Behatolási módszerek rosszindulatú a rendszerbe
A vírusírók és a kiberbűnözők szükséges feladata, hogy vírust, férget vagy trójai falót fecskendezzenek be az áldozat számítógépébe vagy mobiltelefonjába. Ezt a célt többféle módon lehet elérni, amelyek két fő kategóriába sorolhatók:
social engineering (a "social engineering" kifejezést is használják - pauszpapír az angol "social engineering" szóból);
technikák rosszindulatú kód bejuttatására a fertőzött rendszerbe a felhasználó tudta nélkül.
Ezeket a módszereket gyakran egyidejűleg alkalmazzák. Ugyanakkor gyakran alkalmaznak speciális intézkedéseket a vírusirtó programok ellen.
szociális tervezés
A social engineering módszerek ilyen vagy olyan módon kényszerítik a felhasználót egy fertőzött fájl futtatására vagy egy fertőzött webhelyre mutató hivatkozás megnyitására. Ezeket a módszereket nemcsak számos levelezőféreg használja, hanem más típusú rosszindulatú szoftverek is.
A hackerek és vírusírók feladata, hogy felhívják a felhasználó figyelmét egy fertőzött fájlra (vagy egy fertőzött fájlra mutató HTTP-hivatkozásra), felkeltsék a felhasználó érdeklődését, rákényszerítsék a fájlra (vagy a fájl hivatkozására) kattintásra. . A Computer Economics adatai szerint a műfaj „klasszikusa” a LoveLetter levélféreg, amely 2000 májusában nagy feltűnést keltett, és az anyagi károk tekintetében még mindig az élen áll. A féreg által a képernyőn megjelenő üzenet így nézett ki:
Sokan reagáltak az "I LOVE YOU" felismerésére, és ennek eredményeként levelezőszerverek a nagyvállalatok nem bírták a terhelést – a féreg minden alkalommal másolatot küldött magáról a címjegyzékből minden kapcsolattartónak, amikor egy csatolt VBS-fájlt megnyitottak.
A 2004 januárjában az interneten felrobbant Mydoom levelezőféreg olyan szövegeket használt, amelyek egy levelezőszerver technikai üzeneteit imitálták.
Említést érdemel még a Swen féreg, amely a Microsoft üzeneteként jelent meg, és a Windows számos új sebezhetőségét kijavító javításnak álcázta magát (nem meglepő, hogy sok felhasználó engedett a felszólításnak, hogy telepítsenek "egy másik javítást a Microsofttól"). ).
Előfordulnak incidensek is, amelyek közül az egyik 2005 novemberében történt. A Sober féreg egyik verziójában arról számoltak be, hogy a német bűnügyi rendőrség illegális weboldalak látogatásának eseteit vizsgálja. Ez a levél eljutott a gyermekpornográfia szerelmeséhez, aki hivatalos levélnek tartotta – és engedelmesen megadta magát a hatóságoknak.
Az utóbbi időben nem az e-mailhez csatolt fájlok, hanem a fertőzött oldalon található fájlokra mutató hivatkozások váltak különösen népszerűvé. Üzenetet küldenek a potenciális áldozatnak - levélben, ICQ-n vagy más személyhívón keresztül, ritkábban - IRC internetes chaten keresztül (a mobil vírusok a szokásos kézbesítési mód az SMS). Az üzenet vonzó szöveget tartalmaz, amely arra kényszeríti a gyanútlan felhasználót, hogy kattintson a hivatkozásra. Ez a módszer Az áldozat számítógépekbe való behatolás messze a legnépszerűbb és leghatékonyabb, mivel lehetővé teszi a levelezőszerverek éber vírusvédelmi szűrőinek megkerülését.
Kihasználják a fájlmegosztó hálózatok (P2P hálózatok) lehetőségeit is. Egy féreg vagy trójai különféle "finom" néven van közzétéve a P2P hálózaton, például:
AIM & AOL Password Hacker.exe
Microsoft CD Key Generator.exe
play Station emulator crack.exe
Új programokat keresve a P2P-felhasználók ezekre a nevekre bukkannak, letöltik a fájlokat, és futtatják őket végrehajtásra.
A „kábelezés” is meglehetősen népszerű, amikor egy ingyenes segédprogramot vagy a különféle fizetési rendszerek feltörésére vonatkozó utasításokat az áldozathoz csúsztatják. Például ingyenes hozzáférést kínálnak az internethez vagy egy mobilszolgáltatóhoz, letöltenek egy hitelkártyaszám-generátort, növelik a pénz mennyiségét a személyes internetes pénztárcában stb. Természetesen az ilyen csalások áldozatai valószínűleg nem fordulnak a bűnüldöző szervekhez (végül is ők maguk próbáltak csalárd módon pénzt keresni), és az internetes bűnözők ezt teljes mértékben kihasználják.
Egy szokatlan "bekötési" módszert alkalmazott egy ismeretlen oroszországi támadó 2005-2006-ban. trójai a munkavállalásra és munkaerő-keresésre szakosodott job.ru weboldalon található címekre küldték. Az ottani önéletrajzukat feladók egy része állítólag állásajánlatot kapott, a levélhez csatolt fájllal, amelyet felajánlottak, hogy nyissa meg és ismerkedjen meg a tartalmával. A fájl természetesen egy trójai volt. Az is érdekes, hogy a támadást főként vállalati e-mail címeken hajtották végre. A számítás nyilvánvalóan azon alapult, hogy a cég alkalmazottai valószínűleg nem jelentik be a fertőzés forrását. Így is történt – a Kaspersky Lab szakemberei több mint hat hónapig nem tudtak érthető információt szerezni a trójai programnak a felhasználók számítógépébe való behatolási módjáról.
Vannak egészen egzotikus esetek is, például egy csatolt dokumentumot tartalmazó levél, amelyben a banki ügyfelet arra kérik, hogy erősítse meg (vagy inkább tájékoztassa) hozzáférési kódját - nyomtassa ki a dokumentumot, töltse ki a mellékelt űrlapot, majd faxolja el a a levélben feltüntetett telefonszámot.
A kémprogramok házhozszállításának egy másik szokatlan esete Japánban történt 2005 őszén. Egyes támadók trójai spyware-rel fertőzött CD-ket küldtek egy japán bank ügyfeleinek otthoni címére (város, utca, otthon). Ugyanakkor ennek a banknak a korábban ellopott ügyfélköréből származó információkat használtak fel.
Megvalósítási technológiák
Ezeket a technológiákat a támadók arra használják, hogy rosszindulatú kódot fecskendezzenek be a rendszerbe anélkül, hogy felhívnák a számítógép tulajdonosának figyelmét. Ez az operációs rendszerek és szoftverek biztonsági rendszerének sebezhetőségein keresztül történik. A sérülékenységek megléte lehetővé teszi, hogy a támadó által létrehozott hálózati féreg vagy trójai behatoljon az áldozat számítógépébe, és önállóan elinduljon végrehajtásra.
A sérülékenységek valójában a kódban vagy a különféle programok működésének logikájában található hibák. A modern operációs rendszerek és alkalmazások összetett szerkezettel és kiterjedt funkcionalitással rendelkeznek, és egyszerűen lehetetlen elkerülni a hibákat tervezésük és fejlesztésük során. Ezt használják a vírusírók és a kiberbűnözők.
Az Outlook levelezőprogramok biztonsági réseit a Nimda és az Aliz e-mail férgek használták ki. A féreg fájljának elindításához elég volt megnyitni egy fertőzött levelet, vagy az előnézeti ablakban egyszerűen rámutatni az egérmutatót.
A rosszindulatú programok aktívan kihasználták az operációs rendszerek hálózati összetevőinek sebezhetőségeit is. A CodeRed, a Sasser, a Slammer, a Lovesan (Blaster) és sok más Windows operációs rendszer alatt futó féreg használta ezeket a biztonsági réseket a terjedéshez. A Linux rendszereket is érintette – a Ramen és a Slapper férgek a biztonsági réseken keresztül hatoltak be a számítógépekbe. működési környezetés az arra vonatkozó pályázatok.
Az utóbbi években az egyik legnépszerűbb fertőzési módszer a rosszindulatú kódok weboldalakon keresztül történő bevezetése volt. Ez gyakran kihasználja az internetes böngészők biztonsági réseit. A fertőzött fájl és a böngésző biztonsági rését kihasználó parancsfájl egy weboldalra kerül. Amikor a felhasználó belép egy fertőzött oldalra, egy script program indul el, amely a sérülékenységen keresztül letölti a fertőzött fájlt a számítógépére, és ott elindítja azt végrehajtásra. Ebből kifolyólag ahhoz, hogy nagyszámú számítógépet megfertőzzünk, elegendő minél több felhasználót rácsalogatni egy ilyen weboldalra. Ezt többféleképpen érik el, például az oldal címével spam küldésével, internetes lapozókon keresztül hasonló üzenetek küldésével, néha még keresőket is használnak erre. A fertőzött oldal sokféle szöveget tartalmaz, amelyet előbb-utóbb kiszámolnak a keresők – és a keresési eredmények között megjelenik egy link erre az oldalra a többi oldal listájában.
Külön osztályt alkotnak a trójaiak, amelyeket más trójai programok letöltésére és futtatására terveztek. Általában ezek a trójaiak, amelyek nagyon kis méretűek, így vagy úgy (például a rendszer egy másik sebezhetőségét használva) „becsúsznak” az áldozat számítógépére, majd önállóan letöltenek más rosszindulatú összetevőket az internetről, és más rosszindulatúakat telepítenek. alkatrészeket a rendszerbe. Az ilyen trójaiak gyakran módosítják a böngésző beállításait a legbizonytalanabbra, hogy „könnyebbé tegyék az utat” más trójaiak számára.
Az ismertté vált sebezhetőségeket a fejlesztő cégek gyorsan kijavítják, de folyamatosan jelennek meg információk az új sérülékenységekről, amelyeket számos hacker és vírusíró azonnal használni kezd. Sok trójai bot új sebezhetőséget használ számának növelése érdekében, és új hibákat használ Microsoft Office azonnal elkezdik használni a szokásos trójai programok számítógépekbe való bevezetésére. Ugyanakkor sajnos tendencia mutatkozik a következő sérülékenységgel kapcsolatos információk megjelenése és a férgek és trójaiak általi használatának megkezdése közötti időintervallum csökkentésére. Ennek eredményeként a sebezhető szoftvercégek és fejlesztők víruskereső programok időnyomásos helyzetben találják magukat. Az előbbieknek a lehető leggyorsabban ki kell javítaniuk a hibát, tesztelniük kell az eredményt (általában "patch", "patch" néven) és el kell küldeni a felhasználóknak, az utóbbinak pedig azonnal ki kell adnia egy eszközt az objektumok (fájlok, hálózati csomagok) kihasználva a sebezhetőséget.
