3. A számítógépes hálózatok védelmének eszközei
A számítógépes hálózatok védelmének eszközei: nómenklatúra, állapot, összekapcsolás
A szakértők szerint a védelmi politikában legalább a következő szempontokat kell figyelembe venni:
- számítógépes rendszerekhez való hozzáférés engedélyezése, a felhasználó azonosítása és hitelesítése;
- hozzáférési jogok ellenőrzése;
- védelmi monitoring és statisztikai elemzés;
- rendszerek konfigurálása és tesztelése;
- biztonsági képzés;
- fizikai biztonság;
- hálózati biztonság.
Az első pont egy előőrs, ahol olyan kritériumokat fogalmaznak meg, amelyek csak a jogosultsággal rendelkező felhasználók számára engedélyezik a rendszerhez való csatlakozást, a többiek pedig meg sem próbálhatják a regisztrációt. Ennek a funkciónak a megvalósításának szabványos eszköze speciális fájlok vagy olyan gazdagépek listája, amelyekről a távoli bejelentkezés engedélyezett. Igaz, ennek az eszköznek a fejlesztői mindig gondoskodnak a rendszergazdák csábításairól (valamiért mindig van egy „gomb”, ami mindenki előtt megnyitja a bejáratot). Valószínűleg bizonyos esetekben az irányítás megszüntetésének megvannak a maga magyarázatai - általában más eszközök megbízhatóságára, a közvetlen bemenetek hiányára utalnak, de nehéz előre látni az összes lehetséges helyzetet a hálózatokkal végzett munka során. Ezért továbbra is konfigurálnia kell a hozzáférési jogosultságot az alapértelmezett beállítások igénybevétele nélkül.
Amint a gyakorlat azt mutatja, az ilyen típusú védelem nem képes jelentősen csökkenteni a behatolás valószínűségét. Valódi érték ennek (meghatározó központi szerepe) más - a bejelentkezni próbáló hálózati felhasználók regisztrációjában és elszámolásában.
Központi szerep a modern biztonsági rendszerekben az azonosítási és hitelesítési eljárásokhoz van rendelve. Ezek megvalósításának három alapvető módja van:
- a felhasználó által ismert jelszó vagy feltételes kifejezés használata;
- olyan személyes eszköz/dokumentum használata, amely csak a felhasználó tulajdonában van: intelligens kártya, zseb hitelesítő, vagy egyszerűen csak speciálisan készített személyazonosító igazolvány (feltételezzük, hogy a hitelesítőt soha nem osztják meg senkivel);
- a felhasználó hitelesítésével – ujjlenyomatokkal, hanggal, retinamintával stb. Ezeket az azonosítási módszereket a biometrikus adatok keretein belül fejlesztik.
A legmegbízhatóbb hitelesítési sémák ezeknek a módszereknek a kombinációjaként épülnek fel, és az első továbbra is a legelterjedtebb.szimbolikus .
Nem meglepő, hogy a crackerek jól fel vannak szerelve a bejelentkezési adatok és jelszavak kinyerésére szolgáló eszközökkel. Ha sikerül átmásolniuk a jelszófájlt a gépükre, egy brute force program indul, általában egy nagy szótári keresést használva. Az ilyen programok még gyenge számítógépeken is gyorsan működnek, és ha a biztonsági rendszernek nincs befolyása a jelszavak előállítási módjára, nagy a valószínűsége, hogy legalább egyet kitalál. Ezt követi egy kísérlet privilegizált jogok megszerzésére a nyilvánosságra hozott fióknévből - és a munka kész.
Különösen veszélyesek – és nem csak önmagukra nézve – azok a gépek, amelyeknél a védelmi mechanizmusok le vannak tiltva, vagy egyáltalán nem. A rendszergazdák a hosts.equiv, xhost fájlok segítségével bizalmi kapcsolatokat hozhatnak létre a gazdagépek között. Rossz konfiguráció esetén a behatoló beléphet egy nem védett gépbe, és tranzitív módon, azonosítás nélkül hozzáférhet az összes gazdagéphez. vállalati hálózat.
A biztonsági szabályzat következő pontja a hozzáférés-szabályozás, amely arra hivatott, hogy a hitelesítési eljárás sikeres befejezése után a rendszer fájljainak és szolgáltatásainak csak egy része, személyes alapon meghatározott részhalmaza legyen elérhető a felhasználó számára. Ennek a mechanizmusnak köszönhetően a felhasználók például csak a saját e-mailjeit olvashatják, amelyeket a következőn keresztül kaptak email , de nem a szomszéd levelei. A hozzáférési jogokat általában maguk a felhasználók állítják be: az adatok tulajdonosa megengedheti másnak, hogy azokkal dolgozzon, ahogyan a rendszergazda szabályozza a hozzáférési jogokat a rendszerhez, ill. konfigurációs fájlok. Csak az a fontos, hogy a tulajdonos mindig személyes felelősséget viseljen az ingatlanáért.
A jogok megkülönböztetése nem korlátozódik csak az adatokra – ezzel párhuzamosan a felhasználókhoz a megengedett műveletek részhalmazai is hozzá vannak rendelve. Vegyünk legalább egy automatizált jegyértékesítési rendszert. A pénztárosnak természetesen képesnek kell lennie arra, hogy csatlakozzon a központi adatbázishoz, hogy lekérdezze a rendelkezésre állást és lehessen értékesítéseket végezni. De korlátozni kell a jogait, hogy ne változtassa meg a szervezet elszámolási számláit, ne emelje fizetését.
A többfelhasználós alkalmazásokban a megkülönböztetést általában diszkrecionális hozzáférés-vezérléssel (Discretionary Access Controls), operációs rendszerekben pedig - fájlattribútumok és folyamatazonosítók EUID, GLJID végzik. A koherens képet megtörik a SUID és SGID bitek, amelyek lehetővé teszik a folyamatok hozzáférési jogainak programozott módosítását. A Setuid szkriptek, különösen a setuid root , potenciális biztonsági kockázatot jelentenek. Ezeket vagy egyáltalán nem szabad létrehozni, vagy őket magukat kell megbízhatóan védeni.
Lehetetlen biztonságot elérni, ha nem tartja fenn a rendet a vállalat rendezetlen infrastruktúrájában. A konfigurációkezelés olyan technológiák összessége, amelyek figyelik a szoftverek, hardverek, felhasználók és hálózatok állapotát. Általában az üzembe helyezéskor egyértelműen meghatározzák a számítógépes rendszer és összetevőinek konfigurációját, de idővel az irányítás egyre inkább elveszik. A konfigurációkezelő eszközöket úgy tervezték, hogy formalizálják és részletezzék a rendszerben előforduló összes változást.
Jó gazdálkodás mellett először is szigorú eljárást kell átgondolni és meghatározni a változtatások végrehajtására, beleértve azok dokumentálását is. Másodszor, minden változtatást az általános biztonsági politika szempontjából kell értékelni. Bár lehetséges, hogy ezt a politikát módosítani fogják, fontos, hogy az életciklus minden fordulóján a döntéseket megőrizzék, hogy mindenki következetes legyen. még elavult, de megmaradt rendszerek a hálózatban - különben azzá a nagyon „gyenge láncszemté” válnak.
