Typy počítačových útoků a vetřelců a jejich detekce

Všichni víme, že jsme ve světě obklopeném informacemi, které každý den vyžadují lepší úroveň zabezpečení Jako správci a vedoucí IT jsme přímo zodpovědní za zabezpečení, aby byla data naší nebo naší organizace v bezpečí.

Naše informace možná nejsou tak cenné nebo tak důležité, pokud jsou ztraceny nebo odcizeny, ale můžeme mít velmi zvláštní informace, jako jsou bankovní účty, výpisy z účtu, osobní údaje atd., Které v našich systémech musí zůstat „v bezpečí“ a my nemůžeme popírejte, že by se dnes hacking stal velmi odlišným, než byl dříve, dnes existuje pro takovou činnost více útočných mechanismů a různých technik.

Tentokrát budeme hovořit o vetřelcích, rozebereme některé ze způsobů, jak se hackeři mohou dostat k informacím s využitím možných zranitelností.

Rozumíme tomu neoprávněný přístup do systému představuje vážný bezpečnostní problém Protože tato osoba nebo software může extrahovat cenné informace z naší databáze a později různými způsoby poškodit organizaci, když mluvíme o softwaru, který může vstoupit bez povolení, můžeme si myslet, že jde o červa, trojského koně nebo obecně o virus.

Na níže uvedené oblasti se zaměříme:

  • 1. Druhy vetřelců
  • 2. Vnikající techniky
  • 3. Detekce narušitele
  • 4. Druhy útoků

1. Druhy vetřelců


Můžeme identifikovat tři (3) typy vetřelců:

Podvodný uživatelVztahuje se na uživatele, který neoprávněně přistupuje ke zdrojům organizace nebo který, který má oprávnění, zneužije dostupné informace.

ImitátorJe to osoba, která nemá nic společného s legálním přístupem v organizaci, ale dokáže dosáhnout úrovně převzetí identity legitimního uživatele, aby přistoupil a způsobil škodu.

Tajný uživatelJe to osoba, která může převzít kontrolu nad auditem systému organizace.

Napodobovatel je obvykle externí osoba, podvodný uživatel je interní a utajený uživatel může být externí nebo interní. Útočníkové útoky, bez ohledu na typ, mohou být klasifikovány jako závažné nebo neškodné, u benigních pouze přistupují, aby viděli, co je v síti, zatímco v těch vážných mohou být informace odcizeny a / nebo upravovány v rámci sítě.

2. Vnikající techniky


Jak víme, běžný způsob přístupu do systému je pomocí hesel a na to se vetřelec snaží získat hesla pomocí různých technik, aby dosáhl svého cíle narušování přístupů a získávání informací. Doporučujeme, aby byl náš soubor hesel chráněn jednou z následujících metod:

Jednosměrné šifrováníTato možnost ukládá pouze zašifrovanou formu hesla uživatele, takže když uživatel zadá své heslo, systém jej zašifruje a porovná s hodnotou, kterou má uloženou, a pokud je identická, povolí přístup, jinak ji popře.

Řízení přístupuU této metody je přístup k heslu velmi omezený, pouze k jednomu nebo několika účtům.

The metody běžně používané hackeryPodle některých analýz jsou to:

  • Otestujte slova ve slovníku nebo seznamy možných hesel, která jsou k dispozici na hackerských webech
  • Zkoušení pomocí telefonních čísel nebo identifikačních dokumentů uživatelů
  • Testování s poznávací značkou
  • Získejte mimo jiné osobní informace od uživatelů

3. Detekce narušitele


Jako správci musíme analyzovat možné zranitelnosti, které náš systém musí v budoucnu předcházet bolestem hlavy, můžeme tato selhání analyzovat pomocí následujících konceptů:
  • Pokud budeme studovat, jak může vetřelec zaútočit, tato informace nám pomůže posílit prevenci vniknutí do našeho systému
  • Pokud rušivého uživatele rychle odhalíme, můžeme této osobě zabránit v tom, aby v našem systému dělala své, a tím se vyhnula škodám.