Megvalósítási technológiák és social engineering módszerek egyidejű alkalmazása
A számítógépes behatolók gyakran mindkét módszert egyszerre használják. Társadalmi tervezési módszer - a potenciális áldozat figyelmének felkeltésére, és technikai - növeli annak valószínűségét, hogy egy fertőzött tárgy behatol a rendszerbe.
Például a Mimail levelezőféreg a következőhöz lett csatolva email. Annak érdekében, hogy a felhasználó figyelni tudja az üzenetet, speciálisan formázott szöveget illesztettek bele, és az üzenethez csatolt ZIP archívumból elindítani a féreg másolatát, egy biztonsági rés internet böngésző felfedező. Ennek eredményeként, amikor egy fájlt megnyitott egy archívumból, a féreg másolatot készített magáról a lemezen, és minden rendszerfigyelmeztetés vagy további felhasználói műveletek nélkül elindította azt végrehajtásra. Mellesleg, ez a féreg az egyik első volt, amelyet arra terveztek, hogy ellopja az e-gold internetes pénztárcák felhasználóinak személyes adatait.
Egy másik példa a "Hello" témával és a "Nézd, mit írnak rólad" szöveggel spam. A szöveget egy weboldalra mutató hivatkozás követte. Az elemzés során kiderült, hogy ez a weboldal egy olyan script programot tartalmaz, amely egy másik biztonsági rést használ internet böngésző, letölti a felhasználó számítógépére az LdPinch trójai programot, amely különféle jelszavak ellopására szolgál.
Ellenállás a víruskereső programokkal szemben
Mivel a kiberbűnözők célja az, hogy rosszindulatú kódokat fecskendezzenek be az áldozatok számítógépeibe, ehhez nem csak egy fertőzött fájl futtatására kell kényszeríteniük a felhasználót, vagy valamilyen sérülékenységen keresztül kell behatolni a rendszerbe, hanem a telepített vírusvédelmi szűrőn is át kell osonni. észrevétlenül. Ezért nem meglepő, hogy a támadók céltudatosan küzdenek a vírusirtó programok ellen. Az általuk használt technikák nagyon változatosak, de a leggyakoribbak a következők:
Csomagolás és kód titkosítás. A modern számítógépes férgek és trójaiak jelentős része (ha nem a legtöbb) ilyen vagy olyan módon be van csomagolva vagy titkosítva. Ezenkívül a számítógép a föld alatt speciálisan kialakított csomagolási és titkosítási segédprogramokat hoz létre. Például az interneten talált, a CryptExe, Exeref, PolyCrypt és néhány más segédprogram által feldolgozott összes fájl rosszindulatúnak bizonyult.
Az ilyen férgek és trójaiak észleléséhez a vírusirtó programoknak vagy új kitömörítési és visszafejtési módszereket kell hozzáadniuk, vagy minden rosszindulatú programmintához aláírást kell hozzáadniuk, ami rontja az észlelés minőségét, mivel a módosított kódból nem minden lehetséges minta kerül a kezekbe. a vírusirtó cégtől.
kódmutáció. A trójai kód felhígítása "szemét" utasításokkal. Ennek eredményeként a trójai program funkcionalitása megmarad, de „megjelenése” jelentősen megváltozik. Időnként előfordulnak olyan esetek, amikor a kódmutáció valós időben történik – minden alkalommal, amikor egy trójai programot letöltenek egy fertőzött webhelyről. Azok. az ilyen webhelyről számítógépekre kerülő trójai minták mindegyike vagy jelentős része eltérő. E technológia alkalmazására példa a Warezov levélféreg, amelynek több változata is jelentős járványokat okozott 2006 második felében.
Jelenléted elrejtése. Az úgynevezett "rootkit technológiák" (az angol "rootkit" szóból), amelyeket általában a trójaiaknál használnak. A rendszer funkcióit elfogják és lecserélik, aminek köszönhetően a fertőzött fájl sem az operációs rendszer szokásos eszközeivel, sem a vírusirtó programokkal nem látható. Néha a rendszerleíró adatbázis azon ágai, ahol a trójai egy példánya regisztrálva van, és a számítógép más rendszerterületei is rejtve vannak. Ezeket a technológiákat például a hátsó ajtós trójai HacDef aktívan használja.
A vírusirtó és a víruskereső adatbázis-frissítések (frissítések) fogadására szolgáló rendszer leállítása. Sok trójai és hálózati féreg speciális lépéseket tesz a vírusirtó programokkal szemben - megkeresik őket az aktív alkalmazások listájában, és megpróbálják leállítani a munkájukat, megrongálják a víruskereső adatbázisokat, blokkolják a frissítéseket stb. A vírusirtó programoknak megfelelő módon kell megvédeniük magukat - figyelniük kell az adatbázisok integritását, el kell rejteniük folyamataikat a trójaiak elől, stb.
A kód elrejtése a webhelyeken. A trójai fájlokat tartalmazó weboldalak címei előbb-utóbb ismertté válnak a vírusirtó cégek számára. Természetesen az ilyen oldalak a víruskereső elemzők figyelme alá esnek - az oldal tartalma rendszeresen letöltődik, a trójaiak új verziói bekerülnek a víruskereső frissítésekbe. Ennek ellensúlyozására a weboldalt speciális módon módosítják – ha a kérés egy vírusirtó cég címéről érkezik, akkor trójai helyett valamilyen nem trójai fájlt töltenek le.
Támadás mennyiség szerint. A trójaiak nagyszámú új verziójának előállítása és terjesztése az interneten rövid időn belül. Ennek eredményeként a víruskereső cégeket új minták árasztják el, amelyek elemzése időbe telik, ami további esélyt ad a rosszindulatú kódoknak a számítógépekbe való sikeres behatolásra.
Ezeket és más módszereket használja a föld alatti számítógép a vírusirtó programok ellen. Ezzel együtt évről évre nő a kiberbűnözők aktivitása, és most már igazi "technológiai versenyről" beszélhetünk, amely az antivírusipar és a vírusipar között bontakozott ki. Ezzel párhuzamosan nő az egyes hackerek és bűnözői csoportok száma, valamint szakmai felkészültségük. Mindez együttesen nagymértékben megnöveli a víruskereső cégektől a megfelelő védelmi eszközök kifejlesztéséhez szükséges munka összetettségét és mennyiségét.
Az e-mail továbbra is a rosszindulatú programok vállalati hálózatokba való beszivárgásának egyik fő forrása. Az e-maileknek számos fő felhasználása van a rosszindulatú programok hordozására:
rosszindulatú programok terjesztése "legtisztább formában" - ebben az esetben a rosszindulatú program a levél melléklete, és az automatikus elindítása nem biztosított. A rosszindulatú program elindítását maga a felhasználó végzi el, amihez a levélben gyakran a social engineering elemeit használják. A csatolt rosszindulatú programok nem feltétlenül futtatható fájlok – gyakran vannak rosszindulatú szkriptek, például a Worm.Win32.Feebs, amelyeket levélben küldenek el HTA-fájlokként, amelyek olyan titkosított szkriptet tartalmaznak, amely végrehajtható fájlt tölt le az internetről;
rosszindulatú program módosított kiterjesztéssel - ez a módszer abban különbözik az előzőtől, hogy a levélhez csatolt futtatható fájl kettős kiterjesztésű, például Document.doc .pif. BAN BEN ez az eset A szóközök a valódi fájlkiterjesztés elfedésére szolgálnak, és számuk 10-15-től több százig változhat. Eredetibb maszkolási módszer a *.com kiterjesztés használata – ennek eredményeként a csatolt fájlt a felhasználó tévesen az oldalra mutató hivatkozásnak tekintheti, például www.playboy.com, a felhasználó valószínűleg megfontolja ez egy link a webhelyre, nem pedig egy csatolt fájl www.playboy névvel és *.com kiterjesztéssel;
rosszindulatú programok az archívumban - az archiválás egy további védelmi réteg a víruskeresők ellen, és az archívum szándékosan megsérülhet (de nem annyira, hogy ne lehetne kivonni belőle rosszindulatú fájl) vagy jelszóval titkosítva. Ha az archívumot jelszó védi, akkor az utóbbi szöveg vagy kép formájában kerül az üzenet törzsébe – hasonló technikát alkalmaztak például a Bagle levélféregnél is. Egy rosszindulatú program elindítása ebben az esetben kizárólag a felhasználó kíváncsisága miatt lehetséges, akinek manuálisan kell megadnia a jelszót, majd futtatnia a kicsomagolt fájlt;
egy html formátumú levél beágyazott rosszindulatú program elindítására szolgáló exploittal - jelenleg az ilyen levelezővírusok ritkák, de 2001-2003-ban elterjedtek (tipikus példák az Email-Worm.Win32.Avron, Email-Worm.Win32. BadtransII, Net-Worm.Win32.Nimda);
Az utóbbi időben elterjedtek a rosszindulatú objektumra mutató hivatkozást tartalmazó levelek, ezért ez a módszer részletesebb megfontolást érdemel. Ez azon alapul, hogy a levélben nincs rosszindulatú kód, ezért a levélvíruskereső nem tudja észlelni és blokkolni a levél továbbítását. A levél szövege social engineering módszerekkel készült, és célja, hogy rávegye a felhasználót, hogy nyissa meg a levélben található hivatkozást. Tipikus példa erre az üdvözlőlapnak való álcázás (1. ábra).
Rizs. 1. "Üdvözlőlap"
Az ábrán egy nagyon durva hamisítvány látható: jól látszik, hogy valami érthetetlen címről érkezett a levél, és az oldal neve helyett az IP-címet tartalmazó link nem kelt bizalmat. Ennek ellenére a szerző statisztikái szerint felhasználók ezrei "fognak" az ilyen leveleken. A hamis üdvözlőkártya-üzenet jobb változata az ábrán látható. 2.
