Ви дізнаєтесь, як забезпечити ефективний захист даних завдяки сучасним послугам інформаційної безпеки, а також зрозуміють важливість дотримання правових норм у цій сфері.
58 
Інформаційна безпека не є гарантією безпеки вашої компанії, інформаційних та комп’ютерних систем. На жаль, дати достовірну відповідь на помах чарівної палички неможливо. Але реалізувати його на належному рівні цілком можливо, концепції, що лежать в його основі, не дуже прості.
Інформаційна безпека – це система, яка дозволяє виявити вразливі місця організації, небезпеки, загрози для неї, і впоратися з ними. На жаль, є чимало прикладів, коли продукція, яка вважалася «ліками на всі випадки життя», насправді відводила від розробки правильних методів ефективного лікування. Їх виробники внесли свою лепту, заявивши, що саме їх продукт усуне всі проблеми з безпекою.
У цій статті ми постараємося розвіяти міфи про інформаційну безпеку і показати стратегії управління, яким потрібно слідувати.
Онлайн-словник Merriam-Webster (посилання: http://www.m-w.com/) визначає інформацію наступним чином:
відомості, отримані в ході науково-дослідної роботи, навчання або дослідження;
новини, новини, факти, дані;
команди або символи для представлення даних (в системах зв’язку або в комп’ютері);
знання (повідомлення, експериментальні дані, образи), що змінюють поняття, отримане в результаті фізичного або психічного досвіду.
Безпека визначається таким чином: свобода від небезпеки, безпека; свобода від страху чи тривоги.
Якщо об’єднати ці два поняття воєдино, то отримаємо визначення інформаційної безпеки – заходи, що вживаються для запобігання несанкціонованому використанню, неправильному використанню, зміні інформації, фактів, даних або апаратних засобів або відмови в доступі до них.
Як зрозуміло з визначення, інформаційна безпека не є стовідсотковою гарантією того, що ви побудуєте найміцнішу фортецю в світі – і тут же з’явиться хтось з ще більш потужним тараном. Інформаційна безпека – це превентивна дія, що дозволяє захмарити інформацію та обладнання від загроз та використання їх вразливостей.
Коротка історія безпеки
Способи пошуку інформації та інших ресурсів постійно змінюються, так само як і суспільство і технології. Дуже важливо це розуміти, щоб виробити правильний підхід до безпеки. Тому давайте трохи ознайомимося з його історією, щоб уникнути повторення минулих помилок.
Фізична охорона
На зорі цивілізації цінна інформація зберігалася в матеріальній формі: її вирізали на кам’яних табличках, пізніше записували на папері. Для їх захисту використовувалися одні й ті ж матеріальні предмети: стіни, рови і огорожі.
Примітка
Важливої або секретної інформації уникали на жорстких носіях, ймовірно, тому до нас дійшло так мало записів алхіміків. Вони не обговорювали свої таємниці ні з ким, крім обраних учнів, тому що знання – це сила. Можливо, саме таким був промінчик Сунь-цзи сказав: «Таємниця, яка знає більше одного, більше не є таємницею».
Інформація зазвичай передавалася за допомогою месенджера і в супроводі охорони. І ці заходи себе виправдовували, оскільки єдиним способом отримання інформації була її крадіжка.
Отримання інформації в процесі передачі
На жаль, у центрального архіву був один недолік. Коли послання було захоплено, вороги дізнавалися все, що в ньому було написано. Навіть Юлій Цезар отримав цінну інформацію в процесі передачі.
Ця концепція була розроблена під час Другої світової війни. Німеччина використовувала маїмну під назвою «Енігма» для передачі повідомлень, що надсилаються військовим частинам.
Німці вважали, що машину Enigma практично неможливо зламати. Її дійсно було б дуже складно зламати – якби не рахунки операторів, що дозволяють союзникам читати деякі звіти. У військовій справі кодові слова зазвичай використовувалися для позначення географічних пунктів і бойових одиниць. Японія замінила ці назви на кодові слова, тому було дуже важко зрозуміти їхні послання.
Радіаційний захист
Крім апаратних систем, складні комп’ютери дуже складно зламати. Тому йшов постійний пошук інших способів перехоплення інформації, що передається у вбудованому вигляді.
У 1950 р було встановлено, що доступ до повідомлень можливий за допомогою перегляду електронних сигналів, що виникають при їх передачі по телефонних лініях.
Робота будь-яких електронних систем супроводжується випромінюванням, в тому числі телетайпів і блоків відбитка, що використовуються для передачі зашифрованих повідомлень, блок шифрування посилає вбудоване повідомлення по телефонній лінії, а разом з ним передається електричний сигнал від джерела одного повідомлення. Отже, якщо є три одиниці обладнання, вихідне повідомлення можна відновити.
Проблема виявлення радіації призвела до створення в Сполучених Штатах Америки програми «TEMPEST». У цій програмі розроблені стандарти на електричне випромінювання комп’ютерних систем, що використовуються в секретних організаціях. Метою програми було зниження рівня радіації, яка могла бути використана для збору інформації.
Примітка
Система «TEMPEST» відіграє важливу роль у деяких таємних державних програмах. Комерційні організації теж мають всі підстави бути незадоволеними, але навряд чи вони будуть настільки великими, щоб змусити їх розщедритися для використання в своїй роботі комп’ютерні системи захоплення радіації.
Запуск комп’ютера
При передачі повідомлень по телеграфу досить було забезпечити захист зв’язку і випромінювання. Потім з’явилися комп’ютери, і на них були передані інформаційні ресурси організацій в електронному форматі. Через деякий час працювати на комп’ютерах стало простіше, і багато користувачів навчилися спілкуватися з ними в режимі інтерактивного діалогу. Тепер доступ до інформації може отримати будь-який користувач, який увійшов у систему. Виникла потреба в комп’ютерах.
На початку 1970-х років Девід Белл і Леонард Ла Падула розробили модель безпеки для комп’ютерних операцій. Ця модель була заснована на урядовій концепції рівнів інформації (незасекречена, несекретна, таємна, суверенно таємна) та допусків до безпеки. Ця концепція втілена в стандарті 5200.28 «Ti-usted Computing System Evaluation Criteria» (TCSEC), розробленому в 1983 році Міністерством оборони США. Через колір обкладинки її назвали «Помаранчевою книгою». «Помаранчева книга» ранжувала комп’ютерні системи відповідно до наступної піктограми.
D – Мінімальний захист (ненормований)
C1 – Захист на розсуд
C2 – Контрольований захист доступу
B1 – Захист із мітками безпеки
B2 – Структурований захист
B3 – Захист доменів
A1 – Перевірювана розробка
«Помаранчева книга» визначила функціональні та гарантійні вимоги до кожного розділу. Система повинна була відповідати цим вимогам, щоб відповідати певному рівню сертифікації.
Більшість сертифікатів безпеки займали багато часу та коштували дорого для виконання гарантійних вимог. В результаті дуже мало систем були сертифіковані вище рівня С2 (фактично, тільки одна система коли-небудь проходила сертифікацію на рівень А1 – Honeywell SCOMP). За той час, що системи потребували сертифікації, вони встигли застаріти.
При складанні інших критеріїв робилися спроби відокремити функціональні вимоги від гарантійних вимог. Ці розробки були включені в німецьку Зелену книгу в 1989 році, канадські критерії в 1990 році, критерії оцінки безпеки інформаційних технологій (ITSEC) в 1991 році і Федеральні критерії (відомі як Соттопські критерії) в 1992 році. ITSEC і Sottop Criteria просунулися вперед більше, ніж інші, залишивши функціональні вимоги практично невизначеними.
Сучасна концепція безпеки втілена в «Загальних критеріях». Основна ідея зосереджена в так званих профілях безпеки, які визначають різні середовища безпеки, в яких може бути поміщена комп’ютерна система. Продукція оцінюється на відповідність цим профілям і проходить сертифікацію. Купуючи систему, організація має можливість вибрати той профіль, який максимально відповідає її потребам, і вибрати продукцію, сертифіковану за цим профілем. Сертифікат на продукцію включає в себе рівень довіри, тобто рівень секретності, закладений оцінками, що відповідає профілю функціональних можливостей.
Технологія комп’ютерних систем розвивається швидкими темпами в порівнянні з програмою сертифікації. Нові версії операційних систем і апаратного забезпечення з’являються і потрапляють на свої ринки тільки перед старими версіями і сертифікацією систем PASS.
Однією з проблем, пов’язаних з критеріями оцінки захищеності систем, було нерозуміння механізмів роботи в мережі. Коли комп’ютери об’єднуються, до старих додаються нові проблеми безпеки. Так, у нас є засоби зв’язку, але при цьому локальних мереж набагато більше, ніж глобальних. по всій будівлі. І, наюнь, є багато користувачів, які мають доступ до систем. «Помаранчева книга» не вирішила проблем, що виникають при об’єднанні гравців у Загальну мережу. Нинішня ситуація така, що наявність мережі ставить під сумнів юридичну силу сертифіката «Помаранчева книга». У відповідь на це в 1987 році з’явилася TNI (Trusted Network Interpretation), або «Червона книга». «Червона книга» зберігає всі вимоги безпеки з «Помаранчевої книги» і намагається вирішити проблему мережевого простору і створити джунк мережевої безпеки. На жаль, у «Червоній книзі» також пов’язана функціональність із безпекою.
У ці дні проблеми стали ще серйознішими. Організації почали використовувати бездротові мережі, поява «Червоної книги» передбачити було не могло. Для бездротових мереж obsolete_mm вважається сертифікат «Червона книга».
Отже, куди ж привела нас історія? Складається враження, що жодне з рішень не вирішує проблеми безпеки. У реальному житті надійна система – це сукупність всіх методів забезпечення безпеки.