Jako správci můžeme analyzovat chování uživatelů v rámci naší organizace a pomocí mnoha analýz zjistit, zda nevykazují nějaké podivné chování, například přístup přes intranet k počítačům nebo složkám, ke kterým by se nemělo přistupovat, úpravy souborů atd. Jedním z nástrojů, který nám v analýze vetřelců hodně pomůže, je protokol auditu, protože nám umožňuje sledovat činnosti prováděné uživateli.

Můžeme použít dva (2) typy plány auditu:

Specifické protokoly auditu pro zjišťováníTakové protokoly můžeme implementovat tak, aby nám zobrazovaly pouze informace požadované systémem detekce narušení.

Nativní protokoly audituJe to nástroj, který je standardně dodáván v operačních systémech a ukládá veškerou aktivitu uživatelů, například prohlížeč událostí systému Microsoft Windows.

Můžeme detekovat anomálie na základě profilů, to znamená na chování uživatelů, k tomu můžeme použít následující proměnné:

  • Čelit: Je to hodnota, kterou lze zvýšit, ale ne snížit, dokud není zahájena nějakou akcí
  • Ráže: Je to číslo, které se může zvýšit nebo snížit a měří aktuální hodnotu účetní jednotky
  • Časový interval: Odkazuje na časové období mezi dvěma událostmi
  • Využití zdrojů: Znamená to množství zdrojů, které jsou spotřebovány v určitém čase

Existuje další typ detekce, a to ten, který je založen na pravidlech, která detekují vniknutí na základě událostí, ke kterým dochází v systému, a používají řadu definovaných pravidel k identifikaci, zda je aktivita podezřelá nebo ne.

Některé z příkladů těchto pravidel jsou:

Jednou ze zajímavých technik, jak získat pozornost vetřelců, je používání medovníků, což jsou jednoduše bezpečnostní nástroje, kde se vytvářejí systémy, které se zdají být zranitelné nebo slabé a ve kterých jsou nepravdivé informace, ale s příjemným vzhledem pro vetřelce zjevně honeypot nemá nebo nebude mít přístup k legitimnímu uživateli organizace.

Co bezpečnostní opatření k zabránění útokům vetřelců Bezpochyby existuje správná správa hesel, víme, že heslo umožňuje:

  • Poskytněte uživateli přístup do systému nebo k němu nemáte přístup
  • Poskytněte oprávnění, která byla uživateli přiřazena
  • Nabídka zásad zabezpečení ve společnosti

Ve studii provedené organizací ve Spojených státech na základě tří (3) milionů účtů byl učiněn závěr, že uživatelé pro svá hesla pravidelně používají následující parametry (která nejsou vůbec bezpečná):

  • Jméno účtu
  • Identifikační čísla
  • Společné názvy
  • Místní jména
  • Slovník
  • Názvy strojů

Je důležité, abychom v naší roli administrátorů, koordinátorů nebo vedoucích IT vzdělávali uživatele naší organizace tak, aby věděli jak nastavit silné heslo, můžeme použít následující metody:

  • Reaktivní kontrola hesla
  • Proaktivní kontrola hesla
  • Vzdělávání našich uživatelů
  • Počítačem generovaná hesla

Jak vidíme, mezi námi všemi (správci a uživateli) se můžeme vypořádat s jakoukoli aktivitou vetřelců.

4. Druhy útoků


Dále se podíváme na některé typy útoků, kterých se lze dopustit v různých systémech. Tuto analýzu provedeme pomocí etického hackerského přístupu.