A védelem fenti szempontjai valamilyen módon szoftvertechnológiákon alapulnak, de vannak rendkívül fontos kérdések, amelyek ebből a körből kerülnek ki. A vállalati hálózat magában foglalja a való világot: felhasználókat, fizikai eszközöket, adathordozókat stb., ami szintén okozhat gondot. Felhasználóink, nyilván a történelmi hagyományok miatt, ironizálnak a titoktartással kapcsolatban. Olyan körülmények között hálózatépítés ezen a hozzáálláson sürgősen változtatni kell a védelem alapelveinek tudatosítása érdekében. Ez az első szakasz, amely után át lehet lépni a következőre - a technikai képzésre, és nem csak a felhasználóknak, hanem a szakembereknek is át kell menniük. A biztonsági házirend-specifikációk kidolgozása során a rendszer- és adatbázis-adminisztrátoroknak ismerniük kell azokat, olyan mértékben, hogy konkrét szoftvermegoldásokká lehessen őket fordítani.
A hackerek tipikus kiskapuja a „gyenge”, vagyis a könnyen feltörhető jelszavak. A helyzet korrigálható, ha megtanítjuk a felhasználókat a hozzáférés-szabályozás tudatos kezelésére: időszakonként változtassuk meg a jelszavakat, formáljuk helyesen. Meglepő módon még minősített környezetben is gyakori csapda egy bejelentkezésből és egy 1-esből képzett jelszó a végén. Bár a fizikai biztonság a technológia fejlődésével csökken, továbbra is az átfogó politika fontos részét képezi. Ha egy behatoló hozzá tud férni a hálózat fizikai összetevőihez, általában engedély nélkül bejelentkezhet. Ezenkívül a felhasználók azon képessége, hogy fizikailag hozzáférjenek a kritikus rendszerelemekhez, növeli a nem szándékos szolgáltatáskimaradások valószínűségét. Ennélfogva, korlátozni kell a létfontosságú számítógépekkel és hálózati berendezésekkel való közvetlen kapcsolatot
a minimális lehetséges létszám - rendszergazdák és mérnökök. Ez nem jelent kivételes bizalmat irántuk, csak így csökken az incidensek valószínűsége, és ha mégis történik valami, biztosabbá válik a diagnózis. Saját tapasztalataimra hivatkozva megerősíthetem az egyszerű szervezési intézkedések hasznosságát - ne tegyen értékes felszerelést a bejárati udvarba.
A legjobbat remélve jó ötlet előre látni a rossz lehetőségeket is. Áramkimaradás vagy egyéb kataklizmák, köztük rosszindulatú behatolás esetére sem árt készenléti tervet készíteni. Ha feltörés történik, fel kell készülnie a nagyon gyors reagálásra, mielőtt a támadóknak ideje lenne súlyos károkat okozni a rendszerben vagy megváltoztatni a rendszergazdai jelszavakat.
A hálózatbiztonsági kérdéseknek a biztonsági politika általános összefüggésében ki kell terjedniük különböző fajták hozzáférés:
Ennek megfelelően kétféle mechanizmust használnak: belső és a vállalati hálózat peremén fekvő - ahol külső kapcsolatok fordulnak elő.
A belső hálózat biztonsága érdekében fontos a hardver és a szoftver megfelelő konfigurációjának biztosítása konfigurációkezelés létrehozásával. A külső hálózati biztonság magában foglalja az egyértelmű hálózati határok meghatározását és tűzfalak telepítését a kritikus helyekre.
Biztonsági kockázatértékelés
A védelmi politika megvalósult – lehet egy kis szünetet tartani, de jobb, ha nem várjuk meg a hackerek érkezését, hanem saját szemükkel nézzük meg, hogy a rendszerünk hogyan képes ellenállni a külső támadásoknak. A cél az elért biztonsági fok értékelése, a védelem erős és gyenge pontjainak azonosítása. Az értékelési eljárást önállóan is elvégezheti, bár egyszerűbb lehet egy ilyen tevékenységre szakosodott cég szolgáltatásaihoz fordulni. A saját szakembereknek további nehézségeik lesznek: nehéz kérdéseket kell feltenniük kollégáiknak, és le kell vonniuk a következtetéseket, hogy valaki nem túl kellemes.
Biztonságpolitikai értékelés és tesztelés
Első lépésként össze kell hasonlítani a biztonságpolitikában tervezettet a ténylegesen történtekkel. Ehhez hozzávetőlegesen a következő kérdésekre kell választ találnia.
- Ki határozza meg, mi számít bizalmasnak?
- Vannak eljárások a bizalmas információk kezelésére?
- Ki határozza meg a személyzettel a munkavégzés érdekében közölt bizalmas információk összetételét?
- Ki és milyen alapon kezeli a biztonsági rendszert?
Az ilyen információk megszerzése nem mindig egyszerű. A legjobb megoldás a biztonságpolitikai nyilatkozatokat, üzleti eljárásokat, építészeti diagramokat stb. tartalmazó közzétett hivatalos dokumentumok összegyűjtése és elolvasása. A szervezetek többségében azonban egyáltalán nincsenek ilyen dokumentumok, és ha vannak, akkor gyakorlatilag figyelmen kívül hagyják. Ezután a valós helyzet feltárásához munkahelyi helyszíni megfigyeléseket kell végezni, egyúttal meghatározva, hogy egyáltalán észre lehet-e venni egy-egy politika megnyilvánulásait.
Az írott szabályok és a tipikus személyzeti gyakorlatok közötti különbség igen nagy lehet. Például egy közzétett szabályzat tartalmazhat egy olyan rendelkezést, amely szerint a jelszavak soha nem lehetnek
több alkalmazott is használhatja. És úgy tűnik, sok szervezetben ezt szentül betartják, de még többen szenvednek csak a jelszavak szétválasztásától.
A vállalati kultúra bizonyos gyengeségei csak titkos titkosszolgálati műveletekkel fedezhetők fel. Például a vállalati szabályzat kimondhatja, hogy a jelszavak titkosak, és nem szabad sehova írni, és egy felületes séta a helyiségben megmutatja, hogy a jelszavakat közvetlenül a billentyűzetre vagy a monitorra rajzolták. Egy másik hatékony technika az, hogy megkérdezzük a felhasználókat az információval való munka szabályairól. Az ilyen interjúkból megtudhatja, mely információk a legértékesebbek egy alkalmazott számára, és hogyan jelennek meg azok a vállalati hálózaton belül és kívül.
Tanul nyílt források
A tudás hatalom. Ezt a mottót követve a támadó megfelelő mennyiségű, gyakorlatilag magánjellegű belső információhoz juthat a vállalat nyílt, nyilvánosan elérhető anyagai között ásva. A biztonsági felmérés második lépése annak kiderítése, hogy egy kívülálló mennyit tudhat meg a cégről. A „hasznos” információk, amelyek átütő erőt adnak, a következők lehetnek: a használt operációs rendszerek típusai, a telepített javítások, a felhasználói bejelentkezés kanonikus szabványai, belső IP-címek vagy magángépek és szerverek nevei.