Надійна фізична безпека необхідна для забезпечення безпеки матеріальних активів, носіїв інформації та систем. Щит зв’язку (COMSEC) відповідає за безпеку передачі інформації. Виявлення радіації (EMSEC) необхідне, якщо у противника є обладнання для зчитування електронних випромінювань комп’ютерних систем. Комп’ютерна безпека (COMPUSEC) необхідна для контролю доступу в комп’ютерних системах, а мережева безпека (NETSEC) – для створення локальних мереж. У сукупності всі типи заплутування забезпечують інформаційну безпеку (INFOSEC).
До сих пір не існує процесу сертифікації комп’ютерних систем для підтвердження наданої безпеки. Для більшості запропонованих рішень спритні технології швидко просунулися вперед. Лабораторія безпеки США (Underwriters Laboratory) запропонувала нову концепцію безпеки, згідно з якою можливе створення сертифікаційного центру, що засвідчує безпеку різних продуктів. Якщо є можливість проникнути в систему, користувачі якої працювали з несертифікованим продуктом, то це слід розцінювати як недбале ставлення до безпеки адміністраторів цієї системи.
На жаль, ця концепція породжує дві проблеми.
Темпи розвитку технологій ставлять під сумнів той факт, що центр буде представляти кращу сертифіковану продукцію до того, як вона застаріє.
Довести, що щось надійно працює, вкрай складно, майже неможливо. По суті, орган сертифікації повинен спростувати той факт, що систему можна зламати. А раптом завтра всі існуючі сертифікати застаріють?
Оскільки WASH продовжує шукати нові рішення, залишається визначити безпеку як найкраще, що можна зробити. Безпека досягається завдяки щоденній практиці та постійній пильності.
Очевидно, що не можна покладатися на один тип безпеки для забезпечення безпеки інформації. Також не існує єдиного продукту, в якому реалізовані всі незамінні способи зв’язку для комп’ютерів і мереж. На жаль, багато розробників стверджують, що з цим завданням впорається тільки їх продукт. Насправді це не так. Для всебічного пошуку інформаційних ресурсів потрібно багато різних товарів. Це питання буде розглянуто в наступних розділах.
Антивірусне програмне забезпечення
Антивірусне програмне забезпечення є невід’ємною частиною надійної програми безпеки. Якщо його правильно налаштувати, ризик зараження шкідливим програмним забезпеченням буде значно знижений і не завжди – згадайте про вірус Melissa).
Але жодна антивірусна програма не зможе захистити організацію від зловмисника, який використовує шкідливу програму для проникнення в систему, або від законного користувача, який намагається отримати несанкціонований доступ до Центрів
Контроль доступу
Будь-яка програмна система в організації обмежує доступ до файлів, ідентифікуючи користувача, який входить у систему. Якщо система налаштована належним чином, коли для законних користувачів налаштовані необхідні дозволи, є обмеження на використання 4 сайтів, до яких вони не мають доступу. Єдина система контролю доступу не забезпечить виявлення, якщо зловмисник отримає доступ до файлів від імені адміністратора через уразливості. Атака вважатиметься законною дією адміністратора.
Брандмауери
Брандмауер (frewall) – це пристрій контролю доступу, який запобігає внутрішнім мережам від зовнішніх атак. Він встановлюється на кордоні між зовнішньою і внутрішньою мережами. Правильно налаштований брандмауер є найважливішим пристроєм брандмауера. Однак запобігти атаці через авторизований канал зв’язку він не зможе. Наприклад, якщо доступ до веб-сервера ззовні дозволений і в його програмному забезпеченні є слабке місце, брандмауер пропустить цю атаку, тому що Для роботи сервера потрібне відкрите веб-з’єднання. Брандмауер не буде домагатися від внутрішніх користувачів, так як вони вже знаходяться всередині системи. Зловмисник може замаскуватися під внутрішнього користувача. Розглянемо організацію, яка має бездротові мережі. Якщо внутрішня бездротова мережа налаштована неправильно, зловмисник, що сидить на парковці, зможе перехопити дані з цієї мережі, при цьому його дії будуть виглядати як робота користувача всередині системи. У цьому випадку брандмауер не допоможе.
Автентифікація особи може бути виконана за допомогою трьох речей: що ви знаєте, що у вас є або що ви є. Історично склалося так, що комп’ютерні системи використовували паролі (що б ви не знали) для автентифікації особи. Але виявилося, що покладатися на паролі особливо не варто. Пароль можна вгадати, або користувач записує його на аркуші паперу – і пароль дізнаються всі. Використання інших методів аутентифікації вирішує цю проблему.
Для встановлення особистості використовуються смарт-карти (вони у вас є), і таким чином знижується ризик витоку пароля. Однак, якщо смарт-картка буде викрадена, а це єдина форма аутентифікації, то злодій зможе замаскуватися під законного користувача комп’ютерної системи. Смарт-карти не зможуть запобігти атаці з використанням вразливостей, так як вони призначені для правильного входу користувача в систему.
Ще однією проблемою є вартість смарт-карт, адже за кожну потрібно заплатити від 80 до 100 доларів. Організація з великою кількістю співробітників зажадає серйозних витрат на оплату стандартів безпеки.
Біометричні системи – це ще один механізм аутентифікації (це те, що ви є), який значно знижує ймовірність отримання пароля. Існує багато біометричних сканерів
Щоб переконатися в наведеному нижче:
відбитків пальців;
сітківки/райдужної оболонки;
відбитків долонь;
конфігурації руки;
Кожен метод має на увазі використання певного приладу для виявлення особливостей людини. Зазвичай ці пристрої досить складні, щоб виключити спроби обману. Наприклад, при знятті відбитків пальців кілька разів перевіряють температуру і пульс. Існує безліч проблем з використанням біометрії, в тому числі вартість розгортання зчитувальних пристроїв і небажання співробітників їх використовувати.
Увага!
Перш ніж розгортати біометричну систему, переконайтеся, що співробітники вашої організації згодні її використовувати. Не всі хочуть помітити своє око в лазерному промені, щоб просканувати сітківку ока!
Як і інші сильні методи ідентифікації, біометрія ефективна в разі правильного використання системи. Якщо зловмисник знайде траєкторії обода біометричної системи, вона не зможе забезпечити безпеку.
Розкриття навали
Системи виявлення вторгнень (IDS) неодноразово розглядалися як комплексне вирішення проблеми безпеки. Кращі комп’ютери більше не потрібно шукати, тепер безглуздо визначати, що хтось виконує незаконні дії в системі, і зупиняти це! Багато IDS продавалися як системи, здатні зупинити атаки до того, як вони могли бути здійснені. Крім того, були впроваджені нові системи запобігання вторгнень (IPS). Слід зазначити, що жодна система виявлення вторгнень не є стійкою до вторгнення, а також не замінює надійну програму безпеки чи практику безпеки. За допомогою недбалості цих систем неможливо виявити законних користувачів, які намагаються отримати антисанітарний доступ до інформації.
Додаткові проблеми створюють системи виявлення вторгнень з автоматичною підтримкою виявлення окремих ділянок. Уявіть, що система IDS налаштована на блокування доступу з передбачуваних адрес атаки. У цей час ваш клієнт генерував трафік, який був визначений системою як можлива атака. Не дивуйтеся потім, що цей клієнт більше не захоче мати з вами справу!
Управління політиками
Політики та керування ними є важливими компонентами надійної програми безпеки. З їх допомогою організація отримує інформацію про системи, які не відповідають встановленим політикам. Однак цей компонент не враховує наявність вразливостей в системах або неправильну конфігурацію прикладного програмного забезпечення, що може призвести до успішного проникнення в систему. Керування політиками не гарантує, що користувачі не знехтують своїми паролями та не поділяться ними зі зловмисниками.
Шифрування
Шифрування є найважливішим механізмом для отримання інформації під час передачі. За допомогою відбитка файлів можна забезпечити безпеку інформації під час зберігання. Доступ до цих файлів повинен мати тільки один співробітник організації, а брандмауер не зможе відрізнити законних і нелегітимних користувачів, якщо вони нададуть однакові ключі для алгоритму. Для забезпечення безпеки при очищенні необхідно контролювати імпринтінгові пристрої і систему в цілому.
Механізми фізичного Law_CITES
Фізичний пошук є єдиним способом всебічного виявлення комп’ютерних систем та інформації. Його можна виконати відносно серйозно. Для цього викопайте яму глибиною 20 метрів, помістіть в неї важливі системи і залийте зверху бетоном. Все буде в цілковитій безпеці! На жаль, виникнуть проблеми зі співробітниками, яким для нормальної роботи потрібен доступ до ноутбуків.
Навіть з механізмами фізичного пошуку, дбайливо розставленими на своїх місцях, доведеться надати користувачам доступ до системи – і це буде молода людина! Фізичний брандмауер не запобігне законній атаці доступу або мережевій атаці.
У цьому проекті ми покажемо, що сертифікація систем комп’ютерної безпеки не відповідає потребам індустрії безпеки. Ми оцінимо актуальні операційні системи за критеріями «Помаранчевої книги»
Крок за кроком
Визначте, які операційні системи використовуються у вашому офісі. Оберіть одну з них.
Скопіюйте «Помаранчеву книгу» (подивіться тут: посилання: http://en.wikipedia.org/wiki/TCSEC).
Почніть із перевірки функціональних вимог розділу С «Помаранчевої книги». Вони знаходяться під заголовком «Політики безпеки» та «Ідентифікованість». На цьому етапі ігноруйте вимоги щодо гарантованості та документування.
Визначте, чи відповідає дана система вимогам розділу С. Якщо так, то переходьте до розділів В і А.
Після визначення функціонального рівня системи перевірте вимоги щодо гарантованості та документування для цього ж рівня. Чи виконуються ці вимоги?
Залежно від типу, операційні системи практично завжди мають функціонал рівня С1. Рівень С2 базується на вимогах безпеки для повторного використання об’єктів, і більшість комерційних операційних систем відповідають вимогам функціональності цього рівня. Ці системи не мають функціональних рівнів, що відповідають рівню В.
У лекції розглядаються різні категорії атак, їх визначення та умови їх здійснення. Коротко розглянуто механізм виникнення нападів.
