionin e transmetuar, por edhe të modifikojë trafikun e transmetuar (ndikimi aktiv). Dhe nëse ndikimi aktiv në trafik mund të regjistrohet, atëherë ndikimi pasiv është praktikisht i padeklarueshëm. Por duke qenë se gjatë funksionimit të sistemeve të shpërndara, shkëmbimi i informacionit të shërbimit ndërmjet komponentëve të sistemit kryhet edhe nëpërmjet kanaleve të hapura të transmetimit të të dhënave, informacioni i shërbimit bëhet i njëjti objekt sulmi si të dhënat e përdoruesit.

Vështirësia e zbulimit të faktit të një sulmi në distancë e sjell këtë lloj veprimesh të paligjshme në vend të parë për sa i përket shkallës së rrezikut, pasi parandalon një përgjigje në kohë ndaj kërcënimit, si rezultat i të cilit sulmuesi ka një shans të shtuar për të. duke zbatuar me sukses sulmin.

Siguria e një rrjeti lokal, krahasuar me sigurinë e punës në internet, ndryshon në atë që në këtë rast vendin më të rëndësishëm e zë shkeljet e regjistruara të përdoruesve , meqenëse kanalet e transmetimit të të dhënave të rrjetit lokal janë kryesisht të vendosura në një zonë të kontrolluar dhe mbrojtja nga lidhjet e paautorizuara me to zbatohet me metoda administrative.

Në praktikë, rrjetet IP janë të cenueshme ndaj një sërë metodash të ndërhyrjes së paautorizuar në procesin e komunikimit. Me zhvillimin e teknologjive kompjuterike dhe të rrjetit (për shembull, me ardhjen e aplikacioneve celulare Java dhe kontrolleve ActiveX), lista e llojeve të mundshme të sulmeve të rrjetit në rrjetet IP po zgjerohet vazhdimisht [Galitsky A.V., Ryabko S.D., Shangin V.F. Mbrojtja e informacionit në rrjet - analiza e teknologjive dhe sinteza e zgjidhjeve. Moskë: DMK Press, 2004].

Konsideroni llojet më të zakonshme të sulmeve në rrjet.

Përgjimi (nuhatja). Në pjesën më të madhe, të dhënat transmetohen përmes rrjeteve kompjuterike në një format të pasigurt (tekst i qartë), i cili lejon një sulmues që fiton akses në linjat e të dhënave në rrjetin tuaj të përgjojë ose lexojë trafikun. përdoret për përgjimin e rrjeteve kompjuterike. nuhatës. Njohës i paketave është një program aplikacioni që përgjon të gjitha paketat e rrjetit të transmetuara përmes një domeni specifik.

Aktualisht, nuhatësit punojnë në rrjete mbi baza plotësisht ligjore. Ato përdoren për zgjidhjen e problemeve dhe analizën e trafikut. Sidoqoftë, për shkak të faktit se disa aplikacione të rrjetit transmetojnë të dhëna në format teksti (Telnet, FTP, SMTP, POP3, etj.), Përdorimi i një sniffer mund të zbulojë informacione të dobishme dhe ndonjëherë konfidenciale (për shembull, emrat e përdoruesve dhe fjalëkalimet).

Nuhatja e fjalëkalimit i transmetuar në rrjet në formë të pakriptuar duke "përgjuar" në kanal është një lloj sulmi përgjues. Përgjimi i emrave dhe fjalëkalimeve krijon një rrezik të madh, pasi përdoruesit shpesh përdorin të njëjtin hyrje dhe fjalëkalim për shumë aplikacione dhe sisteme. Shumë përdorues në përgjithësi kanë një fjalëkalim për të hyrë në të gjitha burimet dhe aplikacionet. Nëse aplikacioni funksionon në modalitetin klient/server dhe të dhënat e vërtetimit transmetohen përmes rrjetit në një format teksti të lexueshëm, ky informacion ka të ngjarë të përdoret për të hyrë në burime të tjera të korporatës ose të jashtme.

Në rastin më të keq, një haker fiton akses në një burim përdoruesi në nivel sistemi dhe e përdor atë për të krijuar atribute të reja të përdoruesit që mund të përdoren në çdo kohë për të hyrë në rrjet dhe burimet e tij.

Ju mund të parandaloni kërcënimin e nuhatjes së paketave duke përdorur sa vijon
masat dhe mjetet:

v përdorimi i fjalëkalimeve një herë për vërtetim;

v instalimi i harduerit ose softuerit që njeh
nuhatës;

v aplikimi i mbrojtjes kriptografike të kanaleve të komunikimit.

Ndryshimi i të dhënave. Një sulmues që ishte në gjendje të lexonte
të dhënat tuaja, do të jenë në gjendje të ndërmarrin hapin tjetër - t'i ndryshojnë ato. Të dhënat në
paketa mund të ndryshohet edhe nëse sulmuesi nuk di asgjë
në lidhje me dërguesin ose marrësin. Edhe nëse nuk keni nevojë të rreptë
konfidencialitetin e të gjitha të dhënave të transmetuara, ju ndoshta nuk dëshironi
për t'i ndryshuar gjatë rrugës.

Analiza e trafikut të rrjetit. Qëllimi i sulmeve të tilla
llojet janë duke dëgjuar kanalet e komunikimit dhe duke analizuar të transmetuara
të dhënat dhe informacionet e shërbimit për të studiuar topologjinë dhe arkitekturën
ndërtimin e një sistemi, marrjen e informacionit kritik të përdoruesit
(për shembull, fjalëkalimet e përdoruesit ose numrat e kartës së kreditit të transmetuara
hapur). Protokollet si FTP janë të ndjeshëm ndaj sulmeve të këtij lloji.
ose Telnet, e veçanta e të cilit është se emri i përdoruesit dhe fjalëkalimi
transmetohet brenda këtyre protokolleve në mënyrë të qartë.

Zëvendësimi i një subjekti të besuar. Shumica e rrjeteve dhe funksionimit
sistemi përdor adresën IP të kompjuterit për të përcaktuar nëse
kjo është adresa që dëshironi. Në disa raste, e pasaktë
caktimi i një adrese IP (zëvendësimi i adresës IP të dërguesit me një adresë tjetër) - e tillë
quhet metoda e sulmit adresa falsifikimi(IP spoofing).

Mashtrimi i IP-së ndodh kur një sulmues, qoftë brenda apo jashtë një korporate, paraqitet si një përdorues legjitim. Një sulmues mund të përdorë një adresë IP që është brenda gamës së adresave IP të autorizuara, ose një adresë të jashtme të autorizuar që lejohet të hyjë në burime të caktuara të rrjetit. Një sulmues mund të përdorë gjithashtu programe speciale që formojnë paketa IP në atë mënyrë që të duken sikur vijnë nga adresa të brendshme të autorizuara në rrjetin e korporatës.

Sulmet e mashtrimit të IP janë shpesh pika fillestare për sulme të tjera. Një shembull klasik është sulm si " refuzimi i shërbimit"(DoS), e cila fillon me adresën e dikujt tjetër, duke fshehur identitetin e vërtetë të hakerit. Në mënyrë tipike, mashtrimi i IP-së kufizohet në futjen e informacionit të rremë ose komandave me qëllim të keq në një rrjedhë normale të të dhënave të transmetuara midis një aplikacioni klient dhe server ose përmes një kanali komunikimi midis kolegëve.

Kërcënimi i mashtrimit mund të zbutet (por jo të eliminohet) me masat e mëposhtme:

v konfigurimi i saktë i kontrollit të aksesit nga rrjeti i jashtëm;

v të ndalojë përpjekjet për të mashtruar rrjetet e huaja nga përdoruesit e rrjetit të tyre.

Duhet të kihet parasysh se mashtrimi i IP-së mund të kryhet me kusht që përdoruesit të vërtetohen në bazë të adresave IP, kështu që futja e metodave shtesë të vërtetimit të përdoruesit (bazuar në fjalëkalime një herë ose metoda të tjera kriptografike) ndihmon në parandalimin e sulmeve të mashtrimit të IP-së. .

Ndërmjetësimi. Një sulm ndërmjetësues përfshin përgjimin aktiv, përgjimin dhe manipulimin e të dhënave të transmetuara nga një nyje e ndërmjetme e padukshme. Kur kompjuterët komunikojnë në nivele të ulëta rrjeti, ata nuk mund të përcaktojnë gjithmonë se me kë po komunikojnë.

Ndërmjetësimi në shkëmbimin e çelësave të pakriptuar (sulmi Man-in-the-Middle). Për të kryer një sulm Man-in-the-Middle, një sulmuesi ka nevojë për akses në paketat e transmetuara përmes rrjetit. Një akses i tillë në të gjitha paketat e transmetuara nga ofruesi ISP në çdo rrjet tjetër mund, për shembull, të merret nga një punonjës i këtij ofruesi. Për këtë lloj sulmi përdoren shpesh gërmuesit e paketave, protokollet e transportit dhe protokollet e rrugëzimit.

Në një rast më të përgjithshëm, sulmet Man-in-the-Middle kryhen me qëllim të vjedhjes së informacionit, përgjimit të seancës aktuale dhe fitimit të aksesit në burimet e rrjetit privat, për të analizuar trafikun dhe për të marrë informacion rreth rrjetit dhe përdoruesve të tij, për të kryejnë sulme DoS, për të shtrembëruar të dhënat e transmetuara dhe futjen e informacionit të paautorizuar në seancat e rrjetit.

Sulmet Man-m-the-Middle mund të luftohen në mënyrë efektive vetëm me ndihmën e kriptografisë. Për të kundërshtuar këtë lloj sulmi, përdoret infrastruktura e menaxhimit të çelësit publik PKI (Infrastruktura e çelësit publik).

Rrëmbimi i seancës. Në fund të procedurës fillestare të vërtetimit, lidhja e krijuar nga përdoruesi legjitim, për shembull, me një server poste, kalohet nga sulmuesi në një host të ri dhe serveri origjinal udhëzohet të mbyllë lidhjen. Si rezultat, "bashkëbiseduesi" i përdoruesit legjitim zëvendësohet në mënyrë të padukshme.