Lépéseket lehet tenni (és kell is) tenni a hackerek és feltörők által összegyűjthető információ mennyiségének csökkentésére, de ehhez meg kell érteni, hogy mi már kiszivárgott, és meg kell érteni, hogyan jött létre ez a szivárgás. A leggondosabb figyelmet érdemli az alkalmazottak által ben megjelent anyagok tanulmányozása Internet . Ismert eset, amikor egy cég egy biztonsági szempontból kritikus alkalmazás forráskódrészletét mutatta be az oldalán. Hasonló konfliktusok lehetnek az újságokban, folyóiratokban és más forrásokban elhelyezett anyagokban.
A nyílt anyagok tanulmányozásának eredményei alapozzák meg a nyílt publikációk elkészítésének szabályait.
Gazdarendszer biztonsági értékelése
A központi feldolgozó rendszerek (host rendszerek) általában a legjobban néznek ki biztonsági szempontból. Egyszerű okból: a gazdagép rendszerek kiforrottabbak, operációs rendszereik és biztonsági szoftvereik fejlettebbek és jobban elsajátították. A legnépszerűbb nagyszámítógépes és középkategóriás biztonsági termékek némelyike több évtizedes múltra tekint vissza.
Ez természetesen nem jelenti azt, hogy a gazdagép rendszere eleve biztonságos. A régi gazdagép lehet például a leggyengébb láncszem, ha az "őskori" időkben jött létre, amikor még senki nem gondolt sem lokálisra, sem globálisra. Új szemszögből kell értékelni a biztonsági sémát és annak megvalósítását a gazdagépen, annak megállapításához, hogy az alkalmazásszoftver, az operációs rendszer biztonsági mechanizmusai és a hálózat mennyire működnek együtt. Mivel a számítások megszervezésében legalább két szakembercsoport vesz részt - szerint operációs rendszerés az alkalmazásoknál - előfordulhat, hogy mindegyik biztonsági aggályokat rendel a kollégákhoz, és a teljes eredmény nulla lehet.
Szerverbiztonsági elemzés
A gazdagépekkel ellentétben a fájl-, alkalmazás- és adatbázisszerverek fiatalabbak és viszonylag kevésbé teszteltek – sokuknál a védelmi berendezés életkora csak néhány év. Ezen eszközök többsége folyamatos frissítésen és javításon esik át. A szerveradminisztrációt gyakran kevés tapasztalattal rendelkező szakemberek végzik, így az ilyen típusú rendszerek biztonsága általában sok kívánnivalót hagy maga után. A helyzetet súlyosbítja, hogy értelemszerűen teljesen sokrétű közönség fér hozzá telefonon vagy távoli kommunikációs vonalon keresztül a szerverekhez. Ezért a szerverbiztonsági felmérés fokozott figyelmet igényel. Számos eszköz áll rendelkezésre ehhez, köztük a Kane Analyst (Novell és NT). Az ilyen típusú termékek ellenőrzik a kiszolgálókat (kiváltságos hozzáféréssel), és jelentést készítenek a konfigurációról, a biztonsági adminisztrációs gyakorlatokról és a felhasználói populációról. Célszerű az automatikus eszközök használata – egyetlen vizsgálat olyan problémákat tárhat fel, amelyeket valószínűleg még sokórás manuális elemzés sem észlel. Például egy vizsgálat gyorsan felfedheti azon felhasználók százalékos arányát, akik túl magas hozzáférési szinttel rendelkeznek, vagy akik túl sok csoport tagjai.
A következő rész további két szakaszt tárgyal - a hálózati kapcsolatok biztonságának elemzését.
Szimulált szabályozott behatolás
Nyilván az egyik jobb módszereket biztonsági ellenőrzések – béreljen fel egy képzett hackert, és kérje meg, hogy mutassa be az elért eredményeit a hálózatán. Ezt a fajta értékelést kontrollált penetrációs tesztelésnek nevezik.
Egy ilyen teszt elkészítésekor nem árt megállapodni a támadás terjedelmére és típusára vonatkozó korlátozásokról - elvégre beszélgetünk csak egy ellenőrzés, amely semmi esetre sem vezethet a normál üzemállapot megsértéséhez. Ezt követően bizonyos „harci” szabályok alapján kiválasztják a teszttípusokat.
Itt két megközelítés létezik. Az elsőben a tesztelést úgy végzik, mintha egy igazi cracker végezné. Ezt a megközelítést vak behatolásnak nevezik. Megkülönböztető jellemzője, hogy a vizsgálatot végző személy tájékoztatást kap pl. URL , De belső információ- további hozzáférési pontok be Internet , közvetlen kapcsolat a hálózattal – nem hozták nyilvánosságra.
A második megközelítésben - "informált behatolás" - a támadócsapat a támadás előtt bizonyos ismeretekkel rendelkezik a hálózat felépítéséről. Ez a megközelítés elfogadott, ellenőrizni kell, hogy bizonyos összetevőknek át kell menniük. Ha például tűzfalat telepítenek a rendszerre, akkor az abban használt szabályrendszert külön kell tesztelni.
A tesztkészlet két csoportra osztható: penetráció from Internet és penetráció, majd telefonvonalak.
Internetkapcsolat vizsgálata
Általában a védelem fő reményeit a belső vállalati hálózat és az internet közötti tűzfalakra helyezik. Tudnia kell azonban, hogy a tűzfal csak annyira jó, amennyire jó a telepítése – megfelelő helyre és megbízható operációs rendszerre kell telepíteni. Ellenkező esetben egyszerűen egy hamis biztonságérzet forrása lesz.
A tűzfalak és hasonló rendszerek ellenőrzésére szkennelési és behatolási teszteket végeznek, amelyek szimulálják az ellenőrzött rendszerre irányuló támadást. Internet . Számos szoftvereszköz létezik a tesztelésre, például két népszerű - ISS szkenner (kereskedelmi termék) és SÁTÁN (ingyenes szoftver; kb. 1995 óta nem frissítették). Lehet választani egyik vagy másik szkennert, de a teszteknek csak három feltétel teljesülése esetén lesz értelme: el kell sajátítani a szkenner helyes kezelését, gondosan elemezni kell a vizsgálati eredményeket, és az infrastruktúra lehető legnagyobb részét beszkennelve.
Ennek a tesztcsoportnak a fő „célpontjai” az internetes szolgáltatások nyílt szerverei ( WWW, SMTR FTP stb.). Maguk ezekhez a szerverekhez könnyű eljutni – a nevük ismert, a belépés ingyenes. És akkor a cracker megpróbál hozzájutni az érdeklő adatokhoz. Számos ismert hackelési technika létezik, amelyeket megpróbálhat közvetlenül a szerver ellen alkalmazni. Ezenkívül a kiszolgáló IP-címe alapján vizsgálat indítható az azonos címtartományban lévő többi gazdagép azonosítására. Ha valamit elkapnak, akkor minden érintett IP-címen portlekérdezés indul a gazdagépen futó szolgáltatások meghatározásához. Sok esetben, amikor megpróbál csatlakozni vagy használni egy szolgáltatást, olyan információk jelennek meg, mint a kiszolgáló platformja, az operációs rendszer verziója, sőt a szolgáltatás verziója (pl. sendmail 8.6).
