Hyökkäysten tyypit. DOS- ja DDoS-hyökkäykset: käsite, tyypit, havaitsemis- ja suojausmenetelmät

Internet muuttaa täysin elämäntapamme: työn, opiskelun, vapaa-ajan. Näitä muutoksia tapahtuu sekä jo tuntemillamme alueilla (sähköinen kaupankäynti, reaaliaikaisen tiedon saatavuus, lisääntyneet kommunikaatiomahdollisuudet jne.) että niillä alueilla, joista meillä ei vielä ole käsitystä.

Saattaa tulla aika, jolloin yritys soittaa kaikki puhelunsa Internetin kautta, täysin ilmaiseksi. Yksityiselämässä voi ilmestyä erityisiä web-sivustoja, joiden avulla vanhemmat voivat milloin tahansa saada selville, miten heidän lapsensa voivat. Yhteiskuntamme on vasta alkamassa ymmärtää Internetin rajattomat mahdollisuudet.

Johdanto

Samalla kun Internetin suosio kasvaa valtavasti, syntyy ennennäkemätön vaara henkilötietojen, kriittisten yritysresurssien, valtiosalaisuuksien jne. paljastamisesta.

Joka päivä hakkerit uhkaavat näitä resursseja yrittämällä päästä käsiksi niihin erikoishyökkäyksillä, jotka toisaalta ovat vähitellen kehittyneempiä ja toisaalta helpompi toteuttaa. Tähän vaikuttaa kaksi päätekijää.

Ensinnäkin tämä on Internetin laaja levinneisyys. Internetiin on nykyään kytketty miljoonia laitteita, ja lähitulevaisuudessa Internetiin yhdistetään miljoonia laitteita, mikä tekee yhä todennäköisempää, että hakkerit pääsevät käsiksi haavoittuviin laitteisiin.

Lisäksi Internetin laaja käyttö antaa hakkereille mahdollisuuden vaihtaa tietoja maailmanlaajuisesti. Yksinkertainen haku avainsanoilla, kuten "hakkeri", "hakkerointi", "hakkerointi", "crack" tai "phreak", palauttaa sinulle tuhansia sivustoja, joista monet sisältävät haitallista koodia ja kuinka sitä käytetään.

Toiseksi tämä on laajin helppokäyttöisten käyttöjärjestelmien ja kehitysympäristöjen jakelu. Tämä tekijä vähentää jyrkästi hakkerin tarvitsemien tietojen ja taitojen tasoa. Aikaisemmin hakkereilla oli oltava hyvät ohjelmointitaidot luoda ja jakaa helppokäyttöisiä sovelluksia.

Nyt päästäksesi käsiksi hakkerin työkaluun sinun tarvitsee vain tietää halutun sivuston IP-osoite ja suorittaa hyökkäys vain hiiren napsautuksella.

Verkkohyökkäysten luokittelu

Verkkohyökkäykset ovat yhtä erilaisia ​​kuin niiden kohteena olevat järjestelmät. Jotkut hyökkäykset ovat hyvin monimutkaisia, kun taas toiset ovat tavallisen operaattorin kykyjä, jotka eivät edes osaa kuvitella toimintansa seurauksia. Hyökkäystyyppien arvioimiseksi sinun on tiedettävä joitain TPC/IP-protokollan luontaisia ​​rajoituksia. Netto

Internet luotiin valtion virastojen ja yliopistojen välistä viestintää varten koulutusprosessin ja tieteellisen tutkimuksen tukemiseksi. Tämän verkoston luojat eivät tienneet, kuinka laajalle se tulee. Tämän seurauksena Internet Protocol (IP) -protokollan varhaisten versioiden määrittelyistä puuttui suojausvaatimuksia. Tästä syystä monet IP-toteutukset ovat luonnostaan ​​haavoittuvia.

Monien vuosien jälkeen useiden valitusten jälkeen (Request for Comments, RFC) IP-suojaustoimenpiteitä alettiin vihdoin toteuttaa. Kuitenkin, koska IP-protokollan turvatoimenpiteitä ei alun perin kehitetty, kaikkia sen toteutuksia alettiin täydentää erilaisilla verkkoproseduureilla, palveluilla ja tuotteilla, jotka vähentävät tähän protokollaan liittyviä riskejä. Seuraavaksi tarkastellaan lyhyesti hyökkäystyyppejä, joita yleisesti käytetään IP-verkkoja vastaan, ja luetellaan tapoja torjua niitä.

Paketin haistaja

Pakettien haistaja on sovellusohjelma, joka käyttää promiscuous-tilassa toimivaa verkkokorttia (tässä tilassa verkkosovitin lähettää kaikki fyysisiä kanavia pitkin vastaanotetut paketit sovellukselle käsiteltäväksi).

Tässä tapauksessa nuuskija sieppaa kaikki verkkopaketit, jotka lähetetään tietyn toimialueen kautta. Tällä hetkellä nuuskijat toimivat verkoissa täysin laillisin perustein. Niitä käytetään vikojen diagnosointiin ja liikenneanalyysiin. Kuitenkin, koska jotkin verkkosovellukset lähettävät dataa tekstimuodossa ( Telnet, FTP, SMTP, POP3 jne..), haistajalla saat selville hyödyllisiä ja joskus luottamuksellisia tietoja (esimerkiksi käyttäjätunnuksia ja salasanoja).

Kirjautumistunnusten ja salasanan sieppaus on suuri uhka, koska käyttäjät käyttävät usein samaa kirjautumistunnusta ja salasanaa useisiin sovelluksiin ja järjestelmiin. Monilla käyttäjillä on yleensä yksi salasana kaikkien resurssien ja sovellusten käyttöä varten.

Jos sovellus toimii asiakas-palvelin-tilassa ja todennustiedot lähetetään verkon yli luettavassa tekstimuodossa, näitä tietoja voidaan todennäköisesti käyttää muihin yrityksen tai ulkoisiin resursseihin. Hakkerit tietävät ja käyttävät hyväkseen inhimilliset heikkoudet liian hyvin (hyökkäysmenetelmät perustuvat usein sosiaalisen manipuloinnin menetelmiin).

He tietävät hyvin, että käytämme samaa salasanaa monien resurssien käyttämiseen, ja siksi he usein onnistuvat pääsemään tärkeisiin tietoihin oppimalla salasanamme. Pahimmassa tapauksessa hakkeri saa järjestelmätason pääsyn käyttäjäresurssiin ja luo sen avulla uuden käyttäjän, jota voidaan käyttää milloin tahansa päästäkseen verkkoon ja sen resursseihin.

Voit vähentää pakettien nuuskimisen vaaraa käyttämällä seuraavia työkaluja::

Todennus. Vahva todennus on tärkein suoja pakettien haistelua vastaan. "Vahvalla" tarkoitamme todennusmenetelmiä, joita on vaikea ohittaa. Esimerkki tällaisesta todennuksesta on kertakäyttöiset salasanat (OTP).

OTP on kaksivaiheinen todennustekniikka, joka yhdistää sen, mitä sinulla on ja mitä tiedät. Tyypillinen esimerkki kaksivaiheisesta tunnistamisesta on tavallisen pankkiautomaatin toiminta, joka tunnistaa sinut ensinnäkin muovikortillasi ja toiseksi antamallasi PIN-koodilla. OTP-järjestelmän tunnistamiseen tarvitaan myös PIN-koodi ja henkilökohtainen korttisi.

"Kortilla" (tokenilla) tarkoitamme laitteistoa tai ohjelmistotyökalua, joka luo (satunnaisella periaatteella) ainutlaatuisen kertaluonteisen salasanan. Jos hakkeri saa selville tämän salasanan haistajalla, nämä tiedot ovat hyödyttömiä, koska tällä hetkellä salasana on jo käytössä ja poistunut.

Huomaa, että tämä nuuskimisen torjuntamenetelmä on tehokas vain salasanojen sieppaustapauksissa. Muita tietoja (kuten sähköpostiviestejä) sieppaavat nuuskijat pysyvät tehokkaina.

Kytketty infrastruktuuri. Toinen tapa torjua pakettien haistamista verkkoympäristössäsi on luoda kytketty infrastruktuuri. Jos esimerkiksi koko organisaatio käyttää modeemiverkkoa, hakkerit pääsevät käsiksi vain siihen porttiin tulevaan liikenteeseen, johon he ovat yhteydessä. Kytketty infrastruktuuri ei poista haistelemisen uhkaa, mutta se vähentää merkittävästi sen vakavuutta.

Haistamisenestoaineet. Kolmas tapa taistella haistamista vastaan ​​on asentaa laitteisto tai ohjelmisto, joka tunnistaa verkossasi toimivat haistajat. Nämä työkalut eivät pysty täysin poistamaan uhkaa, mutta kuten monet muut verkon suojaustyökalut, ne sisältyvät yleiseen suojausjärjestelmään. Antisniffers mittaa isännän vasteaikoja ja määrittää, joutuvatko isännät käsittelemään tarpeetonta liikennettä. Yksi tällainen tuote, joka on saatavilla LOpht Heavy Industriesilta, on nimeltään AntiSniff.

Kryptografia. Tämä tehokkain tapa torjua pakettien nuuskimista, vaikka se ei estä sieppausta eikä tunnista haistavien työtä, mutta tekee tästä työstä hyödyttömän. Jos viestintäkanava on kryptografisesti suojattu, niin hakkeri ei sieppaa viestiä, vaan salatekstiä (eli käsittämätöntä bittisarjaa). Ciscon verkkokerroksen salaus perustuu IPSec-järjestelmään, joka on vakiomenetelmä IP-protokollaa käyttävien laitteiden väliseen suojattuun viestintään. Muita kryptografisia verkonhallintaprotokollia ovat SSH (Secure Shell) ja SSL (Secure Socket Layer) -protokollat.

IP-huijaus

IP-osoitteen huijaus tapahtuu, kun hakkeri, yrityksen sisällä tai sen ulkopuolella, esiintyy valtuutettuna käyttäjänä. Tämä voidaan tehdä kahdella tavalla: hakkeri voi käyttää joko IP-osoitetta, joka on valtuutettujen IP-osoitteiden alueella, tai valtuutettua ulkoista osoitetta, jolla on pääsy tiettyihin verkkoresursseihin.

IP-huijaushyökkäykset ovat usein lähtökohta muille hyökkäyksille. Klassinen esimerkki on DoS-hyökkäys, joka alkaa jonkun muun osoitteesta ja piilottaa hakkerin todellisen henkilöllisyyden.

Tyypillisesti IP-huijaus rajoittuu väärien tietojen tai haitallisten komentojen lisäämiseen normaaliin asiakas- ja palvelinsovelluksen väliseen tietovirtaan tai vertaislaitteiden välisen viestintäkanavan kautta.

Kaksisuuntaista viestintää varten hakkerin on muutettava kaikki reititystaulukot ohjatakseen liikennettä väärään IP-osoitteeseen. Jotkut hakkerit eivät kuitenkaan edes yritä saada vastausta sovelluksista - jos päätavoitteena on saada järjestelmästä tärkeä tiedosto, niin sovellusten vastauksilla ei ole väliä.

Jos hakkeri onnistuu muuttamaan reititystaulukoita ja ohjaamaan liikenteen väärään IP-osoitteeseen, hän vastaanottaa kaikki paketit ja pystyy vastaamaan niihin ikään kuin hän olisi valtuutettu käyttäjä.

Huijauksen uhkaa voidaan vähentää (mutta ei poistaa) seuraavilla toimenpiteillä:

  • Kulunvalvonta. Helpoin tapa estää IP-huijaus on määrittää käyttöoikeudet oikein. Vähentääksesi IP-huijauksen tehokkuutta, määritä kulunvalvonta hylkäämään kaikki ulkoisesta verkosta tuleva liikenne, jonka lähdeosoitteen pitäisi sijaita verkon sisällä.

    Totta, tämä auttaa torjumaan IP-huijausta, kun vain sisäiset osoitteet ovat sallittuja. jos jotkin ulkoiset verkko-osoitteet ovat myös valtuutettuja, tämä menetelmä ei toimi;

  • RFC 2827 suodatus. Voit estää verkkosi käyttäjiä huijaamasta muiden verkkoja (ja sinusta tulee hyvä online-kansalainen). Tätä varten sinun on hylättävä kaikki lähtevä liikenne, jonka lähdeosoite ei ole jokin organisaatiosi IP-osoitteista.