Pasi të ketë akses në rrjet, ndërhyrësi sulmues ka mundësi të mëdha:

v mund të dërgojë të dhëna të pasakta te aplikacionet dhe shërbimet e rrjetit, duke shkaktuar prishje ose mosfunksionim të tyre;

v gjithashtu mund të vërshojë me trafik një kompjuter ose një rrjet të tërë derisa sistemi të prishet për shkak të mbingarkesës;

v Më në fund, një sulmues mund të bllokojë trafikun, duke rezultuar në humbjen e aksesit për përdoruesit e autorizuar në burimet e rrjetit.

Mohimi i Shërbimit (DoS). Ky sulm është i ndryshëm nga llojet e tjera të sulmeve. Nuk ka për qëllim të fitojë akses në rrjetin tuaj ose të nxjerrë ndonjë informacion nga ky rrjet. Një sulm DoS e bën rrjetin e një organizate të papërdorshëm për përdorim normal duke tejkaluar kufijtë e funksionalitetit të rrjetit, sistemit operativ ose aplikacionit. Në thelb, ky sulm u mohon përdoruesve të zakonshëm aksesin në burime ose kompjuterë në rrjetin e një organizate.

Shumica e sulmeve DoS mbështeten në dobësitë e zakonshme të arkitekturës së sistemit. Në rastin e disa aplikacioneve të serverëve (si një server në internet ose server FTP), sulmet DoS mund të marrin të gjitha lidhjet e disponueshme për këto aplikacione dhe t'i mbajnë ato të zëna, duke parandaluar

shërbim për përdoruesit e zakonshëm. Sulmet DoS mund të përdorin protokolle të zakonshme të internetit si TCP dhe ICMP (Internet Control Message Protocol).

Sulmet DoS janë të vështira për t'u parandaluar pasi ato kërkojnë koordinim me ISP-në. Nëse trafiku që synon të vërshojë rrjetin tuaj nuk ndalet te ofruesi, atëherë në hyrje të rrjetit nuk do të mund ta bëni më këtë, sepse i gjithë gjerësia e brezit do të jetë e zënë.

Nëse ky lloj sulmi kryhet njëkohësisht përmes shumë pajisjeve, themi në lidhje me sulmin e shpërndarë të mohimit të shërbimit DDoS(DoS e shpërndarë).

Lehtësia e zbatimit të sulmeve DoS dhe dëmi i madh që ato u shkaktojnë organizatave dhe përdoruesve, tërheq vëmendjen e administratorëve të sigurisë së rrjetit ndaj këtyre sulmeve.

Sulmet me fjalëkalim. Qëllimi i këtyre sulmeve është të marrin përsipër fjalëkalimin dhe hyrjen e një përdoruesi të ligjshëm. Sulmuesit mund të kryejnë sulme me fjalëkalim duke përdorur metoda të tilla si:

v M spoofing adresa IP (IP spoofing);

v përgjim (nuhatje);

v përsëritje e thjeshtë.

Mashtrimi i IP-së dhe nuhatja e paketave janë diskutuar më lart. Këto metoda ju lejojnë të kapni fjalëkalimin e përdoruesit dhe të identifikoheni nëse ato transmetohen në tekst të qartë përmes një kanali të pasigurt.

Shpesh, hakerët përpiqen të marrin me mend fjalëkalimin dhe të identifikohen, duke përdorur përpjekje të shumta aksesi për këtë. Kjo qasje quhet sulm me forcë brutale(sulm me forcë brutale). Ky sulm përdor një program të veçantë që përpiqet të aksesojë një burim të përbashkët (për shembull, një server). Nëse, si rezultat, një sulmues arrin të hamendësojë fjalëkalimin, ai fiton akses në burime si përdorues i rregullt. Nëse ky përdorues ka privilegje të rëndësishme aksesi, një sulmues mund të krijojë një "kalim" për vete për akses në të ardhmen, i cili do të mbetet në fuqi edhe nëse përdoruesi ndryshon fjalëkalimin dhe hyrjen e tij.

Mjetet e përgjimit, përzgjedhjes dhe thyerjes së fjalëkalimeve tani konsiderohen praktikisht të ligjshme dhe lëshohen zyrtarisht nga një numër mjaft i madh kompanish. Ato tregtohen si softuer i kontrollit të sigurisë dhe rikuperimit të fjalëkalimit dhe mund të blihen ligjërisht nga zhvilluesit.

Sulmet me fjalëkalim mund të shmangen duke mos përdorur fjalëkalime me tekst të thjeshtë. Përdorimi i fjalëkalimeve një herë dhe vërtetimi kriptografik mund të mohojë praktikisht kërcënimin e sulmeve të tilla. Fatkeqësisht, jo të gjitha aplikacionet, hostet dhe pajisjet i mbështesin këto metoda vërtetimi.

Kur përdorni fjalëkalime të rregullta, duhet të gjeni një fjalëkalim që do të ishte e vështirë të hamendësohej. Gjatësia minimale e fjalëkalimit duhet të jetë së paku tetë karaktere. Fjalëkalimi duhet të përfshijë shkronja të mëdha, numra dhe karaktere speciale (#, $, &, %, etj.).

Guessing kyç. Një çelës kriptografik është një kod ose numër i nevojshëm për të deshifruar informacionin e mbrojtur. Megjithëse është e vështirë të gjesh çelësin e aksesit dhe kërkon shumë burime, megjithatë është e mundur. Në veçanti, një program i veçantë që zbaton metodën e forcës brutale mund të përdoret për të përcaktuar vlerën kryesore. Një çelës që një sulmues fiton akses quhet çelës i komprometuar. Një sulmues përdor një çelës të komprometuar për të fituar akses në të dhënat e sigurta në tranzit pa dijeninë e dërguesit ose marrësit. Çelësi bën të mundur dekriptimin dhe modifikimin e të dhënave.

Sulmet e shtresës së aplikacionit. Këto sulme mund të kryhen në disa mënyra. Më e zakonshme nga këto është shfrytëzimi i dobësive të njohura në softuerin e serverit (FTP, HTTP, Web server).

Problemi kryesor me sulmet e shtresave të aplikacionit është se ata shpesh përdorin porte që lejohen të kalojnë nëpër murin e zjarrit.

Sulmet e nivelit të aplikacionit publikohen gjerësisht për të mundësuar administratorët të korrigjojnë problemin me modulet korrigjuese (arna). Fatkeqësisht, shumë hakerë gjithashtu kanë akses në këtë informacion, gjë që u lejon atyre të mësojnë.

Nuk është e mundur të eliminohen plotësisht sulmet e shtresës së aplikimit. Hakerët vazhdimisht zbulojnë dhe publikojnë dobësi të reja në programet e aplikimit në faqet e tyre të internetit në internet.

Këtu është i rëndësishëm administrimi i mirë i sistemit. Për të reduktuar cenueshmërinë ndaj këtij lloji sulmi, mund të ndërmerrni hapat e mëposhtëm:

v të analizojë skedarët e regjistrit të sistemit operativ dhe skedarët e regjistrit të rrjetit duke përdorur aplikacione të veçanta analitike;

v gjurmoni të dhënat e CERT për dobësitë e aplikacionit;

v përdorni versionet më të fundit të sistemeve operative dhe aplikacioneve dhe modulet më të fundit të korrigjimit (arna);

v përdorni sistemet e zbulimit të sulmeve IDS (Intrusion Detection Systems).

inteligjenca e rrjetitështë mbledhja e informacionit rreth rrjetit duke përdorur të dhëna dhe aplikacione të disponueshme publikisht. Kur përgatit një sulm kundër një rrjeti, një haker zakonisht përpiqet të marrë sa më shumë informacion rreth tij.

Zbulimi i rrjetit bëhet në formën e pyetjeve DNS,
testimi i jehonës (sweep ping) dhe skanimi i portit. Pyetjet DNS ju ndihmojnë të kuptoni se kush zotëron një domen të caktuar dhe cilat adresa i janë caktuar atij domeni. Pingingja e adresave të zbuluara nga DNS ju lejon të shihni se cilët hostë po funksionojnë në të vërtetë në një mjedis të caktuar. Duke pasur parasysh një listë të hosteve, hakeri përdor mjetet e skanimit të porteve për të përpiluar një listë të plotë të shërbimeve të mbështetura nga ato hoste. Si rezultat, merren informacione që mund të përdoren për hakerim.

Është e pamundur të heqësh qafe plotësisht inteligjencën e rrjetit. Nëse, për shembull, çaktivizoni ping ICMP dhe përgjigjen me jehonë në ruterat periferikë, do të shpëtoni nga ping, por do të humbni të dhënat e nevojshme për të diagnostikuar dështimet e rrjetit. Ju gjithashtu mund të skanoni portet pa i bërë ping ato më parë. Thjesht do të zgjasë më shumë, pasi adresat IP që nuk ekzistojnë gjithashtu do të duhet të skanohen.

Sistemet IDS të nivelit të rrjetit dhe të hostit zakonisht bëjnë një punë të mirë për të njoftuar administratorin për zbulimin e vazhdueshëm të rrjetit, gjë që i lejon ata të përgatiten më mirë për një sulm të ardhshëm dhe të paralajmërojnë ofruesin (ISP) në rrjetin e të cilit është instaluar një sistem që tregon kuriozitet të tepruar .

Abuzimi i besimit. Ky lloj veprimi nuk është sulm në kuptimin e plotë të fjalës. Është një shfrytëzim me qëllim të keq i marrëdhënieve të besimit që ekzistojnë në rrjet. Një shembull tipik i një abuzimi të tillë është situata në skaj të një rrjeti korporativ. Ky segment zakonisht pret serverë DNS, SMTP dhe HTTP. Meqenëse të gjithë i përkasin të njëjtit segment, një shkelje e njërit prej tyre çon në një shkelje të të gjithë të tjerëve, pasi këta serverë u besojnë sistemeve të tjera në rrjetin e tyre.

Ju mund të zvogëloni rrezikun e shkeljes së besimit duke kontrolluar më fort nivelet e besimit brenda rrjetit tuaj. Sistemet jashtë murit të zjarrit nuk duhet të besohen kurrë absolutisht nga sistemet pas murit të zjarrit.

Marrëdhëniet e besimit duhet të kufizohen në protokolle të caktuara dhe, nëse është e mundur, të vërtetohen jo vetëm nga adresat IP, por edhe nga parametra të tjerë. Programe me qëllim të keq. Programe të tilla përfshijnë viruset kompjuterike, krimbat e rrjetit, kuajt e Trojës.