Ezekkel az információkkal felvértezve a támadó támadássorozatot indíthat a gazdagép ismert sebezhetősége ellen. A tapasztalat azt mutatja, hogy a legtöbb helyzetben elegendő intelligencia birtokában bizonyos szintű illetéktelen hozzáférést lehet elérni.
Telefonszám támadás
Az elmúlt évtizedben a modemek forradalmasították a számítógépes kommunikációt. Ugyanezek a modemek azonban, ha hálózatba kapcsolt számítógépekre vannak telepítve, és automatikus válasz módban maradnak, jelentik a legsebezhetőbb pontokat. Telefonszám támadás háborús tárcsázás ) az összes kombináció keresése a modem hangjelzésének megtalálása érdekében.
program fut be automatikus üzemmód képes a telefonszámok hatalmas skáláján keresztül futni egyik napról a másikra, regisztrálva az észlelt modemeket. Egy hacker egy reggeli kávé mellett kap szöveges fájl modemcímekkel, és megtámadhatja őket. Az ilyen típusú támadásokat az teszi különösen veszélyessé, hogy sok vállalat megengedi magának, hogy ellenőrizetlen vagy jogosulatlan kommunikációs vonalakat tartson, amelyek megkerülik a tűzfalakat. Internet és közvetlen hozzáférést biztosítanak a belső hálózathoz.
Ugyanez a támadás végrehajtható teszt módban - az eredmények megmutatják, hány modemet lehet valódi feltörésnek kitéve. Az ilyen típusú tesztelés meglehetősen egyszerű. A vakteszt során a behatolási csapat megkeresi a vállalat telefonközpontjait (különböző nyílt forrásokból, beleértve egy weboldalt is), és ha a teszt nem vak, akkor ezt az információt jelenti nekik. Automatikusan megpingel egy telefonszám-tartományt a kapcsolókban, hogy meghatározza, mely számokhoz csatlakoznak a modemek. A modemes támadási módszerek olyan terminálprogramokra támaszkodhatnak, mint pl HyperTerminal és távoli hozzáférés-vezérlő programok, mint pl PC Anyware . Ismét a cél az, hogy valamilyen szintű hozzáférést szerezzünk a belső hálózati eszközhöz. Ha a csatlakozás és a sikeres bejelentkezés megtörtént, új játék indul.
Az elmondottakból láthatóan a következőket lehet megállapítanikövetkeztetés: A hálózat biztonságát egyedül is fenntarthatja, de ez egy nagyon professzionális tevékenység legyen, ne egyszeri cég. Egy vállalati szintű hálózat szinte mindig nagy rendszer, és nem lehet minden biztonsági problémát egy csapásra megoldani.
Eltekintve a nemzeti számítógép-biztonsági törvényektől és szabványoktól, háromféle információforrást tudunk ajánlani, amelyek a gyakorlatban a leghasznosabb és legszükségesebbek:
a használt operációs rendszerek és alkalmazások dokumentációjának megfelelő szakaszai;
A gyártók weboldalai szoftver termékekés az operációs rendszer, amelyen a hibajavításokat és javításokat tartalmazó új verziókról szóló üzenetek megjelennek;
legalább két szervezet létezik: a CERT (Computer Emergency Response Team) és a CIAAC (Computer Incident Advisory Capability), amelyek információkat gyűjtenek és terjesztenek a feltörésekkel kapcsolatban, tanácsokat adnak azok következményeinek kiküszöbölésére, jelentik az észlelt szoftverhibákat, amelyek segítségével a támadók behatolnak számítógépes rendszerek.
Amint szükséges feltétel A védelem megbízhatósága szisztematikus, és minden rendszernek megvan a maga életciklusa. Egy biztonsági rendszernél ezek a következők: tervezés - megvalósítás - értékelés - frissítés.
Módokon
behatolás és tipikus hibák, hogy
megtalálható bennük. Ma ajánlom
néhány gyakorlati példa arra, hogyan
interakcióba léphet
vezeték nélküli hálózat és mi a hasznos
vonja ki.
1. fázis: WEP-kulcs
A hacker első feladata a beszivárgás
WEP által védett hálózat. Erre használjuk
egy AirSnort nevű segédprogram,
amelyen keresztül passzívan tudsz
figyeli az éteren keresztüli adatokat.
Elegendő csomag rögzítése
(5-10 millió) könnyen lehet
szerezze meg a hálózat kulcsát. Érdemes megjegyezni, hogy
minden 802.11b hálózat 40/128 bites WEP titkosítással
sebezhető, ráadásul ellentétben
"vezetékes" helyi hálózatok akció
szippantó nem adja magát egyiknek sem
érzékelés.
Az AirSnort hálózatot igényel
kártya, amely:
Ez például a Cisco Aironet, bármilyen Prism kártya, amivel rendelkezik
wlan-ng illesztőprogramok, Orinoco kártyák új orinoco_cs-okkal
járművezetők. Ezenkívül a legújabb libpcap szükséges
valamint a gtk+-2.2 és a gtk+-devel grafikus működéshez
felület.
Nyilvánvaló, hogy csak az ilyen kártyák képesek
csomagokat rögzíteni anélkül, hogy pont lenne
hozzáférés vagy közbenső átvitel
pont. Ezért csak így tudunk
től csomagokat fogadni kívánt csatornát nélkül
közvetítésükben részt venni. Az AirSnort is lehetővé teszi
Promiscuous módban dolgozzon, a különbség az, hogy
amit a ponton kell regisztrálni
hozzáférni és csak ezután fogni az adatokat,
vagyis csak olyan hálózatban működjön,
megmondani, bízik egy szimatolóban.
Az AirSnort letöltése után tegye a következőket:
tar -xzf airsnort-0.2.3a.tar.gz
cd airsnort-0.2.3a
./autogen.sh
készítsenek
Futunk, és valami ilyesmit látunk:
Most már csak meg kell nyomni a Start gombot és
várjon. Mennyi? Ebben a szakaszban ez a fő
kérdés. Többet is igénybe vehet
csomagok, és talán több millió. BAN BEN
végül a program kiszámítja a kulcsot és
biztosítja az Ön használatát. Azt követően
biztonságosan használhatod
hálózati bejegyzés.
Egy másik segédprogram, amellyel megteheti
behatolni a hálózatba.
Hasonlóan működik, mint az AirSnort, de be
kevésbé automatizált, tehát
a csomagok összegyűjtése után fel kell használnia
szkript a WEP-kulcs kiszámításához.
2. fázis: Port Scan
A következő hagyományos feladat az
port szkennelés az új találtban
hálózatok. Ez a legegyszerűbb és leghatékonyabb módja.
kellemes anomáliák észlelésére. Itt bent
általánosságban elmondható, hogy minden szabványos - ugyanaz az NMAP
egyszerűen és zökkenőmentesen kiszolgálja Önt
csodálatos helyek felfedezése a weben. A műveletekről
Az Nmap-et is többször írtuk, szóval különösen
Szerintem nem nehéz használni
fog felmerülni.
3. fázis: felfedezés és felhasználás
sebezhetőségek
A behatolás utáni utolsó szakasz
a vezeték nélküli hálózatra, és észleli a nyitott állapotot
portok – azonosítsa a mögöttes alkalmazásokat
portok és a bennük lévő sérülékenységek. Természetesen Linuxon
számos segédprogram létezik erre.