    Tämän tyyppisen suodatuksen, joka tunnetaan nimellä RFC 2827, voi suorittaa myös Internet-palveluntarjoajasi (ISP). Tämän seurauksena kaikki liikenne, jolla ei ole tietyssä käyttöliittymässä odotettua lähdeosoitetta, hylätään. Jos Internet-palveluntarjoaja esimerkiksi tarjoaa yhteyden IP-osoitteeseen 15.1.1.0/24, se voi määrittää suodattimen siten, että vain osoitteesta 15.1.1.0/24 peräisin oleva liikenne sallitaan kyseisestä rajapinnasta Internet-palveluntarjoajan reitittimeen.

Huomaa, että ennen kuin kaikki palveluntarjoajat ottavat käyttöön tämän tyyppisen suodatuksen, sen tehokkuus on paljon mahdollista. Lisäksi mitä kauempana olet suodatettavista laitteista, sitä vaikeampaa on suorittaa tarkka suodatus. Esimerkiksi RFC 2827 -suodatus pääsyreitittimen tasolla edellyttää kaiken liikenteen välittämistä pääverkkoosoitteesta (10.0.0.0/8), kun taas jakelutasolla (tietyssä arkkitehtuurissa) on mahdollista rajoittaa liikennettä tarkemmin (osoite - 10.1.5.0/24).

Tehokkain tapa torjua IP-huijausta on sama kuin pakettien haistelemisen tapauksessa: sinun on tehtävä hyökkäys täysin tehottomaksi. IP-huijaus voi toimia vain, jos todennus perustuu IP-osoitteisiin.

Siksi lisätodennusmenetelmien käyttöönotto tekee tällaisista hyökkäyksistä hyödyttömiä. Paras lisätodennustyyppi on kryptografinen. Jos tämä ei ole mahdollista, kaksivaiheinen todennus kertakäyttöisillä salasanoilla voi antaa hyviä tuloksia.

Palvelunestohyökkäys

Palvelunesto (DoS) on epäilemättä tunnetuin hakkerointihyökkäysmuoto. Lisäksi tällaisia ​​hyökkäyksiä vastaan ​​on vaikein luoda 100 % suoja. Hakkereiden keskuudessa DoS-hyökkäykset ovat lastenleikkiä, ja niiden käyttö aiheuttaa halveksivaa virnistystä, sillä DoS:n järjestäminen vaatii vähimmäistietoa ja taitoa.

Kuitenkin juuri käyttöönoton helppous ja valtavat haitat ovat se, että DoS kiinnittää verkon turvallisuudesta vastaavien järjestelmänvalvojien huomion. Jos haluat oppia lisää DoS-hyökkäyksistä, sinun tulee harkita tunnetuimpia tyyppejä, nimittäin:

  • TCP SYN tulva;
  • Ping of Death;
  • Tribe Flood Network (TFN) ja Tribe Flood Network 2000 (TFN2K);
  • Trinco;
  • Stacheldracht;
  • Kolminaisuus.

Erinomainen tietoturvatietolähde on Computer Emergency Response Team (CERT), joka on julkaissut erinomaista työtä DoS-hyökkäysten torjumiseksi.

DoS-hyökkäykset eroavat muista hyökkäyksistä. Niiden tarkoituksena ei ole päästä verkkoosi tai hankkia tietoja verkosta, mutta DoS-hyökkäys tekee verkkosi käyttämättömäksi normaalissa käytössä ylittämällä verkon, käyttöjärjestelmän tai sovelluksen hyväksyttävät rajat.

Joidenkin palvelinsovellusten (kuten Web-palvelin tai FTP-palvelin) DoS-hyökkäykset voivat sisältää kaikkien näiden sovellusten käytettävissä olevien yhteyksien haltuunoton ja niiden pitämisen varattuna, mikä estää tavallisten käyttäjien palvelemisen. DoS-hyökkäykset voivat käyttää yleisiä Internet-protokollia, kuten TCP ja ICMP ( Internet Control Message Protocol).

Useimmat DoS-hyökkäykset eivät kohdistu ohjelmistovirheisiin tai tietoturva-aukoihin, vaan pikemminkin yleisiin järjestelmäarkkitehtuurin heikkouksiin. Jotkut hyökkäykset lamauttavat verkon suorituskykyä täyttämällä sen ei-toivotuilla ja tarpeettomilla paketeilla tai harhaanjohtavilla tiedoilla verkkoresurssien nykytilasta.

Tämäntyyppistä hyökkäystä on vaikea estää, koska se vaatii koordinointia palveluntarjoajan kanssa. Jos et pysäytä verkkosi ylikuormittavaa liikennettä palveluntarjoajalle, et voi enää tehdä tätä verkon sisäänkäynnissä, koska koko kaistanleveys on varattu. Kun tämäntyyppinen hyökkäys suoritetaan samanaikaisesti useiden laitteiden kautta, puhutaan hajautetusta DoS-hyökkäyksestä (hajautettu DoS, DDoS).

DoS-hyökkäysten uhkaa voidaan vähentää kolmella tavalla:

  • Huijauksenestoominaisuudet. Huijauksenesto-ominaisuuksien määrittäminen oikein reitittimillesi ja palomuurillesi auttaa vähentämään DoS-riskiä. Näihin ominaisuuksiin tulisi kuulua vähintään RFC 2827 -suodatus. Jos hakkeri ei voi peittää todellista henkilöllisyyttään, hän ei todennäköisesti suorita hyökkäystä.
  • Anti-DoS-toiminnot. DoS-vastaisten ominaisuuksien oikea konfigurointi reitittimissä ja palomuurissa voi rajoittaa hyökkäysten tehokkuutta. Nämä ominaisuudet rajoittavat usein puoliavoimien kanavien määrää kulloinkin.
  • Liikennenopeuden rajoittaminen. Organisaatio voi pyytää Internet-palveluntarjoajaansa (ISP) rajoittamaan liikenteen määrää. Tämän tyyppisen suodatuksen avulla voit rajoittaa verkon läpi kulkevan ei-kriittisen liikenteen määrää. Tyypillinen esimerkki on ICMP-liikenteen määrän rajoittaminen, jota käytetään vain diagnostisiin tarkoituksiin. (D)DoS-hyökkäykset käyttävät usein ICMP:tä.

Salasanahyökkäykset

Hakkerit voivat suorittaa salasanahyökkäyksiä useilla menetelmillä, kuten brute force -hyökkäys, Troijan hevonen, IP-huijaus ja pakettien haisteleminen. Vaikka kirjautumistunnus ja salasana voidaan usein saada IP-huijauksen ja pakettien haistelemisen avulla, hakkerit yrittävät usein arvata salasanan ja kirjautua sisään useilla pääsyyrityksillä. Tätä lähestymistapaa kutsutaan yksinkertaiseksi hauksi (raaka voimahyökkäys).

Usein tällainen hyökkäys käyttää erityistä ohjelmaa, joka yrittää päästä julkiseen resurssiin (esimerkiksi palvelimeen). Jos tämän seurauksena hakkeri saa pääsyn resursseihin, hän saa sen tavallisen käyttäjän oikeuksilla, jonka salasana on valittu.

Jos tällä käyttäjällä on merkittäviä käyttöoikeuksia, hakkeri voi luoda "passin" tulevaa käyttöä varten, joka pysyy voimassa, vaikka käyttäjä vaihtaisi salasanansa ja kirjautumistunnuksensa.

Toinen ongelma syntyy, kun käyttäjät käyttävät samaa (jopa erittäin hyvää) salasanaa päästäkseen useisiin järjestelmiin: yritys-, henkilö- ja Internet-järjestelmiin. Koska salasanan vahvuus on yhtä suuri kuin heikoimman isännän vahvuus, hakkeri, joka oppii salasanan kyseisen isännän kautta, pääsee kaikkiin muihin järjestelmiin, joissa käytetään samaa salasanaa.

Salasanahyökkäykset voidaan välttää, kun ei käytä pelkkää tekstiä koskevia salasanoja. Kertakäyttöiset salasanat ja/tai kryptografinen todennus voivat käytännössä poistaa tällaisten hyökkäysten uhan. Valitettavasti kaikki sovellukset, isännät ja laitteet eivät tue yllä olevia todennusmenetelmiä.

Kun käytät tavallisia salasanoja, yritä keksiä sellainen, jota olisi vaikea arvata. Salasanan vähimmäispituuden on oltava vähintään kahdeksan merkkiä. Salasanassa on oltava isoja kirjaimia, numeroita ja erikoismerkkejä (#, %, $ jne.).

Parhaat salasanat ovat vaikeasti arvattavia ja vaikeasti muistettavia, joten käyttäjät joutuvat kirjoittamaan ne paperille. Tämän välttämiseksi käyttäjät ja järjestelmänvalvojat voivat käyttää useita viimeaikaisia ​​teknologisia edistysaskeleita.

Esimerkiksi on olemassa sovellusohjelmia, jotka salaavat taskutietokoneeseen tallennettavien salasanojen luettelon. Tämän seurauksena käyttäjän tarvitsee muistaa vain yksi monimutkainen salasana, kun taas kaikki muut suojataan luotettavasti sovelluksella.

Järjestelmänvalvojalla on useita tapoja torjua salasanan arvailua. Yksi niistä on käyttää L0phtCrack-työkalua, jota hakkerit käyttävät usein salasanojen arvaamiseen Windows NT -ympäristössä. Tämä työkalu näyttää nopeasti, onko käyttäjän valitsema salasana helppo arvata. Lisätietoja on osoitteessa http://www.l0phtcrack.com/.

Man-in-the-Middle -hyökkäykset

Man-in-the-Middle -hyökkäystä varten hakkeri tarvitsee pääsyn verkon kautta lähetettyihin paketteihin. Tällaisen pääsyn kaikkiin palveluntarjoajalta mihin tahansa muuhun verkkoon lähetettyihin paketteihin voi saada esimerkiksi tämän palveluntarjoajan työntekijä. Tämän tyyppisissä hyökkäyksissä käytetään usein pakettien haistajia, siirtoprotokollia ja reititysprotokollia.

Hyökkäyksillä pyritään varastamaan tietoja, sieppaamaan meneillään oleva istunto ja päästämään yksityisiin verkkoresursseihin, analysoimaan liikennettä ja hankkimaan tietoa verkosta ja sen käyttäjistä, suorittamaan DoS-hyökkäyksiä, vääristämään lähetettyjä tietoja ja syöttämään luvattomia tietoja verkkoistuntoihin.

Man-in-the-Middle -hyökkäyksiä voidaan torjua tehokkaasti vain salauksen avulla. Jos hakkeri sieppaa salatun istunnon dataa, hänen näytöllään ei näy siepattu viesti, vaan merkityksetön merkkijoukko. Huomaa, että jos hakkeri saa tietoja salausistunnosta (esimerkiksi istuntoavaimen), tämä voi tehdä Man-in-the-Middle -hyökkäyksen mahdolliseksi myös salatussa ympäristössä.

Sovellustason hyökkäykset

Sovellustason hyökkäykset voidaan suorittaa useilla tavoilla. Yleisin niistä on tunnettujen heikkouksien hyödyntäminen palvelinohjelmistoissa (sendmail, HTTP, FTP). Näitä heikkouksia hyödyntämällä hakkerit voivat päästä tietokoneeseen sovellusta käyttävänä käyttäjänä (yleensä ei tavallinen käyttäjä, vaan etuoikeutettu järjestelmänvalvoja, jolla on järjestelmän käyttöoikeudet).

Tietoja sovellustason hyökkäyksistä julkaistaan ​​laajalti, jotta järjestelmänvalvojat voivat korjata ongelman korjaavien moduulien (korjauspäivitysten) avulla. Valitettavasti monilla hakkereilla on myös pääsy näihin tietoihin, mikä antaa heille mahdollisuuden parantaa.

Suurin ongelma sovellustason hyökkäyksissä on se, että hakkerit käyttävät usein portteja, joiden sallitaan kulkea palomuurin läpi. Esimerkiksi Web-palvelimen tunnettua heikkoutta hyödyntävä hakkeri käyttää TCP-hyökkäyksessä usein porttia 80. Koska Web-palvelin tarjoaa Web-sivuja käyttäjille, palomuurin on annettava pääsy tähän porttiin. Palomuurin näkökulmasta hyökkäystä käsitellään portin 80 normaalina liikenteenä.