Viruset janë programe me qëllim të keq që injektojnë veten në programe të tjera për të kryer disa funksione të padëshirueshme në stacionin e punës të përdoruesit fundor. Një virus zakonisht projektohet nga sulmuesit në mënyrë të tillë që të mbetet i pazbuluar në një sistem kompjuterik për aq kohë sa të jetë e mundur. Periudha fillestare e fjetjes së viruseve është mekanizmi i mbijetesës së tyre. Virusi manifestohet plotësisht në një moment të caktuar në kohë kur ndodh ndonjë ngjarje e thirrjes, për shembull, e premtja më 13, një datë e njohur, etj.

Një lloj programi virusi është krimbi i rrjetit, i cili shpërndahet në rrjetin global dhe nuk e lë kopjen e tij në media magnetike. Termi përdoret për t'iu referuar programeve që, si krimbat e shiritit, udhëtojnë nëpër një rrjet kompjuterik nga një sistem në tjetrin. Krimbi përdor mekanizmat mbështetës të rrjetit për të përcaktuar se cili host mund të goditet. Më pas, duke përdorur të njëjtat mekanizma, krimbi e transferon trupin e tij në këtë nyje dhe ose aktivizohet ose pret kushte të përshtatshme për aktivizim. Krimbat e rrjetit janë një lloj i rrezikshëm malware, pasi cilido nga miliona kompjuterë të lidhur me internetin global mund të bëhet objekt i sulmit të tyre. Për t'u mbrojtur nga krimbi, duhet të merrni masa paraprake kundër aksesit të paautorizuar në rrjetin e brendshëm.

Viruset kompjuterike janë të lidhura me të ashtuquajturat "Kuajt e Trojës"(Trojanët). Kali i Trojës është një program që duket si një aplikacion i dobishëm, por në fakt kryen funksione të dëmshme (shkatërrimi i softuerit
sigurinë, kopjimin dhe dërgimin e skedarëve me të dhëna konfidenciale te një sulmues, etj.). Rreziku i një "kalë trojan" qëndron në një bllok shtesë komandash të futur në programin origjinal të padëmshëm, i cili më pas u jepet përdoruesve të AS. Ky bllok komandash mund të aktivizohet me shfaqjen e çdo kushti (data, gjendja e sistemit) ose nga një komandë e jashtme. Një përdorues që drejton një program të tillë rrezikon skedarët e tij dhe të gjithë AS në tërësi.

Sipas Raportit të Menaxhimit të Kërcënimeve të Sigurisë Sophos, në gjysmën e parë të 2006 numri i kuajve trojanë shpërndau katër herë më shumë se viruset dhe krimbat, krahasuar me një rritje dyfish në gjashtë muajt e parë të 2005. Sophos raporton gjithashtu shfaqjen e një specie e re " Trojans, të njohur si ransomware. Programe të tilla vjedhin të dhëna nga kompjuterët e infektuar dhe më pas përdoruesit i kërkohet të paguajë një shpërblim të caktuar për to.

Stacionet e punës të përdoruesit fundorë janë shumë të prekshëm ndaj viruseve, krimbave dhe kuajve të Trojës.

Një tipar i malware modern është fokusimi i tyre në softuer specifik aplikacioni, i cili është bërë standardi de fakto për shumicën e përdoruesve, kryesisht Microsoft Internet Explorer dhe Microsoft Outlook. Krijimi masiv i viruseve për produktet e Microsoft shpjegohet jo vetëm nga niveli i ulët i sigurisë dhe besueshmërisë së programeve, por edhe nga shpërndarja globale e këtyre produkteve. Autorët e programeve me qëllim të keq po fillojnë të eksplorojnë gjithnjë e më shumë "vrima" në DBMS-të e njohura, programet e mesme dhe aplikacionet e biznesit të korporatave të ndërtuara në krye të këtyre sistemeve.

Viruset, krimbat dhe trojanët po evoluojnë vazhdimisht, dhe polimorfizmi është tendenca kryesore në zhvillimin e tyre. Sot tashmë është mjaft e vështirë të vihet një vijë midis një virusi, një krimbi dhe një trojan, ata përdorin pothuajse të njëjtat mekanizma, ndryshimi i vogël është vetëm në shkallën e këtij përdorimi. Pajisja e softuerit me qëllim të keq është bërë aq e unifikuar sot, saqë, për shembull, është pothuajse e pamundur të bëhet dallimi midis një virusi të postës dhe një krimbi me funksione shkatërruese. Edhe programet "Trojane" kanë një funksion replikimi (si një nga mjetet për të luftuar mjetet antivirus), kështu që nëse dëshironi, ato mund të quhen viruse (me një mekanizëm shpërndarjeje në formën e maskimit si programe aplikimi).

Për t'u mbrojtur nga këto programe me qëllim të keq, është e nevojshme të zbatohen një sërë masash:

v përjashtimi i aksesit të paautorizuar në skedarët e ekzekutueshëm;

v testimi i softuerit të blerë;

v kontrollin e integritetit të skedarëve të ekzekutueshëm dhe zonave të sistemit;

v krijimi i një mjedisi të mbyllur të ekzekutimit të programit.

Viruset, krimbat dhe kuajt e Trojës luftohen me softuer efektiv antivirus që funksionon në nivelin e përdoruesit dhe ndoshta në nivelin e rrjetit. Ndërsa shfaqen viruse, krimba dhe kuaj trojan të rinj, duhet të instalohen baza të reja të të dhënave të mjeteve dhe aplikacioneve antivirus.

Spam dhe phishing i përkasin kërcënimeve jo softuerike. Prevalenca e këtyre dy kërcënimeve është rritur ndjeshëm kohët e fundit.

të bllokuara, e cila tani tejkalon 80% të vëllimit të përgjithshëm të trafikut të postës, mund të përbëjë një kërcënim për disponueshmërinë e informacionit duke bllokuar serverët e postës ose të përdoret për të shpërndarë softuer me qëllim të keq.

Fishing(phishing) është një lloj relativisht i ri i mashtrimit në internet, qëllimi i të cilit është marrja e identitetit të përdoruesve. Kjo përfshin vjedhjen e fjalëkalimeve, numrave të kartave të kreditit, llogarive bankare, kodeve PIN dhe informacioneve të tjera konfidenciale që mundësojnë akses në paratë e përdoruesit. Phishing nuk shfrytëzon të metat teknike të softuerit, por mendjelehtësinë e përdoruesve të internetit. Vetë termi phishing, në përputhje me peshkimin (peshkimi), qëndron për fjalëkalimin e korrjes së peshkimit - peshkimi me fjalëkalim. Në të vërtetë, phishing është shumë i ngjashëm me peshkimin. Një sulmues hedh një karrem në internet dhe "kap të gjithë peshqit" - përdoruesit e internetit që do të kafshojnë në këtë karrem.

Një sulmues krijon një kopje pothuajse të saktë të faqes së bankës së zgjedhur (sistemi i pagesave elektronike, ankandi, etj.). Më pas, duke përdorur teknologjinë e spam-it, dërgohet një letër me e-mail, e kompozuar në atë mënyrë që të jetë sa më e ngjashme me një letër reale nga banka e përzgjedhur. Gjatë përpilimit të letrës, përdoren logot e bankave, emrat dhe mbiemrat e drejtuesve të vërtetë të bankave. Në një letër të tillë, si rregull, raportohet se për shkak të një ndryshimi të softuerit në sistemin bankar në internet, përdoruesi duhet të konfirmojë ose ndryshojë kredencialet e tij. Arsyeja e ndryshimit të të dhënave mund të jetë një dështim i softuerit të bankës ose një sulm nga hakerët. Prania e një legjende të besueshme që inkurajon përdoruesin të ndërmarrë veprimet e nevojshme është një komponent i domosdoshëm i suksesit të mashtruesve të phishing. Në të gjitha rastet, qëllimi i letrave të tilla është i njëjtë - të detyrojnë përdoruesin të klikojë në lidhjen e dhënë, dhe më pas të futë të dhënat e tij konfidenciale (fjalëkalimet, numrat e llogarisë, kodet PIN) në faqen e rreme të bankës (sistemi elektronik i pagesave, ankandi ). Pasi ka hyrë në një faqe të rreme, përdoruesi fut të dhënat e tij konfidenciale në rreshtat e duhur, dhe më pas mashtruesit marrin akses, në rastin më të mirë, në kutinë e tij postare, në rastin më të keq, në llogarinë e tij elektronike.

Teknologjitë e phishing janë duke u përmirësuar, metodat e inxhinierisë sociale po zbatohen. Ata përpiqen të trembin klientin, të dalin me një arsye kritike që ai të japë të dhënat e tij konfidenciale. Si rregull, mesazhet përmbajnë kërcënime, për shembull, për të bllokuar llogarinë nëse marrësi nuk i plotëson kërkesat e përcaktuara në mesazh.

Kishte një të konjuguar me konceptin e phishing - bujqësia . Ky është gjithashtu një mashtrim që synon marrjen e të dhënave personale të përdoruesve, por jo me postë, por direkt përmes faqeve zyrtare. Fermerët zëvendësojnë adresat dixhitale të faqeve të ligjshme të internetit në serverët DNS me ato të rreme, si rezultat i të cilave përdoruesit ridrejtohen në sajte mashtruese. Ky lloj mashtrimi është edhe më i rrezikshëm, pasi është pothuajse e pamundur të vërehet një falsifikim.

Aktualisht, mashtruesit përdorin shpesh programe "Trojane". Detyra e phisher në këtë rast është thjeshtuar shumë - mjafton të detyrosh përdoruesin të kalojë në faqen e phishing dhe të "marr" një program që do të gjejë në mënyrë të pavarur gjithçka që nevojitet në hard diskun e viktimës. Së bashku me programet "Trojane" filluan të përdoren dhe keyloggers. Faqet e rreme shkarkojnë spyware që gjurmojnë goditjet e tastave në kompjuterët e viktimave. Kur përdorni këtë qasje, nuk është e nevojshme të gjeni kontakte me klientët e një banke ose kompanie të caktuar, dhe për këtë arsye phishers filluan të falsifikojnë sajte me qëllime të përgjithshme, të tilla si burimet e lajmeve dhe motorët e kërkimit.

