Jak wszyscy wiemy, żyjemy w świecie otoczonym informacjami, które każdego dnia wymagają lepszego poziomu bezpieczeństwa, my Jako administratorzy i szefowie IT jesteśmy bezpośrednio odpowiedzialni za zapewnienie bezpieczeństwa, aby dane naszej lub naszej organizacji były bezpieczne.
Być może nasze informacje nie są tak cenne lub tak ważne, jeśli zostaną zgubione lub skradzione, ale możemy mieć bardzo szczególne informacje, takie jak konta bankowe, wyciągi z kont, dane osobowe itp., które muszą pozostać „bezpieczne” w naszych systemach i nie możemy zaprzeczyć, że hakowanie dzisiaj stało się zupełnie inne niż było wcześniej, dziś jest więcej mechanizmów ataku i różnych technik takich działań.
Tym razem porozmawiamy o intruzach, przeanalizujemy niektóre sposoby, w jakie hakerzy mogą uzyskać dostęp do informacji, wykorzystując istniejące luki.
Rozumiemy to nieautoryzowany dostęp do systemu stanowi poważny problem bezpieczeństwa Ponieważ ta osoba lub oprogramowanie może wydobyć cenne informacje z naszej bazy danych, a później na różne sposoby zaszkodzić organizacji, kiedy mówimy o oprogramowaniu, które może wejść bez autoryzacji, możemy pomyśleć, że jest to robak, trojan lub ogólnie rzecz biorąc, wirus.
Poniżej skoncentrujemy się na tych obszarach:
- 1. Rodzaje intruzów
- 2. Techniki włamań
- 3. Wykrywanie intruza
- 4. Rodzaje ataków
1. Rodzaje intruzów
Możemy wyróżnić trzy (3) rodzaje intruzów:
Nieuczciwy użytkownikOdnosi się do użytkownika, który nielegalnie uzyskuje dostęp do zasobów organizacji lub, mając uprawnienia, niewłaściwie wykorzystuje dostępne informacje.
OdtwórcaJest to osoba, która nie ma nic wspólnego z legalnym dostępem w organizacji, ale której udaje się osiągnąć poziom przejęcia tożsamości legalnego użytkownika, aby uzyskać dostęp i wyrządzić szkody.
Tajny użytkownikTo osoba, która może przejąć kontrolę nad audytem systemu organizacji.
Zwykle osoba podszywająca się pod osobę jest osobą zewnętrzną, oszukańczy użytkownik jest użytkownikiem wewnętrznym, a użytkownik potajemny może być zewnętrzny lub wewnętrzny. Ataki intruzów, niezależnie od ich rodzaju, mogą być sklasyfikowane jako poważne lub łagodne, w łagodnych mają dostęp tylko po to, aby zobaczyć, co jest w sieci, podczas gdy w poważnych informacje mogą zostać skradzione i / lub zmodyfikowane w samej sieci.
2. Techniki włamań
Jak wiemy, powszechnym sposobem dostępu do systemu są hasła i do tego właśnie dąży intruz, pozyskując hasła przy użyciu różnych technik, aby osiągnąć swój cel, jakim jest naruszenie dostępu i uzyskanie informacji. Zaleca się, aby nasz plik z hasłami był chroniony jedną z następujących metod:
Szyfrowanie jednokierunkoweTa opcja przechowuje tylko zaszyfrowaną formę hasła użytkownika, więc gdy użytkownik wprowadza swoje hasło, system szyfruje je i porównuje z zapisaną wartością, a jeśli jest identyczny, umożliwia dostęp, w przeciwnym razie go odmawia.
Kontrola dostępuDzięki tej metodzie dostęp do hasła jest bardzo ograniczony, tylko do jednego lub kilku kont.
ten metody powszechnie stosowane przez hakerów, według niektórych analiz są to:
- Testuj słowa ze słownika lub listy możliwych haseł, które są dostępne na stronach hakerskich
- Próbowanie z numerami telefonów użytkowników lub dokumentami tożsamości
- Testowanie z numerami tablic rejestracyjnych
- Uzyskaj dane osobowe od użytkowników m.in.
3. Wykrywanie intruza
Jako administratorzy musimy przeanalizować możliwe luki, które nasz system ma, aby uniknąć bólów głowy w przyszłości, możemy analizować te awarie za pomocą następujących koncepcji:
- Jeśli zbadamy, w jaki sposób intruz może zaatakować, informacje te pomogą nam wzmocnić zapobieganie włamaniom do naszego systemu
- Jeśli szybko wykryjemy natrętnego użytkownika, możemy uniemożliwić mu wykonywanie czynności w naszym systemie, a tym samym uniknąć szkód.