Sovellustason hyökkäyksiä ei voida täysin eliminoida. Hakkerit löytävät ja julkaisevat jatkuvasti uusia haavoittuvuuksia sovellusohjelmissa Internetissä. Tärkeintä tässä on hyvä järjestelmänhallinta. Tässä on joitain toimenpiteitä, joilla voit vähentää haavoittuvuuttasi tämäntyyppisille hyökkäyksille:

  • lukea käyttöjärjestelmä- ja verkkolokitiedostoja ja/tai analysoida niitä erityisillä analyyttisilla sovelluksilla;
  • Tilaa sovelluksen haavoittuvuuksien raportointipalvelu: Bugtrad (http://www.securityfocus.com).

Verkon älykkyys

Verkon älykkyydellä tarkoitetaan verkkotietojen keräämistä julkisesti saatavilla olevien tietojen ja sovellusten avulla. Valmistaessaan hyökkäystä verkkoa vastaan ​​hakkeri yrittää yleensä saada siitä mahdollisimman paljon tietoa. Verkon tiedustelu suoritetaan DNS-kyselyjen, pingien ja porttitarkistuksen muodossa.

DNS-kyselyt auttavat sinua ymmärtämään, kuka omistaa tietyn toimialueen ja mitä osoitteita sille on määritetty. DNS:n paljastamien osoitteiden pingillä voit nähdä, mitkä isännät todella toimivat tietyssä ympäristössä. Saatuaan luettelon isännistä hakkeri käyttää porttien tarkistustyökaluja laatiakseen täydellisen luettelon näiden isäntien tukemista palveluista. Lopuksi hakkeri analysoi isännillä käynnissä olevien sovellusten ominaisuudet. Tämän seurauksena hän saa tietoa, jota voidaan käyttää hakkerointiin.

Verkon älykkyydestä on mahdotonta päästä kokonaan eroon. Jos esimerkiksi poistat ICMP-kaiun ja kaikuvastauksen käytöstä reunareitittimissä, pääset eroon ping-testauksesta, mutta menetät verkkovikojen diagnosointiin tarvittavat tiedot.

Lisäksi voit skannata portteja ilman alustavaa ping-testausta - se vie vain enemmän aikaa, koska joudut tarkistamaan olemattomia IP-osoitteita. Verkko- ja isäntätason IDS-järjestelmät tekevät tyypillisesti hyvää työtä varoittaessaan järjestelmänvalvojia käynnissä olevasta verkon tiedustelusta, jolloin he voivat valmistautua paremmin tulevaan hyökkäykseen ja varoittaa Internet-palveluntarjoajaa (ISP), jonka verkossa järjestelmä on liian utelias:

  1. käyttää uusimpia käyttöjärjestelmien ja sovellusten versioita sekä uusimpia korjausmoduuleja (korjauspäivityksiä);
  2. Käytä järjestelmänhallinnan lisäksi hyökkäysten havaitsemisjärjestelmiä (IDS) - kahta toisiaan täydentävää ID-tekniikkaa:
    • Network IDS System (NIDS) valvoo kaikkia paketteja, jotka kulkevat tietyn toimialueen kautta. Kun NIDS-järjestelmä näkee paketin tai pakettien sarjan, joka vastaa tunnetun tai todennäköisen hyökkäyksen allekirjoitusta, se luo hälytyksen ja/tai lopettaa istunnon;
    • IDS-järjestelmä (HIDS) suojaa isäntää ohjelmistoagenttien avulla. Tämä järjestelmä taistelee vain yhtä isäntäkohtaisia ​​hyökkäyksiä vastaan.

IDS-järjestelmät käyttävät työssään hyökkäysallekirjoituksia, jotka ovat profiileja tietyistä hyökkäyksistä tai hyökkäystyypeistä. Allekirjoitukset määrittelevät ehdot, joissa liikennettä pidetään hakkerina. IDS:n analogeja fyysisessä maailmassa voidaan pitää varoitusjärjestelmänä tai valvontakamerana.

IDS:n suurin haitta on niiden kyky luoda hälytyksiä. Väärien hälytysten määrän minimoimiseksi ja IDS-järjestelmän oikean toiminnan varmistamiseksi verkossa on järjestelmän huolellinen konfigurointi tarpeen.

Luottamuksen rikkominen

Tarkkaan ottaen tämäntyyppinen toiminta ei ole sanan täydessä merkityksessä hyökkäystä tai hyökkäystä. Se edustaa verkossa olevien luottamussuhteiden haitallista hyväksikäyttöä. Klassinen esimerkki tällaisesta väärinkäytöstä on tilanne yritysverkon reuna-alueella.

Tämä segmentti sisältää usein DNS-, SMTP- ja HTTP-palvelimia. Koska ne kaikki kuuluvat samaan segmenttiin, minkä tahansa niistä hakkerointi johtaa kaikkien muiden hakkerointiin, koska nämä palvelimet luottavat muihin verkkonsa järjestelmiin.

Toinen esimerkki on palomuurin ulkopuolelle asennettu järjestelmä, jolla on luottamussuhde palomuurin sisäpuolelle asennettuun järjestelmään. Jos ulkoinen järjestelmä vaarantuu, hakkeri voi käyttää luottamussuhdetta tunkeutuakseen palomuurin suojaamaan järjestelmään.

Luottamuksen rikkomisen riskiä voidaan pienentää valvomalla tiukemmin verkostosi luottamustasoja. Palomuurin ulkopuolella sijaitsevilla järjestelmillä ei pitäisi koskaan olla absoluuttista luottamusta palomuurilla suojattuihin järjestelmiin.

Luottamussuhteet tulisi rajoittaa tiettyihin protokolliin, ja jos mahdollista, ne tulee todentaa muilla parametreilla kuin IP-osoitteilla.

Portin uudelleenohjaus

Portin edelleenlähetys on luottamuksen väärinkäytön muoto, jossa vaarantunutta isäntäkonetta käytetään kuljettamaan liikennettä palomuurin läpi, joka muuten hylättäisiin. Kuvitellaanpa palomuuria, jossa on kolme rajapintaa, joista jokainen on kytketty tiettyyn isäntään.

Ulkoinen isäntä voi muodostaa yhteyden jaettuun isäntään (DMZ), mutta ei palomuurin sisäpuolelle asennettuun isäntään. Jaettu isäntä voi muodostaa yhteyden sekä sisäiseen että ulkoiseen isäntään. Jos hakkeri ottaa haltuunsa jaetun isännän, hän voi asentaa siihen ohjelmiston, joka ohjaa liikenteen ulkoisesta isännästä suoraan sisäiseen.

Vaikka tämä ei riko mitään näytön sääntöjä, ulkoinen isäntä saa suoran pääsyn suojattuun isäntään uudelleenohjauksen seurauksena. Esimerkki sovelluksesta, joka voi tarjota tällaisen pääsyn, on netcat. Lisätietoja löytyy osoitteesta http://www.avian.org.

Pääasiallinen tapa torjua porttien edelleenlähetystä on käyttää vahvaa luottamusmalleja (katso edellinen osa). Lisäksi isäntä IDS-järjestelmä (HIDS) voi estää hakkeria asentamasta ohjelmistoaan isäntään.

Luvaton pääsy

Luvaton pääsy ei ole erillinen hyökkäystyyppi, koska useimmat verkkohyökkäykset tehdään nimenomaan luvattoman pääsyn saamiseksi. Arvaakseen Telnet-kirjautumisen hakkerin on ensin saatava Telnet-vihje järjestelmäänsä. Kun yhteys Telnet-porttiin, näyttöön tulee viesti "valtuutus vaaditaan tämän resurssin käyttöön" (" Tämän resurssin käyttämiseen vaaditaan lupa.»).

Jos hakkeri jatkaa pääsyn yrittämistä tämän jälkeen, hänet katsotaan luvattomiksi. Tällaisten hyökkäysten lähde voi olla joko verkon sisällä tai sen ulkopuolella.

Menetelmät luvattoman käytön estämiseksi ovat melko yksinkertaisia. Tärkeintä tässä on vähentää tai poistaa kokonaan hakkerin kyky päästä järjestelmään luvattomalla protokollalla.

Harkitse esimerkiksi, että hakkereita estetään pääsemästä Telnet-porttiin palvelimella, joka tarjoaa Web-palveluita ulkoisille käyttäjille. Ilman pääsyä tähän porttiin hakkeri ei voi hyökätä siihen. Mitä tulee palomuuriin, sen päätehtävänä on estää yksinkertaisimmat luvattoman käytön yritykset.

Virukset ja Troijan hevossovellukset

Loppukäyttäjien työasemat ovat erittäin herkkiä viruksille ja troijalaisille. Virukset ovat haittaohjelmia, jotka lisätään muihin ohjelmiin suorittamaan tietyn ei-toivotun toiminnon loppukäyttäjän työasemalla. Esimerkki on virus, joka on kirjoitettu tiedostoon command.com (Windows-järjestelmien päätulkki) ja joka poistaa muut tiedostot ja saastuttaa myös kaikki muut löytämänsä command.com-versiot.

Troijan hevonen ei ole ohjelmistolisäosa, vaan todellinen ohjelma, joka ensi silmäyksellä näyttää hyödylliseltä sovellukselta, mutta jolla on itse asiassa haitallinen rooli. Esimerkki tyypillisestä Troijan hevosesta on ohjelma, joka näyttää yksinkertaiselta peliltä käyttäjän työasemalle.

Kuitenkin, kun käyttäjä pelaa peliä, ohjelma lähettää kopion itsestään sähköpostitse jokaiselle kyseisen käyttäjän osoitekirjan tilaajalle. Kaikki tilaajat saavat pelin postitse, mikä johtaa sen jakeluun.

Taistelu viruksia ja troijalaisia ​​vastaan ​​tapahtuu tehokkaan virustorjuntaohjelmiston avulla, joka toimii käyttäjätasolla ja mahdollisesti verkkotasolla. Virustorjuntatuotteet tunnistavat useimmat virukset ja troijalaiset ja estävät niiden leviämisen.

Uusimman tiedon hankkiminen viruksista auttaa sinua torjumaan niitä tehokkaammin. Kun uusia viruksia ja troijalaisia ​​ilmaantuu, yritysten on asennettava uusia versioita virustentorjuntatyökaluista ja -sovelluksista.

Tietokonejärjestelmämme ovat alttiina erilaisille hyökkäyksille. Järjestelmän suojaamiseksi näiltä hyökkäyksiltä on tärkeää tuntea yleiset tietokonehyökkäykset, sillä nykymaailmassa on tullut lähes tavallinen tilanne, kun kuulemme henkilökohtaisiin tietokonejärjestelmiin tai verkkoihin joutuvista hyökkäyksistä. Tällä tekniikan aikakaudella on olemassa erilaisia ​​tietokonehyökkäyksiä, joilta sinun on suojattava arvokkaita tietojasi, järjestelmiäsi ja verkkojasi. Vaikka jotkut hyökkäykset voivat yksinkertaisesti vahingoittaa tietokoneessa olevia tietoja, on muita hyökkäyksiä, joissa tietokonejärjestelmän tiedot voivat Sekä muut hyökkäykset, joissa koko verkko voidaan sulkea.

Yksinkertaisesti sanottuna hyökkäyksiä on kahta päätyyppiä, passiiviset hyökkäykset ja aktiiviset hyökkäykset. Passiiviset hyökkäykset ovat sellaisia, joissa tietokoneen tietoja valvotaan ja niitä käytetään myöhemmin haitallisiin etuihin, kun taas aktiiviset hyökkäykset ovat sellaisia, joissa tapahtuu joko muutoksia tai dataa. poistetaan tai verkot tuhotaan kokonaan. Alla on joitain yleisimpiä aktiivisia ja passiivisia hyökkäyksiä, jotka voivat vaikuttaa tietokoneisiin.

Aktiiviset tietokonehyökkäykset

Virus

Tunnetuimmat tietokonehyökkäykset ja virukset ovat olleet olemassa jo pitkään, ja ne asennetaan tietokoneille ja leviävät muihin järjestelmän tiedostoihin. Ne levitetään usein ulkoisten kiintolevyjen tai tiettyjen Internet-sivustojen kautta tai sähköpostin liitetiedostoina.Kun virukset käynnistetään, ne tulevat itsenäisiksi luojasta ja niiden tavoitteena on saastuttaa monia tiedostoja ja muita järjestelmiä.