Suksesi i mashtrimeve të phishing lehtësohet nga niveli i ulët i ndërgjegjësimit të përdoruesve për rregullat e funksionimit të kompanive në emër të të cilave veprojnë kriminelët. Në veçanti, rreth 5% e përdoruesve nuk dinë një fakt të thjeshtë: bankat nuk dërgojnë letra duke u kërkuar atyre të konfirmojnë numrin e kartës së kreditit dhe kodin PIN në internet.

Sipas analistëve (www.cnews.ru), dëmi i shkaktuar nga phishers në ekonominë globale në vitin 2003 arriti në 14 miliardë dollarë dhe një vit më vonë arriti në 44 miliardë dollarë. Sipas statistikave të Symantec, në mesin e vitit 2004, filtrat e kompanisë bllokuan deri në 9 milionë emaile me përmbajtje phishing çdo javë. Deri në fund të vitit, 33 mln.

Filtrat e spamit mbeten mbrojtja kryesore kundër phishing. Fatkeqësisht, mjetet e softuerit anti-phishing kanë një efektivitet të kufizuar, pasi sulmuesit kryesisht shfrytëzojnë psikologjinë njerëzore dhe jo të metat e softuerit. Mjetet teknike të sigurisë janë duke u zhvilluar në mënyrë aktive, kryesisht shtojcat për shfletuesit e njohur. Thelbi i mbrojtjes është të bllokoni faqet që janë në listën e zezë nga burime mashtruese. Hapi tjetër mund të jenë sistemet për gjenerimin e fjalëkalimeve një herë për qasje në internet në llogaritë bankare dhe llogaritë në sistemet e pagesave, shpërndarja e gjerë e niveleve shtesë të mbrojtjes përmes një kombinimi të futjes së fjalëkalimit duke përdorur një çelës USB harduer.

Sulmet e listuara në rrjetet IP janë të mundshme për një numër arsyesh:

v përdorimi i kanaleve publike të të dhënave. Të dhënat kritike transmetohen përmes rrjetit të pakriptuara;

v Dobësitë në procedurat e vërtetimit të zbatuara në pirgun TCP/IP. Informacioni i identifikimit në shtresën IP transmetohet në mënyrë të qartë;

v mungesa në versionin bazë të grumbullit të protokollit TCP / IP të mekanizmave që sigurojnë konfidencialitetin dhe integritetin e mesazheve të transmetuara;

v Dërguesi vërtetohet nga adresa e tij IP. Procedura e vërtetimit kryhet vetëm në fazën e vendosjes së lidhjes dhe më tej nuk kontrollohet autenticiteti i paketave të marra;

v mungesa e kontrollit mbi rrugën e mesazheve në internet, gjë që i bën sulmet e rrjetit në distancë praktikisht të pandëshkuar.

Llojet e sulmeve

Depërtimi në një rrjet kompjuterik kryhet në formën e sulmeve.

Një sulm është një ngjarje në të cilën të huajt përpiqen të futen brenda rrjeteve të dikujt tjetër. Një sulm modern i rrjetit shpesh përfshin shfrytëzimin e dobësive të softuerit. Disa nga më të zakonshmet në fillim të viteve 2000 ishin sulmet e synuara të mohimit të shërbimit, DoS (Dental of Service) dhe sulmet e shpërndara DDoS (Distributed DoS). Një sulm DoS e bën objektin e sulmit të paarritshëm për përdorim normal duke tejkaluar kufijtë e lejuar të funksionimit të një pajisjeje të tillë rrjeti. DoS - sulmi i referohet një pike (të përqendruar), pasi vjen nga një burim. Në rastin e DDoS-it të shpërndarë, sulmi kryhet nga shumë burime të shpërndara në hapësirë, shpeshherë që i përkasin rrjeteve të ndryshme. Disa vite më parë filloi të përdoret termi "kodi i programit me qëllim të keq të kompleksit ushtarak-industrial", i cili i referohet viruseve, krimbave, trojanëve, mjeteve për sulme në rrjet, spamming dhe veprime të tjera që janë të padëshirueshme për përdoruesit. Duke pasur parasysh natyrën e ndryshme të kërcënimeve, sistemet moderne të mbrojtjes janë bërë me shumë nivele dhe komplekse. Krimbat e rrjetit përhapin kopjet e tyre në rrjetet kompjuterike duke përdorur e-mail, mesazhe. Trojanët më të zakonshëm të sotëm që kryejnë veprime të paautorizuara: ata shkatërrojnë të dhënat, përdorin burimet kompjuterike për qëllime keqdashëse. Spyware është një nga trojanët më të rrezikshëm. Ai mbledh informacione për të gjitha veprimet e përdoruesve dhe më pas ua transferon këtë informacion sulmuesve pa e vënë re. Viti 2007 mund të quhet viti i "vdekjes" së malware jo-komercial. Askush nuk i zhvillon më këto programe për vetë-shprehje. Mund të vërehet se në vitin 2007 asnjë program i vetëm keqdashës nuk do të kishte pasur mbështetje financiare. Një nga malware-ët e rinj është Storm Worm, i cili u shfaq në janar 2007. Për t'u përhapur, krimbi përdori mjete tradicionale, si e-mail, dhe shpërndarje në formën e skedarëve video. Teknika e fshehjes së pranisë së dikujt në sistem (rootkits) mund të përdoret jo vetëm në Trojans, por edhe në viruset e skedarëve. Programet me qëllim të keq tani kërkojnë të mbijetojnë në sistem edhe pasi zbulohen.

Një nga mënyrat e rrezikshme për të fshehur praninë e tyre është përdorimi i teknologjisë së infektimit të sektorit të nisjes së hard diskut - të ashtuquajturat "bootkits". Një program i tillë me qëllim të keq mund të fitojë kontrollin edhe para se të ngarkohet pjesa kryesore e OS.

Gama e problemeve të sigurisë nuk kufizohet më në detyrën e mbrojtjes kundër viruseve, me të cilën u desh të merreshim rreth pesë vjet më parë. Rreziku i rrjedhjeve të brendshme të informacionit është bërë më serioz se kërcënimet e jashtme. Përveç kësaj, që nga fillimi i shekullit të 21-të, qëllimi i krimit kompjuterik është bërë vjedhja e informacionit ekonomik, llogarive bankare, prishja e sistemeve të informacionit të konkurrentëve dhe postimi masiv i reklamave. Jo më pak, dhe ndonjëherë edhe më i madh kërcënimi për sistemet e korporatave të TI-së është paraqitur nga të brendshëm - punonjësit e kompanisë që kanë akses në informacionin konfidencial dhe e përdorin atë për qëllime të pafavorshme. Shumë ekspertë besojnë se dëmi i shkaktuar nga personat e brendshëm nuk është më pak i rëndësishëm sesa ai i shkaktuar nga malware. Është karakteristike që një pjesë e konsiderueshme e rrjedhjeve të informacionit nuk ndodhin për fajin e veprimeve dashakeqe të punonjësve, por për shkak të pavëmendjes së tyre. Mjetet kryesore teknike për të luftuar këta faktorë duhet të jenë mjetet e vërtetimit dhe administrimit të aksesit në të dhëna. Megjithatë, numri i incidenteve vazhdon të rritet (me rreth 30% në vit në vitet e fundit). Gradualisht, mjetet e mbrojtjes së rrjedhjeve/të brendshmeve kanë filluar të integrohen në sistemin e përgjithshëm të mbrojtjes së informacionit. Si përfundim, ne paraqesim një klasifikim të përgjithësuar të kërcënimeve të rrjetit (Fig. 11.3)

Leksioni 33 Llojet dhe llojet e sulmeve në rrjet

Leksioni 33

Tema: Llojet dhe llojet e sulmeve në rrjet

Sulmi i rrjetit në distancë - ndikimi shkatërrues i informacionit në një sistem informatik të shpërndarë, i kryer në mënyrë programore nëpërmjet kanaleve të komunikimit.

Prezantimi

Për të organizuar komunikime në një mjedis rrjeti heterogjen, përdoren një sërë protokollesh TCP / IP, duke siguruar përputhshmërinë midis kompjuterëve të llojeve të ndryshme. Ky grup protokollesh ka fituar popullaritet për shkak të ndërveprimit dhe aksesit në burimet e Internetit global dhe është bërë një standard për punën në internet. Megjithatë, gjithëpërfshirja e grumbullit të protokollit TCP/IP ka ekspozuar gjithashtu dobësitë e tij. Në veçanti, për shkak të kësaj, sistemet e shpërndara janë të ndjeshme ndaj sulmeve në distancë, pasi përbërësit e tyre zakonisht përdorin kanale të hapura të transmetimit të të dhënave, dhe ndërhyrës jo vetëm që mund të dëgjojë pasivisht informacionin e transmetuar, por edhe të modifikojë trafikun e transmetuar.

Vështirësia e zbulimit të një sulmi në distancë dhe lehtësia relative e kryerjes së tij (për shkak të funksionalitetit të tepruar të sistemeve moderne) e sjell këtë lloj veprimesh të paligjshme në vend të parë për sa i përket shkallës së rrezikut dhe parandalon një përgjigje në kohë ndaj një të zbatuari. kërcënim, si rezultat i të cilit sulmuesi ka një shans të shtuar për një sulm të suksesshëm.

Klasifikimi i sulmeve

Nga natyra e ndikimit

pasive

Aktiv

Një ndikim pasiv në një sistem llogaritës të shpërndarë (DCS) është një ndikim që nuk ndikon drejtpërdrejt në funksionimin e sistemit, por në të njëjtën kohë është i aftë të shkelë politikën e tij të sigurisë. Mungesa e një ndikimi të drejtpërdrejtë në funksionimin e RCS çon pikërisht në faktin se ndikimi pasiv në distancë (PUV) është i vështirë për t'u zbuluar. Një shembull i mundshëm i një PUV tipike në një WAN është dëgjimi i një kanali komunikimi në një rrjet.

Ndikimi aktiv në RCS - një ndikim që ka një ndikim të drejtpërdrejtë në funksionimin e vetë sistemit (ndërprerje e performancës, ndryshime në konfigurimin e RCS, etj.), gjë që shkel politikën e sigurisë të miratuar në të. Ndikimet aktive janë pothuajse të gjitha llojet e sulmeve në distancë. Kjo për faktin se vetë natyra e ndikimit dëmtues përfshin një parim aktiv. Dallimi i dukshëm midis ndikimit aktiv dhe atij pasiv është mundësia themelore e zbulimit të tij, pasi si rezultat i zbatimit të tij ndodhin disa ndryshime në sistem. Me një ndikim pasiv, nuk ka absolutisht asnjë gjurmë (për shkak të faktit se sulmuesi shikon mesazhin e dikujt tjetër në sistem, asgjë në të vërtetë nuk ndryshon në të njëjtin moment).