Під час експлуатації бамперних систем часто виникають різні проблеми. Деякі з них відбуваються через чиюсь помилку, а деякі є наслідком зловмисних дій. У будь-якому випадку заподіюється шкода. Тому ми будемо називати такі події нападами, незалежно від причин їх виникнення.
Виділяють чотири основні категорії атак:
атаки доступу;
атаки модифікацій;
атаки типу «відмова в обслуговуванні»;
напади на відмову від зобов’язань.
Розглянемо докладніше кожну категорію. Існує безліч способів здійснення атак: за допомогою спеціально розроблених інструментів, методів соціальної інженерії, а також через вразливості комп’ютерних систем. У соціальній інженерії не використовуються технічні засоби для отримання несанкціонованого доступу до системи.
Атаки, спрямовані на захоплення інформації, що зберігається в електронному вигляді, мають одну цікаву особливість: інформацію не викрадають, а копіюють. Вона залишається у одного власника, але при цьому її також отримує зловмисник. Таким чином, власник інформації є відповідальним, і виявити момент, коли це сталося, дуже складно.
Access attack – це спроба отримати інформацію, до якої зловмисник не має доступу. Атака на доступ можлива скрізь, де є інформація та засоби її передачі.
Підглядання
Стеження – це перегляд файлів або документів з метою пошуку інформації, яка становить інтерес для зловмисника. Якщо документи зберігаються у вигляді роздруківок, то зловмисник відкриє стіл і покопається в них. Якщо інформація зберігається в комп’ютерній системі, вона буде сканувати файл за файлом, поки не знайде потрібну інформацію.
Підслуховування
Коли хтось бере участь у розмові, він не є її стороною, це називається підслуховуванням. Для того, щоб отримати антисанітарний доступ до інформації, зловмисник повинен оголити себе в безпосередній близькості від неї. Дуже часто він користується електронними пристроями.
Впровадження бездротових мереж підвищило ймовірність своєчасної затримки. Тепер зловмиснику не потрібно оголюватися всередині системи або фізично підключати прослуховуючий пристрій до мережі. Натомість, під час сеансу зв’язку, він знаходиться на парковці або біля будівлі.
Поява бездротових мереж створила численні проблеми з безпекою, відкривши зловмисникам незахищений доступ до внутрішніх мереж. Ці проблеми будуть детально розглянуті нижче.
Перехоплення
Зловмисник фіксує інформацію в процесі її передачі до місця призначення. Проаналізувавши інформацію, він приймає рішення про дозвіл або заборону її подальшого проходження.
Атаки доступу приймають різні форми в залежності від того, як зберігається інформація: у вигляді паперових документів або в електронному вигляді на комп’ютері.
Документи
Якщо необхідна зловмиснику інформація зберігається у вигляді паперових документів, йому знадобиться доступ до цих документів. Вони могли бути знайдені в таких місцях:
в картотеках;
в таблицях або на столах;
У файлі або принтері;
Отже, необхідно, щоб зловмисник проник у всі ці місця. Якщо він є співробітником організації, то зможе потрапити в садибу разом з картотекою. Він знайде столи в незамкнених кабінетах. Факсимільні апарати і принтери зазвичай розташовуються в громадських місцях, і люди мають звичку залишати там роздруковані документи. Навіть якщо всі офіси закриті, можна покопатися в сміттєвих цехах. А ось архіви стануть проблемою для злому, особливо якщо вони належать розробникам і знаходяться в захищеному місці.
Замки на дверях можуть когось зупинити, але завжди будуть кімнати, залишені відкритими до обіду. Замки на картотеці і в столах влаштовані відносно просто, їх можна легко відкрити за допомогою відмички, особливо якщо ви вмієте це робити.
Фізичний доступ є ключем до отримання даних. Варто відзначити, що надійна охорона приміщення захистить дані від сторонніх осіб, але не від співробітників організації або внутрішніх користувачів.
Інформація в електронному вигляді
Інформація в електронному вигляді зберігається:
на робочих станціях;
на серверах;
на ноутбуках;
на дискетах;
на компакт-дисках;
на резервних магнітних стрічках.
Шахрай може просто викрасти носій інформації (дискету, компакт-диск, резервну стрічку або ноутбук). Іноді це простіше, ніж отримати доступ до файлів, що зберігаються на комп’ютерах.
Якщо у зловмисника є легальний доступ до системи, він проаналізує Цнилу, просто відкриваючи одну за одною. При належному рівні контролю роздільної здатності, доступ нелегальному користувачеві буде відмовлено, а спроби доступу будуть реєструватися в журналах.
Правильно налаштовані дозволи запобігатимуть випадковому витоку інформації. Однак серйозний злом спробує обійти систему Управління і отримати доступ до необхідної інформації. Є багато вразливостей, які допоможуть йому в цьому.
Хакер робить це шляхом встановлення аналізатора мережевих пакетів на комп’ютерну систему. Як правило, це комп’ютер, який налаштований на захоплення всього мережевого трафіку (а не тільки трафіку, адресованого комп’ютеру). Для цього хакер повинен підвищити свій авторитет в системі або підключитися до мережі. Аналізатор налаштований на захоплення будь-якої інформації, що проходить через мережу, але особливо ідентифікаторів користувачів і паролів.
Як вже говорилося вище, поява бездротових технологій дозволяє хакерам перехоплювати трафік без централізованого доступу до системи. Бездротові сигнали зчитуються на досить великій відстані від їх джерела:
на інших поверхах будівлі;
на парковці;
на вулиці поруч з будівлею.
Прослуховування також проводиться в глобальних комп’ютерних мережах, таких як виділені лінії та телефонні з’єднання. Однак для такого типу перехоплення потрібне відповідне обладнання та спеціальні знання. При цьому найбільш вдалим місцем для розміщення підслуховувального пристрою є інтернет-кафе з доступом до електропроводки.
Примітка
Перехоплення більш небезпечне, ніж перехоплення, воно означає цілеспрямовану атаку на людину або організацію.
Модифікаційна атака – це спроба змінити інформацію без дозволу. Така атака можлива скрізь, де присутня або передана інформація. Вона спрямована на порушення цілісності інформації.
Заміна
Одним з видів модифікаційної атаки є заміна існуючої інформації, наприклад, зміна заробітної плати працівника. Атака на заміну націлена як на секретну, так і на загальнодоступну інформацію.
Доповнення
Ще одним видом атак є додавання нових даних, наприклад, до інформації про історію минулих періодів. Хакер виконує операцію в банківській системі, в результаті якої кошти з рахунку інвестора перераховуються на його власний рахунок.
Видалення
Під видаленням мається на увазі переміщення існуючих даних, наприклад, анулювання запису про транзакцію з балансу банку, в результаті чого кошти, виведені з рахунку, залишаються на ньому.
Як і атаки доступу, атаки модифікації виконуються проти інформації, що зберігається у вигляді паперових документів або в електронному вигляді на комп’ютері.
Документи
Змінити докуленти так, щоб цього ніхто не помітив, складно: якщо є підпис (наприклад, в договорі), потрібно подбати про його підробку, скріплений документ потрібно акуратно зібрати заново.
Змінювати інформацію, що зберігається в електронній формі, набагато простіше. Враховуючи, що хакер має доступ до системи, така операція залишає після себе мінімум доказів. У разі відсутності санітарного доступу до Центрального, зловмисник повинен спочатку забезпечити доступ до системи або видалити дозволи Центрального. Атаки такого роду використовують вразливості в системах, такі як «гоління» безпеки сервера, що ДОЗВОЛЯЄ замінити домашню та оголену сторінки.
Модифікація бази даних або списку транзакцій повинна проводитися дуже обережно. Транзакції нумеруються послідовно, і буде помічено видалення або додавання неправильних оперативних номерів. У цих випадках необхідно ретельно працювати по всій системі, щоб не допустити опромінення.
Складніше провести успішну модифікаційну атаку при передачі інформації. Найкращий спосіб – спочатку перехопити трафік, що цікавить, а потім внести зміни в інформацію, перш ніж відправити її до місця призначення.
Питання для самоперевірки:
Чи правда, що виконати перехоплення легше, ніж прослухати?
Спроба вставити запис в книгу обліку називається атаю
Визначення відмови в пом’якшувальних атаках
Атаки типу «відмова в обслуговуванні» (DoS) – це напади, законному користувачеві, який використовує систему, інформацію або можливості комп’ютерів. В результаті зловмисник зазвичай не отримує доступу до комп’ютерної системи і не може оперувати інформацією. Такий напад не можна назвати інакше, як вандалізмом.
Відмова в доступі до інформації
В результаті спрямованої проти нього інформації остання стає непридатною для використання. Інформація знищується, спотворюється або переноситься в недоступне місце.
Відмова в доступі до додатків
Інший тип DoS-атаки спрямований на додатки, які обробляють або відображають інформацію, або на комп’ютерну систему, на якій ці програми запускаються. Якщо така атака вдається, стає неможливим реконструювати завдання, що виконуються за допомогою такої програми.
Відмова в доступі до системи
Поширений тип DoS-атак спрямований на виведення з ладу комп’ютерної системи, в результаті чого сама система, встановлені на ній додатки, і вся інформація, що зберігається, стають недоступними.
Відмова в доступі до засобів зв’язку
Атаки типу «відмова в доступі» здійснюються вже багато років. Приклади включають обрив мережевого дроту, глушіння радіопередач або затоплення повідомлень, які створюють надмірний трафік. Об’єктом атаки є комунікаційне середовище. Цілісність комп’ютерної системи та інформації не буде порушена, але відсутність засобів зв’язку прилипає до доступу до цих ресурсів.
Як виконуються атаки типу «відмова в обслуговуванні»
Зазвичай вони спрямовані проти комп’ютерних систем і мереж, але іноді їх мішенню є паперові документи.
Документи
Інформація на папері є об’єктом цифрових DoS-атак. Документи повинні бути викрадені або знищені, щоб зробити їх непридатними для використання. Фізичні DoS-атаки є навмисними або відбуваються випадково. Зловмисник може просто знищити документи, а якщо їх довідки не збереглися, то вважати інформацію втраченою. З цією ж метою він може організувати підпал будівлі. До таких же результатів призводять і нещасні випадки: адже через пошкодження проводки може статися пожежа, а документ може бути знищений шляхом обману.