Rizs. 2. Jobb minőségű hamis képeslap
Ebben az esetben sokkal nehezebb felismerni a hamisítványt: vizuálisan a levél valóban a postcard.ru szolgáltatástól érkezett, és a képeslapoldalra mutató link erre az oldalra vezet. Ebben az esetben a megtévesztés azon alapszik, hogy a levél html formátumú, és a link szabványos címkével készült . Mint tudják, az ezt a címkét használó link kialakítása így néz ki:
A szöveges leírás tetszőleges lehet, mivel semmi köze a megnyitott URL-hez. Ezért ebben a levélben a link szöveges leírása www.postcard.ru/card.php?4295358104, míg a valódi hivatkozás egy teljesen más forrásra mutat. Ez a technika alapvetően megvalósított, és könnyen félrevezeti a felhasználót.
a hivatkozás közvetlenül a rosszindulatú program futtatható fájljához vezet – ez a legegyszerűbb eset. A hivatkozás megnyitásakor a felhasználó rákérdez, hogy mit tegyen a hivatkozás alatt található fájllal: mentse vagy futtassa. A "futtatás" kiválasztása rosszindulatú kód elindításához és a számítógép vereségéhez vezet. A gyakorlat azt mutatja, hogy a felhasználók általában nem gondolnak a veszélyre. A legfrissebb példa a Virus.VBS.Agent.c rosszindulatú program, amely megsemmisíti a lemezen lévő fájlokat (sőt, emiatt vírusnak minősül), és e-mailben "üdvözlőlapokat" küldve terjeszti magát. a végrehajtható fájlra mutató hivatkozás, amely közvetlenül a vírusfejlesztő webhelyén található. Nagyszámú áldozata ez a vírus felhasználók - egyértelmű példa a módszer hatékonyságára;
egy legitim program webhelyének álcázott webhelyre mutató hivatkozás. Tipikus példa a mobilszolgáltatók "hackelésére" szolgáló programok és postafiókok, amelyek gyakran tartalmaznak honlapot, hiteles dokumentációt és telepítőcsomagot;
a link az exploitot tartalmazó html oldalra vezet. Ez egy elterjedt lehetőség (a cikk írásakor a szerző az ilyen levelek valódi járványát rögzítette), és veszélyesebb, mint egy futtatható fájlra mutató közvetlen hivatkozás, mivel egy ilyen hivatkozást nagyon nehéz észlelni és blokkolni. proxy protokollok segítségével. Siker esetén a kihasználás kártékony kódot tölt le, és ennek eredményeként tíznél több rosszindulatú program települhet az érintett számítógépre. A szokásos készlet: levélférgek, jelszólopó trójai, Trojan-Spy és Trojan-Proxy osztályú trójaiak halmaza.
Védelmi intézkedések a terjesztett szoftverekkel szemben email a rosszindulatú program meglehetősen nyilvánvaló. Legalább egy vírusirtót kell telepítenie a levelezőszerverre (vagy tárhelyszolgáltató kiválasztásakor ügyeljen a vírusvédelem levél). Ezen kívül számos egyéb tevékenységet is el kell végezni:
magyarázza el a felhasználóknak, miért veszélyes az e-mailekhez csatolt programokat és az azokban található hivatkozásokat megnyitni. Nagyon hasznos megtanítani a felhasználókat a linkek valódi URL-címének azonosítására;
ha technikailag lehetséges blokkolni a csatolt futtatható fájlokat és titkosított archívumokat tartalmazó e-mailek küldését és fogadását. Például Smolenskenergóban az ilyen blokkolások már régóta érvényben vannak, és nagy hatékonyságot mutattak (ugyanakkor a blokkolt üzenetek karanténba kerülnek, és az adminisztrátor visszakeresheti őket);
állítson be szűrőket az e-mailek tartalom szerinti blokkolására és naprakészen tartására. Az ilyen szűrők hatékonyak a rosszindulatú programokra mutató hivatkozásokat tartalmazó e-mailek ellen – általában könnyen szűrhetők kulcsszavakat Animált kártya vagy képeslap típus. Mellékhatás a valódi üdvözlőlapok és hasonló levelek blokkolása, kompromisszumos megoldás egy ilyen szűrő beépítése a levélszemét-elhárító rendszerekbe és a levelek spamként való megjelölése.
Internet
A kivizsgált incidensek számát tekintve az internet a rosszindulatú programok hálózatba való behatolásának egyik fő forrása is. Számos fő módszert használnak széles körben a támadók:
mindenféle repedés és generátor sorozatszámok- a statisztikák azt mutatják, hogy a kulcs vagy repedés utáni keresés során a hackeroldalakon nagyon nagy a valószínűsége annak, hogy egy számítógépet rosszindulatú programokkal fertőznek meg. Ezen túlmenően, egy ilyen program letölthető egy archívumban feltöréssel, vagy beszerezhető a webhelyen végzett munka során a hacker webhelyeken történő kihasználások és rosszindulatú szkriptek eredményeként. Ellenintézkedések - a hacker webhelyekhez való hozzáférés blokkolása proxyszerver szinten, és látogatásuk tiltása a biztonsági politika és a vállalat egyéb irányadó dokumentumai szintjén;
törvényes oldalak feltörése – a statisztikák szerint az utóbbi időben egyre gyakoribbá váltak a feltörések, és a tipikus sémák. A fertőzött oldal oldalainak html kódjába beszúrva kis kód- általában egy IFRAME címke, amely egy exploitot tartalmazó oldalra vezet, vagy egy titkosított szkript, amely így vagy úgy átirányítja a felhasználót egy fertőzött oldalra (lehetőség van IFRAME címke dinamikus beszúrására az oldal törzsébe, átirányításra egy exploit oldalra, stb.). A fő veszély abban rejlik, hogy a webhely feltörését nem lehet előre megjósolni, és ennek megfelelően nagyon nehéz megvédeni a felhasználót tőle (3. ábra).
Rizs. 3. A HTML oldal végéhez hozzáadott kód kihasználása
feltört webhely
Amint az ábrán is látható, a kizsákmányoló kód automatikus módon kerül a html oldal végére, és egy titkosított szkript. A szkript titkosítása a kutatással szembeni védelem mértéke, de fő célja az aláírás-észlelés elleni védelem. Bonyolultabb esetekben az oldal kódjában hacky betétek helyezhetők el, ami megnehezíti azok észlelését.
A weboldalak kihasználása elleni védelem az operációs rendszer és a böngésző frissítéseinek azonnali telepítésén múlik. Ráadásul a böngésző a lehető legalacsonyabb jogosultságokkal való futtatása jó eredményeket ad, amivel jelentősen csökkenthető a kár egy exploit esetén.
Flash média
Az ilyen típusú médiát jelenleg nagyon széles körben használják - ezek a flash meghajtók és a flash kártyák, az USB interfésszel rendelkező HDD-meghajtók, a mobiltelefonok, a kamerák, a hangrögzítők. Ezen eszközök elterjedése az ezeket az adathordozókat átviteli eszközként használó rosszindulatú programok számának növekedéséhez vezet. Három alapvető módja van a flash meghajtó megfertőzésének:
hozzon létre egy autorun.inf fájlt a lemez gyökerében a rosszindulatú program elindításához, és helyezze el bárhová a lemezen (nem feltétlenül a lemez gyökerében). Az autorun.inf működése a flash meghajtón megegyezik a CD-ROM-on lévő hasonló fájl működésével, illetve amikor a meghajtót az Explorerben csatlakoztatja vagy megnyitja, egy rosszindulatú program indul el;
olyan fájlok létrehozása a lemez gyökerében vagy a lemezen lévő mappákban, amelyek nevükkel és ikonjaikkal hasonlítanak a fájlokhoz vagy mappákhoz. A szerző kísérletet végzett: a kísérletben részt vevő felhasználók pendrive-jára egy, a mappa ikonjától vizuálisan megkülönböztethetetlen ikonnal ellátott, MP3 nevű, ártalmatlan futtatható fájl került. A tapasztalat azt mutatja, hogy a felhasználók azonnal érdeklődést mutattak az új mappa iránt, és úgy döntöttek, hogy a „mappára” dupla kattintással megtekintik a tartalmát, ami a végrehajtható fájl elindításához vezetett;
a "companion virus" elvet alkalmazva. Lényegében ez a módszer megegyezik az előzővel, de ebben az esetben a rosszindulatú program sok másolatot hoz létre magáról, és a nevük megegyezik a flash meghajtón lévő fájlok vagy mappák nevével.
A rosszindulatú programok flash adathordozókon való terjedése elleni védekezés technikái meglehetősen egyszerűek:
telepítse a vírusvédelmet a felhasználók számítógépére olyan monitorral, amely valós időben ellenőrzi a fájlokat;
hatékony védelmi intézkedés az automatikus indítás letiltása;
Stratégiai számítógépeken jó biztonsági intézkedés a flash adathordozók használatának blokkolása. A blokkolást mechanikusan (USB portok letiltásával és lezárásával) és logikailag speciális szoftverrel lehet végrehajtani;
írás helyi politikák biztonság, blokkolja az alkalmazások flash meghajtóról történő indítását.
Notebookok és PDA-k
A mobil számítógépek a rosszindulatú programok másik vektorai. Tipikus helyzet a laptop üzleti úton történő használata, amikor általában valaki más hálózatára csatlakozik. Munka közben egy laptop megfertőződhet, leggyakrabban hálózati féreggel. Amikor egy fertőzött laptop csatlakozik "natív" hálózatához, a rajta található számítógépek megfertőződhetnek. Nehéz megvédeni magát ettől, a biztonsági intézkedések egy sora a következőkre csökkenthető:
vírusirtó és tűzfal telepítése laptopra, teljesítményük rendszeres, rendszeres ellenőrzésével;
a laptop ellenőrzése a hálózathoz való csatlakoztatás előtt, bár ez a művelet technikailag nem mindig lehetséges, sok időt vesz igénybe és csökkenti a felhasználó mobilitását;
speciális "vendég" alhálózat létrehozása a laptopok számára, és intézkedések megtétele a fő LAN ettől az alhálózattól való védelmére.
A vállalati hálózat rosszindulatú programokkal szembeni védelme összetett feladat, mivel a rosszindulatú programokat folyamatosan módosítják és javítják, hogy elkerüljék. meglévő rendszerek védelem. Ez a cikk a rosszindulatú szoftverek (rosszindulatú programok) hálózatba való behatolásának fő módjaira és a megfelelő védelmi módszerekre összpontosít. A védelmi módszerek mérlegelésekor feltételezzük, hogy a hálózatot tűzfal védi, és a hálózati számítógépekhez való kívülről való hozzáférés blokkolva van.
Az e-mail továbbra is a rosszindulatú programok vállalati hálózatokba való beszivárgásának egyik fő forrása. Az e-maileknek számos fő felhasználása van a rosszindulatú programok hordozására:
Az utóbbi időben elterjedtek a rosszindulatú objektumra mutató hivatkozást tartalmazó levelek, ezért ez a módszer részletesebb megfontolást érdemel. Ez azon alapul, hogy a levélben nincs rosszindulatú kód, ezért a levélvíruskereső nem tudja észlelni és blokkolni a levél továbbítását. A levél szövege social engineering módszerekkel készült, és célja, hogy rávegye a felhasználót, hogy nyissa meg a levélben található hivatkozást. Tipikus példa erre az üdvözlőlapnak való álcázás (1. ábra).