Sipas qëllimit të ndikimit

Shkelja e funksionimit të sistemit (qasja në sistem)

Shkelja e integritetit të burimeve të informacionit (IR)

Shkelja e privatësisë IR

Kjo veçori, sipas së cilës bëhet klasifikimi, është, në fakt, një projeksion i drejtpërdrejtë i tre llojeve bazë të kërcënimeve - mohimi i shërbimit, zbulimi dhe shkeljet e integritetit.

Qëllimi kryesor i ndjekur në pothuajse çdo sulm është marrja e aksesit të paautorizuar në informacion. Ekzistojnë dy mundësi themelore për marrjen e informacionit: shtrembërimi dhe përgjimi. Opsioni i përgjimit të informacionit nënkupton marrjen e aksesit në të pa mundësinë e ndryshimit të tij. Prandaj, përgjimi i informacionit çon në shkelje të konfidencialitetit të tij. Dëgjimi i një kanali në rrjet është një shembull i përgjimit të informacionit. Në këtë rast, ka akses të paligjshëm në informacion pa opsione të mundshme për zëvendësimin e tij. Është gjithashtu e qartë se shkelja e konfidencialitetit të informacionit i referohet ndikimeve pasive.

Mundësia e zëvendësimit të informacionit duhet të kuptohet ose si kontroll i plotë mbi rrjedhën e informacionit midis objekteve të sistemit, ose mundësia e transmetimit të mesazheve të ndryshme në emër të dikujt tjetër. Prandaj, është e qartë se zëvendësimi i informacionit çon në shkelje të integritetit të tij. Një ndikim i tillë shkatërrimtar i informacionit është një shembull karakteristik i ndikimit aktiv. Një shembull i një sulmi në distancë i krijuar për të shkelur integritetin e informacionit mund të shërbejë si një sulm në distancë (UA) "False RCS Object".

Nga prania e reagimeve me objektin e sulmuar

me reagime

Lak i hapur (sulm me një drejtim)

Sulmuesi i dërgon disa kërkesa objektit të sulmuar, për të cilat ai pret të marrë një përgjigje. Rrjedhimisht, shfaqet një reagim midis sulmuesit dhe të sulmuarit, duke i lejuar të parët të përgjigjen në mënyrë adekuate ndaj të gjitha llojeve të ndryshimeve në objektin e sulmuar. Ky është thelbi i një sulmi në distancë të kryer në prani të reagimeve nga objekti sulmues. Sulme të tilla janë më tipike për RVS.

Sulmet me qark të hapur karakterizohen nga fakti se nuk kanë nevojë t'i përgjigjen ndryshimeve në objektin e sulmuar. Sulmet e tilla zakonisht kryhen duke dërguar kërkesa të vetme tek objekti i sulmuar. Sulmuesi nuk ka nevojë për përgjigje për këto kërkesa. Një UA e tillë mund të quhet gjithashtu një UA me një drejtim. Një shembull i sulmeve me një drejtim është një sulm tipik UA "DoS".

Sipas kushtit të fillimit të zbatimit të ndikimit

Ndikimi i largët, si dhe çdo tjetër, mund të fillojë të kryhet vetëm në kushte të caktuara. Ekzistojnë tre lloje të sulmeve të tilla të kushtëzuara në RCS:

Sulmi sipas kërkesës nga objekti i sulmuar

Sulmi ndaj ndodhjes së një ngjarjeje të pritshme në objektin e sulmuar

Sulm pa kushte

Ndikimi nga sulmuesi do të fillojë me kushtin që objektivi i mundshëm i sulmit të transmetojë një kërkesë të një lloji të caktuar. Një sulm i tillë mund të quhet sulm sipas kërkesës nga objekti i sulmuar. Ky lloj UA është më tipik për RVS. Një shembull i pyetjeve të tilla në internet janë pyetjet DNS dhe ARP, dhe në Novell NetWare, një pyetje SAP.

Një sulm ndaj ndodhjes së një ngjarjeje të pritshme në objektin e sulmuar. Sulmuesi monitoron vazhdimisht gjendjen e OS të objektivit të sulmit në distancë dhe fillon ndikimin kur ndodh një ngjarje specifike në këtë sistem. Vetë objekti i sulmuar është iniciatori i sulmit. Një shembull i një ngjarjeje të tillë do të ishte përfundimi i sesionit të një përdoruesi me serverin pa lëshuar një komandë LOGOUT në Novell NetWare.

Një sulm i pakushtëzuar kryhet menjëherë dhe pavarësisht nga gjendja e sistemit operativ dhe objektit të sulmuar. Prandaj, sulmuesi është iniciatori i sulmit në këtë rast.

Në rast të shkeljes së funksionimit normal të sistemit, ndiqen qëllime të tjera dhe nuk pritet që sulmuesi të ketë akses të paligjshëm në të dhëna. Qëllimi i tij është të çaktivizojë sistemin operativ në objektin e sulmuar dhe pamundësinë e aksesit të objekteve të tjera të sistemit në burimet e këtij objekti. Një shembull i këtij lloji të sulmit është sulmi DoS.

Sipas vendndodhjes së subjektit të sulmit në lidhje me objektin e sulmuar

Intrasegment

Ndërsegment

Disa përkufizime:

Burimi i sulmit (subjekti i sulmit) është një program (ndoshta një operator) që kryen sulmin dhe bën një ndikim të drejtpërdrejtë.

Host (host) - një kompjuter që është një element i rrjetit.

Një ruter është një pajisje që ofron rrugëzim të paketave në një rrjet.

Një nënrrjet është një grup hostesh që janë pjesë e rrjetit global, që ndryshojnë në atë që ruteri cakton të njëjtin numër nënrrjeti për ta. Mund të thuash gjithashtu se një nënrrjet është një grupim logjik i hosteve përmes një ruteri. Hostët brenda të njëjtit nënrrjet mund të komunikojnë drejtpërdrejt me njëri-tjetrin pa përdorur një ruter.

Një segment rrjeti është një lidhje e hosteve në shtresën fizike.

Nga pikëpamja e një sulmi në distancë, pozicioni relativ i subjektit dhe i objektit të sulmit, domethënë nëse janë në segmente të ndryshme ose në të njëjtat segmente, është jashtëzakonisht i rëndësishëm. Gjatë një sulmi brenda segmentit, subjekti dhe objekti i sulmit ndodhen në të njëjtin segment. Në rastin e një sulmi ndër-segmentor, subjekti dhe objekti i sulmit janë të vendosura në segmente të ndryshme të rrjetit. Ky tipar klasifikimi bën të mundur gjykimin e të ashtuquajturës "shkalla e largësisë" e sulmit.

Më tej, do të tregohet se në praktikë një sulm brenda segmentit është shumë më i lehtë për t'u zbatuar sesa ai ndër-segment. Vëmë re gjithashtu se një sulm në distancë ndër-segmenti është shumë më i rrezikshëm sesa ai brenda segmentit. Kjo për faktin se në rastin e një sulmi ndër-segmentor, objekti i tij dhe ai që sulmon drejtpërdrejt mund të jenë në një distancë prej mijëra kilometrash nga njëri-tjetri, gjë që mund të pengojë ndjeshëm masat për të zmbrapsur sulmin.

Sipas nivelit të modelit të referencës ISO/OSI në të cilin është bërë ndikimi

Fizike

kanalizuar

rrjeti

Transporti

sesioni

Përfaqësues

Aplikuar

Organizata Ndërkombëtare për Standardizim (ISO) ka miratuar standardin ISO 7498, i cili përshkruan ndërlidhjen e sistemeve të hapura (OSI), të cilit i përket edhe RCS. Çdo protokoll i shkëmbimit të rrjetit, si dhe çdo program rrjeti, mund të projektohet disi në modelin referencë OSI me 7 shtresa. Një projeksion i tillë me shumë nivele bën të mundur përshkrimin në termat e modelit OSI të funksioneve të përdorura në një protokoll ose program rrjeti. UA është një program rrjeti dhe është logjike ta konsiderojmë atë nga pikëpamja e projeksionit në modelin e referencës ISO/OSI.

Përshkrim i shkurtër i disa sulmeve në rrjet

Fragmentimi i të dhënave

Kur transmetoni një paketë të dhënash IP përmes një rrjeti, kjo paketë mund të ndahet në disa fragmente. Më pas, me arritjen e destinacionit, paketa rikthehet nga këto fragmente. Një sulmues mund të iniciojë dërgimin e një numri të madh fragmentesh, gjë që çon në një tejmbushje të buferave të programit në anën marrëse dhe, në disa raste, në një përplasje të sistemit.

Ping sulm përmbytjesh

Ky sulm kërkon që sulmuesi të ketë akses në kanalet e internetit të shpejtë.

Programi ping dërgon një paketë ICMP ECHO REQUEST me kohën dhe ID-në e saj në të. Kerneli i makinës marrëse i përgjigjet një kërkese të tillë me një paketë ICMP ECHO REPLY. Pasi e ka marrë atë, ping jep shpejtësinë e paketës.

Në mënyrën standarde të funksionimit, paketat dërgohen në intervale të caktuara, praktikisht pa ngarkuar rrjetin. Por në modalitetin "agresiv", një rrjedhë e paketave të kërkesës/përgjigjes me jehonë ICMP mund të shkaktojë mbingarkesë në një linjë të vogël, duke e privuar atë nga aftësia e tij për të transmetuar informacione të dobishme.

Protokollet jo standarde të kapsuluara në IP

Një paketë IP përmban një fushë që specifikon protokollin e paketës së kapsuluar (TCP, UDP, ICMP). Sulmuesit mund të përdorin një vlerë jo standarde të kësaj fushe për të transferuar të dhëna që nuk do të regjistrohen nga mjetet standarde të kontrollit të rrjedhës së informacionit.

sulm smurf

Sulmi smurf konsiston në dërgimin e kërkesave të transmetimit të ICMP në rrjet në emër të kompjuterit të viktimës.