Інформація, що зберігається в електронному вигляді
Існує багато способів виконання DoS-aтак які можуть пошкодити інформацію, що зберігається в електронному вигляді. Його можна видалити, а для закріплення успіху зловмисник видалить усі резервні копії використання цієї інформації. Він може зробити файл непридатним для використання, додавши до нього нові можливості, а потім знищивши ключ. Доступ до інформації буде втрачено, якщо не буде резервного використання файла.
Фізична DoS-атака – це також фізичне знищення комп’ютера (або його крадіжка). Приклад короткочасної DoS-атаки, яка вимикає комп’ютер, у результаті чого користувачі отримують доступ до своїх програм.
Існують DoS-атаки, які націлені безпосередньо на комп’ютерну систему. Вони реалізуються за допомогою експлойтів, які експлуатують вразливості в операційних системах або міжмережевих протоколах.
Шенники також знають про ‘Голений’ у додатках. З їх допомогою зловмисник відправляє в додаток певний набір команд, які воно не в змозі коректно обробити, в результаті чого додаток дає збій. Перезавантаження відновлює його функціональність, але працювати з додатком під час перезавантаження стає неможливо.
Найпростіший спосіб відключити інструмент зв’язку – перерізати мережевий кабель. Тонка атака вимагає доступу до проводки, але, як ми побачимо, екскаватор – це 4 інструменти для DoS-атак спрямовані на засоби зв’язку, направляють на сайт непомірний трафік. Цей трафік буквально переповнює інфраструктуру зв’язку, позбавляючи законних користувачів доступу до мережі.
Але не всі вони навмисні, іноді випадковість відіграє більшу роль у виникненні подібних інцидентів. Екскаватор, про який я згадував вище, може відрізати оптику
Поломка вже стала причиною багатьох користувачів телефону та інтернету. Розробники, тестуючи новий програмний пристрій, іноді абсолютно мимоволі відключали біль системи. Що б він не встояв перед спокусою натиснути красиву кнопку і зупинити або перезавантажити всю систему.
Ця атака спрямована проти можливості ідентифікації інформації, іншими словами, це спроба дати невірну інформацію про реальну подію або транзакцію.
Маскарад
Маскарад – це акт виконання дій під виглядом іншого користувача або іншої системи. Така атака здійснюється при спілкуванні через особисті пристрої, при проведенні фінансових операцій або при передачі інформації з однієї системи в іншу.
Метою DoS-атак зазвичай є одна комп’ютерна система або лінія зв’язку, але іноді вони спрямовані проти всього Інтернету! У 2002 році сталася атака на сервери юридичних імен мережі Інтернет. Вони були буквально “лавинами” з проханнями про дозвіл імені. Запитів було так багато, що деякі комп’ютери виходили з ладу. Але атака не виявилася повністю успішною, так як багато серверів не втратили свою працездатність, а інтернет продовжив функціонувати. Якби можна було відключити всі сервери, інтернет став би недоступним для більшості рідкісних імен.
Заперечення події – це відмова від факту вчинення правочину. Наприклад, людина здійснює покупку в магазині за допомогою кредитної картки карти. Отримавши рахунок, він повідомляє компанії, яка надала йому кредитну картку, що він ніколи не здійснював покупку.
Як працюють атаки дисклеймерів
Атаки здійснюються щодо інформації, що зберігається у вигляді паперових документів або в електронній формі. Складність реалізації атаки залежить від запобіжних заходів, що діють в організації.
Документи
Аферист видає себе за іншу особу, користуючись чужими документами. Це простіше зробити, якщо документ набраний, а не написаний від руки.
Він заперечує факт звірки угоди. Якщо на договорі або квитанції про отримання кредитної картки є підпис, він заявить, що це не його підпис. Природно, плануючи таку атаку, він буде намагатися зробити так, щоб підпис виглядала неправдоподібно.
Атаки дисклеймерів набагато успішніші, коли інформація подається в електронному вигляді. Адже електронний документ може створити та надіслати будь-хто. У полі “від” (from) адреси електронної пошти можна змінити ім’я відправника, справжність якого не підтверджена e-mail інвойсом.
Це справедливо і для інформації, що передається комп’ютерними системами. Система може призначити собі будь-яку систему і замаскуватися під іншу систему
Ми навели спрощений приклад. Система зможе призначити GR-адресу іншій системі, якщо вона розташована не на тому ж сегменті мережі. В інтернеті зробити таку заміну дуже складно, так як вона не дозволить встановити з’єднання.
В електронному середовищі набагато простіше заперечити факт про здійснення будь якої події, тому що на цифрових документах і квитанціях кредитної картки не має власноручного підпису.
Якщо документ не має електронного цифрового підпису довести його належність конкретній особі неможливо. Але навіть якщо підпис є, завжди можна сказати, що його вкрали або що пароль розкрито.
В електронному середовищі простіше відмовитися від виконання транзакції з кредитною карткою, тому що на ній немає підпису, що збігається з підписом її власника. Деякі докази можна шукати, якщо товари доставляються на адресу власника кредитної картки. А якщо їх відправили не туди, куди треба? Як довести, що власником кредитної картки є особа, яка купила товар?
Цей проект дозволить вам виявити можливі шляхи атаки на вашу інформацію або комп’ютерну систему. Така атака може використати те, що ви знаєте: ваш дім чи ваш бізнес.
Крок за кроком:
Проаналізуйте інформацію, що стосується вашого бізнесу та дому. Визначте найважливіший з них.
Визначте, де зберігається ця інформація
Визначте типи атак, які є найбільш руйнівними для вас. Враховуйте ймовірність атаки доступу, атаки модифікації, атаки на відмову в шахрайстві.
Подумайте про те, як виявити такі атаки.
Виберіть тип атаки, який ви вважаєте найбільш руйнівним, і розробіть стратегію його атаки.
Для багатьох комерційних компаній найбільш секретною інформацією є особові справи та відомості про заробіток. Не забудьте про клієнтів – їхні номери кредитних карток та номери соціального страхування. Фінансові та медичні організації мають у своєму розпорядженні секретною інформацією, яка певним чином регулюється. Переглядаючи інформацію і думаючи про можливість атаки, поставте собі за мету зробити так, щоб вона не була розкрита. Цілком можливо, що для вашого бізнесу важливо розглянути можливість модифікації, атаки типу «відмова в обслуговуванні» та «відмова в обслуговуванні».
Виявляти атаки – це безглузда річ. Для цього можна використовувати електронні засоби, але не варто нехтувати проблемами безпеки і персоналу вашої організації. Чи звернув співробітник компанії увагу на те, що в ОКМС з’явилася незнайома людина? Чи помітив працівник зміну в файла?
Наюнь, розробляючи стратегію, не обмежуйтеся смаколиками і мережами. Подумайте про те, як зловмисник може використовувати засоби CSIC для отримання інформації або її знищення.
Тема присвячена хакерським атакам. Розглянуто мотивацію хакерів, історію методів злому, різні методи проведення атак. Розглянуто види шкідливого програмного забезпечення, а також способи виявлення хакерських атак різного типу.
Історія про безпеку була б неповною без ляща про хакерів і те, як вони працюють. Тут використовується термін хакер в його сучасному значенні – людина, яка зламує комп’ютери. Слід зазначити, що бути хакером не вважалося чимось антипатентним, скоріше, це була характеристика людини, яка вміла професійно поводитися з бамперами. У наш час хакери – це ті, хто зламує або виводить з ладу комп’ютерну систему. Дослідження показали, що хакерами найчастіше стають:
Чоловіків;
віком від 16 до 35 років;
неодружений;
освічений;
технічно грамотний.
Хакери мають чітке розуміння того, як працюють комп’ютери та мережі, і як протоколи використовуються для виконання системних операцій.
На цій лекції ви познайомитеся з мотивацією та методами хакерів. Його не слід розглядати як посібник для хакерів-початківців, у ньому лише розповідається, як ви можете зламати та змусити свої системи працювати на вас.
Мотивація дає ключ до розуміння дій хакерів, розкриваючи наміри, що стоять за невдалим вторгненням. Мотивація пояснює, чому комп’ютери так приваблюють їх.
Відповіді на ці запитання дозволять фахівцям з безпеки краще оцінити потенційні загрози для своїх систем.
Привернення уваги
Початкова мотивація злому комп’ютерних систем полягала в тому, щоб «зробити це».
Зламавши систему, хакери хваляться своїми перемогами на (Internet Relay Chat – програма для спілкування в реальному часі через Інтернет), яку вони спеціально створили для таких дискусій. Хакери роблять собі ім’я, виводячи з ладу складну систему або кілька систем одночасно, розміщуючи свій розпізнавальний знак на пошкоджених ними веб-сторінках.
Хакерів приваблює не просто злом конкретної системи, а бажання зробити це першим або зламати відразу багато систем. У деяких випадках хакери навмисно видаляють вразливе місце, за допомогою молодшого вони відключають комп’ютер, щоб ніхто інший не зміг повторити атаку.
Бажання привернути увагу породжує нецільові атаки, тобто злом виконується заради розваги і не пов’язаний з конкретною системою. Цілеспрямовані атаки, метою яких є отримання конкретної інформації або доступу до конкретної системи, мають різну мотивацію. З точки зору безпеки це означає, що будь-який комп’ютер, підключений до Інтернету, є потенційним форумом для атак.
Примітка
Все частіше спостерігається одна з форм мотивації: хактивізм, або хакерство заради суспільного блага. Хактивізм асоціюється з політичними діями і часто служить приводом для виправдання злочину. Вона більш небезпечна, тому що приваблює чесних і наївних людей.
Жадібність
Жадібність є одним з найдавніших мотивів злочинної діяльності. Для хакера це пов’язано з жагою будь-якого прибутку – грошей, товарів, послуг, інформації. Чи прийнятна така мотивація для ХАКІНГУ? Щоб відповісти на це питання, складно встановити особу грабіжника, затримати його і пред’явити звинувачення.