Jako administratorzy możemy analizować zachowanie użytkowników w naszej organizacji i wykrywać za pomocą wielu analiz, czy prezentują jakieś dziwne zachowanie, takie jak dostęp przez intranet do komputerów lub folderów, które nie powinny być dostępne, modyfikacja plików itp. Jednym z narzędzi, które bardzo nam pomogą w analizie intruzów, jest dziennik audytu, który pozwala nam śledzić działania wykonywane przez użytkowników.
Możemy użyć dwóch (2) rodzajów plany audytu:
Konkretne dzienniki audytu do wykrywaniaMożemy zaimplementować takie logi, aby pokazywały nam tylko informacje wymagane przez system wykrywania włamań.
Natywne dzienniki kontrolneJest to narzędzie, które domyślnie pojawia się w systemach operacyjnych i przechowuje całą aktywność użytkownika, na przykład przeglądarkę zdarzeń Microsoft Windows.
Potrafimy wykrywać anomalie na podstawie profili, czyli zachowania użytkowników, do tego możemy wykorzystać następujące zmienne:
- Lada: Jest to wartość, którą można zwiększać, ale nie zmniejszać, dopóki nie zostanie zainicjowana przez jakąś akcję
- Kaliber: Jest to liczba, która może się zwiększać lub zmniejszać i mierzy bieżącą wartość podmiotu
- Przedział czasowy: Odnosi się do okresu czasu między dwoma wydarzeniami
- Wykorzystanie zasobów: Oznacza ilość zasobów, które są zużywane w określonym czasie
Istnieje inny rodzaj wykrywania i to ten, który opiera się na regułach, które wykrywają wtargnięcie na podstawie zdarzeń występujących w systemie i stosują szereg zdefiniowanych reguł w celu określenia, czy aktywność jest podejrzana, czy nie.
Oto niektóre przykłady tych zasad:
Jedną z ciekawych technik przyciągania uwagi intruzów jest użycie honeypotów, które są po prostu narzędziami bezpieczeństwa, w których tworzone są systemy, które wydają się podatne na ataki lub słabe i w których znajdują się fałszywe informacje, ale o przyjemnym wyglądzie dla intruza, oczywiście honeypot nie ma lub nie będzie miał dostępu do legalnego użytkownika organizacja.
Co zabezpieczenie przed atakami intruzów Bez wątpienia istnieje prawidłowe zarządzanie hasłami, wiemy, że hasło pozwala:
- Zapewnij lub nie dostęp użytkownikowi do systemu
- Podaj uprawnienia, które zostały przypisane użytkownikowi
- Oferuj polityki bezpieczeństwa w firmie
W badaniu przeprowadzonym przez organizację w Stanach Zjednoczonych, na podstawie trzech (3) milionów kont, stwierdzono, że użytkownicy regularnie używają następujących parametrów do swoich haseł (które wcale nie są bezpieczne):
- Nazwa konta
- Numery identyfikacyjne
- Popularne imiona
- Nazwy miejsc
- Słownik
- Nazwy maszyn
Ważne jest, że w naszej roli jako administratorów, koordynatorów czy szefów IT edukujemy użytkowników naszej organizacji, aby wiedzieli jak ustawić silne hasło, możemy skorzystać z następujących metod:
- Reaktywne sprawdzanie hasła
- Proaktywne sprawdzanie hasła
- Edukacja naszych użytkowników
- Hasła generowane komputerowo
Jak widać, między nami wszystkimi (Administratorami i użytkownikami) możemy poradzić sobie z każdą aktywnością intruzów.
4. Rodzaje ataków
Następnie przyjrzymy się niektórym rodzajom ataków, które mogą być dokonywane w różnych systemach, przeprowadzimy tę analizę z etycznym podejściem hakerskim.