Si rezultat, kompjuterët që kanë marrë pako të tilla transmetimi i përgjigjen kompjuterit viktimë, gjë që çon në një ulje të ndjeshme të gjerësisë së brezit të kanalit të komunikimit dhe, në disa raste, në izolimin e plotë të rrjetit të sulmuar. Sulmi smurf është jashtëzakonisht efektiv dhe i përhapur.

Kundërmasat: për të njohur këtë sulm, është e nevojshme të analizohet ngarkesa e kanalit dhe të përcaktohen arsyet e uljes së xhiros.

Sulmi i mashtrimit DNS

Rezultati i këtij sulmi është futja e një korrespondence të imponuar midis adresës IP dhe emrit të domenit në cache-in e serverit DNS. Si rezultat i zbatimit të suksesshëm të një sulmi të tillë, të gjithë përdoruesit e serverit DNS do të marrin informacion të pasaktë në lidhje me emrat e domeneve dhe adresat IP. Ky sulm karakterizohet nga një numër i madh i paketave DNS me të njëjtin emër domain. Kjo është për shkak të nevojës për të zgjedhur disa parametra të shkëmbimit të DNS.

Kundërveprimi: për të zbuluar një sulm të tillë, është e nevojshme të analizoni përmbajtjen e trafikut DNS ose të përdorni DNSSEC.

Sulmi i mashtrimit të IP

Një numër i madh sulmesh në internet shoqërohen me zëvendësimin e adresës IP origjinale. Sulme të tilla përfshijnë mashtrimin e syslogut, i cili konsiston në dërgimin e një mesazhi te kompjuteri viktimë në emër të një kompjuteri tjetër në rrjetin e brendshëm. Meqenëse protokolli syslog përdoret për regjistrimin e sistemit, duke dërguar mesazhe të rreme te kompjuteri i viktimës, mund të impononi informacion ose të mbuloni gjurmët e aksesit të paautorizuar.

Kundërmasat: Sulmet e mashtrimit të adresave IP mund të zbulohen duke monitoruar marrjen në një nga ndërfaqet e një pakete me adresën burimore të së njëjtës ndërfaqe ose duke monitoruar marrjen e paketave me adresat IP të rrjetit të brendshëm në një ndërfaqe të jashtme.

Imponimi i paketës

Një sulmues dërgon pako në rrjet me një adresë të rreme kthimi. Duke përdorur këtë sulm, një sulmues mund të kalojë në lidhjet e tij kompjuterike të krijuara midis kompjuterëve të tjerë. Në këtë rast, të drejtat e aksesit të sulmuesit bëhen të barabarta me të drejtat e përdoruesit, lidhja e të cilit me serverin u kalua në kompjuterin e sulmuesit.

nuhatje - dëgjimi i një kanali

Është e mundur vetëm në segmentin e rrjetit lokal.

Pothuajse të gjitha kartat e rrjetit mbështesin aftësinë për të përgjuar paketat e transmetuara përmes një kanali të përbashkët LAN. Në këtë rast, stacioni i punës mund të marrë pako të adresuara në kompjuterë të tjerë në të njëjtin segment të rrjetit. Kështu, i gjithë shkëmbimi i informacionit në segmentin e rrjetit bëhet i disponueshëm për sulmuesin. Për të zbatuar me sukses këtë sulm, kompjuteri i sulmuesit duhet të jetë i vendosur në të njëjtin segment të rrjetit lokal si kompjuteri i sulmuar.

Nuhatja e paketave në ruter

Softueri i rrjetit të ruterit ka akses në të gjitha paketat e rrjetit të transmetuara përmes këtij ruteri, i cili lejon nuhatjen e paketave. Për të zbatuar këtë sulm, një sulmues duhet të ketë akses të privilegjuar në të paktën një ruter rrjeti. Meqenëse zakonisht ka shumë paketa të transmetuara përmes ruterit, përgjimi i tyre total është pothuajse i pamundur. Megjithatë, paketat individuale mund të përgjohen dhe ruhen për analiza të mëvonshme nga një sulmues. Përgjimi më efektiv i paketave FTP që përmbajnë fjalëkalime të përdoruesit, si dhe e-mail.

Imponimi i një rruge false në një host duke përdorur protokollin ICMP

Në internet, ekziston një protokoll i veçantë ICMP (Internet Control Message Protocol), një nga funksionet e të cilit është të informojë hostet për ndryshimin e ruterit aktual. Ky mesazh kontrolli quhet ridrejtim. Është e mundur që çdo host në një segment rrjeti të dërgojë një mesazh të rremë ridrejtues në emër të ruterit te hosti i sulmuar. Si rezultat, tabela aktuale e rrugëtimit të hostit ndryshon dhe, në të ardhmen, i gjithë trafiku i rrjetit të këtij hosti do të kalojë, për shembull, përmes hostit që dërgoi mesazhin e ridrejtimit të rremë. Kështu, është e mundur që në mënyrë aktive të imponohet një rrugë e rreme brenda një segmenti të internetit.

Së bashku me të dhënat normale të dërguara përmes një lidhjeje TCP, standardi parashikon gjithashtu transmetimin e të dhënave urgjente (Out Of Band). Në nivelin e formateve të paketave TCP, kjo shprehet në një tregues urgjent jo zero. Shumica e kompjuterëve me Windows të instaluar kanë një protokoll rrjeti NetBIOS që përdor tre porte IP për nevojat e tij: 137, 138, 139. Nëse lidheni me një makinë Windows në portën 139 dhe dërgoni disa bajt të dhënash OutOfBand atje, atëherë zbatimi i NetBIOS do duke mos ditur se çfarë të bëni me këto të dhëna, thjesht mbyll ose rindiz makinën. Për Windows 95, kjo zakonisht duket si një ekran me tekst blu, që raporton një gabim në drejtuesin TCP/IP dhe pamundësinë për të punuar me rrjetin derisa të rindizet OS. NT 4.0 pa paketat e shërbimit rindizet, NT 4.0 me ServicePack 2 përplaset në një ekran blu. Duke gjykuar nga informacioni nga rrjeti, si Windows NT 3.51 ashtu edhe Windows 3.11 për grupet e punës janë të ndjeshëm ndaj një sulmi të tillë.

Dërgimi i të dhënave në portin 139 ose rinis NT 4.0 ose shkakton një ekran blu të vdekjes me të instaluar Service Pack 2. Dërgimi i të dhënave në portin 135 dhe disa porte të tjera shkakton një ngarkesë të konsiderueshme në procesin RPCSS.EXE. Në Windows NT WorkStation, kjo çon në një ngadalësim të konsiderueshëm, Windows NT Server është praktikisht i ngrirë.

Ndryshimi i hostit të besuar

Zbatimi i suksesshëm i sulmeve në distancë të këtij lloji do t'i lejojë një sulmuesi të kryejë një seancë me serverin në emër të një hosti të besuar. (Host i besuar - një stacion i lidhur ligjërisht me serverin). Zbatimi i këtij lloji të sulmit zakonisht konsiston në dërgimin e paketave të shkëmbimit nga stacioni i sulmuesit në emër të një stacioni të besuar nën kontrollin e tij.

Teknologjitë e zbulimit të sulmeve

Rrjeti dhe teknologjitë e informacionit po ndryshojnë aq shpejt sa mekanizmat e sigurisë statike, të cilat përfshijnë sistemet e kontrollit të aksesit, ME, sistemet e vërtetimit, në shumë raste nuk mund të ofrojnë mbrojtje efektive. Prandaj, kërkohen metoda dinamike për të zbuluar dhe parandaluar shpejt shkeljet e sigurisë. Një teknologji që mund të zbulojë shkelje që nuk mund të identifikohen duke përdorur modelet tradicionale të kontrollit të aksesit është teknologjia e zbulimit të ndërhyrjeve.

Në thelb, procesi i zbulimit të ndërhyrjeve është procesi i vlerësimit të aktiviteteve të dyshimta që ndodhin në një rrjet të korporatës. Me fjalë të tjera, zbulimi i ndërhyrjes është procesi i identifikimit dhe reagimit ndaj aktivitetit të dyshimtë të drejtuar në burimet kompjuterike ose të rrjetit.

Metodat për analizimin e informacionit të rrjetit

Efektiviteti i një sistemi të zbulimit të ndërhyrjeve varet kryesisht nga metodat e përdorura për të analizuar informacionin e marrë. Sistemet e para të zbulimit të ndërhyrjeve të zhvilluara në fillim të viteve 1980 përdorën metoda statistikore të zbulimit të ndërhyrjeve. Aktualisht, një sërë metodash të reja i janë shtuar analizës statistikore, duke filluar me sistemet eksperte dhe logjikën fuzzy dhe duke përfunduar me përdorimin e rrjeteve nervore.

Metoda statistikore

Përparësitë kryesore të qasjes statistikore janë përdorimi i aparatit të zhvilluar dhe të provuar tashmë të statistikave matematikore dhe përshtatja me sjelljen e subjektit.

Së pari, përcaktohen profilet për të gjitha lëndët e sistemit të analizuar. Çdo devijim i profilit të përdorur nga referenca konsiderohet aktivitet i paautorizuar. Metodat statistikore janë universale, pasi analiza nuk kërkon njohuri për sulmet e mundshme dhe dobësitë që ato shfrytëzojnë. Sidoqoftë, problemet lindin kur përdorni këto metoda:

Sistemet "statistikore" nuk janë të ndjeshme ndaj renditjes së ngjarjeve; në disa raste, të njëjtat ngjarje, në varësi të radhës në të cilën ndodhin, mund të karakterizojnë aktivitet anormal ose normal;

Është e vështirë të vendosësh vlerat kufitare (pragu) të karakteristikave të monitoruara nga sistemi i zbulimit të sulmit në mënyrë që të identifikohet në mënyrë adekuate aktiviteti anormal;

Sistemet "statistikore" mund të "stërviten" nga kundërshtarët me kalimin e kohës në mënyrë që veprimet sulmuese të konsiderohen normale.

Duhet gjithashtu të merret parasysh se metodat statistikore nuk janë të zbatueshme në rastet kur përdoruesi nuk ka një model sjelljeje tipike ose kur veprimet e paautorizuara janë tipike për përdoruesin.