При виявленні вторгнення в систему більшість організацій усунуть вразливість, яка була використана при атаці, відновлять систему і продовжать роботу. Деякі звернуться за допомогою до правоохоронних органів, якщо не зможуть відстежити злом через відсутність доказів або якщо хакер знаходиться в країні, де відсутні закони про комп’ютерну безпеку. Припустимо, що хакер залишив докази і був затриманий. Далі справа буде передана на розгляд суду присяжних, і окружний прокурор (або федеральний прокурор) повинен буде довести, що особа на лаві підсудних дійсно зламала систему жертви і перевірила крадіжку. Зробити це дуже складно!
Навіть якщо його визнають винним, покарання хакера може бути дуже легким. Розглянемо випадок з хакером на ім’я Datastream Cowboy. Разом із хакером Кудзі він зламав систему Центру авіаційних розробок авіабази Гріффс у Римі та Нью-Йорку та викрав програмне забезпечення на суму понад двісті тисяч доларів. Хакером Datastream Cowboy виявився 16-річний підліток з Великобританії – він був заарештований і засуджений в 1997 році і засуджений до виплати $1915.
З цього прикладу важливо зрозуміти наступне: повинен існувати спосіб боротьби зі злочинцями, силою яких рухає жага наживи. Якщо систему зламають, ризик бути спійманим і засудженим дуже низький, а прибуток від крадіжки номерів кредитних карток, товарів та інформації дуже високий. Хакер шукатиме цінну інформацію, яку можна продати або використати для власної вигоди.
Хакер, основним мотивом якого є жадібність, ставить перед собою спеціальні завдання – його головна мета – сайти з цінним контентом (софт, гроші, інформація).
Примітка
ФБР розпочало роботу над програмою Infragard. Метою програми є покращення звітності про злочинну діяльність та подальший розвиток REL між бізнесом та правоохоронними органами. Програма надає своїм учасникам інформацію для обміну та аналізу, а також засіб для взаємодії з правоохоронними органами та роботи з інформацією, що надходить.
Злий умисел
І останньою мотивацією хакера може бути злий умисел, вандалізм. У цьому випадку хакер не дбає про те, щоб взяти систему під контроль (тільки якщо це не допоможе йому в його цілях). Замість цього він намагається завдати шкоди законним користувачам, перешкоджаючи їм працювати в системі, або законним власникам сайту, змінюючи його веб-сторінки. Зловмисні атаки, як правило, спрямовані на конкретні цілі. Хакер активно прагне завдати загрози певному сайту або організації. Основна причина таких атак – помста за несправедливе поводження або політична заява, а результат – заподіяння шкоди системі, не отримавши до неї доступу.
У цьому розділі ми не просто поговоримо про історію злому, а розглянемо її з різних точок зору. Минулі події та факти були оприлюднені; Існує безліч ресурсів, які описують ці події та їх учасників. Тому не будемо повторюватися, а дізнаємося про еволюцію методів злому. Ви побачите, що багатьох випадків успішного злому можна було б уникнути при правильному налаштуванні системи і використанні програмних методів.
Спільний доступ
Початкова мета Інтернету полягала в тому, щоб мати легкий доступ до даних і щоб наукові установи працювали разом. Таким чином, більшість систем було налаштовано на використання інформації. Операційна система Unix використовувала 4-річну мережеву файлову систему (NFS), яка дозволяла одному комп’ютеру підключати диск іншого комп’ютера через локальну мережу (LAN) або Інтернет.
Цей механізм використовувався першими хакерами для отримання доступу до інформації – вони підключали віддалений диск і зчитували його. NFS використовувала ідентифікатори користувача (UID) як посередника для доступу до даних на диску. Якщо користувач з ідентифікатором 104 мав дозвіл на доступ до файлу на своєму домашньому комп’ютері, інший користувач ALICE з ідентифікаційним номером 104 на віддаленому комп’ютері міг прочитати файл. Небезпека зростала, коли нелегальні системи дозволяли доступ до кореневої файлової системи, включаючи файли конфігурації та паролів. У цьому випадку хакер міг заволодіти правами адміністратора та підключити кореневу центральну систему, що дозволило йому змінити конфігурацію віддаленої системи.
Найцікавіше те, що багато операційних систем (включаючи Sun OS) поставляються з кореневою файловою системою, експортованою для неправильного читання/запису. Отже, будь-який користувач на будь-якому комп’ютері може підключатися до кореневої системи і вносити в неї довільні зміни. Тоді кожен, хто може це зробити, може це зробити.
У більшості випадків загальний доступ до центрів контролюється за допомогою налаштування правил на зовнішньому брандмауері організації. У тих системах, де цього не зроблено, ще не пізно накласти обмеження на публічний доступ за допомогою брандмауера.
Уразливість в обміні файлами є не тільки в операційній системі Unix, але і в Windows NT, 95, 98. Деякі з цих систем можна налаштувати таким чином, щоб забезпечити віддалений доступ до їхніх файлових систем. Якщо користувач повторно накладає спільний доступ до файлів, він може легко відкрити свою файлову систему для загального використання.
Увага!
Нові файлообмінні системи, такі як Gnutella, дозволяють комп’ютерам у внутрішній мережі встановлювати загальний доступ до файлів інших систем в Інтернеті. Ці системи мають конфігуровану концентрацію і можуть відкривати порти, які зазвичай були б захищені брандмауером (наприклад, порт 80). Такі системи становлять більш серйозну небезпеку, ніж NFS і загальний доступ до файлів в Windows.
Примітка
Брандмауери можуть контролювати не тільки використання файлів, але і віддалений довірений доступ ззовні мережі. Один тільки брандмауер у внутрішній мережі поза брандмауером не зможе виконати таке перемикання. І це серйозне занепокоєння щодо безпеки.
Напевно, найпоширеніший спосіб, який використовують хакери для проникнення в систему – це слабкі паролі. Паролі, як і раніше, використовуються для автентифікації користувачів. Оскільки це стандартний метод ідентифікації для більшості систем, додаткових витрат немає. Крім того, користувачі розуміють, як працювати з паролями. На жаль, багато людей не знають, як вибрати надійний пароль. Дуже часто бувають паролі (обмін чотирма символами) або дурні. Короткий пароль дає змогу використовувати атаку «віч-на-віч», тому хакер використовуватиме підозрілі паролі, доки не знайде правильний. Якщо пароль складається з двох символів (а це буї), то можливих комбінацій буде всього 676. При паролі з восьми символів (що включає всього кілька букв) кількість комбінацій збільшується до 208 мільйонів. Природно, вгадати пароль з двох символів набагато простіше, ніж з восьми символів!
Простий для розуміння пароль таюке – це слабкий пароль. Наприклад, пароль директорії ‘toor’ (‘root’, записаний у зворотному порядку) дозволить хакеру дуже швидко отримати доступ до системи. Деякі проблеми, пов’язані з паролем, належать до категорії неправильної конфігурації системи. Наприклад, в корпорації цифрового обладнання систем VAX обліковий запис VMS мав ім’я ‘Teld’ і пароль за замовчуванням Якщо системний адміністратор не знав про це і не змінював пароль, то доступ до системи за допомогою цього облікового запису міг отримати будь-хто. Ось кілька слабких паролів: wizard, NCC1701, gandalf і Drwho.
Хорошим прикладом того, як слабкі паролі можуть допомогти зламати системи, є хробак Морріса. У 1988 році студент Корнельського університету Роберт Морріс розробив програму, яка поширювалася по Інтернету. Ця програма використовувала кілька вразливостей для отримання доступу до комп’ютерних систем і самореплікації. Однією з вразливостей були слабкі паролі. Крім списку найбільш поширених паролів, в програмі використовувалися такі паролі: порожній пароль, самостійно додане ім’я облікового запису, ім’я користувача, ім’я користувача та зарезервоване ім’я облікового запису. Цей черв’як викликав виразку в досить великій кількості систем і дуже ефективно вивів з ладу інтернет.
Питання. Чи існує надійна альтернатива паролям?
Відповідь. Альтернативою паролям є смарт-карти (токени аутентифікації) та біометрія. Однак існують додаткові витрати, пов’язані з розгортанням таких систем. Крім того, вони не завжди можуть бути використані. Наприклад, інтернет-продавець навряд чи буде використовувати їх для аутентифікації своїх покупців. Так що, швидше за все, паролі залишаться з нами в доступному для огляду майбутньому.
Порада
Не існує універсальних рішень проблеми з паролем. У більшості операційних систем системний адміністратор має можливість налаштовувати вимоги до пароля, і це дуже важливо. Один із найкращих способів позбутися слабких паролів – навчити їх правильному розумінню проблем безпеки.
Дефекти програмування
Хакери багато разів використовували дефекти програмування. До таких дефектів можна віднести залишену в програмі дверну фаску, що дозволяє згодом інтегруватися в систему. Ранні версії програми Sendmail мали такі «виміряні ходи». Найчастіше використовувалася команда WIZ, доступна в перших версіях Sendmail, яка працює на Unix. При підключенні до Sendmail (через мережевий доступ до порту 25) і введенні команди WIZ з’явилася можливість запустити інтерпретатор кореневої оболонки. Цей функціонал вперше був включений в Sendmail як інструмент для налагодження програми. Такі можливості, залишені в програмах загального призначення, дозволяють хакерам миттєво проникати в системи за допомогою цих програм. Хакери виявили безліч таких лазівок, більшість з яких були усунені програмістами. На жаль, деякі «Розмірні системи» все ще існують, тому що не всі системи були оновлені програмним забезпеченням.