Hagyományosan úgy tartják, hogy a rendszerbiztonsági tesztelést csak kívülről hajtják végre, amikor egy távoli hálózati penetrációs támadást szimulálnak. A legtöbb esetben a vállalatok tűzfalak és egyéb biztonsági fejlesztések segítségével igyekeznek védekezni a távoli behatolások ellen.
Hagyományosan úgy tartják, hogy a rendszerbiztonsági tesztelést csak kívülről hajtják végre, amikor egy távoli hálózati penetrációs támadást szimulálnak. A legtöbb esetben a vállalatok tűzfalak és egyéb biztonsági fejlesztések segítségével igyekeznek védekezni a távoli behatolások ellen. Az okostelefonok és a Wi-Fi hálózatok széles körben elterjedt használatára tekintettel azonban vannak módok a hálózatba való behatolásra az irodaterületen belül.
A mobiltelefonok számos funkcióval rendelkeznek: Wi-Fi támogatás, videokamera, HDD, állandó kapcsolat 3G és 4G hálózatokra és egy nagy szám alkalmazások. Sőt, ha a telefon root hozzáféréssel rendelkezik, akkor a hardveres és hálózati képességei nem csak hasonlóak asztali számítógép, de bizonyos tekintetben még felülmúlja azt. Mindez lehetővé teszi, hogy az okostelefonokat a számítógépekkel megegyező módon, sőt még hatékonyabban is használhassuk a hálózati penetráció tesztelésére, hiszen egy mobileszközt könnyedén el lehet rejteni a zsebben vagy az iroda belsejében.
Figyelem: A cikkben szereplő információk csak tájékoztató jellegűek. A bemutatott eszközöket csak saját hálózatának vizsgálatára és tesztelésére és/vagy a rendszergazda beleegyezésével szabad használni. Egyes programok megzavarhatják mind a telefon, mind a hálózat működését. NE HASZNÁLJA EZEKET A TECHNIKÁKAT MUNKAHÁLÓZATOKBAN, VAGY OTT, AHOL EZT NEM ENGEDÉLYEZTE.
A legtöbb Linux disztribúciót telepítheti Android telefonokra, beleértve a Backtrack 5-öt is, a GitBrew segítségével. Azonban a Linux használata androidos telefonon kissé zavaró, és kényelmesebbnek találhatja a netbook használatát. Bár ebben a cikkben néhány speciális alkalmazást fogok használni az Android operációs rendszerhez, amelyek bizonyos hardverelőnyöket biztosítanak az okostelefonok számára. Ha van sikeres tapasztalatod más platformokon, oszd meg kommentben.
Az első alkalmazás, amit teszteim során használtam, a webböngésző volt. Az Android Marketplace-en sok ilyen program található. Az egyik a Network Discovery, amely ingyenes, és nem igényel kiváltságos felhasználói jogokat. Ennek az alkalmazásnak a fejlesztői olyan felhasználóbarát kialakítást hoztak létre, amely lehetővé teszi, hogy egy pillantással megtekintse a hálózati objektumokat, ami a korlátozott képernyőterület miatt nem is olyan egyszerű. mobiltelefon. A program meghatározza a hálózati eszköz operációs rendszerét, típusát és gyártóját. A Network Discovery kompatibilis a Wi-Fi hálózatokkal, így nyílt és jelszóval védett hálózatokhoz is csatlakozhat.
A hálózathoz való csatlakozáson kívül tudnia kell keresni is elérhető hálózatok, nyitott eszközportok, sebezhetőségek és így tovább, és így tovább. Ez időigényes és igényes egy nagy szám eszközöket. Itt két eszköz áll a segítségünkre. Az egyiket az izraeli Zimperium cég hozta létre. A második - , egy nyitott projekt forráskód. Az utolsó terméket a tesztelés során fellépő hibák miatt nem fedezték fel teljesen, de amint meglesz a dSploit működő verziója, írok egy további cikket.
Közművek Antiés a dSploit lehetővé teszi a sebezhetőségek felkutatásának automatizálását. Elindításukkor nyitott hálózatokat keresnek, átvizsgálják a hálózaton lévő eszközöket, és megpróbálják tesztelni az egyes eszközöket a sebezhetőségek szempontjából. Ha hibát talál, az Anti megpróbálja elérni az eszközt a Metasploit és ExploitDB adatbázisból származó exploitok futtatásával, amelyek után távoli adminisztrációt hajthat végre, például képernyőképet készíthet a képernyőről vagy lemezt távolíthat el az eszközről (hogy megbizonyosodjon arról, hogy rendszergazdai jogokkal rendelkezik a rendszerben).
Az Anti alapverziója kis számú exploitot támogat, bár a kiterjesztett verzió, amelyet a fejlesztők kedvesen adtak nekem, sokkal nagyobb listát tartalmaz. Ezenkívül ez a segédprogram lehetővé teszi a jelszavak kitalálását különféle szótárak és egyéb szolgáltatások segítségével, amelyek közül néhány megtalálható a program fizetős verziójában.
A "Cracker" funkció minden nyitott porthoz kitalálja a jelszavakat, működésének ideje a portok számától és a betöltött szótár méretétől függ. A hálózat tesztelése során több sebezhetőséget is sikerült találnom. Alapvetően ezek nyilvános könyvtárak voltak, valamint egy útválasztó, amelynek a beállításokban szabványos jelszó volt.
A beépített monitor segítségével megtekintheti a Wi-Fi hálózatok listáját, megtudhatja a jelerősséget és a hálózat elérhetőségét. A hálózati szkenner elég gyors, és egy meglehetősen nagy hálózatot körülbelül 30 másodperc alatt tudtam átvizsgálni. A vizsgálat elindításakor a program megkérdezi, hogy kell-e további részletes vizsgálatot végezni az eszközök sérülékenysége szempontjából.
Az Anti és a dSploit segédprogramok kiváló eszközök a mobileszközök sebezhetőségeinek felderítésére. Maga a tesztelés egyetlen kattintással elindul, lehetővé téve a védelem nélküli megtalálást WiFi hálózatokés automatikusan kap részletesebb információkat. Valójában lefuttathat egy keresést, és zsebre teheti a telefont, ami azt jelenti mobil eszközök hatékony eszköz a hálózat biztonságának ellenőrzésére.
Penetrációs vizsgálat(jarg. pentest) - biztonsági értékelési módszer számítógépes rendszerek vagy hálózatokat egy behatoló támadásának szimulálásával. A folyamat magában foglalja a rendszer aktív elemzését a lehetséges sebezhetőségek keresésére, amelyek a célrendszer hibás működését vagy teljes szolgáltatásmegtagadást okozhatnak. Az elemzés egy potenciális támadó szemszögéből történik, és magában foglalhatja a rendszer sebezhetőségeinek aktív kihasználását.
A tesztelés tárgyai lehetnek különálló információs rendszerek, például: CMS (tartalomkezelő rendszer), CRM (ügyfélkapcsolat-kezelő rendszer), internetes kliens-bank, illetve a teljes infrastruktúra egésze: hálózati kerület, vezetéknélküli hálózat, belső vagy vállalati hálózat, valamint külső kerület.