Rizs. 1. "Üdvözlőlap"
Az ábrán egy nagyon durva hamisítvány látható: jól látszik, hogy valami érthetetlen címről érkezett a levél, és az oldal neve helyett az IP-címet tartalmazó link nem kelt bizalmat. Ennek ellenére a szerző statisztikái szerint felhasználók ezrei "fognak" az ilyen leveleken. A hamis üdvözlőkártya-üzenet jobb változata az ábrán látható. 2.
Rizs. 2. Jobb minőségű hamis képeslap
Ebben az esetben sokkal nehezebb felismerni a hamisítványt: vizuálisan a levél valóban a postcard.ru szolgáltatástól érkezett, és a képeslapoldalra mutató link erre az oldalra vezet. Ebben az esetben a megtévesztés azon alapszik, hogy a levél html formátumú, és a link szabványos címkével készült . Mint tudják, az ezt a címkét használó link kialakítása így néz ki:
A szöveges leírás tetszőleges lehet, mivel semmi köze a megnyitott URL-hez. Ezért ebben a levélben a link szöveges leírása www.postcard.ru/card.php?4295358104, míg a valódi hivatkozás egy teljesen más forrásra mutat. Ez a technika alapvetően megvalósított, és könnyen félrevezeti a felhasználót.
Az e-mailben terjesztett rosszindulatú programok elleni védekezési intézkedések nyilvánvalóak. Legalább egy vírusirtót kell telepítenie a levelezőszerverre (vagy tárhelyszolgáltató kiválasztásakor ügyeljen az általa kínált vírusirtó levélvédelemre). Ezen kívül számos egyéb tevékenységet is el kell végezni:
A kivizsgált incidensek számát tekintve az internet a rosszindulatú programok hálózatba való behatolásának egyik fő forrása is. Számos fő módszert használnak széles körben a támadók:
Rizs. 3. A HTML oldal végéhez hozzáadott kód kihasználása
feltört webhely
Amint az ábrán is látható, a kizsákmányoló kód automatikus módon kerül a html oldal végére, és egy titkosított szkript. A szkript titkosítása a kutatással szembeni védelem mértéke, de fő célja az aláírás-észlelés elleni védelem. Bonyolultabb esetekben az oldal kódjában hacky betétek helyezhetők el, ami megnehezíti azok észlelését.
A weboldalak kihasználása elleni védelem az operációs rendszer és a böngésző frissítéseinek azonnali telepítésén múlik. Ráadásul a böngésző a lehető legalacsonyabb jogosultságokkal való futtatása jó eredményeket ad, amivel jelentősen csökkenthető a kár egy exploit esetén.
Az ilyen típusú adathordozókat jelenleg nagyon széles körben használják - ezek a flash meghajtók és a flash kártyák, az USB interfésszel rendelkező HDD-meghajtók, Mobiltelefonok, kamerák, hangrögzítők. Ezen eszközök elterjedése az ezeket az adathordozókat átviteli eszközként használó rosszindulatú programok számának növekedéséhez vezet. Három alapvető módja van a flash meghajtó megfertőzésének:
A rosszindulatú programok flash adathordozókon való terjedése elleni védekezés technikái meglehetősen egyszerűek:
A mobil számítógépek a rosszindulatú programok másik vektorai. Tipikus helyzet a laptop üzleti úton történő használata, amikor általában valaki más hálózatára csatlakozik. Munka közben egy laptop megfertőződhet, leggyakrabban hálózati féreggel. Amikor egy fertőzött laptop csatlakozik "natív" hálózatához, a rajta található számítógépek megfertőződhetnek. Nehéz megvédeni magát ettől, a biztonsági intézkedések egy sora a következőkre csökkenthető:
Ebben a cikkben áttekintettük a rosszindulatú programok hálózaton való behatolásának leggyakoribb módjait. A fentiekből két fontos következtetés vonható le:
3. A számítógépes hálózatok védelmének eszközei
A számítógépes hálózatok védelmének eszközei: nómenklatúra, állapot, összekapcsolás
A szakértők szerint a védelmi politikában legalább a következő szempontokat kell figyelembe venni:
- számítógépes rendszerekhez való hozzáférés engedélyezése, a felhasználó azonosítása és hitelesítése;
- hozzáférési jogok ellenőrzése;
- védelmi monitoring és statisztikai elemzés;
- rendszerek konfigurálása és tesztelése;
- biztonsági képzés;
- fizikai biztonság;
- hálózati biztonság.
Az első pont egy előőrs, ahol olyan kritériumokat fogalmaznak meg, amelyek csak a jogosultsággal rendelkező felhasználók számára engedélyezik a rendszerhez való csatlakozást, a többiek pedig meg sem próbálhatják a regisztrációt. Ennek a funkciónak a megvalósításának szabványos eszköze speciális fájlok vagy olyan gazdagépek listája, amelyekről a távoli bejelentkezés engedélyezett. Igaz, ennek az eszköznek a fejlesztői mindig gondoskodnak a rendszergazdák csábításairól (valamiért mindig van egy „gomb”, ami mindenki előtt megnyitja a bejáratot). Valószínűleg bizonyos esetekben az irányítás megszüntetésének megvannak a maga magyarázatai - általában más eszközök megbízhatóságára, a közvetlen bemenetek hiányára utalnak, de nehéz előre látni az összes lehetséges helyzetet a hálózatokkal végzett munka során. Ezért továbbra is konfigurálnia kell a hozzáférési jogosultságot az alapértelmezett beállítások igénybevétele nélkül.
Amint a gyakorlat azt mutatja, az ilyen típusú védelem nem képes jelentősen csökkenteni a behatolás valószínűségét. Valódi érték ennek (meghatározó központi szerepe) más - a bejelentkezni próbáló hálózati felhasználók regisztrációjában és elszámolásában.
Központi szerep a modern biztonsági rendszerekben az azonosítási és hitelesítési eljárásokhoz van rendelve. Ezek megvalósításának három alapvető módja van:
- a felhasználó által ismert jelszó vagy feltételes kifejezés használata;
- olyan személyes eszköz/dokumentum használata, amely csak a felhasználó tulajdonában van: intelligens kártya, zseb hitelesítő, vagy egyszerűen csak speciálisan készített személyazonosító igazolvány (feltételezzük, hogy a hitelesítőt soha nem osztják meg senkivel);
- a felhasználó hitelesítésével – ujjlenyomatokkal, hanggal, retinamintával stb. Ezeket az azonosítási módszereket a biometrikus adatok keretein belül fejlesztik.
A legmegbízhatóbb hitelesítési sémák ezeknek a módszereknek a kombinációjaként épülnek fel, és az első továbbra is a legelterjedtebb.szimbolikus .
Nem meglepő, hogy a crackerek jól fel vannak szerelve a bejelentkezési adatok és jelszavak kinyerésére szolgáló eszközökkel. Ha sikerül átmásolniuk a jelszófájlt a gépükre, egy brute force program indul, általában egy nagy szótári keresést használva. Az ilyen programok még gyenge számítógépeken is gyorsan működnek, és ha a biztonsági rendszernek nincs befolyása a jelszavak előállítási módjára, nagy a valószínűsége, hogy legalább egyet kitalál. Ezt követi egy kísérlet privilegizált jogok megszerzésére a nyilvánosságra hozott fióknévből - és a munka kész.
Különösen veszélyesek – és nem csak önmagukra nézve – azok a gépek, amelyeknél a védelmi mechanizmusok le vannak tiltva, vagy egyáltalán nem. A rendszergazdák a hosts.equiv, xhost fájlok segítségével bizalmi kapcsolatokat hozhatnak létre a gazdagépek között. Rossz konfiguráció esetén a behatoló beléphet egy nem védett gépbe, és minden azonosítás nélkül tranzitív módon hozzáférhet a vállalati hálózat összes gazdagépéhez.
A biztonsági szabályzat következő pontja a hozzáférés-szabályozás, amely arra hivatott, hogy a hitelesítési eljárás sikeres befejezése után a rendszer fájljainak és szolgáltatásainak csak egy része, személyes alapon meghatározott részhalmaza legyen elérhető a felhasználó számára. Ennek a mechanizmusnak köszönhetően a felhasználók például csak a saját e-mailjeit olvashatják, amelyeket a következőn keresztül kaptak email , de nem a szomszéd levelei. A hozzáférési jogokat általában maguk a felhasználók állítják be: az adatok tulajdonosa megengedheti másnak, hogy azokkal dolgozzon, ahogyan a rendszergazda szabályozza a hozzáférési jogokat a rendszerhez, ill. konfigurációs fájlok. Csak az a fontos, hogy a tulajdonos mindig személyes felelősséget viseljen az ingatlanáért.
A jogok megkülönböztetése nem korlátozódik csak az adatokra – ezzel párhuzamosan a felhasználókhoz a megengedett műveletek részhalmazai is hozzá vannak rendelve. Vegyünk legalább egy automatizált jegyértékesítési rendszert. A pénztárosnak természetesen képesnek kell lennie arra, hogy csatlakozzon a központi adatbázishoz, hogy lekérdezze a rendelkezésre állást és lehessen értékesítéseket végezni. De korlátozni kell a jogait, hogy ne változtassa meg a szervezet elszámolási számláit, ne emelje fizetését.
A többfelhasználós alkalmazásokban a megkülönböztetést általában diszkrecionális hozzáférés-vezérléssel (Discretionary Access Controls), operációs rendszerekben pedig - fájlattribútumok és folyamatazonosítók EUID, GLJID végzik. A koherens képet megtörik a SUID és SGID bitek, amelyek lehetővé teszik a folyamatok hozzáférési jogainak programozott módosítását. A Setuid szkriptek, különösen a setuid root , potenciális biztonsági kockázatot jelentenek. Ezeket vagy egyáltalán nem szabad létrehozni, vagy őket magukat kell megbízhatóan védeni.
Lehetetlen biztonságot elérni, ha nem tartja fenn a rendet a vállalat rendezetlen infrastruktúrájában. A konfigurációkezelés olyan technológiák összessége, amelyek figyelik a szoftverek, hardverek, felhasználók és hálózatok állapotát. Általában az üzembe helyezéskor egyértelműen meghatározzák a számítógépes rendszer és összetevőinek konfigurációját, de idővel az irányítás egyre inkább elveszik. A konfigurációkezelő eszközöket úgy tervezték, hogy formalizálják és részletezzék a rendszerben előforduló összes változást.