Не так давно бум у програмуванні веб-сайтів призвів до створення нової категорії «обережного» програмування. Це пов’язано з онлайн-торгівлею. Деякі веб-сайти зберігають інформацію про покупки, таку як номер товару, кількість і навіть ціну, безпосередньо в рядку URL. Ця інформація використовується веб-сайтом, коли ви розраховуєте вартість покупок і визначаєте, чи була списана сума грошей з вашої кредитної картки. що багато сайтів не перевіряють інформацію при замовленні списку, а просто беруть її з URL. Якщо хакер змінить URL-адресу перед підтвердженням, він може отримати порожній номер у списку. Були випадки, коли хакер встановлював негативну ціну і замість того, щоб витратити гроші на покупку, він отримував кредит від сайту. Не зовсім розумно залишати таку інформацію в адресному рядку, яка може бути змінена користувачем, і не перевіряти введену інформацію на сервері. Незважаючи на те, що ця вразливість перешкоджає хакеру увійти в систему, як веб-сайт, так і організація піддаються великому ризику.
Соціальна інженерія – це придбання безперебійного доступу до інформації або до системи без використання технічних засобів. Замість того, щоб використовувати вразливості або експлойти, хакер грає на людських слабкостях. Найсильнішою зброєю хакера в цьому випадку є приємний голос і акторські навички. Хакер може зателефонувати співробітнику компанії під виглядом техпідтримки і дізнатися його пароль «для вирішення невеликої проблеми в комп’ютерній системі співробітника». У більшості випадків це число проходить.
Іноді хакер, видаючи себе за співробітника компанії, дзвонить в службу технічної підтримки. Якщо він знає ім’я слюсаря, то говорить про те, що забув свій пароль, і в результаті або дізнається пароль, або змінить його на потрібний. Враховуючи, що служба технічної підтримки орієнтована на надання негайної допомоги, ймовірність того, що хакер отримає один обліковий запис, дуже висока.
Хакер не буде лінуватися робити безліч дзвінків, щоб як слід вивчити свою мету. Почнемо він з того, що дізнається прізвища керівників на сайті компанії. За допомогою цих даних він спробує отримати імена інших слуг. Ці нові назви стануть у нагоді під час розмови з техпідтримкою за інформацією про облікові записи та порядок надання доступу. Ще один телефонний дзвінок допоможе дізнатися, яка система використовується і як здійснюється віддалений доступ до системи. Використовуючи імена реальних співробітників і керівників, хакер придумає цілу історію про важливу зустріч на сайті клієнта, на яку він не може отримати доступ зі своїм обліковим записом віддаленого доступу. Співробітник техпідтримки порівняє факти: людина знає, що відбувається, знає ім’я керівника і компанії – і, не замислюючись, надасть йому доступ.
Іншими формами соціальної інженерії є вивчення сміттєвих організацій, віртуальні сміттєві юрзіни, використання джерел відкритої інформації (веб-сайти, звіти, що подаються в Комісію з цінних паперів і бірж США, реклама), відкрите пограбування і видавання себе за іншу особу. Крадіжка ноутбука або набору інструментів зробить потрійну послугу хакеру, який хоче дізнатися більше про компанію. Інструменти допоможуть йому зіграти роль керівного штабу або співробітника компанії.
Соціальна інженерія дозволяє вирішувати найгеніальніші проникнення, але для цього потрібен час і талант. Зазвичай його використовують хакери, які націлилися на конкретну організацію як свою жертву.
Порада
Найкращим захистом від атак соціальної інженерії є інформування слуг. Поясніть їм, як технічна підтримка може з ними зв’язатися та які питання задати. Поясніть співробітникам цього сервісу, як ідентифікувати співробітника, перш ніж повідомляти йому пароль. Розкажіть співробітникам організації про виявлення людей, яких не повинно бути в офісі, і як діяти в цій ситуації.
Переповнення буфера
Переповнення буфера – один із прийомів програмування, який використовують хакери (див. наступний розділ). Переповнення буфера виявити важче, ніж слабкі паролі або вибір конфігурації. Для роботи з ним потрібно зовсім небагато досвіду. На жаль, хаки, шукаючи можливість переповнення буфера, публікують свої результати, включаючи скрипт експлойта або програму, яку може запустити будь-хто, хто має комп’ютер.
Переповнення буфера особливо небезпечне, оскільки воно дозволяє хакерам виконувати майже будь-яку команду в цільовій системі. Велика кількість сценаріїв переповнення буфера дає хакерам можливість створювати нові шляхи проникнення в атаковану систему. Зовсім недавно використання переповнення буфера полягало в додаванні рядка до файлу inetd.conf (в системі I_JIix цей файл керує службами telnet і FTP)
Створює нову службу для порту 1524 (блок входу). Ця служба дозволяє зловмиснику запустити оболонку оболонки кореневої оболонки.
Слід зазначити, що переповнення буфера не обмежує доступ до віддаленої системи. Існує кілька типів переповнень буфера, які можуть бути використані для просування користувача в системі. Локальні вразливості так само небезпечні (якщо не сказати болючі), як і віддалені.
Переповнення буфера – це спроба помістити багато даних в область пам’яті комп’ютера. Наприклад, якщо ми створимо восьмибайтну змінну і покладемо в неї дев’ять байт, то дев’ятий байт буде поміщений в пам’ять відразу після восьмого. Якщо ми спробуємо помістити в цю змінну ще більше даних, то молодий кінець заповнить всю пам’ять, що використовується операційною системою. У разі переповнення буфера цікавить нас частина пам’яті називається стеком і є адресою повернення функції, що виконується на наступному кроці.
Стек керує перемиканням між програмами та операційною системою, яке виконується, коли одна частина програми (або функції) перевіряє своє завдання. При атаці переповнення буфера хакер поміщає інструкції в локальну змінну, яка зберігається в стеку. Ці дані займають більше місця в локальній змінній, ніж виділене для неї місце, і перезаписують повернуту адресу до точки цієї нової інструкції. Ця нова інструкція завантажує оболонку або іншу програму для виконання, змінює ключ конфігурації (inetd.conf) і вирішує питання доступу хакера, створюючи нову конфігурацію.
Переповнення буфера дуже поширене через помилку програми, коли дані користувача вирівнюються в одну і ту ж змінну без перевірки кількості цих даних перед виконанням операції. Від цього страждає дуже багато програм. Однак ця проблема вирішується досить швидко, як тільки вона виявлена і привертає увагу забудовника. Але якщо це так безглуздо робити, то чому все ще існує переповнення буфера? Якщо програміст перевірить розмір призначених для користувача даних перед тим, як помістити їх в заздалегідь заявлену змінну, переповнення буфера можна уникнути.
DoS-атаки – це зловмисні дії, які виконуються для запобігання доступу законного користувача до системи, мережі, програми чи інформації. DoS-атаки бувають різних форм, і вони можуть бути централізованими (запускаються з однієї системи) або розподіленими (запускаються з кількох систем).
DoS-атаки неможливо повністю запобігти, і їх не можна зупинити, якщо не вдасться визначити джерело атаки. DoS-атаки відбуватимуться не лише в MberSpace. Пара кусачок – це простий інструмент для їх взяття та перерізання кабелю LAN. У цій історії ми не будемо зупинятися на Cosmic DoS-атаках, а приділимо особливу увагу атакам, спрямованим проти комп’ютерних систем або мереж. що фізичні атаки є досить руйнівними і іноді навіть більш руйнівними, ніж атаки в кіберпросторі.
Є ще один важливий момент у підготовці більшості атак. Поки хакерам не вдасться проникнути в цільову систему, запускаються DoS-атаки з фальшивих адрес. У GR-protoul є проблема в схемі адресації: він не перевіряє адресу відправника при створенні пакета. Таким чином, хакер отримує можливість змінити адресу відправника пакета, щоб приховати його місцезнаходження. Більшості DoS-атак не потрібно повертати трафік в домашню систему хакера для досягнення бажаного результату
Першими типами DoSатак були централізовані атаки (singlesource). Для здійснення атаки використовувалася єдина система. Найбільш відомою є так звана атака SYN Hood. При отриманні SYN-пакета система приймача відповідає ASC-пакетом, сповіщаючи його про те, що дані отримані, і відправляє дані для встановлення з’єднання з відправником. продовжує надсилати В результаті буфер черги з’єднання на вторинній системі заповнений і система перестає відповідати на нові запити на підключення.
Очевидно, що якщо джерело синхронної атаки має законну GR-адресу, то його можна відносно правдоподібно ідентифікувати та зупинити атаку.
Було запропоновано кілька заходів щодо захисту систем від синхронних атак. Найпростіший спосіб – розмістити таймер у всіх з’єднаннях, які очікують в черзі. Через деякий час з’єднання повинні замкнутися. З іншого боку, щоб не допустити добре підготовленої атаки, таймер доведеться виставити на настільки мале значення, що це зробить роботу з системою практично неможливою. За допомогою деяких мережевих пристроїв можна виявляти і блокувати синхронні атаки, але ці системи схильні до поганих результатів, тому що існує певна кількість затримок з’єднань за той чи інший проміжок часу. Якщо атака має кілька джерел одночасно, її дуже важко ідентифікувати.
Після синхронної атаки були виявлені інші атаки, більш серйозні, але менш складні в атаці ‘Ping of Death’, в цільову систему був відправлений пакет ping (ICMP emi request). У звичайному варіанті пакет ping не містить дані. Пакет «Кільце смерті» містив велику кількість даних. Коли система споживача зчитує ці дані, буфер стека протоколів переповнюється, викликаючи повний збій системи. Розробники стека не передбачали, що пакет ping буде використовуватися таким чином, і тому ніяка перевірка даних, поміщених в малий буфер, не проводилася. Проблему було швидко вирішено після її виявлення, і наразі вразливими до цієї атаки залишилося небагато систем.
«Пінг смерті» — це один із типів , який спрямований на вразливості систем або додатків і спричиняє їх зупинку. є руйнівними на початковій стадії і швидко втрачають свою силу після корекції системних проблем.
На жаль, виявлення нових DoS-атак, орієнтованих на додатки та операційні системи, відбувається регулярно. Ви можете трохи відпочити від нових атак, поки хакери виправляють OIMbCI в сценаріях атак, що відбулися.