Behatolási tesztelési kihívás- felkutatni az összes lehetséges ismert szoftversérülékenységet (szoftvert), jelszóházirend-hibát, az IS konfigurációs beállításainak hibáit és finomságait. Egy ilyen teszt során a tesztelő pszeudotámadást intéz a vállalati hálózaton, valódi behatolók akcióit vagy rosszindulatú szoftver által végrehajtott támadást a tesztelő közvetlen részvétele nélkül. A tesztek célja: azonosítani a vállalati hálózat ilyen támadásokkal szembeni védelmének gyenge pontjait, és kiküszöbölni a pszeudotámadások során talált sebezhetőségeket.
A penetrációs tesztelést általában BlackBoxra, WhiteBoxra és GreyBoxra osztják:
fekete doboz- "fekete doboz". A vizsgálat céljáról, hálózatáról és paramétereiről a szakember csak nyilvánosan elérhető információval rendelkezik. Ez az opció a lehető legközelebb áll a valós helyzethez. A tesztelés kezdeti adataként az előadó csak a cég vagy annak weboldalának nevét kapja meg, és minden egyéb információt, így a cég által használt IP-címeket, weboldalakat, a cég irodáinak, fióktelepeinek internetre való kilépési pontjait, az előadónak magának kell kiderítenie.
fehér doboz- a BlackBox teljes ellentéte. BAN BEN ez az eset, a szakember a számára szükséges maximális információkkal rendelkezik, akár adminisztrátori hozzáférésig bármely szerverhez. Ez a módszer lehetővé teszi az objektum sebezhetőségének legteljesebb tanulmányozását. A WhiteBox segítségével az előadónak nem kell időt töltenie az információgyűjtéssel, a hálózat feltérképezésével és egyéb műveletekkel a tesztelés megkezdése előtt, és magának a tesztelésnek az idejét is csökkenti, mert. néhány ellenőrzést egyszerűen nem kell elvégezni. Plusz ez a módszer a kutatás teljesebb és integráltabb megközelítésében. Hátránya, hogy kevésbé közelíti meg a támadó valódi támadásának helyzetét.
szürke doboz- Ez egy középső lehetőség a WhiteBox és a BlackBox között, amikor az előadó a BlackBox opció szerint jár el, és időszakonként információkat kér a tesztelt rendszerről a kutatási idő csökkentése vagy az erőfeszítések hatékonyabb alkalmazása érdekében. Ez az opció a legnépszerűbb, mivel lehetővé teszi a tesztelést anélkül, hogy túl sok időt töltene az információgyűjtéssel, és több időt tölthet a sebezhetőségek keresésével, miközben ezt a lehetőséget elég közel marad a támadó cselekvésének valós helyzetéhez.
1. A TÁVOLI SZÁMÍTÓGÉP RENDSZERÉN TÖRTÉNŐ BETÖRÉS JELLEMZŐI.
Minden objektív és teljes penetrációs vizsgálatnak számos jellemzője van, és az ajánlások és szabályok figyelembevételével kell elvégezni.
Az információs penetrációs tesztelés szabályait és kereteit az OSSTMM és az OWASP módszertan mutatja be. Ezt követően a kapott adatok könnyen adaptálhatók bármely iparági szabványnak és „legjobb világgyakorlatnak” való megfelelés értékeléséhez, mint például a Cobit, az ISO/IEC 2700x sorozat szabványai, a CIS/SANS/NIST/etc ajánlások és a PCI DSS szabvány.
A technológiai adatok önmagukban nem elegendőek egy ilyen értékelés teljes körű elvégzéséhez. A teljes körű értékeléshez az értékelt vállalat különböző részlegeinek dolgozóinak meghallgatása, adminisztratív dokumentáció elemzése, különféle folyamatok szükségesek információs technológiák(IT) és információbiztonság (IS) és még sok más.
Ami a fizetési kártyaipar információbiztonsági szabványának megfelelő penetrációs tesztelést illeti, az nem sokban tér el a szokásos OSSTMM és OWASP módszerekkel végzett teszteléstől. Ezenkívül a PCI DSS szabvány az OWASP szabályok betartását javasolja mind a pentest (AsV), mind az audit (QSA) végrehajtása során.
A fő különbségek a PCI DSS tesztelés és a szó tágabb értelmében vett penetrációs tesztelés között a következők:
A GrayBox módszer lehetővé teszi a szolgáltatásmegtagadás kockázatának csökkentését, amikor ilyen munkát végez a hét minden napján, 24 órában működő információs erőforrásokkal kapcsolatban.
Általában a PCI penetrációs tesztelésnek meg kell felelnie a következő kritériumoknak:
A vizsgálat határainak meghatározása. Először is meg kell határozni a penetrációs tesztelés határait, meg kell határozni és meg kell állapodni az elvégzett műveletek sorrendjében. Legjobb esetben az információbiztonsági osztálytól beszerezhető egy hálózati térkép, amely vázlatosan mutatja, hogy a feldolgozóközpont hogyan működik együtt a teljes infrastruktúrával. A legrosszabb esetben kommunikálnia kell vele rendszergazda aki ismeri saját hiányosságait, és az információs rendszerről átfogó adatok megszerzését akadályozza, hogy nem hajlandó megosztani adatait az IP-ről. Így vagy úgy, a PCI DSS penetrációs teszt elvégzéséhez legalább a következő információkat kell megszereznie:
2. A BEHASZNÁLÁSI VIZSGÁLAT SZAKASZAI
Fontolja meg a penetrációs tesztelés lehetséges szakaszait. A rendelkezésre álló információktól függően (BlackBox / WhiteBox / GreyBox) a műveletek sorrendje eltérő lehet: adatgyűjtés, hálózati szkennelés, rendszer hackelés, rosszindulatú programok, social engineering.
2.1 Adatgyűjtés.
Adatgyűjtés nyílt információforrásokból. A nyílt források olyan információforrások, amelyekhez legálisan, jogi alapon hozzáférnek. A szükséges információk nyílt forrásokból történő felkutatását számos hírszerzési és ipari kémkedés területén dolgozó civil és katonai szervezet alkalmazta.
A szükséges információkhoz való hozzáférés az interneten többféle módon is megvalósítható. Ezek lehetnek hiperhivatkozások, keresés különféle könyvtárakban (weboldalak, blogok stb.), megtekintheti Keresési eredmények. Bizonyos célokra lehetetlen speciális adatbázisokban való keresés nélkül.
Információt a webhely belső URL-címe is megadhat, email címek, telefonszámok, faxok, DNS-kiszolgáló, IP-címtartomány, útválasztási információk.
Az internet fejlődésével a WHOIS szolgáltatások széles körben elterjedtek. A Whois (az angol "who is" - "who is" szóból) egy TCP protokollon alapuló hálózati protokoll. Fő célja, hogy információkat szerezzen a "regisztrálóról" (a domain tulajdonosáról) és a "regisztrálóról" (a domaint regisztráló szervezetről), nevekről DNS szerverek, regisztráció dátuma és lejárati dátuma. Az IP-címekre vonatkozó bejegyzések tartományokba vannak csoportosítva (például 8.8.8.0 - 8.8.8.255), és információkat tartalmaznak arról a szervezetről, amelyhez ez a tartomány delegálva van.