Jó gazdálkodás mellett először is szigorú eljárást kell átgondolni és meghatározni a változtatások végrehajtására, beleértve azok dokumentálását is. Másodszor, minden változtatást az általános biztonsági politika szempontjából kell értékelni. Bár lehetséges, hogy ezt a politikát módosítani fogják, fontos, hogy az életciklus minden fordulóján a döntéseket megőrizzék, hogy mindenki következetes legyen. még elavult, de megmaradt rendszerek a hálózatban - különben azzá a nagyon „gyenge láncszemté” válnak.
A védelem fenti szempontjai valamilyen módon szoftvertechnológiákon alapulnak, de vannak rendkívül fontos kérdések, amelyek ebből a körből kerülnek ki. A vállalati hálózat magában foglalja a való világot: felhasználókat, fizikai eszközöket, adathordozókat stb., ami szintén okozhat gondot. Felhasználóink – a jelek szerint a történelmi hagyományok miatt – ironikusan kezelik a titoktartás kérdését. Olyan körülmények között hálózatépítés ezen a hozzáálláson sürgősen változtatni kell a védelem alapelveinek tudatosítása érdekében. Ez az első szakasz, amely után át lehet lépni a következőre - a technikai képzésre, és nem csak a felhasználóknak, hanem a szakembereknek is át kell menniük. A biztonsági házirend-specifikációk kidolgozása során a rendszer- és adatbázis-adminisztrátoroknak ismerniük kell azokat, olyan mértékben, hogy konkrét szoftvermegoldásokká lehessen őket fordítani.
A hackerek tipikus kiskapuja a „gyenge”, vagyis a könnyen feltörhető jelszavak. A helyzet korrigálható, ha megtanítjuk a felhasználókat a hozzáférés-szabályozás tudatos kezelésére: időszakonként változtassuk meg a jelszavakat, formáljuk helyesen. Meglepő módon még minősített környezetben is gyakori csapda egy bejelentkezésből és egy 1-esből képzett jelszó a végén. Bár a fizikai biztonság a technológia fejlődésével csökken, továbbra is az átfogó politika fontos részét képezi. Ha egy behatoló hozzá tud férni a hálózat fizikai összetevőihez, általában engedély nélkül bejelentkezhet. Ezenkívül a felhasználók azon képessége, hogy fizikailag hozzáférjenek a kritikus rendszerelemekhez, növeli a nem szándékos szolgáltatáskimaradások valószínűségét. Ennélfogva, korlátozni kell a létfontosságú számítógépekkel és hálózati berendezésekkel való közvetlen kapcsolatot
a minimális lehetséges létszám - rendszergazdák és mérnökök. Ez nem jelent kivételes bizalmat irántuk, csak így csökken az incidensek valószínűsége, és ha mégis történik valami, biztosabbá válik a diagnózis. Saját tapasztalataimra hivatkozva megerősíthetem az egyszerű szervezési intézkedések hasznosságát - ne tegyen értékes felszerelést a bejárati udvarba.
A legjobbat remélve jó ötlet előre látni a rossz lehetőségeket is. Áramkimaradás vagy egyéb kataklizmák, köztük rosszindulatú behatolás esetére sem árt készenléti tervet készíteni. Ha feltörés történik, fel kell készülnie a nagyon gyors reagálásra, mielőtt a támadóknak ideje lenne súlyos károkat okozni a rendszerben vagy megváltoztatni a rendszergazdai jelszavakat.
A hálózatbiztonsági kérdéseknek a biztonsági politika általános összefüggésében ki kell terjedniük különböző fajták hozzáférés:
Ennek megfelelően kétféle mechanizmust használnak: belső és a vállalati hálózat peremén fekvő - ahol külső kapcsolatok fordulnak elő.
A belső hálózat biztonsága érdekében fontos a hardver és a szoftver megfelelő konfigurációjának biztosítása konfigurációkezelés létrehozásával. A külső hálózati biztonság magában foglalja az egyértelmű hálózati határok meghatározását és tűzfalak telepítését a kritikus helyekre.
Biztonsági kockázatértékelés
A védelmi politika megvalósult – lehet egy kis szünetet tartani, de jobb, ha nem várjuk meg a hackerek érkezését, hanem saját szemükkel nézzük meg, hogy a rendszerünk hogyan képes ellenállni a külső támadásoknak. A cél az elért biztonsági fok értékelése, a védelem erős és gyenge pontjainak azonosítása. Az értékelési eljárást önállóan is elvégezheti, bár egyszerűbb lehet egy ilyen tevékenységre szakosodott cég szolgáltatásaihoz fordulni. A saját szakembereknek további nehézségeik lesznek: nehéz kérdéseket kell feltenniük kollégáiknak, és le kell vonniuk a következtetéseket, hogy valaki nem túl kellemes.
Biztonságpolitikai értékelés és tesztelés
Első lépésként össze kell hasonlítani a biztonságpolitikában tervezettet a ténylegesen történtekkel. Ehhez hozzávetőlegesen a következő kérdésekre kell választ találnia.
- Ki határozza meg, mi számít bizalmasnak?
- Vannak eljárások a bizalmas információk kezelésére?
- Ki határozza meg a személyzettel a munkavégzés érdekében közölt bizalmas információk összetételét?
- Ki és milyen alapon kezeli a biztonsági rendszert?
Az ilyen információk megszerzése nem mindig egyszerű. A legjobb megoldás a biztonságpolitikai nyilatkozatokat, üzleti eljárásokat, építészeti diagramokat stb. tartalmazó közzétett hivatalos dokumentumok összegyűjtése és elolvasása. A szervezetek többségében azonban egyáltalán nincsenek ilyen dokumentumok, és ha vannak, akkor gyakorlatilag figyelmen kívül hagyják. Ezután a valós helyzet feltárásához munkahelyi helyszíni megfigyeléseket kell végezni, egyúttal meghatározva, hogy egyáltalán észre lehet-e venni egy-egy politika megnyilvánulásait.
Az írott szabályok és a tipikus személyzeti gyakorlatok közötti különbség igen nagy lehet. Például egy közzétett szabályzat tartalmazhat egy olyan rendelkezést, amely szerint a jelszavak soha nem lehetnek
több alkalmazott is használhatja. És úgy tűnik, sok szervezetben ezt szentül betartják, de még többen szenvednek csak a jelszavak szétválasztásától.
A vállalati kultúra bizonyos gyengeségei csak titkos titkosszolgálati műveletekkel fedezhetők fel. Például a vállalati szabályzat kimondhatja, hogy a jelszavak titkosak, és nem szabad sehova írni, és egy felületes séta a helyiségben megmutatja, hogy a jelszavakat közvetlenül a billentyűzetre vagy a monitorra rajzolták. Egy másik hatékony technika az, hogy megkérdezzük a felhasználókat az információval való munka szabályairól. Az ilyen interjúkból megtudhatja, mely információk a legértékesebbek egy alkalmazott számára, és hogyan jelennek meg azok a vállalati hálózaton belül és kívül.
Tanul nyílt források
A tudás hatalom. Ezt a mottót követve a támadó megfelelő mennyiségű, gyakorlatilag magánjellegű belső információhoz juthat a vállalat nyílt, nyilvánosan elérhető anyagai között ásva. A biztonsági felmérés második lépése annak kiderítése, hogy egy kívülálló mennyit tudhat meg a cégről. A „hasznos” információk, amelyek átütő erőt adnak, a következők lehetnek: a használt operációs rendszerek típusai, a telepített javítások, a felhasználói bejelentkezés kanonikus szabványai, belső IP-címek vagy magángépek és szerverek nevei.
Lépéseket lehet tenni (és kell is) tenni a hackerek és feltörők által összegyűjthető információ mennyiségének csökkentésére, de ehhez meg kell érteni, hogy mi már kiszivárgott, és meg kell érteni, hogyan jött létre ez a szivárgás. A leggondosabb figyelmet érdemli az alkalmazottak által ben megjelent anyagok tanulmányozása Internet . Ismert eset, amikor egy cég egy biztonsági szempontból kritikus alkalmazás forráskódrészletét mutatta be az oldalán. Hasonló konfliktusok lehetnek az újságokban, folyóiratokban és más forrásokban elhelyezett anyagokban.
A nyílt anyagok tanulmányozásának eredményei alapozzák meg a nyílt publikációk elkészítésének szabályait.
Gazdarendszer biztonsági értékelése
A központi feldolgozó rendszerek (host rendszerek) általában a legjobban néznek ki biztonsági szempontból. Egyszerű okból: a gazdagép rendszerek kiforrottabbak, operációs rendszereik és biztonsági szoftvereik fejlettebbek és jobban elsajátították. A legnépszerűbb nagyszámítógépes és középkategóriás biztonsági termékek némelyike több évtizedes múltra tekint vissza.
Ez természetesen nem jelenti azt, hogy a gazdagép rendszere eleve biztonságos. A régi gazdagép lehet például a leggyengébb láncszem, ha az "őskori" időkben jött létre, amikor még senki nem gondolt sem lokálisra, sem globálisra. Új szemszögből kell értékelni a biztonsági sémát és annak megvalósítását a gazdagépen, annak megállapításához, hogy az alkalmazásszoftver, az operációs rendszer biztonsági mechanizmusai és a hálózat mennyire működnek együtt. Mivel a számítások megszervezésében legalább két szakembercsoport vesz részt - szerint operációs rendszerés az alkalmazásoknál - előfordulhat, hogy mindegyik biztonsági aggályokat rendel a kollégákhoz, és a teljes eredmény nulla lehet.
Szerverbiztonsági elemzés
A gazdagépekkel ellentétben a fájl-, alkalmazás- és adatbázisszerverek fiatalabbak és viszonylag kevésbé teszteltek – sokuknál a védelmi berendezés életkora csak néhány év. Ezen eszközök többsége folyamatos frissítésen és javításon esik át. A szerveradminisztrációt gyakran kevés tapasztalattal rendelkező szakemberek végzik, így az ilyen típusú rendszerek biztonsága általában sok kívánnivalót hagy maga után. A helyzetet súlyosbítja, hogy értelemszerűen teljesen sokrétű közönség fér hozzá telefonon vagy távoli kommunikációs vonalon keresztül a szerverekhez. Ezért a szerverbiztonsági felmérés fokozott figyelmet igényel. Számos eszköz áll rendelkezésre ehhez, köztük a Kane Analyst (Novell és NT). Az ilyen típusú termékek ellenőrzik a kiszolgálókat (kiváltságos hozzáféréssel), és jelentést készítenek a konfigurációról, a biztonsági adminisztrációs gyakorlatokról és a felhasználói populációról. Célszerű az automatikus eszközök használata – egyetlen vizsgálat olyan problémákat tárhat fel, amelyeket valószínűleg még sokórás manuális elemzés sem észlel. Például egy vizsgálat gyorsan felfedheti azon felhasználók százalékos arányát, akik túl magas hozzáférési szinttel rendelkeznek, vagy akik túl sok csoport tagjai.