Розподілені DoS-атаки (DDoS) – це DoS-атаки, в яких бере участь велика кількість систем. Зазвичай управляється одна головна система і один хакер. Ці атаки не обов’язково складні. Наприклад, хакер відправляє пінг-пакети на адреси міграції найбільшої мережі, тоді як при спунг-спунг-адресі всі відповіді адресуються системі-жертві. Така атака отримала назву смурфик-атака. Якщо проміжна мережа містить багато комп’ютерів, кількість пакетів відповіді, що відправляються в цільову систему, буде настільки великим, що це призведе до збою з’єднання через величезну кількість даних, що передаються.
Нові інструменти атак, такі як Trinoo, Tribal Flood Network, Mstream і Stacheldraht, дозволяють хакеру координувати зусилля багатьох систем в DDoS-атаках, спрямовані проти однієї цілі. Ці засоби мають триланкову структуру. Хакер взаємодіє з хост-системою або процесом сервера, розміщеним у системі-жертві. Головна система взаємодіє з підлеглими системами або клієнтськими процесами, встановленими на інших захоплених системах.
Команди, що надсилаються в хост-систему та з хост-системи на підлеглі пристрої, можуть бути надруковані або передані за протоколами UDP (User Data Protocol) або ICMP (Control Message Protocol), залежно від використовуваного інструменту. Пакети трафіку TCP, SYN або ICMP. Деякі інструменти випадковим чином змінюють адреси відправника атакованих пакетів, що ускладнює їх виявлення.
Основним результатом DDoS-атак, виконаного з використанням спеціальних інструментів, є координація великої кількості систем в атаці, спрямованої проти єдиної системи. Незалежно від того, скільки систем підключено до інтернету і скільки систем використовується для дроселювання трафіку, такі атаки можуть стати калікою для організації, якщо в них задіяна достатня кількість підпорядкованих систем.
Багато сучасних атак здійснюють так звані «сценарні діти». Це користувачі, які шукають сценарії експлойтів в Інтернеті та запускають їх проти всіх систем, які можна знайти. Ці прості методи атаки не вимагають спеціальних знань або інструкцій.
Існують і інші методи, засновані на кращому розумінні комп’ютерів, мереж і атакованих систем. У цьому розділі ми дізнаємося про такі методи, як прослуховування (snifng) комутованих мереж і імітація GR-адреси (IP-spoofng).
Для цього сніффер переводить карту мережевого інтерфейсу в безладний режим, т.е. мережевий адаптер буде перехоплювати всі пакети, що переміщаються по мережі, а не тільки пакети, адресовані адаптеру або системі. мережеві концентратори .
У комутованому середовищі немає режиму широкомовної трансляції, замість цього пакети відправляються безпосередньо в приймальну систему молоді. Тому цілком можливо, що сніффер може працювати в комутованому середовищі. І це вже СТАЛОСЯ. Сніффер, спеціально розроблений для перемкнутого середовища, можна знайти за адресою: http/ettercap.sourceforge.net/.
Щоб прослуховувати трафік у комутованому середовищі, хакер має виконати одну з таких умов:
Щоб «переконати» комутатор у тому, що трафік, який вас цікавить, повинен бути спрямований до сніффера, змусьте хаммутатор відправити весь трафік на всі порти.
При дотриманні однієї з умов сніффер зможе прочитати трафік, що цікавить, і, таким чином, надати хакеру інформацію, яку він шукає.
Комутатор спрямовує трафік до портів на основі адреси контролю доступу до медіа (MAC) для кадру, що передається через мережу Ethernet. Кожна карта мережевого інтерфейсу має унікальну MAC-адресу, і комутатор «знає», які адреси на який порт призначені.
Нижче наведені методи, які можуть бути використані для примусового переходу для спрямування мережевого трафіку на сніффера:
дублювання MAC-адрес;
Імітація доменного імені.
(ARP-спуфінг). ARP – це протокол роздільної здатності адрес, який використовується для отримання MAC-адреси, пов’язаної з певною GR-адресою. При передачі трафіку відправна система відправляє на приймач. Приймальна система відповідає на цей запит передачею своєї MAC-адреси, яка буде використовуватися системою.
Якщо сніффер захоплює цікавий для нього трафік, він відповість замість реальної приймальної системи і надасть власну MAC-адресу. В результаті відправна система відправить трафік сніфферу.
Щоб переконатися в ефективності цього процесу, необхідно перенаправити весь трафік на сніффер замість фактичного пункту призначення. Якщо цього не зробити, є ймовірність, що доступ до мережі буде заборонено.
Примітка
Вважається, що змінити MAC-адреси неможливо. Це зовсім не так. Це можна зробити в системі Unix за допомогою команди ifconfg.
Для того, щоб виконати AI-спуфінг, сніффер повинен знаходитися в тій же локальній підмережі, що і обидві системи (відправник і одержувач), щоб мати можливість дублювати MAC-адреси.
Імітація доменного імені. Є і третій спосіб змусити Switch відправляти весь трафік сніфферу: потрібно «обдурити» систему-відправника, щоб вона використовувала реальний MAC-адресу сніффера для передачі даних. При цьому відсутня
При виконанні цієї атаки сніффер перехоплює їх з системи-відправника і відповідає на них. Замість того, щоб відправити запит, відправна система отримує GR-адресу сніффера і відправляє на нього весь трафік. Ми бачимо, що в цьому випадку атака уособлення доменного імені перетворюється на атаку викрадення.
Щоб забезпечити успіх цієї атаки, сніффер повинен просканувати і відповісти на все, перш ніж це зробить фактичний одержувач. Тому сніффер повинен знаходитися на маршруті трафіку від відправної системи до DNS-cepвepy, і бажано в тій же локальній підмережі, що і відправник.
Замість виконання одного з перерахованих вище способів, хакер може змусити комутатор працювати як хаб (хаб). Кожен комутатор використовує певний обсяг пам’яті для зберігання таблиці відповідності між MAC-адресою та фізичним портом комутатора. Ця пам’ять має обмежену ємність. Якщо він заповнений, деякі перемикачі можуть відображати стан відкритості. Це означає, що комутатор перестане надсилати трафік на певні MAC-адреси та почне переадресацію всього трафіку на всі порти. В результаті комутатор буде працювати як пристрій доступу до мережі (концентратор), що дозволить сніфферу виконувати свої функції. Щоб ініціювати цей метод атаки, хакер повинен підключитися безпосередньо до потрібного комутатора.
Виконання атак
Давайте подумаємо, що потрібно для виконання перерахованих вище атак. У разі підміни штучного інтелекту, дублювання MAC-адрес або MAC-флуду зловмисник повинен підключитися безпосередньо до атакованого комутатора. Таке з’єднання також потрібне для імітації доменного імені.
Висновок: Хакер повинен встановити систему на локальний комутатор. Він може спочатку увійти в систему через відому вразливість, а потім встановити програмне забезпечення, необхідне для сніфінгу. В іншому випадку хакер вже знаходиться всередині організації (він є її співробітником або підрядником). У цьому випадку він використовує свій законний доступ до локальної мережі, що дозволяє йому обмінюватися даними з комутатором.
Як згадувалося вище, пакети, відправлені по мережі, не перевіряються. Отже, хакер може змінити адресу відправки таким чином, щоб здавалося, що пакет надходить з будь-якої адреси. Складність полягає в тому, що повернуті пакети (пакети SYN ASC на TCP-з’єднанні) не зможуть повернутися в систему відправки. (GR спуфінг) для встановлення TCP-з’єднання пов’язане з серйозними труднощами. Крім того, заголовок TCP містить порядковий номер, який використовується для підтвердження отримання пакета. Початковий порядковий номер (ISN) для кожного нового з’єднання вибирається псевдо>випадково.
У 1989 році Стів Белловін з лабораторії AT&T Bell опублікував статтю в журналі Computer and Communications Review під назвою «Питання безпеки сімейства протоколів TSRLR». Ця стаття вказує на те, що в багатьох реалізаціях протоколів TSRLR готовий порядковий номер не вибирається випадково, а замість цього просто збільшується з кроком. Тому, якщо є дані про останній відомий ISN, наступне число можна розрахувати заздалегідь. Саме завдяки цьому можна виконати атаку імітації GR.
На малюнку нижче показаний виконання спуфінгової атаки:
Спочатку хакер визначає свою ціль. Він повинен визначити значення приросту вихідного порядкового номера (ISN). Це можна зробити, зробивши серію законних підключень до цільової системи та позначивши ISN, які повертаються (у цьому випадку хакер ризикує «викрити» свій реальний.
Після визначення значення приросту ISN хакер надсилає TCP зі зміненою GR-адресою відправника до цільової системи. Система відповість пакетом SYN AS, який буде переданий на цю фейкову адресу і, отже, не дійде до хакера. Пакет SYN ASC містить початковий порядковий номер цільової системи. Щоб завершити процес встановлення з’єднання, цей ISN має бути підтверджений шляхом надсилання фінального TCP пакета ASC. Хакер обчислює приблизний ISN (на основі заздалегідь визначеного приросту) і надсилає ASC-пакет, що містить підробленого відправника та підтвердження ISN.
Якщо все це буде зроблено правильно, хакер розірве законне з’єднання з цільовою системою. Він зможе відправляти команди та інформацію в систему, але відповідей не отримуватиме.
Шкідливе програмне забезпечення продовжує залишатися серйозною проблемою безпеки для більшості організацій, а також для дому.
Комп’ютерні віруси є паразитами по відношенню до інших комп’ютерних програм. Вони зроблені таким чином, що не можуть жити самостійно. При виконанні програми при впровадженні вірусу виконується вірус, який реалізує свої функції. Ці функції зазвичай передбачають зараження інших програм і поширення на інші диски. Неруйнівні віруси шкідливі – вони видаляють файли або виводять систему з ладу. Інші віруси не завдають ніякої шкоди, крім того, що поширюються через комп’ютерні системи.