Root Kit

Hakkerit pääsevät järjestelmään käyttämällä ajurien juurisarjaa ja ottavat tietokoneen täydellisen hallintaansa.Ne ovat vaarallisimpia tietokonehyökkäyksiä, koska hakkeri voi hallita järjestelmää enemmän kuin järjestelmän omistaja. Joissakin tapauksissa hakkerit voivat myös käynnistää verkkokameran ja seurata uhrin toimintaa tietäen kaiken hänestä.

troijalainen

Tietokonehyökkäysten luettelossa Troijan hevoset ovat korkeimmalla sijalla virusten jälkeen. Ne on usein upotettu ohjelmistoon, näytönsäästäjiin tai peleihin, jotka toimivat normaalisti. Kuitenkin, kun ne on kopioitu järjestelmään, ne tartuttavat tietokoneen viruksen tai juurisarjan kanssa. Toisin sanoen ne toimivat viruksen kantajina tai rootkit-paketteina järjestelmän tartuttamiseksi.

Mato

Madoja voidaan kutsua virusten sukulaisiksi. Virusten ja Internet-matojen ero on se, että madot tartuttavat järjestelmän ilman käyttäjän apua. Ensimmäinen askel on, että madot etsivät tietokoneita haavoittuvuuksien varalta, kopioivat itsensä järjestelmään ja tartuttavat järjestelmän, ja prosessi toistuu.

Passiiviset tietokonehyökkäykset

Salakuuntelu

Kuten nimestä voi päätellä, hakkerit kuulevat vaivihkaa keskusteluja, joita käydään kahden verkossa olevan tietokoneen välillä. Tämä voi tapahtua suljetussa järjestelmässä sekä Internetin kautta. Muut nimet, joihin se liittyy, ovat nuuskimista. Salakuuntelun avulla arkaluontoiset tiedot voivat kulkeutua verkon yli ja muut ihmiset voivat päästä niihin käsiksi.

Salasanahyökkäykset

Yksi yleisimmistä kyberhyökkäyksistä on salasanahyökkäykset. Tässä hakkerit pääsevät tietokoneeseen ja verkkoresursseihin hankkimalla ohjaussalasanan. Usein nähdään, että hyökkääjä on muuttanut palvelin- ja verkkoasetuksia ja joissain tapauksissa jopa Lisäksi tiedot voidaan siirtää eri verkkoihin.

Vaarallinen hyökkäysavain

Luottamuksellisten tietojen tallentamiseen voidaan käyttää salaista koodia tai numeroa. Avaimen saaminen on epäilemättä todella suuri tehtävä hakkereille, ja on mahdollista, että hakkeri pystyy intensiivisen tutkimuksen jälkeen panemaan kätensä avaimiin. Kun avain on hakkerin hallussa, se tunnetaan vaarantuneena avaimena. Hakkeri pääsee nyt käsiksi luottamuksellisiin tietoihin ja voi tehdä muutoksia tietoihin. On kuitenkin myös mahdollista, että hakkeri kokeilee erilaisia ​​permutaatioita ja avaimen yhdistelmiä päästäkseen muihin arkaluonteisiin tietoihin.

Identiteettinä esiintyminen

Jokaisella tietokoneella on IP-osoite, jonka ansiosta se on kelvollinen ja riippumaton verkossa.Yksi yleisimmistä tietokonehyökkäyksistä on olettaa toisen tietokoneen identiteetti.Tässä voidaan lähettää IP-paketteja kelvollisista osoitteista ja päästä tiettyyn IP-osoitteeseen. Kun käyttöoikeus on saatu, järjestelmätietoja voidaan poistaa, muokata tai uudelleenohjata. Lisäksi hakkeri voi käyttää tätä vaarantunutta IP-osoitetta hyökätäkseen muihin verkon sisällä tai ulkopuolella oleviin järjestelmiin.

Sovelluskerroksen hyökkäykset

Sovellustason hyökkäyksen tavoitteena on aiheuttaa kaatuminen palvelimen käyttöjärjestelmään. Kun käyttöjärjestelmään on luotu vika, hakkeri pääsee hallitsemaan palvelinta. Tämä puolestaan ​​​​johtaa tietojen muokkaamiseen eri tavoin . Järjestelmään saattaa joutua virus tai palvelimelle voidaan lähettää useita pyyntöjä, mikä saattaa aiheuttaa sen kaatumisen tai suojaustoiminnot voidaan poistaa käytöstä, mikä vaikeuttaa palvelimen palauttamista.

Nämä olivat joitain hyökkäyksiä, joihin palvelimiin ja yksittäisiin tietokonejärjestelmiin voi kohdistua Uusimpien tietokonehyökkäysten luettelo kasvaa edelleen joka päivä, joihin hakkerit käyttävät uusia hakkerointimenetelmiä.

Taulukko 9.1.
Protokollan nimi Taso protokollapino Haavoittuvuuden nimi (ominaisuus). Rikkomuksen sisältö tietoturva
FTP (File Transfer Protocol) – protokolla tiedostojen siirtämiseen verkon kautta
  • Perustuu todennus selkeä teksti(salasanat lähetetään salaamattomina)
  • Oletuskäyttöoikeus
  • Kahden avoimen portin saatavuus
  • Tilaisuus tietojen sieppaus
telnet - ohjausprotokolla etäpääte Hakemus, edustaja, istunto Perustuu todennus selkeä teksti(salasanat lähetetään salaamattomina)
  • Tilaisuus tietojen sieppaus tili (rekisteröidyt käyttäjätunnukset, salasanat).
  • Etäyhteyden saaminen isännille
UDP- tiedonsiirtoprotokolla yhteydetön Kuljetus Ei mekanismia puskurin ylikuormituksen estämiseksi
  • Mahdollisuus toteuttaa UDP myrsky.
  • Pakettien vaihdon seurauksena palvelimen suorituskyky heikkenee merkittävästi
ARP – IP-osoite fyysiseen osoitteeseen Verkko Perustuu todennus selkeä teksti(tiedot lähetetään salaamattomina) Hyökkääjän mahdollisuus siepata käyttäjäliikennettä
RIP – Routing Information Protocol Kuljetus Reitinmuutosohjausviestien todentamisen puute Mahdollisuus ohjata liikennettä hyökkääjän isännän kautta
TCP ohjausprotokolla siirtää Kuljetus Mekanismin puute pakettipalvelun otsikoiden oikean täytön tarkistamiseksi Tiedonsiirtonopeuden huomattava lasku ja mielivaltaisten yhteyksien täydellinen katkaisu TCP-protokollan kautta
DNS – protokolla, jolla luodaan vastaavuus muistonimien ja verkko-osoitteiden välillä Hakemus, edustaja, istunto Ei ole keinoja varmistaa lähteestä vastaanotettujen tietojen todennus DNS-palvelimen vastauksen peukalointi
IGMP – Routing Message Protocol Verkko Reittiparametrien muuttamista koskevien viestien autentikoinnin puute Win 9x/NT/2000 järjestelmät jäätyvät
SMTP – protokolla sähköpostiviestien toimituspalvelun tarjoamiseksi Hakemus, edustaja, istunto Mahdollisuus väärentää sähköpostiviestejä sekä osoitteita viestin lähettäjä
SNMP ohjausprotokolla reitittimet verkoissa Hakemus, edustaja, istunto Viestin otsikon todennusta ei tueta Mahdollisuus ylikuormittaa verkon kaistanleveyttä

Verkon kautta toteutetut uhat luokitellaan seuraavien pääominaisuuksien mukaan:

  1. uhan luonne.

    Passiivinen - uhka, joka ei vaikuta tietojärjestelmän toimintaan, mutta voi rikkoa suojatun tiedon pääsyn sääntöjä. Esimerkki: nuuskijan käyttö verkon "kuuntelemiseen". Aktiivinen – tietojärjestelmän osiin vaikuttava uhka, jonka toteutuksella on suora vaikutus järjestelmän toimintaan. Esimerkki: DDOS-hyökkäys TCP-pyyntömyrskyn muodossa.

  2. uhan tavoite(vastaavasti luottamuksellisuus, saatavuus, tietojen eheys).
  3. hyökkäyksen aloitusehto:
    • hyökkääjän pyynnöstä. Toisin sanoen hyökkääjä odottaa tietyntyyppisen pyynnön lähettämistä, mikä on hyökkäyksen alkamisen ehto.
    • odotetun tapahtuman sattuessa hyökkäyksen kohteena olevassa kohteessa.
    • ehdoton vaikutus - hyökkääjä ei odota mitään, eli uhka toteutetaan välittömästi ja riippumatta hyökätyn kohteen tilasta.
  4. palautteen saatavuus hyökätyn kohteen kanssa:
    • palautetta, eli hyökkääjän on saatava vastaus joihinkin pyyntöihin. Siten kohteen ja hyökkääjän välillä on palautetta, jonka avulla hyökkääjä voi seurata hyökätyn kohteen tilaa ja reagoida riittävästi sen muutoksiin.
    • ilman palautetta - näin ollen palautetta ei ole, eikä hyökkääjän tarvitse reagoida muutoksiin hyökkäyksissä.
  5. tunkeilijan sijainti suhteessa hyökkäyksen kohteena olevaan tietojärjestelmään: segmenttien sisäinen ja segmenttien välinen. Verkkosegmentti on fyysinen yhdistelmä isäntiä, laitteistoja ja muita verkko-osia, joilla on verkko-osoite. Esimerkiksi yhden segmentin muodostavat tietokoneet, jotka on kytketty yhteiseen Token Ring -väylään.
  6. ISO/OSI-viitemallikerros, jossa uhka toteutetaan: fyysinen, kanava, verkko, kuljetus, istunto, edustaja, sovellus.

Katsotaanpa tällä hetkellä yleisimpiä hyökkäyksiä verkoissa, jotka perustuvat protokollapino TCP/IP.

  1. Verkkoliikenteen analyysi. Tämä hyökkäys toteutetaan erityisellä sniffer-ohjelmalla. Sniffer on sovellusohjelma, joka käyttää verkkokorttia, joka toimii promiscuous-tilassa, niin sanotussa "promiscuous"-tilassa, jossa verkkokortti sallii kaikkien pakettien hyväksymisen riippumatta siitä, kenelle ne on osoitettu. Normaalitilassa Ethernet-liitännässä käytetään linkkikerroksen pakettisuodatusta ja jos vastaanotetun paketin kohdeotsikossa oleva MAC-osoite ei vastaa nykyisen paketin MAC-osoitetta. verkkoliitäntä ja se ei ole lähetys, paketti hylätään. "Promiscuous"-tilassa, suodatus verkkoliitäntä on poistettu käytöstä ja kaikki paketit, mukaan lukien ne, joita ei ole tarkoitettu nykyiselle solmulle, sallitaan järjestelmään. On huomattava, että monia tällaisia ​​ohjelmia käytetään laillisiin tarkoituksiin, esimerkiksi vikojen diagnosointiin tai liikenteen analysointiin. Yllä tarkastelemassamme taulukossa on kuitenkin lueteltu protokollat, jotka lähettävät tietoja, mukaan lukien salasanat, selkeänä tekstinä - FTP, SMTP, POP3 jne. Siten nuuskijaa käyttämällä voit siepata käyttäjätunnuksesi ja salasanasi ja saada luvattoman pääsyn luottamuksellisiin tietoihin. Lisäksi monet käyttäjät käyttävät samoja salasanoja päästäkseen moniin verkkopalveluihin. Eli jos yhdessä paikassa verkossa on heikkous heikon autentikoinnin muodossa, koko verkko voi kärsiä. Hyökkääjät ovat hyvin tietoisia inhimillisistä heikkouksista ja käyttävät laajalti sosiaalisen manipuloinnin menetelmiä.