Únos
Tento typ útoku spočívá v převzetí části zařízení ke komunikaci s jiným zařízením. Existují dva (2) typy únosu:

  • Aktivní: Je to, když je část hostitele odebrána a použita ke kompromitaci cíle
  • pasivní: Stává se, když je zabavena část zařízení a je zaznamenán veškerý provoz mezi těmito dvěma zařízeními

My máme nástroje pro únos ze stránek jako:

  • IP-Watcher

¿Jak se můžeme chránit před únosem? Můžeme použít některou z následujících metod v závislosti na protokolu nebo funkci, například:

  • FTP: Pojďme použít sFTP
  • Vzdálené připojení: Používejme VPN
  • HTTP: Pojďme použít HTTPS
  • Telnet nebo rlogin: použijme OpenSSH nebo SSH
  • IP: Použijme IPsec

Útok na webový server
Nejběžnější servery pro implementaci webových služeb máme Apache a IIS. Vetřelci nebo hackeři, kteří mají v úmyslu zaútočit na tyto servery, musí mít znalosti alespoň tří (3) programovacích jazyků, jako je Html, ASP a PHP. Na starat se o naše webové servery, můžeme používat nástrojes názvem Brute Force Attack, například následující:

  • Brutus pro Windows
  • Hydra pro Linux
  • NIX pro Linux

The nejběžnější útoky nacházíme na úrovni webového serveru jsou následující:

  • ScriptAttack
  • Hesla ve stejném kódu
  • Chyby zabezpečení webových aplikací
  • Ověření uživatelského jména

Jako správci můžeme implementujte následující postupy:

  • Nainstalujte a / nebo aktualizujte antivirus
  • Používejte složitá hesla
  • Změnit výchozí účty
  • Odstraňte testovací kódy
  • Aktualizujte systém a aktualizaci service pack
  • Neustále spravujte a sledujte systémové protokoly

Můžeme použít nástroj Acunetix, který nám umožňuje ověřit, zda je náš web zranitelný vůči útokům, můžeme jej stáhnout z odkazu.

Zadní vrátka a trojské koně
Mnoho trojských koní je spuštěno v testovacím režimu, aby se ověřila reakce organizace na možný útok, ale ne 100% pochází z interních testů, ale jindy jsou se zlovolným úmyslem vetřelce.

Některé z nejběžnější trojské koně jsou:

  • Netbus
  • Prorat
  • Ráj
  • Duckfix
  • Netcat

Na zabránit útokům trojských koní Je důležité, abychom jako správci prováděli některé úkoly, jako například:

  • Nainstalujte a aktualizujte antivirus
  • Spusťte a aktivujte bránu firewall
  • Použijte skener trojských koní
  • Aktualizujte systémové opravy

Útok na bezdrátové sítě
Naše bezdrátové sítě mohou být náchylné k útoku vetřelce, víme, že moderní technologie bezdrátových sítí jsou 802.11a, 802.11b, 802.11n a 802.11g, ty jsou založeny na jejich frekvenci.

Na zabránit útokům na naše bezdrátové sítě můžeme provádět následující úkoly:

  • Nepoužívejte prázdný SSID
  • Nepoužívejte výchozí SSID
  • Použijte IPsec ke zlepšení zabezpečení v našich IPS
  • Proveďte filtry MAC, abyste se vyhnuli zbytečným adresám

Nějaký nástroje používané k provádění bezdrátového hackingu jsou:

  • Kismet
  • GPSMap
  • NetStumbler
  • AirSnort
  • DStumbler

Přestože v naší společnosti bezdrátové sítě nepoužíváme nepřetržitě, je dobré je implementovat zásady zabezpečení, které zabraňují útokům pro ně by bylo ideální udělat následující (v případě použití pouze bezdrátového připojení):

  • Zakázat DHCP
  • Aktualizujte firmware
  • Použijte zabezpečení WPA2 a vyšší
  • V případě vzdáleného připojení použijte VPN

Útoky Denial of service (DoS)
Hlavním cílem tohoto typu útoku je ovlivnit všechny služby našeho systému, a to buď jejich zastavením, nasycením, odstraněním atd.

Můžeme zabránit útoku DoS pomocí následujících aktivit:

  • Využijte služeb, které opravdu potřebujeme
  • Zakázat odpověď ICMP na bráně firewall
  • Aktualizujte operační systém
  • Aktualizujte náš Firewall pomocí možnosti útoku DoS

Nějaký nástroje, které můžeme najít v síti pro útoky DoS jsou:

  • FSM FSMax
  • Nějaké potíže
  • Náraz 2
  • Výbuch20
  • Panther 2
  • Crazy Pinger atd.