Sistemet eksperte

Sistemet e ekspertëve përbëhen nga një grup rregullash që kapin njohuritë e një eksperti njerëzor. Përdorimi i sistemeve të ekspertëve është një metodë e zakonshme për zbulimin e sulmeve, në të cilën informacioni rreth sulmeve formulohet në formën e rregullave. Këto rregulla mund të shkruhen, për shembull, si një sekuencë veprimesh ose si një nënshkrim. Kur përmbushet ndonjë nga këto rregulla, merret një vendim për praninë e aktivitetit të paautorizuar. Një avantazh i rëndësishëm i kësaj qasjeje është mungesa pothuajse e plotë e alarmeve false.

Baza e të dhënave të sistemit të ekspertëve duhet të përmbajë skenarë për shumicën e sulmeve të njohura aktualisht. Për të qëndruar vazhdimisht të përditësuar, sistemet e ekspertëve kërkojnë përditësim të vazhdueshëm të bazës së të dhënave. Ndërsa sistemet e ekspertëve ofrojnë një mundësi të mirë për të rishikuar të dhënat në regjistra, përditësimet e kërkuara mund të shpërfillen ose të kryhen manualisht nga administratori. Së paku, kjo çon në një sistem ekspert me aftësi të reduktuara. Në rastin më të keq, mungesa e mirëmbajtjes së duhur zvogëlon sigurinë e të gjithë rrjetit, duke mashtruar përdoruesit e tij për nivelin aktual të sigurisë.

Disavantazhi kryesor është pamundësia për të zmbrapsur sulmet e panjohura. Në të njëjtën kohë, edhe një ndryshim i vogël në një sulm tashmë të njohur mund të bëhet një pengesë serioze për funksionimin e një sistemi të zbulimit të ndërhyrjeve.

Rrjetet nervore

Shumica e metodave moderne të zbulimit të ndërhyrjeve përdorin një formë të analizës së bazuar në rregulla të hapësirës së kontrolluar ose një qasje statistikore. Hapësira e kontrolluar mund të jetë regjistrat ose trafiku i rrjetit. Analiza mbështetet në një grup rregullash të paracaktuara që krijohen nga administratori ose nga vetë sistemi i zbulimit të ndërhyrjeve.

Çdo ndarje e një sulmi me kalimin e kohës ose midis sulmuesve të shumtë është e vështirë për sistemet eksperte të zbulohet. Për shkak të shumëllojshmërisë së gjerë të sulmeve dhe hakerëve, edhe përditësimet speciale të vazhdueshme të bazës së të dhënave të rregullave të sistemit të ekspertëve nuk do të garantojnë kurrë identifikimin e saktë të të gjithë gamës së sulmeve.

Përdorimi i rrjeteve nervore është një nga mënyrat për të kapërcyer këto probleme të sistemeve eksperte. Ndryshe nga sistemet e ekspertëve, të cilët mund t'i japin përdoruesit një përgjigje të caktuar në lidhje me përputhshmërinë e karakteristikave në shqyrtim me rregullat e përcaktuara në bazën e të dhënave, një rrjet nervor analizon informacionin dhe ofron një mundësi për të vlerësuar nëse të dhënat janë në përputhje me karakteristikat që ai ka. ka mësuar të njohë. Ndërsa shkalla e përputhjes së përfaqësimit të rrjetit nervor mund të arrijë 100%, besueshmëria e zgjedhjes varet tërësisht nga cilësia e sistemit në analizën e shembujve të detyrës.

Së pari, rrjeti nervor është trajnuar për të identifikuar saktë në një mostër të parazgjedhur të shembujve të domenit. Reagimi i rrjetit nervor analizohet dhe sistemi rregullohet në atë mënyrë që të arrihen rezultate të kënaqshme. Përveç periudhës fillestare të trajnimit, rrjeti nervor fiton përvojë me kalimin e kohës ndërsa analizon të dhënat që lidhen me domenin.

Një avantazh i rëndësishëm i rrjeteve nervore në zbulimin e abuzimit është aftësia e tyre për të "mësuar" karakteristikat e sulmeve të qëllimshme dhe për të identifikuar elementë që nuk janë të ngjashëm me ato që janë parë në rrjet më parë.

Secila prej metodave të përshkruara ka një numër avantazhesh dhe disavantazhesh, kështu që tani është praktikisht e vështirë të gjesh një sistem që zbaton vetëm një nga metodat e përshkruara. Në mënyrë tipike, këto metoda përdoren në kombinim.

Bombardimi me postë
Lloji më i vjetër i sulmeve. Rritet ndjeshëm trafiku dhe numrin e mesazheve të dërguara, gjë që gjeneron një dështim në shërbim. Ajo shkakton paraliza jo vetëm postën tuaj, por edhe punën e vetë serverit të postës. Efikasiteti sulme të tilla sot konsiderohen zero, sepse tani ofrues ka aftësinë për të instaluar kufizim trafiku nga një dërgues.

Mbushje e tamponit
Parimi i këtij lloj sulmi është gabimet e softuerit, në të cilën memorie shkel kufijtë e vet. Kjo, nga ana tjetër, detyron ose përfundoni procesin emergjente, ose të ekzekutojë një arbitrar kodi binar, ku përdoret llogaria rrjedhëse. Nëse llogaria është një administrator, atëherë këto veprime lejojnë merrni akses të plotë ndaj sistemit.

Viruse, Trojans, worms, sniffers
Ky lloj sulmi kombinon të ndryshme programet e palëve të treta. Emërimi dhe parimi i funksionimit një program i tillë mund të jetë jashtëzakonisht i larmishëm, kështu që nuk ka kuptim të ndalemi në secilën prej tyre në detaje. E përbashkëta e të gjitha këtyre programeve është se qëllimi i tyre kryesor është aksesi dhe " infeksioni" sistemeve.

inteligjenca e rrjetit
Të lloj sulmi në vetvete nuk parashikon asnjë veprim shkatërrues. Inteligjenca do të thotë vetëm mbledhjen e informacionit ndërhyrës - skanimi i portit, Pyetje DNS, kontrolli i sigurisë së kompjuterit dhe kontrolli i sistemit. Zakonisht shërbimin e inteligjencës kryer para një sulmi serioz të synuar.

Nuhatja e paketave
Parimi i funksionimit bazohet në veçoritë e kartës së rrjetit. Paketat e marra prej tij dërgohen për përpunim, ku aplikacionet speciale ndërveprojnë me to. Si rezultat, sulmuesi fiton akses jo vetëm në informacion në lidhje me strukturën e sistemit kompjuterik, por edhe në informacionin e transmetuar drejtpërdrejt - fjalëkalimet, mesazhe dhe skedarë të tjerë.

Mashtrimi i IP-së
Lloji i sulmeve në rrjetet lokale, kur një kompjuter përdor sulmuesit adresa IP të përfshira në këtë vendor neto. Një sulm është i mundur nëse sistemi sigurinë parashikon identifikimin e llojit të adresës IP, duke përjashtuar kushtet shtesë.

Njeriu-në-mes
Sulmuesi përgjon lidhje ndërmjet dy aplikimeve, duke rezultuar në akses për të gjithë informacionin që kalon përmes këtij kanali. Qëllimi i sulmit nuk është vetëm vjedhje, por gjithashtu falsifikim informacion. Një shembull i tillë sulmet mund të shërbejë përdorimi i ngjashëm aplikacionet për mashtrim në lojërat në internet: informacioni në lidhje me ngjarjen e lojës i krijuar nga pala e klientit transmetohet në server. Në rrugën e saj është vendosur program-interceptor, i cili ndryshon informacionin me kërkesë të sulmuesit dhe e dërgon atë në server në vend të atij të dërguar nga programi i klientit të lojës.

Injeksion
Gjithashtu një lloj mjaft i gjerë sulmesh, parim i përgjithshëm e cila - zbatimi i sistemeve të informacionit me pjesë të kodit të programit të palëve të treta gjatë transferimit të të dhënave, ku kodi në fakt nuk ndërhyn në funksionimin e aplikacionit, por në të njëjtën kohë kryen veprimin e nevojshëm për sulmuesin.

Mohimi i Shërbimit
DoS (nga anglishtja. Mohimi i Shërbimit) — sulmojnë, e cila ka për qëllim që serveri të mos i përgjigjet kërkesave. Ky lloj sulmi nuk përfshin drejtpërdrejt marrjen e disa informacioneve sekrete, por përdoret për të paralizuar funksionimin e shërbimeve të synuara. Për shembull, disa programe mund të shkaktojnë përjashtime për shkak të gabimeve në kodin e tyre dhe kur shërbimet janë të çaktivizuara, ata mund të ekzekutojnë kodin e ofruar nga një sulmues ose sulme të përmbytjes kur serveri nuk është në gjendje të përpunojë të gjitha paketat hyrëse.

DDoS(nga anglishtja. Refuzimi i Shpërndarë i Shërbimit- shpërndarë DoS) - nënlloj Sulmet DoS duke pasur të njëjtën gjë qëllimiçfarë dhe DoS, por prodhuar jo nga një kompjuter, por nga disa kompjuterë në rrjetet. Në këto lloje sulmet të përdorura ose dukuri gabimet që gjenerojnë refuzimi shërbimi, ose operacioni i mbrojtjes, duke shkaktuar duke bllokuar puna shërbimi, dhe si rezultat gjithashtu refuzimi ne sherbim. DDoS përdoret aty ku është normale DoS joefikase. Për ta bërë këtë, kombinohen disa kompjuterë dhe secili prodhon DoS sulmi në sistemin e viktimës. Së bashku quhet Sulmi DDoS.

Mënyrat për t'u mbrojtur nga sulmet e rrjetit.
Ka shumë mënyra për t'u mbrojtur nga ndërhyrës, duke përfshirë antiviruset, muret e zjarrit, te ndryshme te ndertuara filtra etj. Më efektive është profesionalizmi i përdoruesit. Nuk duhet të hapet faqet e dyshimta (lidhje), skedarë në email nga një dërgues misterioz i llojit të huaj. Përpara se të hapni bashkëngjitjet nga adresat e njohura, duhet të kërkoni konfirmim në ndonjë mënyrë tjetër përveç postës. Si rregull, kurset e aftësisë kompjuterike dhe shkrim-leximit, të kryera në pothuajse çdo organizatë, mund të ndihmojnë në këtë. Megjithatë, kjo nuk do të zëvendësojë mekanizmat dhe programet mbrojtëse. Vlen të kujtohet se teknologjia e sulmeve në rrjet nuk qëndron ende dhe për këtë arsye ajo duhet të kryhet sa më shpesh të jetë e mundur. përditësimi antivirus, si dhe të kryejë skanime të plota të kompjuterëve.