Porwanie
Ten rodzaj ataku polega na przejęciu części urządzenia do komunikacji z innym urządzeniem. Istnieją dwa (2) rodzaje przejęcia:
- Aktywny: Dzieje się tak, gdy część hosta jest zabierana i używana do złamania celu
- bierny: Dzieje się tak, gdy część urządzenia jest zajęta i rejestrowany jest cały ruch między dwoma urządzeniami
Mamy narzędzia do porwania ze stron takich jak:
- IP-Watcher
¿Jak możemy uchronić się przed porwaniem? W zależności od protokołu lub funkcji możemy użyć dowolnej z poniższych metod, na przykład:
- FTP: Użyjmy sFTP
- Połączenie zdalne: użyjmy VPN
- HTTP: Użyjmy HTTPS
- Telnet lub rlogin: użyjmy OpenSSH lub SSH
- IP: Użyjmy IPsec
Atak na serwer WWW
Najpopularniejsze serwery do implementacji usług internetowych to Apache i IIS. Intruzi lub hakerzy, którzy zamierzają zaatakować te serwery, muszą posiadać znajomość co najmniej trzech (3) języków programowania, takich jak Html, ASP i PHP. W celu dbamy o nasze serwery internetowe możemy korzystać z narzędzi, o nazwie Brute Force Attack, na przykład:
- Brutus dla Windows
- Hydra dla Linuksa
- NIX dla Linuksa
ten najczęściej spotykane ataki na poziomie serwera WWW są następujące:
- Skrypt Atak
- Hasła w tym samym kodzie
- Luki w aplikacjach webowych
- Weryfikacja nazwy użytkownika
Jako administratorzy możemy wdrożyć następujące praktyki:
- Zainstaluj i / lub zaktualizuj program antywirusowy
- Używaj skomplikowanych haseł
- Zmień domyślne konta
- Usuń kody testowe
- Zaktualizuj system i pakiet serwisowy
- Stale zarządzaj i monitoruj logi systemowe
Możemy skorzystać z narzędzia Acunetix, które pozwala nam zweryfikować, czy nasza strona internetowa jest podatna na ataki, możemy ją pobrać z linku.
Backdoory i trojany
Wiele trojanów jest uruchamianych w trybie testowym w celu sprawdzenia reakcji organizacji na możliwy atak, ale nie 100% pochodzi z testów wewnętrznych, ale w innych przypadkach mają złośliwe zamiary intruza.
Niektórzy najczęstsze trojany są:
- Netbus
- Prorat
- raj
- Kaczka
- Netcat
W celu zapobiegać atakom trojanów Ważne jest, że jako administratorzy realizujemy niektóre zadania, takie jak:
- Zainstaluj i zaktualizuj program antywirusowy
- Uruchom i aktywuj zaporę sieciową
- Użyj skanera trojana
- Zaktualizuj poprawki systemowe
Atak na sieci bezprzewodowe
Nasze sieci bezprzewodowe mogą być podatne na atak intruza, wiemy, że nowoczesne technologie sieci bezprzewodowych to 802.11a, 802.11b, 802.11n i 802.11g, są one oparte na ich częstotliwości.
W celu zapobiegać atakom na nasze sieci bezprzewodowe możemy wykonać następujące zadania:
- Unikaj używania pustego identyfikatora SSID
- Unikaj używania domyślnego identyfikatora SSID
- Użyj IPsec, aby poprawić bezpieczeństwo w naszym IPS
- Wykonaj filtry MAC, aby uniknąć niepotrzebnych adresów
Trochę narzędzia używane do hakowania bezprzewodowego są:
- przeznaczenie
- Mapa GPS
- NetStumbler
- AirSnort
- DStumbler
Choć w naszej firmie nie korzystamy z sieci bezprzewodowych w sposób ciągły, warto wdrożyć polityki bezpieczeństwa zapobiegające atakom dla nich idealnie byłoby wykonać następujące czynności (w przypadku korzystania tylko z sieci bezprzewodowej):
- Wyłącz DHCP
- Aktualizacja oprogramowania
- Użyj WPA2 i wyższych zabezpieczeń
- W przypadku połączenia zdalnego użyj VPN
Ataki typu „odmowa usługi” (DoS)
Głównym celem tego typu ataku jest wpłynięcie na wszystkie usługi naszego systemu, poprzez ich zatrzymanie, nasycenie, wyeliminowanie itp.
Możemy zapobiec atakowi DoS korzystając z następujących czynności:
- Skorzystaj z usług, których naprawdę potrzebujemy
- Wyłącz odpowiedź ICMP na zaporze
- Zaktualizuj system operacyjny
- Zaktualizuj naszą zaporę sieciową za pomocą opcji ataku DoS
Trochę narzędzia, które możemy znaleźć w sieci do ataków DoS są:
- FSM FSMax
- Trochę kłopotów
- Wstrząs 2
- Wybuch20
- Pantera2
- Szalony pinger itp.