Nástroje pro prolomení hesla
Dalším z běžných útoků, se kterými můžeme v našich organizacích trpět, je útok na hesla, jak jsme již zmínili, někdy stanovená hesla nejsou dostatečně silná, a proto jsme náchylní k tomu, že nám vetřelec ukradne heslo a bude mít přístup k náš systém. Víme, že bezpečnost našich hesel je založena na:

  • Ověření: Autorizuje přístup k systému nebo firemním aplikacím
  • Povolení: Pokud je zadané heslo správné, systém ho ověří a autorizuje zadání

Typy nejběžnější útoky, které zjišťujeme, že nám kradou hesla jsou:

Slovníkové útokyJsou to seznamy zavedených slov, která jsou synchronizována a ověří se, jestli je tam zahrnuto naše heslo.

Útok hrubou silouJe to jeden z nejúčinnějších útoků, protože obsahuje písmena, číslice a speciální znaky a tvoří kombinace, dokud nenajdou správný klíč

Hybridní útokyJedná se o kombinaci dvou (2) výše.

Nějaký nástroje pro hackování hesel jsou:

  • Pwdump3
  • John Rozparovač
  • Boson GetPass
  • Elcomsoft

Pamatujte, že pokud naše heslo nebo heslo uživatele v organizaci zjistí vetřelec, můžeme mít vážné problémy, proto je důležité pamatujte, že většina obsahuje pro naše hesla následující podmínky:

  • Malá písmena
  • Velká písmena
  • Speciální znaky
  • Čísla
  • Složitá slova

Doporučujeme prostudovat si tento návod, abyste měli zcela silná hesla.

Můžeme zjistit, zda jsme obětí prolomení hesla kontrola systémových protokolů, neustálé sledování síťového provozu atd. Na stránce sectools najdeme různé nástroje, které nám pomohou s naší prací monitorovat síť a její možné útoky, pozvánkou je ji znát a provádět testy.

Další stránka, kterou můžeme navštívit, je foundstone, který patří společnosti McAffe a obsahuje zajímavou skupinu užitečných nástrojů.

Spoofing
V tomto typu se útočník vydává za jinou entitu, za tímto účelem zfalšuje data odesílaná v komunikaci. K tomuto typu útoku může dojít v různých protokolech, máme IP spoofing, ARP spoofing, DNS spoofing, DHCP spoofing atd.

Tady nějaké jsou běžné útoky:

  • Neslepé falšování
  • Slepé falšování
  • Muž uprostřed
  • Denial of service (DOS)
  • Krádež přístavu

Nějaký protiopatření, která můžeme přijmout:

  • Použijte šifrování a ověřování
  • Na routeru použijte filtrování vstupů a výstupů

Vložení kódu
Je založen na využití chyby způsobené zpracováním neplatných údajů. Útočník ho používá k vložení nebo vložení kódu do zranitelného počítačového programu a ke změně průběhu provádění. Úspěšná injekce může mít katastrofální následky.

Nějaká místa kde můžeme dát dohromady injekční útok:

  • SQL
  • LDAP
  • XPath
  • Dotazy NoSQL
  • HTML
  • Skořápka

Nějaký opatření, která můžeme přijmout při plánování:

  • Filtrujte položky
  • Parametrizujte příkazy SQL
  • Únikové proměnné

Jak vidíme, máme mnoho alternativ, jak čelit případným útokům vetřelců na naši organizaci. Je na našem úkolu (je -li tomu tak) provést podrobnou analýzu a podniknout kroky v souvislosti s těmito problémy.

Jak jsme již zmínili, a naštěstí vždy nebude hacker nebo vetřelec, který by měl zájem proniknout do našeho systému a krást informace, ale nikdy v budoucnosti nevíme, kde bude naše organizace nebo my sami.

wave wave wave wave wave