Konsultohuni me specialistët e kompanisë kompjuterike "KliK" për të parandaluar të gjitha sulmet e mundshme të hakerëve dhe infeksionet me viruse.

Ekzistojnë katër kategori kryesore të sulmeve:

Sulmet e aksesit

Sulmet modifikuese

sulmet e mohimit të shërbimit

sulmet e mohimit.

Le të hedhim një vështrim më të afërt në secilën kategori. Ka shumë mënyra për të kryer sulme: duke përdorur mjete të dizajnuara posaçërisht, metoda të inxhinierisë sociale, përmes dobësive në sistemet kompjuterike. Inxhinieria sociale nuk përdor mjete teknike për të fituar akses të paautorizuar në sistem. Një sulmues merr informacion përmes një telefonate të thjeshtë ose depërton në një organizatë nën maskën e një punonjësi. Sulmet e këtij lloji janë më shkatërruesit.

Sulmet që synojnë kapjen e informacionit të ruajtur në formë elektronike kanë një veçori interesante: informacioni nuk vidhet, por kopjohet. Mbetet me pronarin fillestar, por edhe sulmuesi e merr. Kështu, pronari i informacionit mbart humbje dhe është shumë e vështirë të zbulohet momenti kur ka ndodhur kjo.

Sulmet e aksesit

Sulmi i aksesitështë një përpjekje e një sulmuesi për të marrë informacione që ata nuk kanë leje për t'i parë. Zbatimi i një sulmi të tillë është i mundur kudo ku ka informacion dhe mjete për transmetimin e tij. Një sulm aksesi ka për qëllim shkeljen e konfidencialitetit të informacionit. Ekzistojnë llojet e mëposhtme të sulmeve të aksesit:

· duke përgjuar;

duke përgjuar

përgjimi.

duke përgjuar(snooping) është shikimi i skedarëve ose dokumenteve për të gjetur informacione me interes për sulmuesin. Nëse dokumentet ruhen si printime, atëherë sulmuesi do të hapë sirtarët e tavolinës dhe do të gërmojë nëpër to. Nëse informacioni është në një sistem kompjuterik, atëherë ai do të kalojë skedar për dosje derisa të gjejë informacionin që i nevojitet.

Përgjimi(përgjimi) është përgjim i paautorizuar i një bisede në të cilën sulmuesi nuk është pjesëmarrës. Për të marrë akses të paautorizuar në informacion, në këtë rast, sulmuesi duhet të jetë afër tij. Shumë shpesh, ai përdor pajisje elektronike. Futja e rrjeteve pa tela ka rritur gjasat për përgjim të suksesshëm. Tani sulmuesi nuk ka nevojë të jetë brenda sistemit ose të lidhë fizikisht pajisjen e dëgjimit me rrjetin.

Ndryshe nga përgjimi. përgjimi(përgjimi) është një sulm aktiv. Një sulmues kap informacionin në procesin e transmetimit të tij në destinacionin e tij. Pasi analizon informacionin, ai merr një vendim për të lejuar ose ndaluar kalimin e mëtejshëm të tij.

Sulmet e aksesit marrin forma të ndryshme në varësi të mënyrës se si ruhet informacioni: në formën e dokumenteve në letër ose në mënyrë elektronike në një kompjuter. Nëse informacioni i nevojshëm nga sulmuesi ruhet në formën e dokumenteve në letër, ai do të ketë nevojë për qasje në këto dokumente. Ato mund të gjenden në vendet e mëposhtme: në dollapët e dosjeve, në sirtarët e tavolinave ose në tavolina, në një faks ose printer në plehra, në arkiv. Prandaj, një sulmues duhet të depërtojë fizikisht në të gjitha këto vende.

Kështu, qasja fizike është çelësi për marrjen e të dhënave. Duhet të theksohet se mbrojtja e besueshme e ambienteve do të mbrojë të dhënat vetëm nga persona të paautorizuar, por jo nga punonjësit e organizatës ose përdoruesit e brendshëm.

Informacioni ruhet në mënyrë elektronike: në stacionet e punës, në serverë, në kompjuterë portativë, në disqe, në CD, në shirita magnetikë rezervë.

Një sulmues thjesht mund të vjedhë një medium ruajtjeje (disketë, CD, kasetë rezervë ose kompjuter laptop). Ndonjëherë kjo është më e lehtë sesa qasja në skedarët e ruajtur në kompjuter.

Nëse një sulmues ka qasje ligjore në sistem, ai do t'i analizojë skedarët thjesht duke i hapur ato një nga një. Me nivelin e duhur të kontrollit mbi lejet, qasja për një përdorues të paligjshëm do të refuzohet dhe përpjekjet për akses do të regjistrohen.

Lejet e konfiguruara siç duhet do të parandalojnë rrjedhjen aksidentale të informacionit. Sidoqoftë, një sulmues serioz do të përpiqet të anashkalojë sistemin e kontrollit dhe të fitojë akses në informacionin e nevojshëm. Ka një numër të madh dobësish që do ta ndihmojnë atë në këtë.

Kur kaloni informacion në rrjet, mund t'i qaseni duke dëgjuar transmetimin. Sulmuesi e bën këtë duke instaluar një rrjet sniffer paketash (sniffer) në sistemin kompjuterik. Ky është zakonisht një kompjuter i konfiguruar për të kapur të gjithë trafikun e rrjetit (jo vetëm trafikun e drejtuar në këtë kompjuter). Për ta bërë këtë, sulmuesi duhet të ngrejë privilegjet e tij në sistem ose të lidhet me rrjetin. Analizuesi është konfiguruar për të kapur çdo informacion që kalon përmes rrjetit, por veçanërisht ID-të dhe fjalëkalimet e përdoruesve.

Përgjimet kryhen edhe në rrjetet globale kompjuterike si linjat me qira dhe lidhjet telefonike. Megjithatë, ky lloj përgjimi kërkon pajisje të përshtatshme dhe njohuri të veçanta.

Përgjimi është i mundur edhe në sistemet e komunikimit me fibra optike që përdorin pajisje të specializuara, zakonisht të kryera nga një sulmues i aftë.

Qasja në informacion duke përdorur përgjimin është një nga detyrat më të vështira për një sulmues. Për të qenë i suksesshëm, ai duhet të vendosë sistemin e tij në linjën e transmetimit ndërmjet dërguesit dhe marrësit të informacionit. Në internet, kjo bëhet duke ndryshuar rezolucionin e emrit, i cili e përkthen emrin e kompjuterit në një adresë të pavlefshme. Trafiku ridrejtohet në sistemin e sulmuesit në vend të destinacionit të vërtetë. Me konfigurimin e duhur të një sistemi të tillë, dërguesi nuk do ta dijë kurrë se informacioni i tij nuk ka arritur te marrësi.

Përgjimi është gjithashtu i mundur gjatë një sesioni aktual komunikimi. Ky lloj sulmi është më i përshtatshmi për kapjen e trafikut interaktiv. Në këtë rast, sulmuesi duhet të jetë në të njëjtin segment të rrjetit si klienti dhe serveri. Sulmuesi pret që një përdorues legjitim të hapë një sesion në server dhe më pas, duke përdorur softuer të specializuar, merr seancën tashmë në proces.

Sulmet modifikuese

Sulmi modifikuesështë një përpjekje e paautorizuar për të ndryshuar informacionin. Një sulm i tillë është i mundur kudo ku ekziston ose transmetohet informacion. Ai synon të cenojë integritetin e informacionit.

Një lloj sulmi modifikues është zëvendësim informacionin ekzistues, si p.sh. një ndryshim në pagën e një punonjësi. Sulmi i zëvendësimit drejtohet kundër informacionit sekret dhe atij publik.

Një lloj tjetër sulmi është shtesë të dhëna të reja, për shembull, informacion në lidhje me historinë e periudhave të kaluara. Në këtë rast, sulmuesi kryen një operacion në sistemin bankar, si rezultat i të cilit fondet nga llogaria e klientit transferohen në llogarinë e tij.

Sulmi heqjen do të thotë zhvendosja e të dhënave ekzistuese, të tilla si fshirja e një transaksioni nga bilanci i një banke, lënia e fondeve të tërhequra nga llogaria për të mbetur atje.

Ashtu si sulmet e aksesit, sulmet e modifikimit kryhen kundër informacionit të ruajtur në dokumente letre ose në mënyrë elektronike në një kompjuter.

Dokumentet janë të vështira për t'u ndryshuar në mënyrë që askush të mos e vërë re: nëse ka një nënshkrim (për shembull, në një kontratë), duhet të kujdeseni për falsifikimin e tij, dokumenti i fiksuar duhet të rimontohet me kujdes. Nëse ka kopje të dokumentit, ato gjithashtu duhet të ribëhen, si origjinali. Dhe meqenëse është pothuajse e pamundur të gjesh të gjitha kopjet, është shumë e lehtë të dallosh një të rreme.

Është shumë e vështirë të shtosh ose të heqësh hyrje nga regjistrat e aktiviteteve. Së pari, informacioni në to është renditur në rend kronologjik, kështu që çdo ndryshim do të vërehet menjëherë. Mënyra më e mirë është të hiqni dokumentin dhe ta zëvendësoni atë me një të ri. Këto lloj sulmesh kërkojnë qasje fizike në informacion.

Modifikimi i informacionit të ruajtur në mënyrë elektronike është shumë më i lehtë. Duke qenë se sulmuesi ka akses në sistem, një operacion i tillë lë pas një minimum provash. Në mungesë të aksesit të autorizuar në skedarë, sulmuesi duhet së pari të sigurojë një hyrje në sistem ose të ndryshojë cilësimet e kontrollit të hyrjes në skedar.

Modifikimi i skedarëve të bazës së të dhënave ose listës së transaksioneve duhet të bëhet me shumë kujdes. Transaksionet numërohen në mënyrë sekuenciale dhe do të vërehet fshirja ose shtimi i numrave të pasaktë të transaksioneve. Në këto raste, duhet të punoni shumë në të gjithë sistemin për të parandaluar zbulimin.