Віруси стали з’являтися в той час, коли комп’ютери використовували дискову операційну систему – DOS. (Не плутати з DoS-атакою!) Ці віруси поширювалися через файли, доступні на дошках оголошень або дискетах. Пізніше були створені віруси, які прикріплювалися до файлів текстового редактора і виконувалися в складі макромови в текстових редакторах.
Прикладами комп’ютерних вірусів є вірус Мікеланджело (нині застарілий) і макровірус Melissa. Більш детальний опис різних вірусів можна знайти за посиланням: http://www.symantec.com/ та посиланням: http•J/www.mcafee.com/.
Стародавні греки ховали воїнів в укритті, готуючи напад. Так «Троянський кінь» приховує своє злісне самогубство під маскою корисної і цікавої програми. Trojan Yun – це повноцінна і незалежна програма, яка призначена для виконання шкідливих дій. Зазвичай він маскується під нову програму або електронну пошту.
Більшість програм на кшталт Trojan Yun містять механізми для самопоширення на інші комп’ютери-жертви. Візьмемо для прикладу програму ILOVEYOU. Він потрапляє на комп’ютер через повідомлення електронної пошти з вкладенням, що містить програму Msual Basic. Цей вкладений файл виглядає як звичайний текстовий файл. Але якщо користувач відкриє цей файл, то буде виконаний Visual Basic yud. Він надішле себе поштою всім користувачам, а адреси їх знайде в адресній книзі жертви.
Шкода від троянських червень схожа на шкоду від комп’ютерних вірусів. Така програма, як ILOVEYOU, може викликати DoS-атаку через ISTOI_RNIA ресурсів комп’ютера. У багатьох організаціях програма ILOVEYOU повністю зупинила роботу поштових сервісів.
Як випливає з назви, черв’як — це програма, яка «переповзає» від системи до системи без будь-якої допомоги з боку жертви. Черв’як поширюється і розмножується сам. Все, що потрібно від його творця – запустити черв’яка.
Першим відомим прикладом є знаменитий інтернет-хробак, створений Робертом Моррісом в 1989 році, черв’як Морріс був запрограмований на використання безлічі вразливостей, включаючи слабкі паролі. З їх допомогою він шукав в інтернеті системи, в які проникав і виконував. Потрапивши в систему, черв’як почав шукати інших жертв. Через деякий час він відключив весь інтернет (хоча інтернет тоді був набагато меншим, і багато сайтів самі відключалися від мережі, щоб замутнитися хробаком).
Останнім часом хробак CodeRed набув популярності. Він використовував вразливості в інформаційних службах Інтернету Microsoft (IIS) для поширення у Всесвітній павутині. Оскільки він використовував законні веб-з’єднання для атаки, навіть брандмауери не могли захистити комп’ютери від нього в хмарі. Потрапивши в систему, CodeRed вибрав довільну адресу для наступної атаки.
У вересні 2002 року в інтернеті з’явився черв’як Слаппер, який продемонстрував потенційну небезпеку глистів. Цей черв’як діяв не відразу, готуючи «латцхед» до майбутньої атаки. Слід зазначити, що навіть у момент свого найвищого підйому черв’як Slapper не вплинув на кількість систем, як це зробив CodeRed.
Черв’як Slapper скористався вразливістю в модулі 0penSSL веб-сервера Apache (0penSSL дозволяє йому працювати з прото-пеном передачі гіпертексту HTTPS). Потрапивши в систему, черв’як вибирав GR-адресу для атаки зі списку мереж класу А, запрограмованих у коді черв’яка. Потім Slapper вивчив цільову систему і перевірив, чи працює на ній веб-сервер. Якщо так, то з’ясувалося, чи був веб-сервер сервером Apache, працює на платформі Intel (оскільки має свої специфічні ‘брекети’). У юнацької молоді черв’як визначав наявність вразливого місця в системі мішеней для нападу.
Сама атака була здійснена за допомогою HTTPS і порту 443. Це ускладнило виявлення атаки, оскільки трафік був оцифрований. Єдине, що видавало активність хробака, так це те, що при пошуку уразливості він використовував стандартний протокол NTTR і порт 80 і виявив себе дурним способом.
Експлойт, виконаний на цільовій системі, дозволяв черв’яку отримати доступ до команд оболонки, за допомогою яких він вигадував і компілював себе, а потім виконував отриману програму. Потім він знаходив нових жертв і запускав процес знову і знову. Після зараження однієї системи черв’як продовжив пошуки інших вразливих систем.
Найнебезпечнішим функціонуючим черв’яком Slapper (і ключовим компонентом майбутніх черв’яків) була його здатність поширюватися по мережі. Замість ієрархічної моделі комунікації, він використовував однорангову модель вузлів. Кожна скомпрометована система обмінюється даними через UDP з трьома системами: одна система заражає її, а дві – її. За допомогою цього механізму отриманий няманд перенаправляється на всі доступні вузли. Оригінальний черв’як планувався для координації DoS-атаки. Той, хто мав намір це використовувати, повинен був «по-справжньому» підключити і об’єднати ці механізми в мережу.
Гібриди
Прекрасним прикладом є хробак Nimda, який використовував уразливості веб-сервера для переходу з однієї системи в іншу, подібно до хробака. Одна Ninrla також розповсюджувалася через вкладення електронної пошти, які були досить привабливими для користувача, щоб заманити їх відкрити Ninrla. Після відкриття вкладення черв’як поширився далі по електронній пошті. Він використовував системи жертв для атак на веб-сервери.
Хакери, використовуючи методи непрямих атак, не шукають певну інформацію або організацію: вони можуть зламати будь-яку систему. Рівень їх кваліфікації коливається від дуже низького до найвищого, а мотивом є, перш за все, бажання привернути увагу шляхом злому якоїсь системи. Напевно, є і жага наживи, але що вони намагаються придбати таким чином, залишається загадкою.
Цілі атаки
Хакери використовують нецілеспрямовані методи атаки, щоб знайти систему, яку вони можуть знайти. Зазвичай вони не мають конкретної мети. Іноді для пошуку вибирають мережу або доменне ім’я, але цей вибір зазвичай випадковий.
Попереднє дослідження хакер проводить різними способами. Деякі починають атаку відразу, без будь-якої «розвідки» та точного прицілювання, якщо вони оголюють систему, підключену до мережі. Після попереднього зондування атака зазвичай проводиться зі скомпрометованих систем, щоб хакер міг «забрати їхні сліди».
Найчастіше хакери виконують приховане сканування діапазону адрес, яке називається напівGR-скануванням. За допомогою його можна визначити системи, які входять до асортименту, і послуги, доступні в цих системах. Приховане сканування виконує детальний запит пінгу в цьому діапазоні адрес, тобто, надсилання запиту ping на кожну адресу та перегляд отриманих відповідей.
При виконанні прихованого сканування хакер зазвичай відправляє програмне забезпечення TCP і чекає відповіді SYN ASK. При отриманні відповіді він відправляє TCP для скидання з’єднання перед його закриттям. У багатьох випадках це дозволяє приховати спроби вторгнення від служби реєстрації подій цільової системи.
Різновидом стелс-сканування є сканування зі скиданням, при якому хакер відправляє TCP-RST-пакет на адресу GR. Зазвичай цей пакет не викликає ніяких дій на приймаючій системі, і вона на нього не реагує. Існують і інші методи сканування, які дають хороші результати. Зауважте, що сканування скидання з’єднання виявляє системи, які підключені до мережі, але не визначає служби, які працюють на них, як це робить приховане сканування.
Існують методи прихованого сканування, що дозволяють виявити відкриті порти. Зазвичай вони виконуються шляхом пропускання трафіку до конкретних портів. Якщо порт закритий, він відповість RST-пакетом, в іншому випадку він не отримає відповіді
Іноді хакер проводить попереднє розслідування в кілька етапів. Спочатку він вибирає доменне ім’я (зазвичай довільно) і починає перенесення DNS-зони, спрямоване на цей домен. Перенесення зони реєструє всі відомі DNS системи та домени. Отримавши цей список, хакер запускає такі інструменти, як Queso або Nmap, щоб визначити операційну систему потенційної цілі. І ці дані використовуються для реальних атак.
Попередні дослідження не обмежуються збором інтернет-адрес. Вардіалинг – це ще один метод, який використовується хакерами для виявлення потенційних жертв та виявлення систем, які мають модем і відповідають на дзвінки. За допомогою комп’ютера хакер за одну ніч здійснює дзвінок на тисячі телефонних номерів, знайдених у лінії модему. Сучасне програмне забезпечення здатне відрізнити модем від CNX. Після виявлення модемів хакер звернеться до кожного з них, визначивши роботу програми. За допомогою програми PC Anywhere (яка дуже приваблива для зловмисників) хакер бере під контроль комп’ютер відповіді.
Швидке поширення бездротових мереж в організаціях і в будинках користувачів дозволяє здійснювати хакерську фазацію». Новий термін «вардрайвінг» означає, що хакер їздить по місту з комп’ютером і бездротовим мережевим адаптером, виявляючи точки бездротових мереж. Для запису координат таких точок використовується пристрій GPS (Global Positioning System). Іноді таке дослідження проводиться в поєднанні з «Xvarchalking». Хакер орієнтується по крейдяних мітках на тротуарах або стінах будівель, які показують, що в цьому місці є відкрита бездротова мережа.
Як тільки бездротова мережа буде ідентифікована, хакер використає вибух в Інтернеті для атаки на інші сайти. Такий спосіб атаки відмінно маскує хакера, адже помилковий слід веде до бездротової мережі організації. Навіть якщо присутність хакера буде виявлено, дізнатися його реальне місцезнаходження дуже складно.
У випадку з порушенням хакер, який використовує нецільові методи атаки, має в своєму розпорядженні один або кілька (не дуже багато) експлойтів. За допомогою попередньої розвідки він намагатиметься знайти системи, які вразливі до цих експлойтів. Дуже багато хакерів, знайшовши систему, намагалися зламати її одним способом». Більш просунуті хаки за допомогою спеціальних інструментів сканування знаходять вразливі системи, а потім створюють сценарії атак, націлені на всі системи одразу.
58 
1694 
379