    Suojaus tämäntyyppisiä hyökkäyksiä vastaan ​​voi sisältää seuraavat:

    • Vahva todennus esim. käyttämällä kertaluonteiset salasanat(kertakäyttöinen salasana). Ajatuksena on, että salasanaa voidaan käyttää kerran, ja vaikka hyökkääjä sieppaisi sen haistajalla, sillä ei ole arvoa. Tietenkin tämä suojamekanismi suojaa vain salasanojen sieppaukselta, ja se on hyödytön, jos siepataan muita tietoja, kuten sähköposti.
    • Nuuskanestolaitteet ovat laitteita tai ohjelmistoja, jotka voivat havaita nuuskijan toiminnan verkkosegmentissä. Yleensä he tarkistavat verkon solmujen kuormituksen määrittääkseen "ylimääräisen" kuorman.
    • Kytketty infrastruktuuri. On selvää, että verkkoliikenteen analysointi on mahdollista vain yhden verkkosegmentin sisällä. Jos verkko on rakennettu laitteisiin, jotka jakavat sen useisiin segmentteihin (kytkimet ja reitittimet), hyökkäys on mahdollista vain niissä verkon osissa, jotka kuuluvat johonkin näiden laitteiden porteista. Tämä ei ratkaise haistelemisen ongelmaa, mutta se vähentää rajoja, joita hyökkääjä voi "kuunnella".
    • Kryptografiset menetelmät. Luotettavin tapa käsitellä nuuskijatyötä. Sieppauksella saatavat tiedot ovat salattuja, joten niillä ei ole käyttöä. Yleisimmin käytettyjä ovat IPSec, SSL ja SSH.
  2. Verkkoskannaus.Verkkoskannauksen tarkoituksena on tunnistaa verkossa käynnissä olevat palvelut, avoimet portit, aktiiviset verkkopalvelut, käytetyt protokollat ​​jne. eli tiedon kerääminen verkosta. Yleisimmin käytetyt menetelmät verkkoskannaukseen ovat:
    • DNS-kyselyt auttavat hyökkääjää selvittämään verkkotunnuksen omistajan, osoitealueen,
    • ping-testaus – tunnistaa toimivat isännät aiemmin hankittujen DNS-osoitteiden perusteella;
    • porttien skannaus - täydellinen luettelo näiden isäntien tukemista palveluista, avoimista porteista, sovelluksista jne. on koottu.

    Hyvä ja yleisin vastatoimi on IDS:n käyttö, joka löytää onnistuneesti verkkoskannauksen merkit ja ilmoittaa niistä järjestelmänvalvojalle. Tästä uhasta on mahdotonta päästä eroon kokonaan, koska jos esimerkiksi poistat ICMP-kaiun ja kaikuvastauksen käytöstä reitittimessäsi, voit päästä eroon ping-uhkista, mutta samalla menettää verkkovikojen diagnosointiin tarvittavat tiedot. .

  3. Salasanan paljastaminen.Tämän hyökkäyksen päätavoite on saada luvaton pääsy suojattuihin resursseihin salasanasuojauksen voittamalla. Hyökkääjä voi hankkia salasanan useilla menetelmillä - yksinkertaisella raakavoimalla, sanakirjan raakavoimalla, haistelemalla jne. Yleisin on yksinkertainen brute force -haku kaikista mahdollisista salasana-arvoista. Suojautuaksesi yksinkertaiselta raa'alta voimalta, sinun on käytettävä vahvoja salasanoja, joita ei ole helppo arvata: 6-8 merkkiä pitkä, käytä isoja ja pieniä kirjaimia, käytä erikoismerkkejä (@, #, $ jne.).

    Toinen tietoturvaongelma on, että useimmat ihmiset käyttävät samoja salasanoja kaikissa palveluissa, sovelluksissa, sivustoissa jne. Lisäksi salasanan haavoittuvuus riippuu sen heikoimmasta käyttöalueesta.

    Tämäntyyppiset hyökkäykset voidaan välttää käyttämällä kertaluonteisia salasanoja, joista keskustelimme aiemmin, tai kryptografista todennusta.

  4. IP-osoitteen huijaus tai luotetun verkkoobjektin korvaaminen.Trusted tarkoittaa tässä tapauksessa verkkoobjektia (tietokone, reititin, palomuuri jne.), joka on laillisesti yhdistetty palvelimeen. Uhka koostuu siitä, että hyökkääjä esiintyy luotettavana verkkoobjektina. Tämä voidaan tehdä kahdella tavalla. Käytä ensin IP-osoitetta, joka on valtuutettujen IP-osoitteiden alueella, tai valtuutettua ulkoista osoitetta, jolla on pääsy tiettyihin verkkoresursseihin. Tämäntyyppinen hyökkäys on usein lähtökohta muille hyökkäyksille.

    Tyypillisesti luotetun verkkokokonaisuuden huijaus rajoittuu väärien tietojen tai haitallisten komentojen lisäämiseen normaaliin verkkoolioiden välillä siirrettävään tietovirtaan. Kaksisuuntaista viestintää varten hyökkääjän on muutettava kaikki reititystaulukot ohjaamaan liikenne väärään IP-osoitteeseen, mikä on myös mahdollista. Voit lieventää uhkaa (mutta ei poistaa sitä) käyttämällä seuraavaa:

    • kulunvalvonta. Voit määrittää kulunvalvonnan hylkäämään kaiken liikenteen, joka tulee ulkoisesta verkosta, jonka lähdeosoite on verkon sisällä. Tämä menetelmä on tehokas, jos vain sisäiset osoitteet on valtuutettu, eikä se toimi, jos valtuutettuja ulkoisia osoitteita on.
    • RFC 2827 -suodatus – tämän tyyppisen suodatuksen avulla voit estää verkkosi käyttäjien yritykset huijata muita verkkoja. Tätä varten sinun on hylättävä kaikki lähtevä liikenne, jonka lähdeosoite ei ole jokin organisaatiosi IP-osoitteista. Usein tämän tyyppisen suodatuksen suorittaa palveluntarjoaja. Tämän seurauksena kaikki liikenne, jolla ei ole tietyssä käyttöliittymässä odotettua lähdeosoitetta, hylätään. Jos Internet-palveluntarjoaja esimerkiksi tarjoaa yhteyden IP-osoitteeseen 15.1.1.0/24, se voi määrittää suodattimen siten, että vain osoitteesta 15.1.1.0/24 peräisin oleva liikenne sallitaan kyseisestä rajapinnasta Internet-palveluntarjoajan reitittimeen. Huomaa, että ennen kuin kaikki palveluntarjoajat ottavat käyttöön tämän tyyppisen suodatuksen, sen tehokkuus on paljon mahdollista.
    • Lisätodennusmenetelmien käyttöönotto. IP-huijaus on mahdollista vain IP-pohjaisella todennuksella. Jos otat käyttöön joitain lisätodennustoimenpiteitä, esimerkiksi kryptografisia, hyökkäys tulee hyödyttömäksi.
  5. Palvelunesto (DoS)- hyökkäys tietokonejärjestelmään, jonka tarkoituksena on saada se epäonnistumaan, toisin sanoen luoda olosuhteet, joissa järjestelmän lailliset käyttäjät eivät voi käyttää järjestelmän tarjoamia resursseja tai pääsy on vaikeaa.

    DoS-hyökkäys on viime aikoina yleisin ja tunnetuin hyökkäys, mikä johtuu ensisijaisesti toteutuksen helppoudesta. DOS-hyökkäyksen järjestäminen vaatii vähimmäistietoja ja taitoja ja perustuu verkkoohjelmiston ja verkkoprotokollien puutteisiin. Jos hyökkäys tehdään useisiin verkkolaitteisiin, sitä kutsutaan hajautettuksi DoS-hyökkäykseksi (DDoS).

    Nykyään käytetään yleisimmin seuraavia viittä DoS-hyökkäystyyppiä, joille on olemassa suuri määrä ohjelmistoja ja joilta on vaikeinta suojautua:

    • Smurffi- ICMP-ping-pyynnöt. Kun ping-paketti (ICMP ECHO -viesti) lähetetään yleislähetysosoitteeseen (esimerkiksi 10.255.255.255), se toimitetaan jokaiselle kyseisen verkon koneelle. Hyökkäyksen periaate on lähettää ICMP ECHO REQUEST -paketti, jossa on hyökkäyksen kohteena olevan isännän lähdeosoite. Hyökkääjä lähettää jatkuvan ping-pakettivirran verkon lähetysosoitteeseen. Kaikki koneet, saatuaan pyynnön, vastaavat lähteelle ICMP ECHO REPLY -paketilla. Vastaavasti vastauspakettivirran koko kasvaa verrannollisesti isäntien määrään useita kertoja. Tämän seurauksena koko verkko on ruuhkautumisen vuoksi alttiina palveluevälle.
    • ICMP-tulva- Smurffin kaltainen hyökkäys, mutta ilman ohjattua lähetysosoitetta koskevien pyyntöjen luomaa vahvistusta.
    • UDP-tulva- useiden UDP- (User Datagram Protocol) -pakettien lähettäminen hyökkäyksen kohteena olevan solmun osoitteeseen.
    • TCP-tulva- useiden TCP-pakettien lähettäminen hyökkäyksen kohteena olevan solmun osoitteeseen.
    • TCP SYN -tulva- tämän tyyppistä hyökkäystä suoritettaessa lähetetään suuri määrä pyyntöjä TCP-yhteyksien alustamiseksi hyökkäyksen kohteena olevan solmun kanssa, minkä seurauksena sen on käytettävä kaikki resurssinsa näiden osittain avoimien yhteyksien seuraamiseen.

    Jos käytät Web-palvelinta tai FTP-palvelinsovellusta, DoS-hyökkäys saa aikaan sen, että kaikki näiden sovellusten käytettävissä olevat yhteydet ovat varattuja, eivätkä käyttäjät voi käyttää niitä. Jotkut hyökkäykset voivat kaataa koko verkon täyttämällä sen tarpeettomilla paketeilla. Tällaisten hyökkäysten torjumiseksi palveluntarjoajan osallistuminen on välttämätöntä, koska jos se ei pysäytä ei-toivottua liikennettä verkon sisäänkäynnissä, hyökkäystä ei pysäytetä, koska kaistanleveys on varattu.

    Seuraavia ohjelmia käytetään useimmiten DoS-hyökkäyksen toteuttamiseen:

    • Trinoo- on melko primitiivinen ohjelma, josta tuli historiallisesti ensimmäinen, joka järjesti yhden tyypin DoS-hyökkäykset - UDP-tulva. "Trinoo"-perheen ohjelmat tunnistetaan helposti tavallisilla tietoturvatyökaluilla, eivätkä ne aiheuta uhkaa turvallisuudestaan ​​edes vähän välittäville.
    • TFN ja TFN2K- vakavampi ase. Voit järjestää samanaikaisesti useita erilaisia ​​hyökkäyksiä - Smurf, UDP-tulva, ICMP-tulva ja TCP SYN-tulva. Näiden ohjelmien käyttö vaatii hyökkääjältä paljon taitavampaa.
    • Uusin työkalu DoS-hyökkäysten järjestämiseen - Stacheldracht("piikkilanka"). Tämän paketin avulla voit järjestää erilaisia ​​hyökkäyksiä ja yleislähetysten ping-pyyntöjen lumivyöryjä. Lisäksi rekisterinpitäjien ja agenttien välinen tiedonvaihto on salattu ja itse ohjelmistoon on sisäänrakennettu automaattinen muokkaustoiminto. Salaus tekee hyökkääjän havaitsemisesta erittäin vaikeaa.

    Voit vähentää uhkaa käyttämällä seuraavia keinoja:

    • Huijauksenestoominaisuudet – Huijauksenestoominaisuuksien oikea määrittäminen reitittimillesi ja palomuurillesi auttaa vähentämään DoS-riskiä. Näihin ominaisuuksiin tulee sisältyä vähintään RFC 2827 -suodatus. Jos hakkeri ei voi peittää todellista henkilöllisyyttään, hän ei todennäköisesti suorita hyökkäystä.
    • Anti-DoS-ominaisuudet - DoS-vastaisten ominaisuuksien oikea konfigurointi reitittimissä ja palomuureissa voi rajoittaa hyökkäysten tehokkuutta. Nämä ominaisuudet rajoittavat usein puoliavoimien kanavien määrää kulloinkin.
    • Liikennenopeuden rajoittaminen – organisaatio voi pyytää Internet-palveluntarjoajaa rajoittamaan liikenteen määrää. Tämän tyyppisen suodatuksen avulla voit rajoittaa verkon läpi kulkevan ei-kriittisen liikenteen määrää. Yleinen esimerkki on ICMP-liikenteen määrän rajoittaminen, jota käytetään vain diagnostisiin tarkoituksiin. DoS-hyökkäykset käyttävät usein ICMP:tä.