A következő rész további két szakaszt tárgyal - a hálózati kapcsolatok biztonságának elemzését.
Szimulált szabályozott behatolás
Nyilván az egyik jobb módszereket biztonsági ellenőrzések – béreljen fel egy képzett hackert, és kérje meg, hogy mutassa be az elért eredményeit a hálózatán. Ezt a fajta értékelést kontrollált penetrációs tesztelésnek nevezik.
Egy ilyen teszt elkészítésekor nem árt megállapodni a támadás terjedelmére és típusára vonatkozó korlátozásokról - elvégre beszélgetünk csak egy ellenőrzés, amely semmi esetre sem vezethet a normál üzemállapot megsértéséhez. Ezt követően bizonyos „harci” szabályok alapján kiválasztják a teszttípusokat.
Itt két megközelítés létezik. Az elsőben a tesztelést úgy végzik, mintha egy igazi cracker végezné. Ezt a megközelítést vak behatolásnak nevezik. Megkülönböztető jellemzője, hogy a vizsgálatot végző személy tájékoztatást kap pl. URL , De belső információ- további hozzáférési pontok be Internet , közvetlen kapcsolat a hálózattal – nem hozták nyilvánosságra.
A második megközelítésben - "informált behatolás" - a támadócsapat a támadás előtt bizonyos ismeretekkel rendelkezik a hálózat felépítéséről. Ez a megközelítés elfogadott, ellenőrizni kell, hogy bizonyos összetevőknek át kell menniük. Ha például tűzfalat telepítenek a rendszerre, akkor az abban használt szabályrendszert külön kell tesztelni.
A tesztkészlet két csoportra osztható: penetráció from Internet és penetráció, majd telefonvonalak.
Internetkapcsolat vizsgálata
Általában a védelem fő reményeit a belső vállalati hálózat és az internet közötti tűzfalakra helyezik. Tudnia kell azonban, hogy a tűzfal csak annyira jó, amennyire jó a telepítése – megfelelő helyre és megbízható operációs rendszerre kell telepíteni. Ellenkező esetben egyszerűen egy hamis biztonságérzet forrása lesz.
A tűzfalak és hasonló rendszerek ellenőrzésére szkennelési és behatolási teszteket végeznek, amelyek szimulálják az ellenőrzött rendszerre irányuló támadást. Internet . Számos szoftvereszköz létezik a tesztelésre, például két népszerű - ISS szkenner (kereskedelmi termék) és SÁTÁN (ingyenes szoftver; kb. 1995 óta nem frissítették). Lehet választani egyik vagy másik szkennert, de a teszteknek csak három feltétel teljesülése esetén lesz értelme: el kell sajátítani a szkenner helyes kezelését, gondosan elemezni kell a vizsgálati eredményeket, és az infrastruktúra lehető legnagyobb részét beszkennelve.
Ennek a tesztcsoportnak a fő „célpontjai” az internetes szolgáltatások nyílt szerverei ( WWW, SMTR FTP stb.). Maguk ezekhez a szerverekhez könnyű eljutni – a nevük ismert, a belépés ingyenes. És akkor a cracker megpróbál hozzájutni az érdeklő adatokhoz. Számos ismert hackelési technika létezik, amelyeket megpróbálhat közvetlenül a szerver ellen alkalmazni. Ezenkívül a kiszolgáló IP-címe alapján vizsgálat indítható az azonos címtartományban lévő többi gazdagép azonosítására. Ha valamit elkapnak, akkor minden érintett IP-címen portlekérdezés indul a gazdagépen futó szolgáltatások meghatározásához. Sok esetben, amikor megpróbál csatlakozni vagy használni egy szolgáltatást, olyan információk jelennek meg, mint a kiszolgáló platformja, az operációs rendszer verziója, sőt a szolgáltatás verziója (pl. sendmail 8.6).
Ezekkel az információkkal felvértezve a támadó támadássorozatot indíthat a gazdagép ismert sebezhetősége ellen. A tapasztalat azt mutatja, hogy a legtöbb helyzetben elegendő intelligencia birtokában bizonyos szintű illetéktelen hozzáférést lehet elérni.
Telefonszám támadás
Az elmúlt évtizedben a modemek forradalmasították a számítógépes kommunikációt. Ugyanezek a modemek azonban, ha hálózatba kapcsolt számítógépekre vannak telepítve, és automatikus válasz módban maradnak, jelentik a legsebezhetőbb pontokat. Telefonszám támadás háborús tárcsázás ) az összes kombináció keresése a modem hangjelzésének megtalálása érdekében.
program fut be automatikus üzemmód képes a telefonszámok hatalmas skáláján keresztül futni egyik napról a másikra, regisztrálva az észlelt modemeket. Egy hacker egy reggeli kávé mellett kap szöveges fájl modemcímekkel, és megtámadhatja őket. Az ilyen típusú támadásokat az teszi különösen veszélyessé, hogy sok vállalat megengedi magának, hogy ellenőrizetlen vagy jogosulatlan kommunikációs vonalakat tartson, amelyek megkerülik a tűzfalakat. Internet és közvetlen hozzáférést biztosítanak a belső hálózathoz.
Ugyanez a támadás végrehajtható teszt módban - az eredmények megmutatják, hány modemet lehet valódi feltörésnek kitéve. Az ilyen típusú tesztelés meglehetősen egyszerű. A vakteszt során a behatolási csapat megkeresi a vállalat telefonközpontjait (különböző nyílt forrásokból, beleértve egy weboldalt is), és ha a teszt nem vak, akkor ezt az információt jelenti nekik. Automatikusan megpingel egy telefonszám-tartományt a kapcsolókban, hogy meghatározza, mely számokhoz csatlakoznak a modemek. A modemes támadási módszerek olyan terminálprogramokra támaszkodhatnak, mint pl HyperTerminal és távoli hozzáférés-vezérlő programok, mint pl PC Anyware . Ismét a cél az, hogy valamilyen szintű hozzáférést szerezzünk a belső hálózati eszközhöz. Ha a csatlakozás és a sikeres bejelentkezés megtörtént, új játék indul.
Az elmondottakból láthatóan a következőket lehet megállapítanikövetkeztetés: A hálózat biztonságát egyedül is fenntarthatja, de ez egy nagyon professzionális tevékenység legyen, ne egyszeri cég. Egy vállalati szintű hálózat szinte mindig nagy rendszer, és nem lehet minden biztonsági problémát egy csapásra megoldani.
Eltekintve a nemzeti számítógép-biztonsági törvényektől és szabványoktól, háromféle információforrást tudunk ajánlani, amelyek a gyakorlatban a leghasznosabb és legszükségesebbek:
a használt operációs rendszerek és alkalmazások dokumentációjának megfelelő szakaszai;
A gyártók weboldalai szoftver termékekés az operációs rendszer, amelyen a hibajavításokat és javításokat tartalmazó új verziókról szóló üzenetek megjelennek;
legalább két szervezet létezik: a CERT (Computer Emergency Response Team) és a CIAAC (Computer Incident Advisory Capability), amelyek információkat gyűjtenek és terjesztenek a feltörésekkel kapcsolatban, tanácsokat adnak azok következményeinek kiküszöbölésére, jelentik az észlelt szoftverhibákat, amelyek segítségével a támadók behatolnak számítógépes rendszerek.
Amint szükséges feltétel A védelem megbízhatósága szisztematikus, és minden rendszernek megvan a maga életciklusa. Egy biztonsági rendszernél ezek a következők: tervezés - megvalósítás - értékelés - frissítés.
Penetrációs vizsgálat(jarg. pentest) – számítógépes rendszerek vagy hálózatok biztonságának értékelésére szolgáló módszer egy behatoló támadásának szimulálásával. A folyamat magában foglalja a rendszer aktív elemzését a lehetséges sebezhetőségek keresésére, amelyek a célrendszer hibás működését vagy teljes szolgáltatásmegtagadást okozhatnak. Az elemzés egy potenciális támadó szemszögéből történik, és magában foglalhatja a rendszer sebezhetőségeinek aktív kihasználását.
A tesztelés tárgyai lehetnek különálló információs rendszerek, például: CMS (tartalomkezelő rendszer), CRM (ügyfélkapcsolat-kezelő rendszer), internetes kliens-bank, illetve a teljes infrastruktúra egésze: hálózati kerület, vezetéknélküli hálózat, belső vagy vállalati hálózat, valamint külső kerület.
Behatolási tesztelési kihívás- felkutatni az összes lehetséges ismert szoftversérülékenységet (szoftvert), jelszóházirend-hibát, az IS konfigurációs beállításainak hibáit és finomságait. Egy ilyen teszt során a tesztelő pszeudotámadást intéz a vállalati hálózaton, valódi behatolók akcióit vagy rosszindulatú szoftver által végrehajtott támadást a tesztelő közvetlen részvétele nélkül. A tesztek célja: azonosítani a vállalati hálózat ilyen támadásokkal szembeni védelmének gyenge pontjait, és kiküszöbölni a pszeudotámadások során talált sebezhetőségeket.
A penetrációs tesztelést általában BlackBoxra, WhiteBoxra és GreyBoxra osztják:
fekete doboz- "fekete doboz". A vizsgálat céljáról, hálózatáról és paramétereiről a szakember csak nyilvánosan elérhető információval rendelkezik. Ez az opció a lehető legközelebb áll a valós helyzethez. A tesztelés kezdeti adataként az előadó csak a cég vagy annak weboldalának nevét kapja meg, és minden egyéb információt, így a cég által használt IP-címeket, weboldalakat, a cég irodáinak, fióktelepeinek internetre való kilépési pontjait, az előadónak magának kell kiderítenie.
fehér doboz- a BlackBox teljes ellentéte. Ebben az esetben a szakember a számára szükséges maximális információkkal rendelkezik, akár adminisztratív hozzáférésig bármely szerverhez. Ez a módszer lehetővé teszi az objektum sebezhetőségének legteljesebb tanulmányozását. A WhiteBox segítségével az előadónak nem kell időt töltenie az információgyűjtéssel, a hálózat feltérképezésével és egyéb műveletekkel a tesztelés megkezdése előtt, és magának a tesztelésnek az idejét is csökkenti, mert. néhány ellenőrzést egyszerűen nem kell elvégezni. Plusz ez a módszer a kutatás teljesebb és integráltabb megközelítésében. Hátránya, hogy kevésbé közelíti meg a támadó valódi támadásának helyzetét.
szürke doboz- Ez egy középső lehetőség a WhiteBox és a BlackBox között, amikor az előadó a BlackBox opció szerint jár el, és időszakonként információkat kér a tesztelt rendszerről a kutatási idő csökkentése vagy az erőfeszítések hatékonyabb alkalmazása érdekében. Ez az opció a legnépszerűbb, mivel lehetővé teszi a tesztelést anélkül, hogy túl sok időt töltene az információgyűjtéssel, és több időt tölthet a sebezhetőségek keresésével, miközben ezt a lehetőséget elég közel marad a támadó cselekvésének valós helyzetéhez.