Narzędzia do łamania haseł
Innym z powszechnych ataków, na które możemy cierpieć w naszych organizacjach, jest atak na hasła, jak już wspomnieliśmy, czasami ustanowione hasła nie są wystarczająco silne, dlatego jesteśmy podatni na to, że intruz ukradnie nasze hasło i będzie w stanie uzyskać dostęp do nasz system. Wiemy, że bezpieczeństwo naszych haseł opiera się na:
- Uwierzytelnianie: Autoryzuje dostęp do aplikacji systemowych lub firmowych
- Upoważnienie: Jeśli wprowadzone hasło jest poprawne, system je zweryfikuje i autoryzuje wpis
Rodzaje najczęściej wykrywane przez nas ataki polegające na kradzieży haseł są:
Ataki słownikoweSą to listy ustalonych słów, które są synchronizowane i sprawdzane, jeśli jest tam zawarte nasze hasło.
Brutalny atakJest to jeden z najskuteczniejszych ataków, ponieważ zawiera litery, cyfry i znaki specjalne i tworzą kombinacje, dopóki nie znajdą właściwego klucza
Ataki hybrydoweJest to połączenie dwóch (2) powyższych.
Trochę narzędzia do łamania haseł są:
- Pwdump3
- Jan Rozpruwacz
- Bozon GetPass
- Elcomsoft
Pamiętaj, że jeśli intruz odkryje nasze hasło lub hasło użytkownika w organizacji, możemy mieć poważne problemy, dlatego ważne jest pamiętaj, że większość zawiera następujące warunki dla naszych haseł:
- Małe litery
- Wielkie litery
- Znaki specjalne
- Liczby
- Złożone słowa
Zalecamy przejrzenie tego samouczka, aby mieć całkowicie silne hasła.
Możemy wykryć, czy jesteśmy ofiarami łamania haseł sprawdzanie logów systemowych, ciągłe monitorowanie ruchu sieciowego itp. Na stronie sectools możemy znaleźć różne narzędzia, które pomogą nam w naszej pracy monitorować sieć i jej ewentualne ataki, zaproszeniem jest poznanie jej i przeprowadzenie testów.
Kolejną stroną, którą możemy odwiedzić jest foundstone należący do firmy McAffe i zawierający ciekawą grupę przydatnych narzędzi.
Podszywanie się
W tym typie atakujący będzie podszywał się pod inny podmiot, w tym celu fałszuje dane, które są przesyłane w komunikacji. Ten rodzaj ataku może wystąpić w różnych protokołach, mamy spoofing IP, spoofing ARP, spoofing DNS, spoofing DHCP itp.
Oto kilka częste ataki:
- Podszywanie się w ciemno
- Podszywanie się na ślepo
- Człowiek w środku
- Odmowa usługi (DOS)
- Kradzież portów
Trochę środki zaradcze, które możemy podjąć:
- Użyj szyfrowania i uwierzytelniania
- Zastosuj filtrowanie wejścia i wyjścia na routerze
Wstrzyknięcie kodu
Polega na wykorzystaniu błędu spowodowanego przetwarzaniem nieprawidłowych danych. Jest używany przez atakującego do wstawiania lub wstrzykiwania kodu do podatnego na ataki programu komputerowego i zmiany przebiegu wykonywania. Udana iniekcja może mieć katastrofalne konsekwencje.
Niektóre miejsca gdzie możemy ułożyć atak iniekcyjny:
- SQL
- LDAP
- XPath
- Zapytania NoSQL
- HTML
- Powłoka
Trochę środki, które możemy podjąć podczas planowania:
- Filtruj wpisy
- Sparametryzuj instrukcje SQL
- Zmienne ucieczki
Jak widać, mamy wiele alternatyw, aby przeciwdziałać ewentualnym atakom na naszą organizację ze strony intruzów, naszym zadaniem (jeśli tak jest) jest dokonanie szczegółowej analizy i podjęcie działań w tych kwestiach.
Jak wspomnieliśmy wcześniej i na szczęście nie zawsze znajdzie się haker lub intruz zainteresowany przeniknięciem do naszego systemu i wykradaniem informacji, ale nigdy nie wiemy w przyszłości, gdzie będzie nasza organizacja lub my sami.