    Tämän tyyppisiä uhkia on useita:

    • Piilotettu palvelunesto, kun osaa verkkoresursseista käytetään hyökkääjän lähettämien pakettien käsittelyyn, mikä vähentää kanavan kapasiteettia, häiritsee pyyntöjen käsittelyaikaa ja häiritsee verkkolaitteiden suorituskykyä. Esimerkki: suunnattu ICMP-kaikupyyntömyrsky tai TCP-yhteyspyyntömyrsky.
    • Ilmeinen palvelunesto, joka johtuu verkkoresurssien loppumisesta hyökkääjien lähettämien pakettien käsittelyn seurauksena. Samaan aikaan laillisia käyttäjien pyyntöjä ei voida käsitellä, koska koko kanavan kaistanleveys on varattu, puskurit ovat täynnä, levytila ​​on täynnä jne. Esimerkki: suunnattu myrsky (SYN-tulva).
    • Ilmeinen palvelunesto, joka johtuu verkon teknisten välineiden välisen loogisen yhteyden rikkomisesta, kun hyökkääjä lähettää ohjausviestejä verkkolaitteiden puolesta. Tässä tapauksessa reititys- ja osoitetiedot muuttuvat. Esimerkki: ICMP Redirect Host tai DNS-tulva.
    • Selkeä palvelunesto, jonka aiheuttaa hyökkääjä lähettää paketteja, joilla on epästandardiattribuutit (esimerkiksi UDP-pommi) tai joiden pituus ylittää enimmäispituuden (Ping Death).

    DoS-hyökkäysten tarkoituksena on häiritä tietojen saatavuutta, eivätkä ne loukkaa eheyttä ja luottamuksellisuutta.

  6. Sovellustason hyökkäykset. Tämäntyyppinen hyökkäys sisältää palvelinohjelmistojen (HTML, sendmail, FTP) aukkojen hyödyntämisen. Näiden haavoittuvuuksien avulla hyökkääjä pääsee tietokoneeseen sovelluksen käyttäjän puolesta. Sovelluskerroksen hyökkäykset käyttävät usein portteja, jotka voivat "läpäistä" palomuurin.

    Suurin ongelma sovellustason hyökkäyksissä on, että ne käyttävät usein portteja, joiden sallitaan kulkea palomuurin läpi. Esimerkiksi Web-palvelimeen hyökkäävä hakkeri saattaa käyttää TCP-porttia 80. Jotta Web-palvelin voi palvella sivuja käyttäjille, palomuurin portin 80 on oltava auki. Palomuurin näkökulmasta hyökkäystä käsitellään portin 80 normaalina liikenteenä.

    Sovellustason hyökkäyksiä on mahdotonta eliminoida kokonaan, koska uusia haavoittuvuuksia sisältäviä sovellusohjelmia ilmaantuu säännöllisesti. Tärkeintä tässä on hyvä järjestelmänhallinta. Tässä on joitain toimenpiteitä, joilla voit vähentää haavoittuvuuttasi tämäntyyppisille hyökkäyksille:

    • lokien lukeminen (järjestelmä ja verkko);
    • uusien ohjelmistojen haavoittuvuuksien seuranta käyttämällä erikoistuneita sivustoja, esimerkiksi http://www.cert.com.
    • IDS:n käyttöä.

Verkkohyökkäyksen luonteesta johtuen on selvää, että jokainen verkkosolmu ei hallitse sen esiintymistä. Emme ole huomioineet kaikkia verkkoon kohdistuvia hyökkäyksiä, vaan käytännössä niitä on paljon enemmän. Kaikilta hyökkäyksiltä suojautuminen ei kuitenkaan näytä olevan mahdollista. Paras tapa suojata verkon kehää on poistaa haavoittuvuudet, joita käytetään useimmissa kyberrikollisissa hyökkäyksissä. Luettelot tällaisista haavoittuvuuksista on julkaistu monilla sivustoilla, jotka keräävät tällaisia ​​tilastoja, esimerkiksi SANS Instituten verkkosivustolla: http://www.sans.org/top-cyber-security-risks/?ref=top20. Tavallinen hyökkääjä ei etsi alkuperäisiä hyökkäysmenetelmiä, vaan etsii verkosta tunnetun haavoittuvuuden ja hyödyntää sitä.

Hyökkäyksiä on neljä pääluokkaa:

· pääsyhyökkäykset;

· muutoshyökkäykset;

· Palvelunestohyökkäykset;

· hyökkäykset vastuuvapauslauseketta vastaan.

Katsotaanpa tarkemmin jokaista luokkaa. Hyökkäyksiin on monia tapoja: käyttämällä erityisesti kehitettyjä työkaluja, sosiaalisen suunnittelun menetelmiä ja tietokonejärjestelmien haavoittuvuuksia. Social engineeringissä ei käytetä teknisiä keinoja luvattoman pääsyn saamiseksi järjestelmään. Hyökkääjä saa tietoja yksinkertaisella puhelulla tai tunkeutuu organisaatioon työntekijän varjolla. Tämäntyyppiset hyökkäykset ovat tuhoisimpia.

Sähköisesti tallennetun tiedon kaappaamiseen tähtäävillä hyökkäyksillä on yksi mielenkiintoinen piirre: tietoja ei varasteta, vaan se kopioidaan. Se jää alkuperäiselle omistajalle, mutta myös hyökkääjä saa sen. Siten tiedon omistaja kärsii menetyksiä, ja on erittäin vaikea havaita hetkeä, jolloin tämä tapahtui.

Pääsyhyökkäykset

Pääsyhyökkäys on hyökkääjän yritys saada tietoja, joita hänellä ei ole lupaa tarkastella. Tällainen hyökkäys on mahdollinen siellä, missä on tietoa ja keinoja sen välittämiseksi. Pääsyhyökkäyksen tarkoituksena on loukata tietojen luottamuksellisuutta. Seuraavat pääsyhyökkäystyypit erotellaan:

· kurkkiminen;

· salakuuntelu;

· sieppaus.

Kurkkaaminen(nuuskiminen) tarkastelee tiedostoja tai asiakirjoja etsiäkseen hyökkääjää kiinnostavia tietoja. Jos asiakirjat tallennetaan tulosteena, hyökkääjä avaa pöydän laatikot ja kiertelee niitä. Jos tiedot ovat tietokonejärjestelmässä, hän selaa tiedoston toisensa jälkeen, kunnes löytää tarvitsemansa tiedot.

Salakuuntelu(salakuuntelu) on keskustelun luvatonta salakuuntelua, jossa hyökkääjä ei ole osallisena. Saadakseen luvattoman pääsyn tietoihin hyökkääjän on tässä tapauksessa oltava sen lähellä. Hyvin usein hän käyttää elektronisia laitteita. Langattomien verkkojen käyttöönotto on lisännyt onnistuneen salakuuntelun todennäköisyyttä. Nyt hyökkääjän ei tarvitse olla järjestelmän sisällä tai fyysisesti liittää salakuuntelulaitetta verkkoon.

Toisin kuin salakuuntelu sieppaus(kuuntelu) on aktiivinen hyökkäys. Hyökkääjä kaappaa tietoja, kun niitä lähetetään määränpäähänsä. Tietojen analysoinnin jälkeen hän tekee päätöksen salliako tai kieltää sen edelleen kulkemisen.

Pääsyhyökkäykset ovat erilaisia ​​sen mukaan, miten tiedot on tallennettu: paperiasiakirjoina tai sähköisesti tietokoneelle. Jos hyökkääjän tarvitsemat tiedot on tallennettu paperiasiakirjoihin, hän tarvitsee pääsyn näihin asiakirjoihin. Ne löytyvät seuraavista paikoista: arkistokaapeista, laatikoista tai pöydiltä, ​​faksilaitteesta tai tulostimesta roskakorista, arkistosta. Siksi hyökkääjän on päästävä fyysisesti kaikkiin näihin paikkoihin.

Näin ollen fyysinen pääsy on avain tietojen saamiseen. On huomattava, että tilojen luotettava suojaus suojaa tietoja vain luvattomalta henkilöltä, mutta ei organisaation työntekijöiltä tai sisäisiltä käyttäjiltä.

Tiedot tallennetaan sähköisesti: työasemille, palvelimille, kannettaville tietokoneille, levykkeille, CD-levyille, magneettinauhoille.

Hyökkääjä voi yksinkertaisesti varastaa tallennusvälineen (levyke, CD, varmuuskopionauha tai kannettava tietokone). Joskus tämä on helpompi tehdä kuin päästä käsiksi tietokoneisiin tallennettuihin tiedostoihin.

Jos hyökkääjällä on laillinen pääsy järjestelmään, hän analysoi tiedostot yksinkertaisesti avaamalla ne yksitellen. Asianmukaisella luvanvalvonnalla laittoman käyttäjän pääsy estetään ja pääsyyritykset kirjataan lokeihin.

Oikein määritetyt käyttöoikeudet estävät vahingossa tapahtuvan tietovuodon. Vakava hyökkääjä yrittää kuitenkin ohittaa ohjausjärjestelmän ja päästä käsiksi tarvittaviin tietoihin. On olemassa suuri määrä haavoittuvuuksia, jotka auttavat häntä tässä.

Kun tieto kulkee verkon läpi, siihen pääsee käsiksi kuuntelemalla lähetystä. Hyökkääjä tekee tämän asentamalla verkkopakettianalysaattorin (snifferin) tietokonejärjestelmään. Tyypillisesti tämä on tietokone, joka on määritetty kaappaamaan kaikki verkkoliikenne (ei vain tälle tietokoneelle suunnattu liikenne). Tätä varten hyökkääjän on lisättävä valtuuksiaan järjestelmässä tai muodostettava yhteys verkkoon. Analysaattori on konfiguroitu kaappaamaan kaikki verkon kautta kulkevat tiedot, mutta erityisesti käyttäjätunnukset ja salasanat.

Salakuuntelua tehdään myös maailmanlaajuisissa tietokoneverkoissa, kuten kiinteissä linjoissa ja puhelinyhteyksissä. Tämän tyyppinen sieppaus vaatii kuitenkin asianmukaisia ​​laitteita ja erityisosaamista.

Sieppaus on mahdollista jopa kuituoptisissa viestintäjärjestelmissä erikoislaitteilla, yleensä ammattitaitoisen hyökkääjän suorittamana.

Tietojen käyttö sieppauksen avulla on yksi hyökkääjän vaikeimmista tehtävistä. Menestyäkseen hänen on sijoitettava järjestelmänsä tiedon lähettäjän ja vastaanottajan välisiin siirtolinjoihin. Internetissä tämä tehdään muuttamalla nimen resoluutiota, jolloin tietokoneen nimi muunnetaan vääräksi osoitteeksi. Liikenne ohjataan hyökkääjän järjestelmään todellisen kohdesolmun sijaan. Jos tällainen järjestelmä on konfiguroitu oikein, lähettäjä ei koskaan tiedä, etteivät hänen tietonsa ole saavuttaneet vastaanottajaa.

Sieppaus on mahdollista myös voimassa olevan viestintäistunnon aikana. Tämäntyyppinen hyökkäys soveltuu parhaiten interaktiivisen liikenteen kaappaamiseen. Tässä tapauksessa hyökkääjän on oltava samassa verkkosegmentissä, jossa asiakas ja palvelin sijaitsevat. Hyökkääjä odottaa, että laillinen käyttäjä avaa istunnon palvelimella, ja kaappaa sitten istunnon erikoisohjelmiston avulla sen ollessa käynnissä.

Muokkaushyökkäykset

Muutoshyökkäys on yritys muuttaa tietoja luvatta. Tällainen hyökkäys on mahdollinen missä tahansa tietoa on olemassa tai sitä välitetään. Sen tarkoituksena on loukata tiedon eheyttä.

Yksi modifiointihyökkäystyyppi on korvaus olemassa oleva tieto, esimerkiksi muutos työntekijän palkassa. Korvaava hyökkäys kohdistuu sekä salaiseen että julkiseen tietoon.

Toinen hyökkäystyyppi on lisäys uutta tietoa esimerkiksi menneiden kausien historiasta. Tässä tapauksessa hyökkääjä suorittaa pankkijärjestelmässä tapahtuman, jonka seurauksena varoja asiakkaan tililtä siirretään hänen omalle tililleen.

Hyökkäys poistaminen tarkoittaa olemassa olevien tietojen siirtämistä, kuten tapahtumamerkinnän peruuttamista pankin taseesta, jolloin tililtä nostetut varat jäävät tilille.

Pääsyhyökkäysten tapaan modifikaatiohyökkäyksiä tehdään paperiasiakirjoina tai sähköisesti tietokoneelle tallennettuja tietoja vastaan.

Asiakirjojen vaihtaminen on vaikeaa kenenkään huomaamatta: jos allekirjoitus on (esim. sopimuksessa), sen väärentämisestä on huolehdittava ja sinetöity asiakirja on koottava huolellisesti uudelleen. Jos asiakirjasta on kopioita, ne on myös tehtävä uudelleen, kuten alkuperäinen. Ja koska kaikkia kopioita on lähes mahdotonta löytää, väärennös on erittäin helppo havaita.