1. A TÁVOLI SZÁMÍTÓGÉP RENDSZERÉN TÖRTÉNŐ BETÖRÉS JELLEMZŐI.
Minden objektív és teljes penetrációs vizsgálatnak számos jellemzője van, és az ajánlások és szabályok figyelembevételével kell elvégezni.
Az információs penetrációs tesztelés szabályait és kereteit az OSSTMM és az OWASP módszertan mutatja be. Ezt követően a kapott adatok könnyen adaptálhatók bármely iparági szabványnak és „legjobb világgyakorlatnak” való megfelelés értékeléséhez, mint például a Cobit, az ISO/IEC 2700x sorozat szabványai, a CIS/SANS/NIST/etc ajánlások és a PCI DSS szabvány.
A technológiai adatok önmagukban nem elegendőek egy ilyen értékelés teljes körű elvégzéséhez. A teljes körű értékeléshez az értékelt vállalat különböző részlegeinek dolgozóinak meghallgatása, adminisztratív dokumentáció elemzése, különféle folyamatok szükségesek információs technológiák(IT) és információ biztonság(IB) és még sok más.
Ami a fizetési kártyaipar információbiztonsági szabványának megfelelő penetrációs tesztelést illeti, az nem sokban tér el a szokásos OSSTMM és OWASP módszerekkel végzett teszteléstől. Ezenkívül a PCI DSS szabvány az OWASP szabályok betartását javasolja mind a pentest (AsV), mind az audit (QSA) végrehajtása során.
A fő különbségek a PCI DSS tesztelés és a szó tágabb értelmében vett penetrációs tesztelés között a következők:
A GrayBox módszer lehetővé teszi a szolgáltatásmegtagadás kockázatának csökkentését, amikor ilyen munkát végez a hét minden napján, 24 órában működő információs erőforrásokkal kapcsolatban.
Általában a PCI penetrációs tesztelésnek meg kell felelnie a következő kritériumoknak:
A vizsgálat határainak meghatározása. Először is meg kell határozni a penetrációs tesztelés határait, meg kell határozni és meg kell állapodni az elvégzett műveletek sorrendjében. Legjobb esetben az információbiztonsági osztálytól beszerezhető egy hálózati térkép, amely vázlatosan mutatja, hogy a feldolgozóközpont hogyan működik együtt a teljes infrastruktúrával. A legrosszabb esetben kommunikálnia kell vele rendszergazda aki ismeri saját hiányosságait és átfogó adatokat szerezve arról tájékoztatási rendszer akadályozná, hogy nem hajlandó megosztani IP-adatait. Így vagy úgy, a PCI DSS penetrációs teszt elvégzéséhez legalább a következő információkat kell megszereznie:
2. A BEHASZNÁLÁSI VIZSGÁLAT SZAKASZAI
Fontolja meg a penetrációs tesztelés lehetséges szakaszait. A rendelkezésre álló információktól függően (BlackBox / WhiteBox / GreyBox) a műveletek sorrendje eltérő lehet: adatgyűjtés, hálózati szkennelés, rendszerhackelés, rosszindulatú programok, social engineering.
2.1 Adatgyűjtés.
Adatgyűjtés nyílt információforrásokból. A nyílt források olyan információforrások, amelyekhez legálisan, jogi alapon hozzáférnek. A szükséges információk nyílt forrásokból történő felkutatását számos polgári és katonai szervezet alkalmazta a hírszerzés és az ipari kémkedés területén.
A szükséges információkhoz való hozzáférés az interneten többféle módon is megvalósítható. Ezek lehetnek hiperhivatkozások, keresés különféle könyvtárakban (weboldalak, blogok stb.), megtekintheti Keresési eredmények. Bizonyos célokra lehetetlen speciális adatbázisokban való keresés nélkül.
Információt a webhely belső URL-címe is megadhat, email címek, telefonszámok, faxok, DNS-kiszolgáló, IP-címtartomány, útválasztási információk.
Az internet fejlődésével a WHOIS szolgáltatások széles körben elterjedtek. A Whois (az angol "who is" - "who is" szóból) egy TCP protokollon alapuló hálózati protokoll. Fő célja, hogy információkat szerezzen a "regisztrálóról" (a domain tulajdonosáról) és a "regisztrálóról" (a domaint regisztráló szervezetről), nevekről DNS szerverek, regisztráció dátuma és lejárati dátuma. Az IP-címekre vonatkozó bejegyzések tartományokba vannak csoportosítva (például 8.8.8.0 - 8.8.8.255), és információkat tartalmaznak arról a szervezetről, amelyhez ez a tartomány delegálva van.
2.2 Hálózati szkennelés.
A hálózati szkennelés komponensekre osztható:
1. IP-címek tartományának vizsgálata az "élő" gazdagépek meghatározásához
2. Portok szkennelése
3. Szolgáltatások és verzióik feltárása
4. Szkenneléssel határozza meg az operációs rendszert
5. Sebezhetőség vizsgálata
1. IP-címtartomány beolvasása.
Bármely hálózat feltárása során alapvető feladat, hogy az IP-tartományokat az aktív gazdagépek listájára csökkentsük. Minden IP-cím minden portjának vizsgálata lassú és szükségtelen. Az egyes gazdagépek kutatása iránti érdeklődést nagymértékben meghatározzák a vizsgálat céljai. Míg az adminisztrátorok azon feladatai, hogy a hálózaton élő gazdagépeket fedezzenek fel, egy egyszerű ICMP-pinggel is végrehajthatók, a hálózat külső támadásokkal szembeni ellenálló képességét tesztelőknek különféle pingkészleteket kell használniuk a tűzfal megkerülésére.
A gazdagépek felderítésének feladatát néha ping-ellenőrzésnek is nevezik, de ez sokkal jobb, mint a mindenütt jelenlévő ping-eszközökhöz kapcsolódó szokásos ICMP-lekérdezések használata. Célszerű a hálózatot a többportos TCP SYN/ACK, UDP és ICMP kérések tetszőleges kombinációjával vizsgálni. Mindezen kérések célja olyan válaszok fogadása, amelyek jelzik, hogy az IP-cím pillanatnyilag aktív (a gazdagép, ill. hálózati eszköz). A legtöbb hálózaton az IP-címeknek csak kis százaléka aktív egy adott időpontban. Ez különösen igaz az olyan címterekre, mint a 10.0.0.0/8. Az ilyen hálózatoknak 16 millió IP-címük van, de van, amikor legfeljebb ezer géppel rendelkező cégek használják. A gazdagép-felderítési funkció megtalálja ezeket a gépeket az IP-címek hatalmas tengerében.
2. Portok szkennelése.
Számos különböző port-szkennelési technika létezik, és ezekre választják őket konkrét feladat alkalmas (vagy több kombinációja). Fontolja meg a legnépszerűbb szkennelési technikákat:
TCP SYN vizsgálat
A SYN az alapértelmezett és legnépszerűbb szkennelési típus. Gyorsan indítható, gyors kapcsolaton több ezer portot képes átvizsgálni másodpercenként, és nem akadályozzák a korlátozó tűzfalak.
Különféle típusú UDP szkennelés
Míg a legtöbb internetes szolgáltatás a TCP protokollt használja, az UDP-szolgáltatásokat is széles körben használják. A három legnépszerűbb a DNS, az SNMP és a DHCP (53-as, 161/162-es és 67/68-as portot használva). Mert Mivel az UDP-keresés általában lassabb és összetettebb, mint a TCP, sok biztonsági szakember figyelmen kívül hagyja ezeket a portokat. Ez hiba, mert vannak UDP-szolgáltatások, amelyeket a támadók használnak.
TCP NULL, FIN és Xmas Scan
Ez a három típusú vizsgálat a TCP RFC-ben egy apró kiskaput használ a nyitott és zárt portok elkülönítésére.\
TCP ACK szkennelés
Ez a vizsgálati típus nagyon különbözik az összes többitől, mivel nem képes felismerni a nyitott portot. A tűzfalszabályok azonosítására szolgál, függetlenül attól, hogy állapotfüggőek-e vagy sem, és meghatározhatja, hogy mely portokat szűrik.
3. Szolgáltatások és verzióik feltárása.
Egy távoli rendszer vizsgálatakor kiderülhet, hogy a 25/tcp, 80/tcp és 53/udp portok nyitva vannak. Az információk alapján megállapíthatja, hogy ezek a portok valószínűleg megfelelnek a levelezőszervernek (SMTP), a webszervernek (HTTP), illetve a tartománynévszervernek (DNS). Ez az információ általában helytálló, mert a szolgáltatások túlnyomó többsége 25-öt használ TCP port, sőt, levelezőszerverek. Azonban nem szabad teljesen ezekre az információkra hagyatkoznia. Az emberek nem szabványos portok használatával is futtathatnak szolgáltatásokat, és futnak is.
A TCP és/vagy UDP portok észlelése után a rendszer azonosítja azokat, hogy meghatározzuk, mely alkalmazások (szolgáltatások) használják őket. A lekérdezési adatbázis segítségével különféle szolgáltatásokat hívhat meg, és a megfelelő kifejezéseket a válaszok felismerésére és elemzésére, meghatározhatja a szolgáltatás protokolljait (pl. FTP, SSH, Telnet, HTTP), az alkalmazás nevét (pl. ISC BIND, Apache httpd, Solaris telnetd). , verziószám, gazdagépnév, eszköz típusa (pl. nyomtató, útválasztó), operációs rendszer család (pl. Windows, Linux) és néha különféle részletek, mint például, hogy lehetséges-e csatlakozni az X szerverhez, SSH protokoll verziója vagy felhasználónév.