2.2 Hálózati szkennelés.
A hálózati szkennelés komponensekre osztható:
1. IP-címek tartományának vizsgálata az "élő" gazdagépek meghatározásához
2. Portok szkennelése
3. Szolgáltatások és verzióik feltárása
4. Szkenneléssel határozza meg az operációs rendszert
5. Sebezhetőség vizsgálata
1. IP-címtartomány beolvasása.
Bármely hálózat feltárása során alapvető feladat, hogy az IP-tartományokat az aktív gazdagépek listájára csökkentsük. Minden IP-cím minden portjának vizsgálata lassú és szükségtelen. Az egyes gazdagépek kutatása iránti érdeklődést nagymértékben meghatározzák a vizsgálat céljai. Míg az adminisztrátorok azon feladatai, hogy a hálózaton élő gazdagépeket fedezzenek fel, egy egyszerű ICMP-pinggel is végrehajthatók, a hálózat külső támadásokkal szembeni ellenálló képességét tesztelőknek különféle pingkészleteket kell használniuk a tűzfal megkerülésére.
A gazdagépek felderítésének feladatát néha ping-ellenőrzésnek is nevezik, de ez sokkal jobb, mint a mindenütt jelenlévő ping-eszközökhöz kapcsolódó szokásos ICMP-lekérdezések használata. Célszerű a hálózatot a többportos TCP SYN/ACK, UDP és ICMP kérések tetszőleges kombinációjával vizsgálni. Mindezen kérések célja olyan válaszok fogadása, amelyek jelzik, hogy az IP-cím pillanatnyilag aktív (a gazdagép, ill. hálózati eszköz). A legtöbb hálózaton az IP-címeknek csak kis százaléka aktív egy adott időpontban. Ez különösen igaz az olyan címterekre, mint a 10.0.0.0/8. Az ilyen hálózatoknak 16 millió IP-címük van, de van, amikor legfeljebb ezer géppel rendelkező cégek használják. A gazdagép-felderítési funkció megtalálja ezeket a gépeket az IP-címek hatalmas tengerében.
2. Portok szkennelése.
Számos különböző port-szkennelési technika létezik, és ezekre választják őket konkrét feladat alkalmas (vagy több kombinációja). Fontolja meg a legnépszerűbb szkennelési technikákat:
TCP SYN vizsgálat
A SYN az alapértelmezett és legnépszerűbb szkennelési típus. Gyorsan indítható, gyors kapcsolaton több ezer portot képes átvizsgálni másodpercenként, és nem akadályozzák a korlátozó tűzfalak.
Különféle típusú UDP szkennelés
Míg a legtöbb internetes szolgáltatás a TCP protokollt használja, az UDP-szolgáltatásokat is széles körben használják. A három legnépszerűbb a DNS, az SNMP és a DHCP (53-as, 161/162-es és 67/68-as portot használva). Mert Mivel az UDP-keresés általában lassabb és összetettebb, mint a TCP, sok biztonsági szakember figyelmen kívül hagyja ezeket a portokat. Ez hiba, mert vannak UDP-szolgáltatások, amelyeket a támadók használnak.
TCP NULL, FIN és Xmas Scan
Ez a három típusú vizsgálat a TCP RFC-ben egy apró kiskaput használ a nyitott és zárt portok elkülönítésére.\
TCP ACK szkennelés
Ez a vizsgálati típus nagyon különbözik az összes többitől, mivel nem képes felismerni a nyitott portot. A tűzfalszabályok azonosítására szolgál, függetlenül attól, hogy állapotfüggőek-e vagy sem, és meghatározhatja, hogy mely portokat szűrik.
3. Szolgáltatások és verzióik feltárása.
Egy távoli rendszer vizsgálatakor kiderülhet, hogy a 25/tcp, 80/tcp és 53/udp portok nyitva vannak. Az információk alapján megállapíthatja, hogy ezek a portok valószínűleg megfelelnek a levelezőszervernek (SMTP), a webszervernek (HTTP), illetve a tartománynévszervernek (DNS). Ez az információ általában helytálló, mert a szolgáltatások túlnyomó többsége 25-öt használ TCP port, valójában, levelezőszerverek. Azonban nem szabad teljesen ezekre az információkra hagyatkoznia. Az emberek nem szabványos portok használatával is futtathatnak szolgáltatásokat, és futnak is.
A TCP és/vagy UDP portok észlelése után a rendszer azonosítja azokat, hogy meghatározzuk, mely alkalmazások (szolgáltatások) használják őket. A lekérdezési adatbázis segítségével különféle szolgáltatásokat hívhat meg, és a megfelelő kifejezéseket a válaszok felismerésére és elemzésére, meghatározhatja a szolgáltatás protokolljait (pl. FTP, SSH, Telnet, HTTP), az alkalmazás nevét (pl. ISC BIND, Apache httpd, Solaris telnetd). , verziószám, gazdagépnév, eszköz típusa (pl. nyomtató, útválasztó), operációs rendszer család (pl. Windows, Linux) és néha különféle részletek, mint például, hogy lehetséges-e csatlakozni az X szerverhez, SSH protokoll verziója vagy felhasználónév.
4. Szkenneléssel határozza meg az operációs rendszert.
Lehetőség van az operációs rendszer meghatározására egy távoli rendszeren a TCP/IP-verem működésének elemzése alapján. TCP- és UDP-csomagok sorozatát küldik egy távoli gazdagépnek, és a válasz gyakorlatilag minden bitjét megvizsgálják. Számos teszt elvégzése után, mint például a TCP ISN mintavételezése, a TCP opció támogatása, az IP ID mintavételezése és az inicializálási eljárás időtartamának elemzése, az eredményeket összehasonlítják egy adatbázissal, amely a különböző operációs rendszerekre jellemző tipikus eredmények ismert készleteit tartalmazza, és ha talál egyezést, következtetés vonható le a telepített operációs rendszerről.
5. Sebezhetőségi vizsgálat.
A sebezhetőségi vizsgálat egy teljesen vagy részben automatizált folyamat, amelynek során információkat gyűjtenek egy információs hálózat hálózati csomópontjának elérhetőségéről ( személyi számítógépek, szerverek, távközlési berendezések), hálózati szolgáltatások az ezen a csomóponton használt alkalmazások és azok azonosítása, amelyeket ezek a szolgáltatások és alkalmazásportok használnak a meglévő vagy lehetséges sebezhetőségek meghatározása érdekében.
2.3 A rendszer feltörése.
Egyik vagy másik hacker-algoritmus gyakorlati megvalósításának sikere nagyban függ az adott operációs rendszer architektúrájától és konfigurációjától, amely a feltörés tárgya.
Vannak azonban olyan megközelítések, amelyeknek szinte minden operációs rendszer alávethető:
2.4 Rosszindulatú szoftver.
Nagyon gyakran rosszindulatú programokat használnak a fertőzött rendszerhez való hozzáférésre. Jellemzően olyan rosszindulatú programok, amelyek rendelkeznek funkcióval hátsó ajtó legális program leple alatt egy fájlmegosztó forrásra felkerült.