On erittäin vaikeaa lisätä tai poistaa merkintöjä toimintalokeista. Ensinnäkin niissä olevat tiedot on järjestetty kronologiseen järjestykseen, joten kaikki muutokset havaitaan välittömästi. Paras tapa on poistaa asiakirja ja korvata se uudella. Tämäntyyppiset hyökkäykset edellyttävät fyysistä pääsyä tietoihin.

Sähköisesti tallennettua tietoa on paljon helpompi muokata. Ottaen huomioon, että hyökkääjällä on pääsy järjestelmään, tällainen operaatio jättää jälkeensä vähimmäistodisteita. Jos tiedostoihin ei ole valtuutettua pääsyä, hyökkääjän on ensin suojattava sisäänkirjautuminen järjestelmään tai muutettava tiedostojen pääsynhallinta-asetuksia.

Tietokantatiedostojen tai tapahtumaluetteloiden muokkaaminen on tehtävä erittäin huolellisesti. Tapahtumat numeroidaan peräkkäin ja virheellisten tapahtumanumeroiden poistaminen tai lisääminen huomioidaan. Näissä tapauksissa on tehtävä laajaa työtä koko järjestelmän läpi havaitsemisen estämiseksi.

Useimmissa tapauksissa haitallisen koodin ilmestyminen verkkosivustolle ei ole seurausta sivuston omistajan haitallisesta käytöksestä, vaan se osoittautuu usein yllätykseksi sivuston omistajalle, koska se on seurausta hakkeroinnista.

Olemme työskennelleet tämän parissa monta vuotta, olemme tarkastelleet monia erilaisia ​​​​tapauksia, ja viime vuosina olen myös nähnyt melko paljon erilaisia ​​​​tapauksia eri verkkosivustojen hakkerointiin. Nämä ovat molemmat erittäin suuria sivustoja, kuten esimerkiksi kuuluisimmat verkkomediat, pankit, suurten yritysten sivustot ja joskus hyvin pieniä sivustoja, käyntikorttisivustoja, jotkin koulutus- ja uskonnollisten laitosten sivustot.

Kuinka suojata verkkosivustosi

Kaikki ne ovat tavalla tai toisella alttiita joillekin uhille, tietokoneturvallisuuteen liittyville riskeille, ja tästä keskustellaan. Puhumme myös siitä, kuinka näitä riskejä voidaan pienentää, jostain perusminimistä, yleiskatsauksesta kaikesta tähän liittyvästä, mitä uhkia on olemassa, mitä tietyn sivuston ylläpitäjä kohtaa työssään.

Tänään puhumme yleisimmästä esimerkistä, kun meillä on jonkinlainen ulkoinen hyökkääjä, joka uhkaa sivustoa tavalla tai toisella.

Ymmärtääksesi mitä odottaa, mikä vahinko on mahdollista, mitkä hyökkäykset ovat mahdollisia, sinun on ymmärrettävä, kuka hyökkääjä on.

Kaikki nämä hyökkääjät ja hyökkäystyypit jakautuvat kahteen laajaan luokkaan. Millä kriteereillä ne voidaan jakaa?

  • käytetyistä hyökkäysmenetelmistä;
  • sivustoryhmien mukaan, jotka ovat alttiita jollekin hyökkäysryhmälle;
  • asianmukaisten riskinvähentämistekniikoiden mukaisesti kullekin näistä ryhmistä.

Esimerkiksi joukkohyökkäykset ovat suurelta osin automatisoituja, kuten esimerkiksi luvaton pääsy. Massahyökkäykset ovat yritys päästä aina koko sivustolle. Joukkokiristystä tapahtuu myös täällä, mutta se toteutetaan myös luvattoman pääsyn kautta.

Usein kokonaiset automaattiset järjestelmät yksinkertaisesti toimivat, suoritetaan komentosarja, joka yksinkertaisesti etsii haavoittuvia versioita useista sitä kiinnostavista ohjelmistokomponenteista. Esimerkiksi sisällönhallintajärjestelmän haavoittuvat versiot tai päinvastoin, tai se etsii joitain tyypillisiä palvelinympäristön kokoonpanoongelmia. Esimerkiksi, että sinulla on jonkinlainen HTTP-palvelin, ja salasanoja etsitään.

Koska kaikki on automatisoitua, myös saatujen käyttöoikeuksien hyödyntäminen on automatisoitua, ja jos sinulla on verkkosivustollasi maksutiedot sisältävä tietokanta, voit automaattisen hyökkäyksen sattuessa pitää itseäsi onnekkaana, koska käsikirjoitusta ei ymmärretä, ne ovat suurimmaksi osaksi melko tyhmiä.

Hän ei ymmärrä, mitä tärkeitä tietoja sinulla on sivustollasi, hän toteuttaa hyvin yksinkertaisen järjestelmän, joka on tyyliin lähettää roskapostia, järjestää hajautettuja palvelunestohyökkäyksiä, joitain yksinkertaisia ​​​​pieniä kiristystä, tartuttaa kävijöitä sivustollesi.

Kohdennettujen hyökkäysten tapauksessa kaikki on hieman surullisempaa sivuston omistajalle. Usein suuren hyökkäyksen kohteena oleva henkilö tulee käsiinsä niin paljon kokemusta ja hyvin kehittyneitä työkaluja ja alkaa etsiä ominaisia ​​ongelmia. Hyvin suurella todennäköisyydellä, kuten käytäntö osoittaa, se tekee.

Ja sitten alkaa erityisen ilkeä hyväksikäyttö, joka ensinnäkin on paljon vaikeampi havaita kuin joukkohyökkäysten tapauksessa, ja toiseksi on paljon vaikeampaa minimoida mahdollisia vahinkoja etukäteen. Siksi, kun hyökkääjä pääsee käsin järjestelmään, hän ymmärtää kontekstin erittäin hyvin ja tietää usein aluksi, miksi hän on tulossa.

Kumpi on turvallisempi käyttää? Esimerkiksi jokin suosittu varaston sisällönhallintajärjestelmä tai jotain kotitekoista? Joukkohyökkäysten riskin vähentämiseksi on parempi käyttää jotain epästandardia.

Koska tämä kaikki on automatisoitua, etsitään joitain vakioratkaisuja ja jonkinlaisen itsekirjoitetun sisällönhallintajärjestelmän käyttö, käytännössä itse kirjoitettu captcha - kaikki itse kirjoitetut ratkaisut jonkinlaisia ​​joukkohyökkäyksiä vastaan, kun skripti tulee sivustollesi, joka etsii jotain tuttua , mutta kaikki tämä ei toimi.

Kohdennettujen hyökkäysten tapauksessa asia on päinvastoin. Toisin sanoen todennäköisyys, että jossain itse kirjoitetussa ratkaisussa tehdään tyypillisiä kriittisiä virheitä, joista tulee sitten haavoittuvuuksia ja joita käytetään hyväksi pääsyn saamiseksi, on paljon suurempi kuin jos käyttäisit joitain suosittuja ohjelmistoratkaisuja, jotka pitkän kehityshistoriansa aikana Olemme keränneet paljon "haravoja" tällä alueella. Siksi, kun niiden haavoittuvuudet julkaistaan, ne ovat usein joko monimutkaisia ​​tai esiintyvät eri järjestelmien risteyksessä.


Hyökkäys koostuu seuraavista vaiheista:


Varsinkin joukkotilaisuuksiin. Ota jokin erikoisrivi, kuten Power Add Buy, phpBB versio 1.6.1. Joukko sivustoja etsitään automaattisesti käyttämällä tiettyä tekniikkaa - yhtä vektoreista. Kaikki nämä sivustot löytyvät, niille käynnistetään komentosarja, komentosarja menee, etsii joitain haavoittuvuuksia, erilaisia ​​ylläpitäjiä. paneelit vakiopolkuja pitkin, jotkin vakiotyökalut, kuten php my admin, jotka myös sijaitsevat vakiopoluilla.

Ja vastaavasti, jos haavoittuvuus löytyy, niitä hyödynnetään automaattisesti, jos järjestelmänvalvojia on. paneelit, joihin voit kirjoittaa salasanoja ja joissa ei ole suojaa raakaa voimaa vastaan, haku alkaa yksinkertaisista tapauksista, mikä, kuten käytäntö osoittaa, on myös erittäin tehokas.

Kun käyttöoikeus on saatu, web-shell-niminen komponentti ladataan - tämä on sellainen työkalu, sellainen verkkosovelluksen osa, komentosarja, joka avaa laajan valikoiman mahdollisuuksia jättäen palvelimellesi pysyvän "takaoven" jatkaa jatkotoimenpiteitä.

Tämän jälkeen, kun hyökkääjällä on vakaa pääsy palvelimellesi kaikkien automaattisen integraation keinojen jälkeen, hyökkääjä yrittää saada jalansijaa järjestelmään ja esimerkiksi hajottaa ympäriinsä kaikenlaisia ​​ylimääräisiä verkkopohjaisia ​​kuoria, hyödyntää esim. , käyttöjärjestelmän haavoittuvuus ja nostaa käyttöoikeuksia. Esimerkiksi pääkäyttäjäksi tuleminen, joka usein myös automatisoituu ja sen jälkeen hyväksikäyttö muuttuu vielä ankarammaksi. Ja sitten rahan puristaminen alkaa, koska sivusto on hakkeroitu. Nykyään on harvinaista löytää tapauksia, joissa joku tai joku hakkeroi sivuston motiivina jollain muulla kuin rahalla.

Tältä tämä verkkokuori näyttää hyökkääjän näkökulmasta:


Tämä on järjestelmä, jonka avulla voit työskennellä käyttöliittymän kautta sekä automaattisesti. Mielenkiintoista on, että yläosassa on rivi, joka antaa erittäin yksityiskohtaista tietoa käyttöjärjestelmän ytimestä. Vain automatisoidaksemme oikeuksien nostamisen juuri siellä.

Kun käyttöjärjestelmän ytimessä löydetään haavoittuvuuksia, hyväksikäyttöjä julkaistaan ​​suosituilla sivustoilla. Mikä on hyväksikäyttö? Ohjelma, joka käyttää tätä haavoittuvuutta oman tavoitteensa toteuttamiseen, ja oikeuksia korotetaan. Se näyttää suunnilleen tältä:


Sen lisäksi, että erilaiset haitalliset skriptit alkavat levitä palvelimelle, joskus sivustolle päätyy myös binäärikomponentteja. Esimerkiksi pääbinäärikokoonpano tai itse verkkopalvelimen lisäosat. Nämä voivat olla patch-, njinx-, uudelleenrakennetun njinx-moduuleja tai jotain muuta tärkeää binaarikomponenttia, joka sinulla on järjestelmässä, SSHD.

Tämä on Virustotal-sivusto, jossa voit tarkistaa minkä tahansa tiedoston, mitä 50 virustorjuntamoottoria ajattelee siitä.

Nämä ovat esimerkkejä joistakin binäärikomponenteista lisättynä, mitä eri virustorjuntaohjelmat sanovat erilaisista haitallisista verkkopalvelimista tai niitä varten olevista moduuleista, jotka olemme löytäneet:


Haluaisin huomauttaa, että kun löysimme ne, täällä oli kaikki tyhjää, eikä kukaan usein havainnut mitään. Vasta myöhemmin aloimme joskus lähettää näitä esimerkkejä virustorjuntayrityksille, ja havaintoja ilmestyi.

Joskus, jos yrität jo löytää haitallisen koodin lähdettä sivustoltasi, virustorjuntateollisuus voi auttaa sinua jollakin tavalla. Kaikki valmistelevat tiedostot voidaan "syöttää" joko sivustolle tai tiettyihin apuohjelmiin, mutta puhumme tästä hieman myöhemmin, mutta tämä on pointti.


Hyödyntämisen jälkeen näkyviin tulevat palvelinkomentosarjat sekä muokatut web-palvelinkokoonpanot. Usein nähtiin esimerkki, kun sivuston hakkeroinnin yhteydessä myös web-palvelimen kokoonpanoa muutettiin automaattisesti lisäämällä ehdollisia uudelleenohjauksia.

Kaikki verkkosivustosi mobiilivierailijat ohjattiin useille huijaussivustoille, mikä ansaitsi heidät. Ja koska ei niin kauan sitten, pari vuotta sitten, monet verkkovastaavat eivät ajatelleet mobiilikäyttäjiä sivustoissaan, he eivät voineet edes huomata pitkään aikaan, että mobiilivierailijat heidän sivustollaan vieraillessaan joutuvat erilaisiin huijauksiin. Monet verkkovastaavat määrittelivät tämän tietoisesti yrittäen tehdä tällaista kaupallistamista, mutta todellakin oli niin suuria tapauksia, jolloin kaikki tämä ilmeni osana hakkerointia.

On myös mahdollista, että tietokannassa on haitallista koodia. Yleisin esimerkki on, kun hyökkäys tehdään käyttämällä XXS-luokkaa. Sinulla on esimerkiksi jokin lomake kommenttien syöttämiseen sivustolla, eikä parametrien validointi ole riittävää.

Hyökkääjä, kuten jo sanoin, on usein täysin automatisoituja järjestelmiä, jotka etsivät sivustoasi itse; he lataavat sinne ei vain tekstiä, vaan erikoiskuormituksen, josta sivun hahmonnuttua tulee hyökkääjän hallitsema komentosarja. Ja tällä tavalla voit tehdä verkkosivustosi vierailijoille mitä haluat.

Se tapahtuu staattisesti, kun he yksinkertaisesti lisäävät haitallista koodia malleihin tai staattiseen JavaScriptiin. Kuten jo sanoin, tapahtuu, että binaaritiedostot korvataan. On erittäin ovelia tapauksia, joissa esimerkiksi hyökkääjät luovat tällaisen ovelan järjestelmän, olemme jo kohdanneet tämän.

Web-palvelimen päätiedosto otetaan, jos se on esimerkiksi verkkopalvelinkorjaus, tämä on sshd-binääritiedosto, joka kopioidaan toiseen paikkaan, jonka tilalle asetetaan haitallinen kokoonpano ja sitten se käynnistetään.

Tämän jälkeen muokattu tiedosto poistetaan tiedostojärjestelmästä ja alkuperäinen asetetaan. Käytät haitallista verkkopalvelinta, mutta tiedostojärjestelmässäsi on siitä muuttumaton versio, eikä eheystarkistuskaan osoita ongelmia.

Kun hyökkääjät päätyvät palvelimelle, varsinkin kohdistettujen hyökkäysten tapauksessa, he ovat varsin ovelia keksinnöissään ja joskus, lähinnä kohdistetuissa hyökkäyksissä, kun oikeita ihmisiä saapuu, sinun on osoitettava melkoista näppäryyttä, jotta yleensä löydettäisiin lähde. sivuston kompromissi.

Miksi kaikkea tätä tehdään? On myös tärkeää ymmärtää, jotta voidaan pitää mielessä tietty uhkamalli, ennustaa, mitä sivustolle tapahtuu ja mitä ongelmia siellä voi esiintyä. Kuten sanoin aiemmin, kaupallistamismenetelmät, jotka motivoivat hyökkääjiä hyökkäämään, eroavat näiden ryhmien välillä kohdistettujen ja joukkohyökkäysten osalta.


Jos massahyökkäyksiä varten meillä on jotain, joka voidaan vetää irti syventymättä sivuston kontekstiin. Päädyimme juuri abstraktille palvelimelle, mitä voimme tehdä sillä? Sillä on vieraita, joten he voivat saada tartunnan. Se esiintyy todennäköisimmin hakukoneessa, joten sitä voidaan käyttää hakukoneasennossa erilaisiin black hat SEO-optimointeihin.

Lisää siihen luetteloita oviaukoineen, luettele se linkkivaihtoon, yleensä kaikki tähän liittyvä. Esimerkiksi roskapostin lähettäminen, DDoS-hyökkäysten järjestäminen. DDoS-hyökkäyksiin, joista puhumme myöhemmin, hyökkääjät tarvitsevat myös resursseja, esimerkiksi monia, monia erilaisia ​​palvelimia.

Rivi "kiristys" on erittäin mielenkiintoinen. Tämä on myös kehittynyt paljon viime aikoina. Kaikki ovat kuulleet monta kertaa ja ovat saattaneet tavata tällaisia ​​lunnasohjelmia troijalaisia, esimerkiksi pöytätietokoneissa, Windows-käyttöjärjestelmässä. Muutama vuosi sitten ne alkoivat enemmän tai vähemmän täyttää ja päästä Android-puhelimiin, kun...

Kaikki tietävät, kaikki ovat kohdanneet sen tavalla tai toisella tai ainakin kuulleet kuinka haitallinen tiedosto käynnistetään. Se alkaa salata koko tiedostojärjestelmää ja pyytää sitten lunnaita. Joten viime vuoden aikana olemme nähneet, että tällaiset asiat alkoivat palvelimilta. Sivusto hakkeroidaan, minkä jälkeen tietokantojen koko sisältö sekä koko tiedostojärjestelmä salataan, ja hyökkääjä pyytää järjestelmänvalvojalta lunnaita toivoen, ettei ylläpitäjällä ole voimassa olevia varmuuskopioita tiedostojärjestelmästä ja tietokannasta.

Kohdistetuissa hyökkäyksissä asiat ovat vieläkin kehittyneempiä. Usein, jos kohdennettu hyökkäys tehdään, tiedetään jo, mitä sivustolta voidaan saada. Tämä on joko asiakaskunta tai erittäin, erittäin suuri määrä kävijöitä, joita voidaan myös ansaita monin eri tavoin. Resurssin ylläpitäjä ei usein huomaa sitä kuukausiin.

Sisään tultuaan voit häiritä sivustoa kaikin mahdollisin tavoin, luoda erilaisia ​​teknisiä vaikeuksia epäreilun kilpailun vuoksi. On ymmärrettävä, että virustentorjuntaympäristössä on itse asiassa sellainen myytti, että esimerkiksi minulla on tietokone laitamilla tai sivuston tapauksessa sivustolla on vähän liikennettä, mikä tarkoittaa, että kukaan ei tarvitsee sitä. Se ei ole totta.

Jopa joidenkin ilmaisen isännöinnin huonoinkin verkkosivusto on jollain tapaa ansaittu ainakin vähän, ja se edustaa aina haluttua kohdetta joukkohyökkäyksille. Puhumattakaan tietysti suurista sivustoista, joilla on vielä helpompi ansaita rahaa.

Hyökkäys vierailijoita vastaan: lataus ajoittain

Kyllä, puhuimme vierailijoiden tartunnasta, kirjaimellisesti, pähkinänkuoressa. Todennäköisesti viimeisen vuoden aikana tämä uhka on nyt hiipumassa itsestään. Mikä on vierailijainfektio? Hyökkääjä hakkeroi sivuston ja mitä tapahtuu seuraavaksi, jos hän haluaa ansaita rahaa tartuttamalla kävijöitä:


Kuten jo sanoin, se voi ohjata mobiilikäyttäjät jollekin sivustolle, jossa heille tarjotaan asentaa sovellus jonkin flash player -päivityksen tai vastaavan varjolla. Ja pöytätietokoneiden kohdalla tällainen suosittu järjestelmä on, kun vierailijan selaimen tai jonkin hänen ympäristönsä laajennuksista käytetään hyväksi haavoittuvuutta.

Esimerkiksi vuonna 2012 eniten hyödynnetyt haavoittuvuudet olivat Java-laajennuksessa, joka maksoi yli puolet Adobe Readerissa vuonna 2012 hyödynnetyistä käyttäjistä. Nyt he eivät hyödynnä Adobe Readeria, he eivät hyödynnä Javaa, nyt he hyödyntävät Flash Playeria.

Flash Playerin uusia haavoittuvuuksia julkaistaan ​​säännöllisesti, ja jokainen niistä mahdollistaa usein hyökkäyksen nimeltä drive-by download. Mitä se tarkoittaa? Tämä tarkoittaa, että vierailija yksinkertaisesti vierailee sivustolla, ei tee mitään ylimääräistä ja liitännäisen haavoittuvuuden hyödyntämisen vuoksi hänen järjestelmäänsä ilmestyy haittaohjelma, joka suorittaa automaattisesti järjestelmän ja saastuttaa järjestelmän.

Palvelunesto, eli DDoS

Tämä on, jos puhumme siitä, milloin hyökkääjä pääsee silti sivustolle ja sen hallintaan. Monissa tapauksissa hyökkääjä ei edes yritä päästä käsiksi, hän haluaa vain häiritä sivustosi normaalia toimintaa tavalla tai toisella. Kaikki ovat luultavasti kuulleet ja kohdanneet palveluneston, jota kutsutaan nimellä Distributed Denial of Service.


Tärkeimmät motiivit: kilpailu ja kiristys. Kilpailu - se on selvää, kun käyttäjät eivät mene sivustollesi, he menevät kilpailijan sivustolle, kiristys - on myös ilmeistä, että sivustoasi vastaan ​​alkaa hyökkäys, saat jonkinlaisen kirjeen, jossa sinua pyydetään maksamaan jollekin jotain, ja siellä sinun on tehtävä asialle jotain.

Hyökkäykset jakautuvat kolmeen pääluokkaan

Yksinkertaisin hyökkäys on hyökkäys sovellusta vastaan. Tyypillisin skenaario sovellukseen kohdistuvalle hyökkäykselle on, että sinulla on jonkinlainen verkkosivusto, esimerkiksi verkkokauppa, jossa on jonkinlainen haku. Sinulla on tarkennettu haku, jossa on joukko parametreja, mikä luo suhteellisen raskaan tietokantakyselyn. Hyökkääjä tulee, näkee tarkennetun haun vaihtoehtosi ja tekee skriptin, joka alkaa työntää raskaita, raskaita kyselyitä tarkennettuun hakulomakkeellesi. Tietokanta romahtaa nopeasti jopa yhden vakioisännän paineessa useille sivustoille käytännössä ja siinä kaikki. Tätä varten hyökkääjältä ei tarvita erityisiä resursseja.

Kuljetuskerroksen hyökkäys. Kuljetuskerroksessa on olennaisesti kaksi protokollaa. Hyökkäykset UDP:tä vastaan, ne viittaavat pikemminkin hyökkäykseen kanavaa vastaan, koska siellä ei ole istuntoa. Ja jos puhumme TCP-protokollasta, tämä on melko yleinen hyökkäystapaus.

Mikä on TCP-protokolla? TCP-protokolla tarkoittaa, että sinulla on palvelin ja siinä on taulukko avoimista yhteyksistä käyttäjien kanssa. On selvää, että tämä taulukko ei voi olla äärettömän kokoinen ja hyökkääjä suunnittelee nimenomaan monia, monia paketteja, jotka käynnistävät uuden yhteyden luomisen, ja paketit tulevat usein jopa vääristä IP-osoitteista.

Se ylittää tämän taulukon, ja näin ollen sivustollesi tulevat lailliset käyttäjät eivät pääse tähän yhteystaulukkoon eivätkä sen seurauksena saa palveluasi. Tämä on tyypillinen esimerkki yleisestä hyökkäyksestä, jota ihmiset ovat oppineet torjumaan viime vuosina.

Ja pahinta on hyökkäys kanavaa vastaan. Tämä on silloin, kun sinulla on saapuva kanava, jonka kautta jotkut pyynnöt voivat tulla palvelimellesi ja koko kanava on yksinkertaisesti tukossa.

Jos kahdessa korkeamman tason hyökkäyksessä voit silti soveltaa jonkinlaista logiikkaa itse palvelimeen saadaksesi jotenkin käänteen näille hyökkäyksille, niin itse palvelimen kanavaan kohdistuvan hyökkäyksen tapauksessa on mahdotonta tehdä mitään, koska tehdäkseni jotain tarvitsemaasi haluaisin hyväksyä pyynnön, mutta koko kanava on jo tukossa, käyttäjät eivät yleensä voi koputtaa oveen.

Miksi? Miksi me edes keskustelemme tästä luokituksesta ja miksi tarvitset sitä? Kyllä, yksinkertaisesti siksi, että jokaisella tämäntyyppisellä hyökkäyksellä on oma vastatoimensa. Jos kohtaat tämän, ymmärrät, että olet kokemassa palvelunestohyökkäystä, ja ensimmäinen asia, joka sinun tulee tehdä, on päättää, minkä tyyppinen hyökkäys on meneillään, ja valita oikea tapa torjua tätä hyökkäystä. Vaikka niitä voi myös yhdistää.

Magomed Cherbizhev

Aiheeseen liittyvät julkaisut