4. Szkenneléssel határozza meg az operációs rendszert.
Lehetőség van az operációs rendszer meghatározására egy távoli rendszeren a TCP/IP-verem működésének elemzése alapján. TCP- és UDP-csomagok sorozatát küldik egy távoli gazdagépnek, és a válasz gyakorlatilag minden bitjét megvizsgálják. Számos teszt elvégzése után, mint például a TCP ISN mintavételezése, a TCP opció támogatása, az IP ID mintavételezése és az inicializálási eljárás időtartamának elemzése, az eredményeket összehasonlítják egy adatbázissal, amely a különböző operációs rendszerekre jellemző tipikus eredmények ismert készleteit tartalmazza, és ha talál egyezést, következtetést lehet levonni a telepített operációs rendszerről.
5. Sebezhetőségi vizsgálat.
A sebezhetőségi vizsgálat egy teljesen vagy részben automatizált folyamat, amelynek során információkat gyűjtenek egy információs hálózat hálózati csomópontjának elérhetőségéről ( személyi számítógépek, szerverek, távközlési berendezések), hálózati szolgáltatások az ezen a csomóponton használt alkalmazások és azok azonosítása, amelyeket ezek a szolgáltatások és alkalmazásportok használnak a meglévő vagy lehetséges sebezhetőségek meghatározása érdekében.
2.3 A rendszer feltörése.
Egyik vagy másik hacker-algoritmus gyakorlati megvalósításának sikere nagyban függ az adott operációs rendszer architektúrájától és konfigurációjától, amely a feltörés tárgya.
Vannak azonban olyan megközelítések, amelyeknek szinte minden operációs rendszer alávethető:
2.4 Rosszindulatú szoftver.
Nagyon gyakran rosszindulatú programokat használnak a fertőzött rendszerhez való hozzáférésre. Jellemzően olyan rosszindulatú programok, amelyek rendelkeznek funkcióval hátsó ajtó legális program leple alatt egy fájlmegosztó forrásra felkerült.
A rosszindulatú szoftverek olyan szoftverek, amelyeket arra fejlesztettek ki, hogy illetéktelenül hozzáférjenek a számítógépes számítási erőforrásokhoz, valamint az azokon tárolt adatokhoz. Az ilyen programok célja, hogy az információk másolásával, torzításával, törlésével vagy helyettesítésével kárt okozzanak az információ tulajdonosának vagy a számítógépnek.
A trójaiak olyan rosszindulatú programok, amelyek a felhasználó által nem engedélyezett műveleteket hajtanak végre. Ilyen műveletek lehetnek:
A trójaiakat aszerint osztályozzák, hogy milyen műveleteket hajtanak végre a számítógépen.
2.5 Társadalmi tervezés.
Annak érdekében, hogy a rosszindulatú programok a megtámadott IP-címre kerüljenek, közösségi manipulációt alkalmaznak. Social engineering - a jogosulatlan hozzáférés módszere információs források az emberi pszichológia jellemzői alapján. A szociális mérnökök fő célja, hogy hozzáférjenek a biztonságos rendszerekhez, hogy ellopják az információkat, jelszavakat, adatokat bankkártyák stb. A támadás tárgya nem a gép, hanem annak kezelője. Ezért a social engineering minden módszere és technikája az emberi tényező gyengeségeinek kihasználásán alapul.
Számos általános technikát és támadástípust használnak a szociális mérnökök. De ezeknek a módszereknek a közös jellemzője a félrevezetés, hogy az embert olyan cselekvésre kényszerítsék, amely számára nem előnyös, és egy társadalommérnök számára szükséges. A kívánt eredmény elérése érdekében a társadalommérnök számos különféle taktikát alkalmaz: megszemélyesít egy másik személyt, eltereli a figyelmet, pszichológiai stresszt kényszerít ki stb. A megtévesztés végső céljai is nagyon sokfélék lehetnek.
Social engineering technikák:
Az Információbiztonsági Program 2003-as tanulmánya kimutatta, hogy az irodai dolgozók 90%-a hajlandó kiadni bizalmas információkat, például jelszavát valamilyen szívességért vagy jutalomért.
Pszeudotámadás szervezése.
Pszeudotámadást szervezni ellene számítógépes rendszer használat szoftver Social Engineering Toolkit(SET) és Metasploit Keretrendszer(MFS). Ezek a segédprogramok alapértelmezés szerint benne vannak a Backtrack 5 disztribúcióban, A rendszer és a hálózati feltörés lehetőségének tesztelésére tervezték. Két virtuális gépet is használunk olyan operációs rendszerekkel, mint:ablakok7 és hátsó pálya 5.
backdoor generáció. A SET segítségével egy fordított TCP-hátsóajtót hozunk létre, az MFS-t pedig a létrehozott hátsó ajtóból érkező csomagok feldolgozására szolgáló kezelő (handler) létrehozására, amely kommunikációs csatornát tart fenn a potenciális támadó és a rendszer között, amelyen a hátsó ajtó elindul.
Minden művelet konzol módban történik az OS Backtrack 5 rendszeren. A hasznos teher létrehozása a SET segédprogrammal történik, 4. o. Teremt a hasznos teher és lister
A hasznos teher fordított TCP-vel történő létrehozása (a visszacsatolás létrehozásához) a 2. elem kiválasztásával történik ablakok fordított— TCP mérőmérő majd a 16. tétel Hátsó ajtós Végrehajtható. Ez a művelet befejezi a hátsó ajtó létrehozását. Létrehozásakor megadja azt a portszámot is, amelyen keresztül a Visszacsatolás. A mappában / pentest/ kihasználja/ KÉSZLET Az msf.exe az általunk kiválasztott opciók alapján jön létre.
Használja ki a beállítást. Az exploit úgy van kialakítva, hogy fogadja a TCP kéréseket a létrehozott hátsó ajtótól. Konfigurálása az MFS elindításával és az exploit kezelő (hallgató) kiválasztásával történik: exploit/multi/handler használata.
Ennek eredményeként az MFS átvált a kihasználási kezelő környezetére. A következő feladat a hasznos terhelés beállítása ehhez a kihasználáshoz. Mivel a hátsó ajtó a Revers_TCP Meterpretorral van orientálva (létrehozva), az információcsere TCP kapcsolat: készlet/ hasznos teher ablakok/ mérőmérő/ megfordítja_ tcp. Ezenkívül meg kell adni a helyi gazdagépet (a potenciális támadó IP-címe) a lehetőségek között.
A kezelő futtatása a meterpretor kontextushoz vezet, ahol azok a munkamenetek jelennek meg, amelyekhez csatlakozni tud. A munkamenet a hátsó ajtó elindítása után jelenik meg egy távoli gépen, ami bizonyos esetekben a gyakorlatban social engineering segítségével valósul meg.
Ennek a folyamatnak a szimulálására a hátsó ajtó a másodiknál elindul Virtuális gép. Ezt követően a meterpretorban elérhető lesz a munkamenet ehhez a rendszerhez, vagyis a hátsó ajtónk kommunikációs csatornát biztosít, és átvehetjük az irányítást a fertőzött gép felett.
Minden felhasználó, legyen az magánszemély vagy vállalkozás, szükségszerűen rendelkezik olyan információval, amely az ő nézőpontjából egyedi. Vállalkozás lehet kereskedelmi struktúra és állami, önkormányzati vagy költségvetési intézmény is, de tevékenységét minden esetben valamilyen számítógépes hálózat támogatja. A számítógépes hálózat információbiztonságának biztosításának szükségessége pedig kétségtelen.
A hálózatot fenyegető források lehetnek külső és belső is. A nyilvánvaló külső forrás az Internet. Még akkor is, ha a felhasználók helyi hálózat nem rendelkeznek közvetlen internet-hozzáféréssel, használhatják a levelezési szolgáltatásokat és olyan kívülről kaphatnak információkat, amelyek biztonsága nem garantált. Szigorúan véve az internet nem fenyegetésforrás, hanem médium, amelyen keresztül rosszindulatú információk jutnak be a helyi hálózatba. A fenyegetés kezdeményezői lehetnek gátlástalan partnerek, bűnözők vagy éppen ellenkezőleg, rendvédelmi szervek, hackerek, de akár a szolgáltató technikai személyzete is. A belső veszély abban rejlik, hogy a vállalat alkalmazottai szándékosan vezetik be vagy teremtik meg a feltételeket a rosszindulatú szoftverek bevezetéséhez. A munkavállaló hierarchikus szintjének itt gyakorlatilag nincs jelentősége. Belső potenciális veszélyforrásként figyelembe kell venni az információfeldolgozáshoz használt gyenge minőségű vagy elavult hardvereket és szoftvereket – ezeknek az összetevőknek a sebezhetősége megcáfolhatja a számítógépes hálózat biztonságát.
A hálózat elégtelen adatvédelme sokrétű következményekkel jár - bizalmas információk (üzleti titkok), személyes adatok ellopása, megsemmisülése vagy terjesztése, információk helyettesítése, hozzáférés blokkolása, a funkcionalitás korlátozása vagy a vállalati hálózat teljes leállítása. Ez utóbbi az üzleti folyamatok tényleges leállításához vezet.
A számítógépes hálózatok védelme elengedhetetlen. Meg kell érteni, hogy ilyen vagy olyan mértékű biztonsági fenyegetés mindig fennáll. Az, hogy megvalósul-e vagy sem, a hálózat felépítésétől és a helyi hálózat védelmének milyen módszereitől függ. A LAN biztonsági rendszer akkor válik megbízhatóvá, ha megfelelő teljesítményű hardvert és jó minőségű szoftvert használ átlátható kezeléssel – a felhasználónak meg kell értenie, mit és miért csinál. Vállalati hálózat esetén a hardveres tűzfal megfelelő megoldás. Együtt telepített program Az Internet Control Server (ICS) átfogó ellenintézkedést valósít meg a külső és belső fenyegetésekkel szemben. A hálózati átjárón áthaladó forgalmat (beleértve a belső forgalmat is) a beépített számítógépes hálózatvédelmi eszközök folyamatosan elemzik. A DLP modul kiszűri az esetleges információszivárgást, a streaming vírusirtó még azelőtt észleli a rosszindulatú programokat, hogy azok behatolnának a hálózati számítógépekbe. A Suricata Attack Detector rögzíti a potenciálisan rosszindulatú tevékenységeket a hálózaton. A kapcsolatfigyelő megjeleníti az egyes kliensek forgalmát. Számos hálózati biztonsági komponens könnyen konfigurálható, munkájuk a nem szakember számára is egyértelművé válik, és egy ilyen program kezelése egyszerű.
A helyi hálózat magas szintű biztonsága az, ami a sok egymással együttműködő számítógépből olyan munkakörnyezetet teremt, amely lehetővé teszi a vállalat normális működését. A hálózatvédelmi programnak belülről összetettnek és modernnek kell lennie, de egyszerűnek és érthetőnek kell lennie a felhasználói interakció szintjén.