A rosszindulatú szoftverek olyan szoftverek, amelyeket arra fejlesztettek ki, hogy illetéktelenül hozzáférjenek a számítógépes számítási erőforrásokhoz, valamint az azokon tárolt adatokhoz. Az ilyen programok célja, hogy az információk másolásával, torzításával, törlésével vagy helyettesítésével kárt okozzanak az információ tulajdonosának vagy a számítógépnek.
A trójaiak olyan rosszindulatú programok, amelyek a felhasználó által nem engedélyezett műveleteket hajtanak végre. Ilyen műveletek lehetnek:
A trójaiakat aszerint osztályozzák, hogy milyen műveleteket hajtanak végre a számítógépen.
2.5 Társadalmi tervezés.
Annak érdekében, hogy a rosszindulatú programok a megtámadott IP-címre kerüljenek, közösségi manipulációt alkalmaznak. Social engineering - a jogosulatlan hozzáférés módszere információs források az emberi pszichológia jellemzői alapján. A szociális mérnökök fő célja, hogy hozzáférjenek a biztonságos rendszerekhez, hogy ellopják az információkat, jelszavakat, adatokat bankkártyák stb. A támadás tárgya nem a gép, hanem annak kezelője. Ezért a social engineering minden módszere és technikája az emberi tényező gyengeségeinek kihasználásán alapul.
Számos általános technikát és támadástípust használnak a szociális mérnökök. De ezeknek a módszereknek a közös jellemzője a félrevezetés, hogy az embert olyan cselekvésre kényszerítsék, amely számára nem előnyös, és egy társadalommérnök számára szükséges. A kívánt eredmény elérése érdekében a társadalommérnök számos különféle taktikát alkalmaz: megszemélyesít egy másik személyt, eltereli a figyelmet, pszichológiai stresszt kényszerít ki stb. A megtévesztés végső céljai is nagyon sokfélék lehetnek.
Social engineering technikák:
A program keretében 2003-ban végzett tanulmány Információ biztonság kimutatta, hogy az irodai dolgozók 90%-a hajlandó kiadni bizalmas információkat, például jelszavát valamilyen szolgáltatásért vagy jutalomért.
Pszeudotámadás szervezése.
Számítógépes rendszer elleni pszeudotámadás megszervezéséhez használjuk szoftver Social Engineering Toolkit(SET) és Metasploit Keretrendszer(MFS). Ezek a segédprogramok alapértelmezés szerint benne vannak a Backtrack 5 disztribúcióban, A rendszer és a hálózati feltörés lehetőségének tesztelésére tervezték. Két virtuális gépet is használunk olyan operációs rendszerekkel, mint:ablakok7 és hátsó pálya 5.
backdoor generáció. A SET segítségével egy fordított TCP-hátsóajtót hozunk létre, az MFS-t pedig a létrehozott hátsó ajtóból érkező csomagok feldolgozására szolgáló kezelő (handler) létrehozására, amely kommunikációs csatornát tart fenn a potenciális támadó és a rendszer között, amelyen a hátsó ajtó elindul.
Minden művelet konzol módban történik az OS Backtrack 5 rendszeren. A hasznos teher létrehozása a SET segédprogrammal történik, 4. o. Teremt a hasznos teher és lister
A hasznos teher fordított TCP-vel történő létrehozása (a visszacsatolás létrehozásához) a 2. elem kiválasztásával történik ablakok fordított— TCP mérőmérő majd a 16. tétel Hátsó ajtós Végrehajtható. Ez a művelet befejezi a hátsó ajtó létrehozását. Létrehozásakor megadja azt a portszámot is, amelyen keresztül a Visszacsatolás. A mappában / pentest/ kihasználja/ KÉSZLET Az msf.exe az általunk kiválasztott opciók alapján jön létre.
Használja ki a beállítást. Az exploit úgy van kialakítva, hogy fogadja a TCP kéréseket a létrehozott hátsó ajtótól. Konfigurálása az MFS elindításával és az exploit kezelő (hallgató) kiválasztásával történik: exploit/multi/handler használata.
Ennek eredményeként az MFS átvált a kihasználási kezelő környezetére. A következő feladat a hasznos terhelés beállítása ehhez a kihasználáshoz. Mivel a hátsó ajtó a Revers_TCP Meterpretorral van orientálva (létrehozva), az információcsere TCP kapcsolat: készlet/ hasznos teher ablakok/ mérőmérő/ megfordítja_ tcp. Ezenkívül meg kell adni a helyi gazdagépet (a potenciális támadó IP-címe) a lehetőségek között.
A kezelő futtatása a meterpretor kontextushoz vezet, ahol azok a munkamenetek jelennek meg, amelyekhez csatlakozni tud. A munkamenet a hátsó ajtó elindítása után jelenik meg egy távoli gépen, ami bizonyos esetekben a gyakorlatban social engineering segítségével valósul meg.
Ennek a folyamatnak a szimulálására a hátsó ajtó a másodiknál elindul Virtuális gép. Ezt követően a meterpretorban elérhető lesz a munkamenet ehhez a rendszerhez, vagyis a hátsó ajtónk kommunikációs csatornát biztosít, és átvehetjük az irányítást a fertőzött gép felett.
Ahogy a számítógépesítés szintje növekszik, úgy nő a számítógépes bűnözés problémája. Például az Egyesült Államokban évente körülbelül 5 milliárd dollár a számítógépes bűncselekményekből származó kár, Franciaországban ezek a veszteségek elérik az évi 1 milliárd frankot, Németországban pedig a számítógépek segítségével évente körülbelül 4 milliárd márkát sikerül ellopniuk a bűnözőknek. év. És az ilyen bűncselekmények száma évente 30-kal nő. 40%.
A büntetőjogi felelősség azonban csak abban az esetben áll fenn, ha az elektronikus formában tárolt információkat megsemmisítik, zárolják, módosítják vagy lemásolják. Más szóval, egyszerű illetéktelen behatolás valaki máshoz tájékoztatási rendszer minden következmény nélkül nem büntethető.
Azt kell mondani, hogy a számítógépes bűncselekményekért való felelősséget szabályozó jogszabályok megléte önmagában nem jelzi a társadalom ilyen bűncselekményekhez való hozzáállásának súlyosságát. Például Angliában a számítógépes bűncselekményeket kifejezetten büntető speciális törvények hosszú évek óta tartó teljes hiánya nem akadályozza meg az angol rendőrséget az ilyen esetek hatékony kivizsgálásában. Valójában ezek a visszaélések a hatályos jogszabályok szerint sikeresen minősíthetők a bűncselekmény (lopás, zsarolás, csalás vagy garázdaság) végeredménye alapján. Az értük való felelősséget a büntető- és a polgári törvénykönyv írja elő. Végül is a gyilkosság gyilkosság, függetlenül attól, hogy pontosan mi szolgált eszközül a számára.
Szakértők szerint az orosz gazdaság legvonzóbb szektora a bűnözők számára a hitel- és pénzügyi rendszer. Az ezen a területen elkövetett bűncselekmények elemzése felhasználásával számítógépes technológia, valamint a bankintézetek képviselőinek ismételt felmérései lehetővé teszik a bűncselekmények elkövetésének következő legjellemzőbb módjainak azonosítását:
