Penetrationsmetoder skadlig programvara in i systemet

En nödvändig uppgift för virusskribenter och cyberkriminella är att injicera ett virus, en mask eller en trojansk häst i en offerdator eller mobiltelefon. Detta mål uppnås på olika sätt, som delas in i två huvudkategorier:

social ingenjörskonst (termen "social engineering" används också - spårpapper från engelskan "social engineering");

tekniker för att injicera skadlig kod i ett infekterat system utan användarens vetskap.

Ofta används dessa metoder samtidigt. Samtidigt används ofta särskilda åtgärder för att motverka antivirusprogram.

social ingenjörskonst

Sociala ingenjörsmetoder tvingar på ett eller annat sätt användaren att köra en infekterad fil eller öppna en länk till en infekterad webbplats. Dessa metoder används inte bara av många e-postmaskar, utan också av andra typer av skadlig programvara.

Hackers och virusskribenters uppgift är att uppmärksamma användaren på en infekterad fil (eller en HTTP-länk till en infekterad fil), att intressera användaren, att tvinga honom att klicka på filen (eller på länken till filen) . "Genrens klassiker" är LoveLetter-postmasken, som slog igenom i maj 2000, och som fortfarande har ledningen när det gäller ekonomisk skada, enligt data från Computer Economics. Meddelandet som masken visade på skärmen såg ut så här:

Många människor reagerade på erkännandet av "I LOVE YOU", och som ett resultat e-postservrar stora företag kunde inte stå emot belastningen – masken skickade kopior av sig själv till alla kontakter från adressboken varje gång en bifogad VBS-fil öppnades.

Mailmasken Mydoom, som exploderade på Internet i januari 2004, använde texter som imiterade de tekniska meddelandena från en e-postserver.

Värt att nämna är också Swen-masken, som poserade som ett meddelande från Microsoft och förklädd sig till en patch som åtgärdar ett antal nya sårbarheter i Windows (det är inte förvånande att många användare har gett efter för uppmaningen att installera "en annan patch från Microsoft" ).

Incidenter inträffar också, varav en inträffade i november 2005. I en version av Sober worm rapporterades det att den tyska kriminalpolisen utredde fall av besök på illegala webbplatser. Detta brev kom till älskaren av barnpornografi, som antog det för ett officiellt brev - och lydigt överlämnade sig till myndigheterna.

Nyligen har inte filerna som bifogats e-postmeddelandet, utan länkar till filer som finns på den infekterade webbplatsen, blivit särskilt populära. Ett meddelande skickas till ett potentiellt offer - via post, via ICQ eller annan personsökare, mer sällan - via IRC-internetchatt (i fallet med mobila virus den vanliga leveransmetoden är SMS). Meddelandet innehåller en tilltalande text som tvingar en intet ont anande användare att klicka på länken. Den här metoden penetration in i offerdatorer är den överlägset mest populära och effektiva, eftersom den låter dig kringgå vaksamma antivirusfilter på e-postservrar.

Möjligheterna med fildelningsnätverk (P2P-nätverk) används också. En mask eller trojan postas på P2P-nätverket under en mängd olika "läckra" namn, till exempel:

AIM & AOL Password Hacker.exe

Microsoft CD Key Generator.exe

play station emulator crack.exe

På jakt efter nya program snubblar P2P-användare på dessa namn, laddar ner filerna och kör dem för körning.

"Wiring" är också ganska populärt när ett gratis verktyg eller instruktioner för att hacka olika betalningssystem skickas till offret. Till exempel erbjuder de att få gratis tillgång till internet eller en mobiloperatör, ladda ner en kreditkortsnummergenerator, öka mängden pengar i en personlig internetplånbok, etc. Naturligtvis är det osannolikt att offer för sådana bedrägerier ansöker om brottsbekämpande myndigheter (trots allt försökte de själva tjäna pengar med bedrägliga medel), och internetbrottslingar drar full nytta av detta.

En ovanlig metod för "kabeldragning" användes av en okänd angripare från Ryssland 2005-2006. Trojan skickades till adresser som finns på webbplatsen job.ru, som är specialiserad på sysselsättning och personalsökning. Några av dem som lagt ut sina CV där ska ha fått ett jobberbjudande med en fil bifogad brevet, som erbjöds att öppna och bekanta sig med dess innehåll. Filen var naturligtvis en trojan. Det är också intressant att attacken framför allt genomfördes mot företags e-postadresser. Beräkningen baserades tydligen på det faktum att företagets anställda sannolikt inte kommer att rapportera smittkällan. Och så hände det - i mer än sex månader kunde Kaspersky Lab-specialister inte få förståelig information om metoden för penetration av det trojanska programmet i användarnas datorer.

Det finns också ganska exotiska fall, till exempel ett brev med ett bifogat dokument där en bankklient uppmanas att bekräfta (eller snarare, informera) sina åtkomstkoder - skriv ut dokumentet, fyll i det bifogade formuläret och faxa det sedan till telefonnumret som anges i brevet.

Ett annat ovanligt fall av hemleverans av spionprogram inträffade i Japan hösten 2005. Vissa angripare skickade CD-skivor infekterade med ett trojanskt spionprogram till hemadresser (stad, gata, hem) för kunder i en japansk bank. Samtidigt användes information från den tidigare stulna kundbasen i just denna bank.

Implementeringstekniker

Dessa tekniker används av angripare för att injicera skadlig kod i ett system utan att dra datorägarens uppmärksamhet. Detta görs genom sårbarheter i säkerhetssystemet för operativsystem och mjukvara. Närvaron av sårbarheter gör att en nätverksmask eller en trojan skapad av en angripare kan penetrera en offerdator och starta sig själv för avrättning.

Sårbarheter är i själva verket fel i koden eller i logiken i olika programs arbete. Moderna operativsystem och applikationer har en komplex struktur och omfattande funktionalitet, och det är helt enkelt omöjligt att undvika misstag i design och utveckling. Detta är vad virusskribenter och cyberkriminella använder.

Sårbarheter i Outlook e-postklienter utnyttjades av Nimda och Aliz e-postmaskar. För att starta maskens fil räckte det med att öppna ett infekterat brev eller helt enkelt hålla muspekaren över det i förhandsgranskningsfönstret.

Skadliga program utnyttjade också aktivt sårbarheter i nätverkskomponenter i operativsystem. CodeRed, Sasser, Slammer, Lovesan (Blaster) och många andra maskar som kördes under Windows OS använde dessa sårbarheter för att sprida sig. Linux-system påverkades också - Ramen- och Slapper-maskarna penetrerade datorer genom sårbarheter i detta driftsmiljö och ansökningar om det.

Under de senaste åren har en av de mest populära metoderna för infektion varit införandet av skadlig kod via webbsidor. Detta utnyttjar ofta sårbarheter i webbläsare. En infekterad fil och ett skriptprogram som utnyttjar en sårbarhet i en webbläsare placeras på en webbsida. När en användare går in på en infekterad sida triggas ett skriptprogram som genom sårbarheten laddar ner den infekterade filen till datorn och startar den där för exekvering. Som ett resultat, för att infektera ett stort antal datorer, räcker det att locka så många användare som möjligt till en sådan webbsida. Detta uppnås på olika sätt, till exempel genom att skicka spam med sidans adress, genom att skicka liknande meddelanden via Internet-personsökare, ibland används även sökmotorer för detta. Den infekterade sidan innehåller en mängd olika texter, som förr eller senare beräknas av sökmotorer - och en länk till denna sida visas i listan över andra sidor i sökresultaten.

En separat klass är trojaner som är designade för att ladda ner och köra andra trojaner. Vanligtvis "smyger" dessa trojaner, som är mycket små i storlek, på ett eller annat sätt (till exempel genom att använda en annan sårbarhet i systemet) in på offrets dator och laddar sedan självständigt ned andra skadliga komponenter från Internet och installerar andra skadliga komponenter i systemet. Ofta ändrar sådana trojaner webbläsarinställningar till de mest osäkra för att "göra vägen lättare" för andra trojaner.

Sårbarheter som blir kända åtgärdas snabbt av utvecklarföretag, men information om nya sårbarheter dyker ständigt upp, som omedelbart börjar användas av många hackare och virusskribenter. Många trojanska bots använder nya sårbarheter för att öka antalet, och nya buggar in Microsoft Office de börjar omedelbart användas för att introducera vanliga trojanska program i datorer. Samtidigt finns det tyvärr en tendens att minska tidsintervallet mellan uppkomsten av information om nästa sårbarhet och dess användning av maskar och trojaner. Som ett resultat, sårbara mjukvaruföretag och utvecklare antivirusprogram befinner sig i en tidspressad situation. De förra måste åtgärda felet så snabbt som möjligt, testa resultatet (vanligtvis kallat "patch", "patch") och skicka det till användare, och det senare bör omedelbart släppa ett verktyg för att upptäcka och blockera objekt (filer, nätverkspaket) utnyttjar sårbarheten.

Samtidig användning av implementeringsteknologier och social ingenjörskonst

Ganska ofta använder datorinkräktare båda metoderna samtidigt. Social ingenjörsmetod - för att locka uppmärksamheten från ett potentiellt offer, och teknisk - för att öka sannolikheten för att ett infekterat objekt penetrerar systemet.

Till exempel distribuerades Mimail-postmasken som en bilaga till e-post. För att användaren ska uppmärksamma meddelandet infogades en speciellt formaterad text i det, och för att starta en kopia av masken från ZIP-arkivet som bifogats meddelandet, en sårbarhet i webbläsare utforskare. Som ett resultat, när masken öppnade en fil från ett arkiv, skapade masken en kopia av sig själv på disken och startade den för körning utan några systemvarningar eller ytterligare användaråtgärder. Förresten, den här masken var en av de första designade för att stjäla personlig information från användare av e-gold Internet-plånböcker.

Ett annat exempel är spamming med ämnet "Hej" och texten "Titta vad de skriver om dig." Texten följdes av en länk till en webbsida. Under analysen visade det sig att den här webbsidan innehåller ett skriptprogram som använder en annan sårbarhet i Internet Explorer, laddar ner programmet LdPinch Trojan till användarens dator, utformat för att stjäla olika lösenord.

Motverkan mot antivirusprogram

Eftersom målet för cyberbrottslingar är att injicera skadlig kod i offerdatorer behöver de för detta inte bara tvinga användaren att köra en infekterad fil eller penetrera systemet genom någon form av sårbarhet, utan också att smyga förbi det installerade antivirusfiltret obemärkt. Därför är det inte förvånande att angripare målmedvetet kämpar mot antivirusprogram. Teknikerna som används av dem är mycket olika, men de vanligaste är följande:

Förpackning och kodkryptering. En betydande andel (om inte de flesta) av moderna datormaskar och trojaner är förpackade eller krypterade på ett eller annat sätt. Dessutom skapas specialdesignade förpacknings- och krypteringsverktyg av datorn under jorden. Till exempel visade sig absolut alla filer som hittades på Internet som bearbetades av verktygen CryptExe, Exeref, PolyCrypt och några andra vara skadliga.

För att upptäcka sådana maskar och trojaner måste antivirusprogram antingen lägga till nya dekompressions- och dekrypteringsmetoder, eller lägga till signaturer till varje prov av skadlig kod, vilket minskar kvaliteten på upptäckten, eftersom inte alla möjliga prover av den modifierade koden hamnar i händerna från antivirusföretaget.

kodmutation. Spädning av den trojanska koden med "skräp" instruktioner. Som ett resultat bevaras det trojanska programmets funktionalitet, men dess "utseende" förändras avsevärt. Periodvis finns det fall då kodmutation sker i realtid - varje gång en trojan laddas ner från en infekterad webbplats. De där. alla eller en betydande del av de trojanska proverna som hamnar på datorer från en sådan webbplats är olika. Ett exempel på tillämpningen av denna teknik är Warezov-postmasken, vars flera versioner orsakade betydande epidemier under andra halvan av 2006.

Döljer din närvaro. De så kallade "rootkit-teknologierna" (från engelskan "rootkit"), som vanligtvis används i trojaner. Systemfunktioner fångas upp och ersätts, tack vare vilka den infekterade filen inte är synlig vare sig med vanliga hjälpmedel av operativsystemet eller av antivirusprogram. Ibland döljs även de grenar av registret där en kopia av trojanen är registrerad och andra systemområden på datorn. Dessa tekniker används aktivt, till exempel, av bakdörrstrojanen HacDef.

Stoppa antivirusprogrammet och systemet för att ta emot antivirusdatabasuppdateringar (uppdateringar). Många trojaner och nätverksmaskar vidtar speciella åtgärder mot antivirusprogram - de letar efter dem i listan över aktiva applikationer och försöker stoppa deras arbete, korrupta antivirusdatabaser, blockera uppdateringar, etc. Antivirusprogram måste skydda sig själva på ett adekvat sätt - övervaka databasernas integritet, dölja deras processer från trojaner, etc.

Döljer din kod på webbplatser. Adresserna till webbsidor som innehåller trojanska filer blir förr eller senare kända för antivirusföretag. Naturligtvis kommer sådana sidor under noggrann uppmärksamhet av antivirusanalytiker - innehållet på sidan laddas ner regelbundet, nya versioner av trojaner ingår i antivirusuppdateringar. För att motverka detta modifieras webbsidan på ett speciellt sätt - om förfrågan kommer från adressen till ett antivirusföretag så laddas någon icke-trojansk fil ner istället för en trojansk fil.

Attack efter kvantitet. Generering och distribution på Internet av ett stort antal nya versioner av trojaner på kort tid. Som ett resultat blir antivirusföretag översvämmade med nya prover som tar tid att analysera, vilket ger skadlig kod en ytterligare chans att framgångsrikt infiltrera datorer.

Dessa och andra metoder används av datorn under jorden för att motverka antivirusprogram. Samtidigt växer cyberkriminellas aktivitet år efter år, och nu kan vi prata om ett riktigt "teknikrace" som har utspelat sig mellan antivirusindustrin och virusindustrin. Samtidigt växer antalet enskilda hackare och kriminella grupper, liksom deras professionalism. Allt detta tillsammans ökar avsevärt komplexiteten och mängden arbete som krävs av antivirusföretag för att utveckla tillräckliga skyddsverktyg.

E-post

E-post är fortfarande en av huvudkällorna för infiltration av skadlig programvara i företagsnätverk. Det finns flera huvudsakliga användningsområden för e-post som ett sätt att bära skadlig programvara:

distribution av skadlig programvara "i dess rena form" - i det här fallet är skadlig programvara en bilaga till brevet och dess automatiska lansering tillhandahålls inte. Lanseringen av det skadliga programmet utförs av användaren själv, för vilket element av social ingenjörskonst ofta används i brevet. Bifogad skadlig kod är inte nödvändigtvis en körbar fil - det finns ofta skadliga skript, som Worm.Win32.Feebs, som skickas med post som HTA-filer som innehåller ett krypterat skript som laddar ner en körbar fil från Internet;

ett skadligt program med en modifierad filändelse - den här metoden skiljer sig från den tidigare genom att den körbara filen som bifogas brevet har en dubbel förlängning, till exempel Document.doc .pif. I det här fallet mellanslag används för att maskera den riktiga filtillägget och deras antal kan variera från 10-15 till hundratals. En mer original metod för maskering är att använda tillägget *.com - som ett resultat kan den bifogade filen av misstag betraktas av användaren som en länk till webbplatsen, till exempel www.playboy.com, kommer användaren med största sannolikhet att överväga det är en länk till webbplatsen och inte en bifogad fil med namnet www.playboy och filtillägget *.com;

skadlig programvara i arkivet - arkivering är ett extra lager av skydd mot antivirusskannrar, och arkivet kan skadas avsiktligt (men inte så mycket att det inte kan extraheras från det skadlig fil) eller krypterad med ett lösenord. Om arkivet är skyddat med ett lösenord, placeras det senare i meddelandets brödtext i form av text eller en bild - en liknande teknik användes till exempel i Bagle-postmasken. Lanseringen av ett skadligt program i det här fallet är möjligt enbart på grund av användarens nyfikenhet, som måste ange lösenordet manuellt och sedan köra den extraherade filen;

ett brev i html-format med en exploatering för att starta ett inbäddat skadligt program - för närvarande är sådana e-postvirus sällsynta, men 2001-2003 var de utbredda (typiska exempel är Email-Worm.Win32.Avron, Email-Worm.Win32. BadtransII, Net-Worm.Win32.Nimda);

Brev med en länk till ett skadligt objekt har nyligen blivit utbredd, så denna metod förtjänar mer detaljerad övervägande. Det är baserat på det faktum att det inte finns någon skadlig kod i brevet, och därför kan antivirusprogrammet inte upptäcka det och blockera vidarebefordran av brevet. Brevets text är förberedd med hjälp av social ingenjörskonst och syftar till att övertala användaren att öppna länken i brevets brödtext. Typiska exempel är förklädnad som ett gratulationskort (Fig. 1).

Ris. 1. "Gratulationskort"

Bilden visar en mycket grov förfalskning: det syns tydligt att brevet kom från någon obegriplig adress, och länken med IP-adressen istället för webbplatsens namn inger inte förtroende. Icke desto mindre, enligt författarens statistik, "fångar" tusentals användare sådana brev. En bättre version av det falska gratulationskortmeddelandet visas i fig. 2.

Ris. 2. Högre kvalitet falska vykort

I det här fallet är det mycket svårare att känna igen en falsk: visuellt kom brevet verkligen från postcard.ru-tjänsten och länken till vykortssidan leder till den här webbplatsen. I det här fallet bygger bedrägeriet på att brevet är i html-format och länken är gjord med en standardtagg . Som ni vet ser utformningen av en länk som använder denna tagg ut så här:

textbeskrivning

Textbeskrivningen kan vara godtycklig, eftersom den inte har något att göra med den öppnade URL:en. Därför, i detta brev, är textbeskrivningen av länken www.postcard.ru/card.php?4295358104, medan den verkliga länken pekar på en helt annan resurs. Denna teknik är elementär implementerad och vilseleder lätt användaren.

länken leder direkt till den körbara skadliga programvaran - detta är det enklaste fallet. När du öppnar denna länk kommer användaren att bli tillfrågad vad den ska göra med filen under denna länk: spara eller kör. Att välja "kör" leder till lansering av skadlig kod och besegra datorn. Praxis visar att användare vanligtvis inte tänker på faran. Det senaste exemplet är det skadliga programmet Virus.VBS.Agent.c, som förstör filer på en disk (faktiskt på grund av detta klassas det som ett virus) och sprider sig genom att skicka "gratulationskort" via e-post med en länk till dess körbara fil, en fil som ligger direkt på virusutvecklarens webbplats. Ett stort antal offer för detta virus användare - ett tydligt exempel på effektiviteten av denna metod;

en länk till en webbplats förklädd som en webbplats för ett legitimt program. Ett typiskt exempel är program för att "hacka" mobilleverantörer och brevlådor, som ofta har en hemsida, trovärdig dokumentation och ett installationspaket;

länken leder till HTML-sidan med utnyttjandet. Detta är ett vanligt alternativ (när artikeln skrevs spelade författaren in en verklig epidemi av sådana brev), och det är farligare än en direktlänk till en körbar fil, eftersom en sådan länk är mycket svår att upptäcka och blockera genom proxyprotokoll. Om den lyckas laddar utnyttjandet ner skadlig kod, och som ett resultat kan mer än tio skadliga program installeras på den drabbade datorn. Den vanliga uppsättningen: postmaskar, en trojan som stjäl lösenord, en uppsättning trojaner av klassen Trojan-Spy och Trojan-Proxy.

Skyddsåtgärder mot distribuerad programvara e-post skadlig programvara är ganska uppenbar. Som ett minimum måste du installera ett antivirus på e-postservern (eller, när du väljer en värdleverantör, var uppmärksam på antivirusskydd post). Dessutom bör ett antal andra aktiviteter genomföras:

förklara för användarna varför det är farligt att öppna program som är kopplade till e-postmeddelanden och länkar i dem. Det är mycket användbart att lära användare att identifiera länkarnas verkliga URL;

om det är tekniskt möjligt att blockera att skicka och ta emot e-postmeddelanden med bifogade körbara filer och krypterade arkiv. I Smolenskenergo, till exempel, har sådan blockering funnits länge och har visat sin höga effektivitet (samtidigt sätts blockerade meddelanden i karantän och kan hämtas av administratören);

ställ in filter för att blockera e-postmeddelanden efter innehåll och hålla dem uppdaterade. Sådana filter är effektiva mot e-postmeddelanden som innehåller länkar till skadlig programvara – de är vanligtvis lätta att filtrera efter nyckelord Animerat kort eller vykortstyp. En bieffekt är blockeringen av riktiga gratulationskort och liknande brev, en kompromisslösning är installationen av ett sådant filter i anti-spam-system och markering av brev som spam.

Internet

När det gäller antalet undersökta incidenter är Internet också en av de främsta källorna till att skadlig programvara tränger in i nätverket. Det finns flera huvudmetoder som ofta används av angripare:

alla typer av sprickor och generatorer serie nummer- statistik visar att under sökningen efter en nyckel eller spricka på hackersajter är sannolikheten för att en dator infekteras med skadlig programvara mycket hög. Dessutom kan ett sådant program laddas ner i ett arkiv med crack eller erhållas medan du arbetar med webbplatsen som ett resultat av utnyttjande och skadliga skript på hackersajter. Motåtgärder - blockering av åtkomst till hackers webbplatser på proxyservernivå och förbud mot deras besök på nivån för säkerhetspolicy och andra styrande dokument för företaget;

hackade legitima sajter - enligt statistiken har hacksajter på senare tid blivit vanligare och utförs enl typiska scheman. Injiceras i html-koden för sidorna på den infekterade webbplatsen liten kod- vanligtvis en IFRAME-tagg som leder till en sida med en exploatering eller ett krypterat skript som på ett eller annat sätt omdirigerar användaren till en infekterad webbplats (det är möjligt att dynamiskt infoga en IFRAME-tagg i sidkroppen, omdirigera till en exploateringssida, etc.). Den största faran ligger i det faktum att webbplatshackning är omöjligt att förutsäga och följaktligen är det mycket svårt att skydda användaren från det (fig. 3).

Ris. 3. Exploateringskod läggs till i slutet av HTML-sidan

hackad webbplats

Som du kan se i figuren läggs exploateringskoden automatiskt till i slutet av HTML-sidan och är ett krypterat skript. Skriptkryptering är ett mått på skydd mot forskning, men dess huvudsakliga syfte är skydd mot signaturdetektering. I mer komplexa fall kan hackiga inlägg placeras i sidkoden, vilket gör dem svåra att upptäcka.

Skydd mot utnyttjande av webbsidor beror på snabb installation av uppdateringar av operativsystem och webbläsare. Att köra webbläsaren med lägsta möjliga privilegier ger dessutom goda resultat, vilket avsevärt kan minska skadorna vid en exploatering.

Flash media

Media av denna typ används för närvarande mycket flitigt - dessa är flash-enheter och flash-kort, hårddiskar med USB-gränssnitt, mobiltelefoner, kameror, röstinspelare. Spridningen av dessa enheter leder till en ökning av antalet skadliga program som använder dessa medier som ett överföringsmedel. Det finns tre grundläggande sätt att infektera en flash-enhet:

skapa en autorun.inf-fil i diskroten för att starta det skadliga programmet och placera den var som helst på disken (inte nödvändigtvis i diskroten). Driften av autorun.inf på en flashenhet är identisk med driften av en liknande fil på en CD-ROM, respektive när du ansluter eller öppnar enheten i Utforskaren, startas ett skadligt program;

skapas i roten på disken eller i mappar som finns på disken av filer som liknar filer eller mappar med deras namn och ikoner. Författaren gjorde ett experiment: en ofarlig körbar fil med en ikon som visuellt inte kan särskiljas från mappikonen och med namnet MP3 placerades på flashenheterna för användarna som deltog i experimentet. Erfarenheten har visat att användare omedelbart visade intresse för den nya mappen och bestämde sig för att se dess innehåll genom att dubbelklicka på "mappen", vilket ledde till lanseringen av den körbara filen;

med hjälp av "companion virus"-principen. I huvudsak är denna metod identisk med den föregående, men i det här fallet skapar det skadliga programmet många kopior av sig själv, och deras namn matchar namnen på filer eller mappar på flashenheten.

Teknikerna för att skydda mot spridning av skadlig programvara på flashmedia är ganska enkla:

installera antivirusskydd på användarnas datorer med en bildskärm som kontrollerar filer i realtid;

en effektiv skyddsåtgärd är att inaktivera autorun;

På strategiska datorer är det en bra säkerhetsåtgärd att blockera användningen av flashmedia. Blockering kan utföras mekaniskt (genom att inaktivera USB-portar och försegla dem) och logiskt med hjälp av speciell programvara;

skrift lokal politik säkerhet, blockerar lanseringen av applikationer från en flashenhet.

Bärbara datorer och handdatorer

Mobila datorer är en annan vektor för skadlig programvara. En typisk situation är användningen av en bärbar dator på en affärsresa, när den vanligtvis är ansluten till någon annans nätverk. Under arbetets gång kan en bärbar dator bli infekterad, oftast med en nätverksmask. När en infekterad bärbar dator ansluter till sitt "inhemska" nätverk kan datorer som finns på den infekteras. Det är svårt att skydda dig från detta, en uppsättning säkerhetsåtgärder kan reduceras till följande:

installation av ett antivirus och en brandvägg på en bärbar dator med obligatorisk periodisk övervakning av deras prestanda av administratören;

kontrollera den bärbara datorn innan den ansluts till nätverket, även om denna operation inte alltid är tekniskt möjlig, tar det mycket tid och minskar användarens rörlighet;

skapa ett speciellt "gäst"-undernät för bärbara datorer och vidta åtgärder för att skydda huvud-LAN från detta undernät.

Att skydda ett företagsnätverk från skadlig programvara är en komplex uppgift på grund av att skadlig programvara ständigt modifieras och förbättras för att kringgå befintliga system skydd. Den här artikeln kommer att fokusera på de huvudsakliga sätten på vilka skadlig programvara (skadlig programvara) penetrerar nätverket och motsvarande skyddsmetoder. Vid övervägande av skyddsmetoder förutsätts att nätverket är skyddat av en brandvägg och åtkomst till nätverksdatorer utifrån är blockerad.

E-post

distribution av skadlig programvara "i dess rena form" - i det här fallet är skadlig programvara en bilaga till brevet och dess automatiska lansering tillhandahålls inte. Lanseringen av det skadliga programmet utförs av användaren själv, för vilket element av social ingenjörskonst ofta används i brevet. Bifogad skadlig kod är inte nödvändigtvis en körbar fil - det finns ofta skadliga skript, som Worm.Win32.Feebs, som skickas med post som HTA-filer som innehåller ett krypterat skript som laddar ner en körbar fil från Internet;
ett skadligt program med en modifierad filändelse - den här metoden skiljer sig från den tidigare genom att den körbara filen som bifogas brevet har en dubbel förlängning, till exempel Document.doc .pif. I det här fallet används mellanslag för att maskera det verkliga filtillägget och deras antal kan variera från 10-15 till hundratals. En mer original metod för maskering är att använda tillägget *.com - som ett resultat kan den bifogade filen av misstag betraktas av användaren som en länk till webbplatsen, till exempel www.playboy.com, kommer användaren med största sannolikhet att överväga det är en länk till webbplatsen och inte en bifogad fil med namnet www.playboy och filtillägget *.com;
skadlig programvara i arkivet - arkivering är ett extra skyddsskikt mot virusskannrar, och arkivet kan skadas medvetet (men inte så mycket att en skadlig fil inte kan extraheras från den) eller krypteras med ett lösenord. Om arkivet är skyddat med ett lösenord, placeras det senare i meddelandets brödtext i form av text eller en bild - en liknande teknik användes till exempel i Bagle-postmasken. Lanseringen av ett skadligt program i det här fallet är möjligt enbart på grund av användarens nyfikenhet, som måste ange lösenordet manuellt och sedan köra den extraherade filen;
ett brev i html-format med en exploatering för att starta ett inbäddat skadligt program - för närvarande är sådana e-postvirus sällsynta, men 2001-2003 var de utbredda (typiska exempel är Email-Worm.Win32.Avron, Email-Worm.Win32. BadtransII, Net-Worm.Win32.Nimda);
e-post med en länk till ett skadligt objekt.

Ris. 1. "Gratulationskort"

Ris. 2. Högre kvalitet falska vykort

textbeskrivning

länken leder direkt till den körbara skadliga programvaran - detta är det enklaste fallet. När du öppnar denna länk kommer användaren att bli tillfrågad vad den ska göra med filen under denna länk: spara eller kör. Att välja "kör" leder till lansering av skadlig kod och besegra datorn. Praxis visar att användare vanligtvis inte tänker på faran. Det senaste exemplet är det skadliga programmet Virus.VBS.Agent.c, som förstör filer på en disk (faktiskt på grund av detta klassas det som ett virus) och sprider sig genom att skicka "gratulationskort" via e-post med en länk till dess körbara fil, en fil som ligger direkt på virusutvecklarens webbplats. Ett stort antal användare som drabbats av detta virus är ett tydligt exempel på effektiviteten av denna metod;
en länk till en webbplats förklädd som en webbplats för ett legitimt program. Ett typiskt exempel är program för att "hacka" mobilleverantörer och brevlådor, som ofta har en hemsida, rimlig dokumentation och ett installationspaket;
länken leder till HTML-sidan med utnyttjandet. Detta är ett vanligt alternativ (när artikeln skrevs spelade författaren in en verklig epidemi av sådana brev), och det är farligare än en direktlänk till en körbar fil, eftersom en sådan länk är mycket svår att upptäcka och blockera genom proxyprotokoll. Om den lyckas laddar utnyttjandet ner skadlig kod, och som ett resultat kan mer än tio skadliga program installeras på den drabbade datorn. Den vanliga uppsättningen: postmaskar, en trojan som stjäl lösenord, en uppsättning trojaner av klassen Trojan-Spy och Trojan-Proxy.

Åtgärder för att skydda mot skadliga program som distribueras via e-post är ganska uppenbara. Som ett minimum måste du installera ett antivirusprogram på e-postservern (eller, när du väljer en värdleverantör, var uppmärksam på det antivirusskydd som det erbjuder). Dessutom bör ett antal andra aktiviteter genomföras:

förklara för användarna varför det är farligt att öppna program som är kopplade till e-postmeddelanden och länkar i dem. Det är mycket användbart att lära användare att identifiera länkarnas verkliga URL;
om det är tekniskt möjligt att blockera att skicka och ta emot e-postmeddelanden med bifogade körbara filer och krypterade arkiv. I Smolenskenergo, till exempel, har sådan blockering funnits länge och har visat sin höga effektivitet (samtidigt sätts blockerade meddelanden i karantän och kan hämtas av administratören);
ställ in filter för att blockera e-postmeddelanden efter innehåll och hålla dem uppdaterade. Sådana filter är effektiva mot e-postmeddelanden som innehåller länkar till skadlig programvara - de är vanligtvis lätta att filtrera efter sökord som animerat kort eller vykort. En bieffekt är blockeringen av riktiga gratulationskort och liknande brev, en kompromisslösning är installationen av ett sådant filter i anti-spam-system och markering av brev som spam.

Internet

alla typer av sprickor och serienummergeneratorer - statistik visar att när man söker efter en nyckel eller spricka på hackersajter är sannolikheten för att en dator infekteras med skadlig programvara mycket stor. Dessutom kan ett sådant program laddas ner i ett arkiv med crack eller erhållas medan du arbetar med webbplatsen som ett resultat av utnyttjande och skadliga skript på hackersajter. Motåtgärder - blockering av åtkomst till hackers webbplatser på proxyservernivå och förbud mot deras besök på nivån för säkerhetspolicy och andra styrande dokument för företaget;
hackade legitima sajter - enligt statistik har hacksajter nyligen blivit vanligare och utförs enligt standardscheman. En liten kod injiceras i html-koden för sidorna på den infekterade webbplatsen - vanligtvis en IFRAME-tagg som leder till sidan med utnyttjandet eller ett krypterat skript som omdirigerar användaren till den infekterade webbplatsen på ett eller annat sätt (det är möjligt för att dynamiskt infoga IFRAME-taggen i sidkroppen, omdirigera till exploateringssidan, etc.) P.). Den största faran ligger i det faktum att webbplatshackning är omöjligt att förutsäga och följaktligen är det mycket svårt att skydda användaren från det (fig. 3).

Ris. 3. Exploateringskod läggs till i slutet av HTML-sidan
hackad webbplats

Flash media

Denna typ av media används för närvarande mycket flitigt - dessa är flash-enheter och flash-kort, hårddiskar med USB-gränssnitt, Mobiltelefoner, kameror, röstinspelare. Spridningen av dessa enheter leder till en ökning av antalet skadliga program som använder dessa medier som ett överföringsmedel. Det finns tre grundläggande sätt att infektera en flash-enhet:

skapa en autorun.inf-fil i diskroten för att starta det skadliga programmet och placera den var som helst på disken (inte nödvändigtvis i diskroten). Driften av autorun.inf på en flashenhet är identisk med driften av en liknande fil på en CD-ROM, respektive när du ansluter eller öppnar enheten i Utforskaren, startas ett skadligt program;
skapas i roten på disken eller i mappar som finns på disken av filer som liknar filer eller mappar med deras namn och ikoner. Författaren gjorde ett experiment: en ofarlig körbar fil med en ikon som visuellt inte kan särskiljas från mappikonen och med namnet MP3 placerades på flashenheterna för användarna som deltog i experimentet. Erfarenheten har visat att användare omedelbart visade intresse för den nya mappen och bestämde sig för att se dess innehåll genom att dubbelklicka på "mappen", vilket ledde till lanseringen körbar fil;
med hjälp av "companion virus"-principen. I huvudsak är denna metod identisk med den föregående, men i det här fallet skapar det skadliga programmet många kopior av sig själv, och deras namn matchar namnen på filer eller mappar på flashenheten.

Teknikerna för att skydda mot spridning av skadlig programvara på flashmedia är ganska enkla:

installera antivirusskydd på användarnas datorer med en bildskärm som kontrollerar filer i realtid;
en effektiv skyddsåtgärd är att inaktivera autorun;
På strategiska datorer är det en bra säkerhetsåtgärd att blockera användningen av flashmedia. Blockering kan utföras mekaniskt (genom att inaktivera USB-portar och försegla dem) och logiskt med hjälp av speciell programvara;
skriva lokala säkerhetspolicyer som blockerar lanseringen av applikationer från en flashenhet.

Bärbara datorer och handdatorer

installation av ett antivirus och en brandvägg på en bärbar dator med obligatorisk periodisk övervakning av deras prestanda av administratören;
kontrollera den bärbara datorn innan du ansluter den till nätverket, även om denna operation inte alltid är tekniskt möjlig, tar det mycket tid s x kostar och minskar användarrörlighet;
skapa ett speciellt "gäst"-undernät för bärbara datorer och vidta åtgärder för att skydda huvud-LAN från detta undernät.

Slutsatser

I den här artikeln har vi granskat de vanligaste sätten som skadlig programvara kan penetrera ett nätverk. Av det föregående kan två viktiga slutsatser dras:

de flesta av de beskrivna metoderna är på något sätt relaterade till den mänskliga faktorn, därför kommer personalutbildning och periodiska säkerhetsklasser att öka säkerheten i nätverket;
Nyligen har fall av hackning av legitima webbplatser som har blivit vanligare lett till att även en kompetent användare kan infektera sin dator. Följaktligen kommer klassiska skyddsåtgärder i förgrunden - antivirusprogram, snabb installation av uppdateringar och användning av verktyg för övervakning av internettrafik.

3. Medel för att skydda datornätverk

Medel för att skydda datornätverk: nomenklatur, status, sammankoppling

Enligt experter bör åtminstone följande aspekter beaktas i skyddspolicyn:

auktorisering av åtkomst till datorsystem, identifiering och autentisering av användaren;

kontroll av åtkomsträttigheter;

skyddsövervakning och statistikanalys;

konfigurera och testa system;

säkerhetsträning;

fysisk säkerhet;

nätverkssäkerhet.

Den första av dessa punkter är en utpost, där det formuleras kriterier som tillåter endast de användare som har rätt att ansluta sig till systemet, och alla andra kommer inte ens få möjlighet att försöka registrera sig. Standardverktyget för att implementera den här funktionen är specialfiler eller listor över värdar från vilka fjärrinloggning är tillåten. Det är sant att utvecklarna av denna enhet alltid tar hand om frestelserna för administratörer (av någon anledning finns det alltid en "knapp" som öppnar ingången för alla). Förmodligen, i vissa fall, har borttagandet av kontroll sina egna förklaringar - de hänvisar vanligtvis till tillförlitligheten hos andra medel, frånvaron av direkta ingångar, men det är svårt att förutse alla situationer som är möjliga när man arbetar med nätverk. Därför bör du fortfarande konfigurera åtkomstbehörighet utan att använda standardinställningarna.
Som praxis visar kan denna typ av skydd inte avsevärt minska sannolikheten för penetration. Riktigt värde dess (definierande central roll) är annorlunda - i registreringen och redovisningen av nätverksanvändare som försöker logga in.

Central roll i moderna säkerhetssystem tilldelas identifierings- och autentiseringsprocedurerna. Det finns tre grundläggande sätt att implementera dem:

använda ett lösenord känt för användaren eller en villkorlig fras;

använda en personlig enhet/dokument som bara användaren äger: ett smartkort, en fickautentisering eller helt enkelt ett specialtillverkat identitetskort (det antas att autentiseringsenheten aldrig kommer att delas med någon);

genom autentisering av användaren själv - genom fingeravtryck, röst, näthinnemönster, etc. Dessa identifieringsmetoder utvecklas inom ramen för biometri.

De mest tillförlitliga autentiseringssystemen är byggda som en kombination av dessa metoder, och den första är fortfarande den mest utbredda.symbolisk . Inte överraskande är kex väl beväpnade med medel för att extrahera inloggningar och lösenord. Om de lyckas kopiera lösenordsfilen till sin maskin startas ett brute force-program, vanligtvis med hjälp av en stor ordbokssökning. Sådana program fungerar snabbt även på svaga datorer, och om säkerhetssystemet inte har kontroll över hur lösenord genereras är det stor sannolikhet att gissa åtminstone ett. Detta följs av ett försök att få privilegierade rättigheter från det avslöjade kontonamnet - och jobbet är klart.
Särskilt farliga, och inte bara för dem själva, är maskiner med inaktiverade skyddsmekanismer eller inga alls. Administratörer har möjlighet att upprätta förtroenderelationer mellan värdar med hjälp av filerna hosts.equiv, xhost. Med en dålig konfiguration kan en inkräktare komma in i en oskyddad maskin och utan någon identifiering transitivt få tillgång till alla värdar på företagets nätverk.

FAQ 1 FAQ 2

Nästa punkt i säkerhetspolicyn är åtkomstkontroll, som är utformad för att säkerställa att efter framgångsrikt slutförande av autentiseringsproceduren, blir endast en delmängd av filer och tjänster i systemet, definierade på personlig basis, tillgängliga för användaren. Tack vare denna mekanism kan användare läsa till exempel endast sina egna e-postmeddelanden som tas emot via e-post , men inte brev från en granne. Vanligtvis bestäms åtkomsträttigheter av användarna själva: ägaren av data kan tillåta någon annan att arbeta med den, precis som en systemadministratör kontrollerar åtkomsträttigheter till system och konfigurationsfiler. Det är bara viktigt att ägaren alltid bär det personliga ansvaret för sin egendom.
Differentieringen av rättigheter är inte begränsad till endast data - parallellt tilldelas användarna delmängder av tillåtna operationer. Ta åtminstone ett system med automatiserad biljettförsäljning. Kassörskan ska självklart kunna koppla upp sig till den centrala databasen för att begära tillgänglighet och göra försäljning. Men hans rättigheter borde begränsas så att han inte kunde ändra organisationens avräkningskonton eller höja sin lön.
Typiskt, i fleranvändarapplikationer, utförs differentiering genom diskretionär åtkomstkontroll (diskretionära åtkomstkontroller), och i operativsystem - filattribut och processidentifierare EUID, GLJID. En sammanhängande bild bryts av SUID- och SGID-bitarna, som gör att du kan modifiera åtkomsträttigheterna för processer via program. Setuid-skript, särskilt setuid root , utgör en potentiell säkerhetsrisk. Antingen bör de inte skapas alls, eller så bör de själva skyddas på ett tillförlitligt sätt.
Det är omöjligt att uppnå säkerhet om du inte upprätthåller ordning i hela företagets oorganiserade infrastruktur. Konfigurationshantering är en uppsättning tekniker som övervakar hälsan hos programvara, hårdvara, användare och nätverk. Vanligtvis är konfigurationen av ett datorsystem och dess komponenter tydligt definierade vid idrifttagningen, men med tiden går kontrollen alltmer förlorad. Verktyg för konfigurationshantering är utformade för att formalisera och detaljera alla ändringar som sker i systemet.
Med god förvaltning bör för det första en strikt procedur för att göra ändringar, inklusive deras dokumentation, genomtänkas och definieras. För det andra måste alla förändringar utvärderas i termer av den övergripande säkerhetspolicyn. Även om det är möjligt att denna policy kommer att justeras, är det viktigt att besluten upprätthålls i varje steg av livscykeln för att alla ska vara konsekventa. även föråldrade, men kvarvarande system i nätverket - annars kommer de att förvandlas till den mycket "svaga länken".
Alla ovanstående aspekter av skydd är på något sätt baserade på mjukvaruteknik, men det finns extremt viktiga frågor som kommer ut ur denna cirkel. Företagsnätverket inkluderar den verkliga världen: användare, fysiska enheter, lagringsmedia etc., vilket också kan orsaka problem. Våra användare är, tydligen på grund av historiska traditioner, ironiska när det gäller sekretessfrågor. Under förhållanden nätverk Denna inställning måste snarast ändras för att uppnå en medvetenhet om de grundläggande principerna för skydd. Detta är det första steget, varefter du kan gå vidare till nästa - teknisk utbildning, och inte bara användare utan även proffs bör gå igenom det. När säkerhetspolicyspecifikationer utvecklas bör system- och databasadministratörer vara bekanta med dem i den utsträckning de kan översättas till specifika mjukvarulösningar.
Ett typiskt kryphål för hackare är "svagt", det vill säga lättknäckta lösenord. Situationen kan korrigeras genom att lära användarna att medvetet behandla åtkomstkontroll: byta lösenord med jämna mellanrum, skapa dem korrekt. Överraskande nog, även i en kvalificerad miljö, är en vanlig fälla ett lösenord som bildas från en inloggning och en 1 i slutet. Även om den fysiska säkerheten minskar i takt med att tekniken går framåt, utgör den fortfarande en viktig del av den övergripande politiken. Om en inkräktare kan få tillgång till de fysiska komponenterna i nätverket kan han vanligtvis logga in utan tillstånd. Dessutom ökar användarnas förmåga att fysiskt komma åt kritiska systemkomponenter sannolikheten för oavsiktliga tjänsteavbrott. Därav, direktkontakt med viktig dator- och nätverksutrustning bör begränsas minsta möjliga krets av personal - systemadministratörer och ingenjörer. Det betyder inte något exceptionellt förtroende för dem, bara på så sätt minskar sannolikheten för incidenter och om något händer blir diagnosen säkrare. Med hänvisning till min egen erfarenhet kan jag bekräfta användbarheten av enkla organisatoriska åtgärder - lägg inte värdefull utrustning i entrégården.
Hoppas på det bästa, det är en bra idé att förutse de dåliga alternativen också. Det skadar inte att ha en beredskapsplan i händelse av ett strömavbrott eller andra katastrofer, inklusive illvilligt intrång. Om ett hack inträffar måste du vara beredd att reagera mycket snabbt innan angriparna hinner orsaka allvarlig skada på systemet eller ändra administrativa lösenord.
Nätsäkerhetsfrågor i det övergripande sammanhanget för en säkerhetspolicy bör omfatta olika sorter tillgång:

Följaktligen används två typer av mekanismer: interna och liggande på omkretsen av företagsnätverket - där externa anslutningar förekommer.
För intern nätverkssäkerhet är det viktigt att säkerställa korrekt konfiguration av hårdvara och mjukvara genom att upprätta konfigurationshantering. Extern nätverkssäkerhet innebär att definiera tydliga nätverksgränser och installera brandväggar på kritiska platser.

Säkerhetsriskbedömning

Skyddspolicyn har implementerats - du kan ta en paus, men det är bättre att inte vänta på hackares ankomst, utan att själv se hur ditt system kan motstå externa attacker. Målet är att utvärdera uppnådd grad av säkerhet, att identifiera starka och svaga skyddspunkter. Bedömningsförfarandet kan utföras på egen hand, även om det kan vara lättare att vända sig till ett företag som är specialiserat på sådan verksamhet. Egna specialister kommer att ha ytterligare svårigheter: de måste ställa svåra frågor till sina kollegor och dra slutsatser om att någon kanske inte är för trevlig.

Säkerhetspolicy utvärdering och testning
Första steget är att jämföra vad som planeras i säkerhetspolicyn med vad som faktiskt händer. För att göra detta måste du hitta svar på ungefär sådana frågor.

Vem bestämmer vad som är konfidentiellt?

Finns det rutiner för att hantera konfidentiell information?

Vem bestämmer sammansättningen av konfidentiell information som kommuniceras till personalen för att utföra arbetsuppgifter?

Vem administrerar säkerhetssystemet och på vilken grund?

Att få sådan information är inte alltid lätt. Det bästa alternativet är att samla in och läsa publicerade formella dokument som innehåller säkerhetspolicyer, affärsrutiner, arkitekturdiagram och så vidare. Men i de flesta organisationer finns det inga sådana dokument alls, och om de är det ignoreras de praktiskt taget. Sedan, för att avslöja det verkliga tillståndet, kommer det att vara nödvändigt att utföra fältobservationer av arbetsplatser och samtidigt avgöra om det är möjligt att märka manifestationerna av någon enskild politik överhuvudtaget.
Skillnaden mellan skrivna regler och typiska personalpraxis kan vara mycket stor. Till exempel kan en publicerad policy innehålla en bestämmelse om att lösenord aldrig ska vara det kan användas av flera anställda. Och uppenbarligen finns det många organisationer där detta observeras heligt, men ännu fler av dem lider bara av separationen av lösenord.
Vissa svagheter i företagskulturen kan bara upptäckas genom hemliga underrättelseoperationer. Till exempel kan företagspolicyn säga att lösenord är hemliga och inte bör skrivas någonstans, och en översiktlig promenad runt lokalen kommer att visa att de är ritade direkt på tangentbordet eller bildskärmen. En annan effektiv teknik är att fråga användarna om reglerna för att arbeta med information. Från sådana intervjuer kan du ta reda på vilken information som är mest värdefull för en anställd och hur den presenteras inom och utanför företagets nätverk.

Studerar öppna källor
Kunskap är makt. Efter detta motto kan en angripare extrahera en hel del av ett företags praktiskt taget privata interna information genom att gräva igenom dess öppna, allmänt tillgängliga material. Det andra steget i säkerhetsbedömningen är att ta reda på hur mycket en utomstående kan lära sig om företaget. "Användbar" information som ger penetrerande kraft kan vara: typer av operativsystem som används, installerade patchar, kanoniska standarder för användarinloggningar, interna IP-adresser eller namn på privata värdar och servrar.
Åtgärder kan (och bör) vidtas för att minska mängden information som hackare och crackers kan samla in, men detta kräver att man förstår vad som redan har läckt ut och förstår hur denna läcka uppstod. Den mest noggranna uppmärksamheten förtjänar att studera material som publiceras av anställda i Internet . Det finns ett känt fall när ett företag på sin sida presenterade ett källkodsfragment av en säkerhetskritisk applikation. Liknande konflikter kan finnas i materialet i tidningar, tidskrifter och andra källor.
Resultaten av studien av öppna material bör ligga till grund för att göra justeringar av reglerna för utarbetande av öppna publikationer.

Värdsystemsäkerhetsbedömning
Centrala bearbetningssystem (värdsystem) är vanligtvis de bästa när det gäller säkerhet. Av en enkel anledning: värdsystemen är mer mogna, deras operativsystem och säkerhetsprogram är bättre utvecklade och behärskade. Några av de mest populära säkerhetsprodukterna för stordatorer och mellanregister är decennier gamla.
Detta betyder naturligtvis inte att ditt värdsystem är a priori säkert. Den gamla värden kan vara den svagaste länken, till exempel om den skapades i "förhistorisk" tid, då ingen tänkte på varken lokalt eller globalt. Det är nödvändigt att utvärdera säkerhetsschemat och dess implementering på värdsystemet från ett nytt perspektiv, för att avgöra hur väl applikationsmjukvaran, operativsystemets säkerhetsmekanismer och nätverket fungerar tillsammans. Eftersom minst två grupper av specialister är involverade i organiseringen av beräkningar - enligt operativ system och för applikationer - det är möjligt att var och en av dem tilldelar säkerhetsproblem till kollegor, och det totala resultatet kan bli noll.

Serversäkerhetsanalys
Till skillnad från värdsystem är fil-, applikations- och databasservrar yngre och jämförelsevis mindre testade - för många av dem är skyddsapparatens ålder bara några år. De flesta av dessa verktyg genomgår ständiga uppdateringar och uppdateringar. Ofta utförs serveradministration av specialister med liten erfarenhet, så säkerheten i denna klass av system lämnar vanligtvis mycket övrigt att önska. Situationen förvärras av det faktum att per definition en helt mångsidig allmänhet har tillgång till servrarna via telefon eller fjärrkommunikationslinjer. Därför kräver serversäkerhetsbedömning ökad uppmärksamhet. Det finns ett antal verktyg tillgängliga för detta, inklusive Kane Analyst (Novell och NT). Dessa typer av produkter inspekterar servrar (med privilegierad åtkomst) och rapporterar om konfiguration, säkerhetsadministration och användarpopulationer. Det är vettigt att använda automatiska verktyg - en enda skanning kan avslöja problem som sannolikt inte kommer att upptäckas ens av många timmars manuell analys. Till exempel kan en skanning snabbt avslöja andelen användare som har för höga åtkomstnivåer eller som är medlemmar i för många grupper.
Nästa avsnitt diskuterar ytterligare två steg - analysen av säkerheten för nätverksanslutningar.

Simulerad kontrollerad penetration
Tydligen en av bättre sätt säkerhetskontroller - anlita en kvalificerad hacker och be honom att visa sina prestationer på ditt nätverk. Denna typ av bedömning kallas kontrollerad penetrationstestning.
När man förbereder ett sådant test är det inte skadligt att komma överens om begränsningar av attackens omfattning och dess typ - trots allt vi pratar endast en kontroll, som inte i något fall får leda till brott mot det normala arbetsvillkoret. Baserat på vissa "stridsregler" görs sedan ett val av testtyper.
Det finns två tillvägagångssätt här. I den första görs testning som om den var gjord av en riktig kex. Detta tillvägagångssätt kallas blind penetration. Dess utmärkande är att den som utför testningen informeras om t.ex. URL , Men Insiderinformation- ytterligare åtkomstpunkter i Internet , direkta anslutningar till nätverket - avslöjas inte.
I det andra tillvägagångssättet - "informerad penetration" - har attackteamet viss kunskap om nätverkets struktur före attacken. Detta tillvägagångssätt accepteras, det måste kontrolleras att vissa komponenter måste godkännas. Till exempel, när en brandvägg är installerad på systemet måste uppsättningen regler som används i den testas separat.
Uppsättningen av tester kan delas in i två grupper: penetration från Internet och penetration sedan telefonlinjer.

Internetanslutning skanning
Vanligtvis ställs de största förhoppningarna om skydd på brandväggar mellan det interna företagsnätverket och Internet. Du bör dock vara medveten om att en brandvägg bara är så bra som installationen är bra - den måste installeras på rätt plats och på ett tillförlitligt operativsystem. Annars blir det helt enkelt en källa till en falsk känsla av säkerhet.
För att kontrollera brandväggar och liknande system utförs skannings- och penetrationstester som simulerar en attack riktad mot systemet som kontrolleras från Internet . Det finns många mjukvaruverktyg för att testa, till exempel två populära - ISS skanner (kommersiell produkt) och SATAN (gratisprogram; cirka. har inte uppdaterats sedan 1995). Du kan välja en eller annan skanner, men testerna kommer bara att vara meningsfulla om tre villkor är uppfyllda: du måste behärska korrekt hantering av skannern, skanningsresultaten måste analyseras noggrant och den största möjliga delen av infrastrukturen måste vara skannade.
De huvudsakliga "målen" för denna grupp av tester är öppna servrar för internettjänster ( WWW, SMTR FTP etc.). Det är enkelt att ta sig till dessa servrar själva - deras namn är kända, inträdet är gratis. Och sedan kommer crackern att försöka komma till data av intresse. Det finns flera kända hacktekniker som du kan försöka tillämpa direkt mot servern. Baserat på serverns IP-adress kan en skanning också initieras i ett försök att identifiera andra värdar inom samma adressintervall. Om något fångas startas en portundersökning på varje påverkad IP-adress för att fastställa vilka tjänster som körs på värden. I många fall, när du försöker ansluta eller använda en tjänst, information som serverplattformen, operativsystemversionen och även tjänsteversionen (till exempel, sendmail 8.6).
Beväpnad med denna information kan en angripare starta en serie attacker mot kända värdsårbarheter. Erfarenheten har visat att det i de flesta situationer är möjligt, med tillräcklig intelligens, att få en viss nivå av obehörig åtkomst.

Telefonnummer attack
Under det senaste decenniet har modem revolutionerat datorkommunikation. Men samma modem, om de är installerade på nätverksanslutna datorer och lämnas i autosvarsläge, representerar de mest sårbara punkterna. Telefonnummer attack krigsuppringning ) är en sökning av alla kombinationer för att hitta modemets ljudsignal.
kör program i automatiskt läge kan köra igenom ett stort antal telefonnummer över en natt och registrera upptäckta modem. En hacker över en morgonkopp kaffe kommer att ta emot textfil med modemadresser och kan attackera dem. Det som gör denna typ av attack särskilt farlig är att många företag tillåter sig att behålla antingen okontrollerade eller obehöriga kommunikationslinjer som kringgår brandväggar med Internet och ge direkt åtkomst till det interna nätverket.
Samma attack kan utföras i testläge - resultaten kommer att visa hur många modem du kan utsättas för ett riktigt hack. Denna typ av testning är ganska enkel. I ett blindtest hittar penetrationsteamet företagets telefonväxlar (från olika öppna källor, inklusive en webbsida), och om testet inte är blindt rapporteras denna information till dem. Pingar automatiskt ett antal telefonnummer i switcharna för att fastställa till vilka nummer modemen är anslutna. Modemattackmetoder kan förlita sig på terminalprogram som t.ex HyperTerminal och fjärrkontrollprogram som t.ex PC Anyware . Återigen är målet att få en viss nivå av åtkomst till den interna nätverksenheten. Om anslutningen och lyckad inloggning har skett, startar ett nytt spel.

Av allt som sagts kan man tydligen göra följandeslutsats: Nätverkssäkerhet kan upprätthållas på egen hand, men det bör vara en mycket professionell aktivitet, inte ett engångsföretag. Ett företagsomfattande nätverk är nästan alltid ett stort system, och alla säkerhetsproblem kan inte lösas i ett svep.

Bortsett från nationella datasäkerhetslagar och standarder kan vi rekommendera tre typer av informationskällor som är mest användbara och nödvändiga i praktiken:

relevanta avsnitt av dokumentationen för operativsystem och applikationer som används;

Tillverkarnas webbsidor mjukvaruprodukter och OS där meddelanden om nya versioner med buggfixar och patchar publiceras;

det finns minst två organisationer: CERT (Computer Emergency Response Team) och CIAAC (Computer Incident Advisory Capability), som samlar in och sprider information om hack, ger råd om hur man eliminerar konsekvenserna av dem, rapporterar upptäckta programvarufel, använder vilka angripare tränger in i datorsystem.

Precis som nödvändigt tillstånd Skyddets tillförlitlighet är systematisk, och varje system har sin egen livscykel. För ett säkerhetssystem är dessa: design - implementering - utvärdering - uppdatering.

Penetrationstestning(jarg. pentest) - en metod för att bedöma säkerheten hos datorsystem eller nätverk genom att simulera en attack från en inkräktare. Processen inkluderar att aktivt analysera systemet för potentiella sårbarheter som kan orsaka att målsystemet inte fungerar eller orsaka ett fullständigt överbelastningsskydd. Analysen genomförs utifrån en potentiell angripares perspektiv och kan innefatta aktivt utnyttjande av systemsårbarheter.

Testobjekten kan vara både separata informationssystem, till exempel: CMS (content management system), CRM (customer relation management system), Internet-klient-bank och hela infrastrukturen som helhet: nätverksperimeter, trådlöst nätverk, internt eller företagsnätverk, samt en extern perimeter.

Utmaning för penetrationstestning- Sök efter alla möjliga kända sårbarheter i mjukvaran (programvara), lösenordspolicyfel, brister och subtiliteter i IS-konfigurationsinställningar. Under ett sådant test arrangerar testaren en pseudo-attack på företagets nätverk, iscensätter verkliga inkräktares handlingar eller en attack utförd av skadlig programvara utan direkt deltagande av testaren själv. Syftet med dessa tester är: att identifiera svagheter i skyddet av företagsnätverket från sådana attacker och eliminera de sårbarheter som upptäcks under pseudo-attacker.

Penetrationstestning är vanligtvis uppdelad i BlackBox, WhiteBox och GreyBox:

svart låda- "svart låda". Specialisten har endast allmänt tillgänglig information om syftet med studien, dess nätverk och parametrar. Detta alternativ är så nära den verkliga situationen som möjligt. Som första data för testning ges utföraren endast namnet på företaget eller dess webbplats, och all annan information, såsom IP-adresser som används av företaget, webbplatser, utfartspunkter från företagets kontor och filialer till Internet, artisten måste ta reda på det själv.

vit låda- raka motsatsen till BlackBox. I det här fallet förses specialisten med den maximala information som behövs för honom, upp till administrativ åtkomst till vilken server som helst. Denna metod låter dig få den mest kompletta studien av objektets sårbarhet. Med WhiteBox behöver utföraren inte lägga tid på att samla in information, kartlägga nätverket och andra åtgärder innan man börjar testa, och kommer också att minska tiden för att testa sig själv, eftersom. vissa kontroller behöver helt enkelt inte göras. Plus den här metoden i ett mer komplett och integrerat synsätt på forskning. Nackdelen är att det är mindre nära situationen med en riktig attack av en angripare.

grå låda– Det här är ett mellanalternativ mellan WhiteBox och BlackBox, när utföraren agerar enligt BlackBox-alternativet och med jämna mellanrum begär information om systemet som testas för att minska forskningstiden eller tillämpa sina ansträngningar mer effektivt. Det här alternativet är det mest populära, eftersom det låter dig testa utan att spendera för mycket tid på att samla in information, och spendera mer tid på att söka efter sårbarheter, medan detta alternativ förblir tillräckligt nära den verkliga situationen för angriparens agerande.

1. FUNKTIONER FÖR PENETRATION PÅ ETT FJÄRRDATORSYSTEM.

Varje objektiv och fullständig penetrationstestning har ett antal funktioner och måste utföras med hänsyn till rekommendationerna och reglerna.

Reglerna och ramverket för presenteras i OSSTMM- och OWASP-metoderna. Därefter kan den erhållna informationen enkelt anpassas för att bedöma överensstämmelse med alla industristandarder och "bästa världspraxis", såsom Cobit, ISO/IEC 2700x-seriens standarder, CIS/SANS/NIST/etc-rekommendationer och PCI DSS-standard.

Enbart teknisk data kommer inte att vara tillräcklig för att genomföra en sådan bedömning i sin helhet. En fullständig bedömning kräver intervjuer med anställda på olika avdelningar av företaget som utvärderas, analys av administrativ dokumentation, olika processer informationsteknik(Det och informationssäkerhet(IB) och mycket mer.

När det gäller penetrationstestning i enlighet med kraven i informationssäkerhetsstandarden inom betalkortsbranschen skiljer det sig inte mycket från de vanliga testerna som utförs med metoderna OSSTMM och OWASP. Dessutom rekommenderar PCI DSS-standarden att man följer OWASP-reglerna när man genomför både pentest (AsV) och revision (QSA).

De huvudsakliga skillnaderna mellan PCI DSS-testning och penetrationstestning i ordets breda bemärkelse är följande:

Standarden reglerar inte (och kräver därför inte) attacker med hjälp av social ingenjörskonst.
Alla kontroller som utförs bör minimera hotet om Denial of Service (DoS) så mycket som möjligt. Därför bör den pågående testningen utföras med metoden "grå låda" med obligatorisk varning från administratörerna för de relevanta systemen.
Huvudsyftet med sådana tester är ett försök att implementera
obehörig åtkomst till betalkortsdata (PAN, kortinnehavarens namn etc.).

GrayBox-metoden gör att du kan minska risken för överbelastning när du utför sådant arbete i förhållande till informationsresurser som är i drift 24/7.

I allmänhet måste PCI-penetrationstestning uppfylla följande kriterier:

Klausul 11.1(b) – Säkerhetsanalys för trådlösa nätverk
11.2 - Skanning informationsnätverk för sårbarheter (AsV)
11.3.1 - Utföra kontroller på nätverkslagret (nätverkslager
penetrationstester)
Klausul 11.3.2 - Genomträngningstester i applikationsskikt

Fastställande av studiens gränser. Först och främst är det nödvändigt att identifiera gränserna för penetrationstestning, bestämma och komma överens om sekvensen av utförda åtgärder. I bästa fall kan en nätverkskarta erhållas från informationssäkerhetsavdelningen, som schematiskt visar hur processcentralen interagerar med den övergripande infrastrukturen. I värsta fall måste du kommunicera med systemadministratör som känner till sina egna brister och skaffar uttömmande uppgifter om informationssystem skulle hämmas av hans ovilja att dela sina IP-data. På ett eller annat sätt, för att genomföra ett PCI DSS-penetrationstest, måste du åtminstone skaffa följande information:

nätverkssegmentering (användare, teknologisk, DMZ, bearbetning, etc.);
brandvägg vid subnätsgränser (ACL/ITU);
använda webbapplikationer och DBMS (både testa och produktiva);
använda trådlösa nätverk;
eventuella säkerhetsdetaljer som behöver beaktas under undersökningen (till exempel blockering av konton för N felaktiga autentiseringsförsök), infrastrukturfunktioner och allmänna önskemål under testning.

2. STEG I PENETRATIONSTESTER

Överväg de möjliga stadierna av penetrationstestning. Beroende på tillgänglig information (BlackBox / WhiteBox / GreyBox) kan åtgärdssekvensen vara annorlunda: datainsamling, nätverksskanning, systemhackning, skadlig programvara, social ingenjörskonst.

2.1 Insamling av data.

Insamling av data från öppna informationskällor. Öppna källor är informationskällor som är åtkomliga på laglig grund, på lagliga grunder. Sökandet efter den nödvändiga informationen med hjälp av öppna källor har antagits av många civila och militära strukturer som arbetar inom underrättelse- och industrispionage.

Tillgång till nödvändig information på Internet kan implementeras på olika sätt. Dessa kan vara hyperlänkar, sökning i olika kataloger (webbplatser, bloggar, etc.), du kan se sökresultat. För vissa ändamål är det omöjligt att göra utan att söka i specialiserade databaser.

Information kan också tillhandahållas av webbplatsens interna URL, mejladresser, telefonnummer, fax, DNS-server, IP-adressintervall, routinginformation.

Med utvecklingen av Internet har WHOIS-tjänsterna blivit utbredda. Whois (från engelskan "who is" - "who is") är ett nätverksprotokoll baserat på TCP-protokollet. Dess huvudsakliga syfte är att få information om "registranten" (ägaren av domänen) och "registratorn" (organisationen som registrerade domänen), namn DNS-servrar, registreringsdatum och utgångsdatum. Poster om IP-adresser grupperas i intervall (till exempel 8.8.8.0 - 8.8.8.255) och innehåller information om den organisation till vilken intervallet är delegerat.

2.2 Nätverksskanning.

Nätverksskanning kan delas in i komponenter:

1. Skanna ett antal IP-adresser för att fastställa "live" värdar

2. Skanna portar

3. Upptäckt av tjänster och deras versioner

4. Skanna för att fastställa operativsystemet

5. Sårbarhetsskanning

1. Skanna ett antal IP-adresser.

En grundläggande uppgift för att utforska alla nätverk är att reducera uppsättningen IP-intervall till en lista med aktiva värdar. Att skanna varje port för varje IP-adress är långsamt och onödigt. Intresset för att undersöka vissa värdar bestäms till stor del av målen med skanningen. Medan administratörers uppgifter att upptäcka livevärdar på ett nätverk kan utföras med en enkel ICMP-ping, måste personer som testar nätverkets förmåga att motstå attacker utifrån använda en mängd olika ping-uppsättningar för att kringgå brandväggen.

Uppgiften att upptäcka värdar kallas ibland för en ping-skanning, men den är vida överlägsen att använda de vanliga ICMP-frågorna förknippade med de allestädes närvarande pingverktygen. Det är att föredra att skanna nätverket med godtyckliga kombinationer av multiport TCP SYN/ACK, UDP och ICMP-förfrågningar. Syftet med alla dessa förfrågningar är att ta emot svar som indikerar att IP-adressen för närvarande är aktiv (används av värden eller nätverksenhet). På de flesta nätverk är endast en liten andel av IP-adresserna aktiva vid varje given tidpunkt. Detta gäller särskilt för adressutrymmen som 10.0.0.0/8. Sådana nätverk har 16 miljoner IP-adresser, men det finns tillfällen då de används av företag med inte mer än tusen maskiner. Funktionen för värdupptäckt kan hitta dessa maskiner i detta stora hav av IP-adresser.

2. Skanna portar.

Det finns många olika portavsökningstekniker och väljs för specifik uppgift lämplig (eller en kombination av flera). Tänk på de mest populära skanningsteknikerna:

TCP SYN-skanning
SYN är standard och mest populära skanningstyp. Den kan startas snabbt, den kan skanna tusentals portar per sekund på en snabb anslutning och hindras inte av restriktiva brandväggar.

Olika typer av UDP-skanning
Medan de flesta internettjänster använder TCP-protokollet, används UDP-tjänster också i stor utsträckning. De tre mest populära är DNS, SNMP och DHCP (med portarna 53, 161/162 och 67/68). Därför att Eftersom UDP-skanning i allmänhet är långsammare och mer komplex än TCP, ignorerar många säkerhetsproffs dessa portar. Detta är ett misstag, eftersom det finns UDP-tjänster som används av angripare.

TCP NULL, FIN och Xmas Scan
Dessa tre typer av skanningar använder ett subtilt kryphål i TCP RFC för att separera öppna och stängda portar.\

TCP ACK Scan
Denna typ av skanning skiljer sig mycket från alla andra genom att den inte kan upptäcka en öppen port. Det används för att identifiera brandväggsregler, oavsett om de är tillståndsbestämda eller inte, och för att avgöra vilka portar de filtrerar.

3. Upptäckt av tjänster och deras versioner.

Att skanna ett fjärrsystem kan avslöja att portarna 25/tcp, 80/tcp och 53/udp är öppna. Med hjälp av informationen kan du ta reda på att dessa portar förmodligen motsvarar e-postservern (SMTP), webbservern (HTTP) respektive domännamnsservern (DNS). Denna information är vanligtvis korrekt pga de allra flesta tjänster som använder 25 TCP-port faktiskt e-postservrar. Du bör dock inte förlita dig helt på denna information. Människor kan och kör tjänster med icke-standardiserade portar.

Efter att ha upptäckt eventuella TCP- och/eller UDP-portar identifieras de för att avgöra vilka applikationer (tjänster) som använder dem. Genom att använda frågedatabasen för att anropa olika tjänster och motsvarande uttryck för att känna igen och analysera svar, kan du bestämma tjänstens protokoll (t.ex. FTP, SSH, Telnet, HTTP), applikationsnamn (t.ex. ISC BIND, Apache httpd, Solaris telnetd) , versionsnummer, värdnamn, enhetstyp (t.ex. skrivare, router), OS-familj (t.ex. Windows, Linux) och ibland olika detaljer som om det är möjligt att ansluta till X-servern, SSH-protokollversion eller användarnamn.

4. Skanna för att fastställa operativsystemet.

Det är möjligt att bestämma operativsystemet på ett fjärrsystem baserat på en analys av driften av TCP/IP-stacken. En serie TCP- och UDP-paket skickas till en fjärrvärd och praktiskt taget varje bit i svaret undersöks. Efter att ha utfört många tester såsom TCP ISN-sampling, TCP-alternativstöd, IP ID-sampling och analyserat längden av initialiseringsproceduren, jämförs resultaten med en databas som innehåller kända uppsättningar av typiska resultat för olika OS och, om matchningar hittas, en slutsats kan dras om det installerade operativsystemet.

5. Sårbarhetsskanning.

Sårbarhetsskanning är en helt eller delvis automatiserad process för att samla in information om tillgängligheten för en nätverksnod i ett informationsnätverk ( personliga datorer servrar, telekommunikationsutrustning), nätverkstjänster och applikationer som används på denna nod och deras identifiering, som används av dessa tjänster och applikationsportar, för att fastställa befintliga eller möjliga sårbarheter.

2.3 Hacka systemet.

Framgången med att implementera en eller annan hackningsalgoritm i praktiken beror till stor del på arkitekturen och konfigurationen av det specifika operativsystemet som är föremålet för denna hacking.

Det finns dock metoder som nästan alla operativsystem kan utsättas för:

Lösenordsstöld.
Övervaka användaren när han anger ett lösenord som ger rätt att arbeta med operativsystemet.
Hämta lösenordet från filen där detta lösenord sparades av användaren.
Lösenordssökning, som användare ofta skriver ner på papper.
Stöld externa media lösenordsinformation (diskett eller elektronisk nyckel, som lagrar användarens lösenord för att komma in i operativsystemet).
Fullständig uppräkning av alla alternativ Lösenord.
Val av lösenord baserat på frekvensen av förekomst av symboler och bigram, med hjälp av personliga ordböcker och de vanligaste lösenorden.
Läser in hårddiskar dator.
Skräp samling.
Befogenhetsöverskridande (med hjälp av fel i programvaran eller i administrationen av operativsystemet får forskaren auktoritet som överskrider den befogenhet som beviljats honom enligt gällande säkerhetspolicy).
Starta programmet som en användare med nödvändiga behörigheter, eller som ett systemprogram (drivrutin, tjänst, demon, etc.).
Ersätter det dynamiskt laddade biblioteket som används systemprogram, eller ändra miljövariablerna som beskriver sökvägen till sådana bibliotek.
Ändring av koden eller data för säkerhetsundersystemet i själva operativsystemet.
Denial of service (syftet med denna attack är att helt eller delvis inaktivera operativsystemet).
Fånga resurser (det kontrollerade programmet fångar alla tillgängliga resurser i operativsystemet och går sedan in i en oändlig loop).
Begär bombardemang (ett kontrollerat program skickar ständigt förfrågningar till operativsystemet, vars svar kräver inblandning av betydande datorresurser).
Utnyttja buggar i programvara eller administration.

2.4 Skadlig programvara.

Mycket ofta används skadlig programvara för att få tillgång till ett infekterat system. Vanligtvis skadlig programvara som har funktionalitet bakdörr publicerat på en fildelningsresurs under sken av ett legitimt program.

Skadlig programvara är programvara som är utvecklad för att få obehörig åtkomst till datorresurser, såväl som data som lagras på den. Sådana program är utformade för att skada ägaren av informationen eller datorn genom att kopiera, förvränga, ta bort eller ersätta information.

Trojaner är skadliga program som utför åtgärder som inte är auktoriserade av användaren. Sådana åtgärder kan inkludera:

Raderar data
Datablockering
Ändra data
Kopiera data
Avmattning av datorer och datornätverk.

Trojaner klassificeras efter vilken typ av åtgärder de utför på en dator.

Bakdörrar. Bakdörrstrojanen ger angripare möjligheten att fjärrkontroll infekterade datorer. Sådana program tillåter författaren att utföra alla åtgärder på den infekterade datorn, inklusive att skicka, ta emot, öppna och ta bort filer, visa data och starta om datorn. Bakdörrstrojaner används ofta för att gruppera en grupp offerdatorer i ett botnät eller zombienätverk i kriminella syften.
Exploater. Exploit är program med data eller kod som utnyttjar en sårbarhet i applikationer som körs på en dator.
rootkits . Rootkits är program utformade för att dölja vissa objekt eller åtgärder i systemet. Ofta är deras huvudsakliga syfte att förhindra antivirusprogram från att upptäcka skadlig programvara för att öka tiden som dessa program körs på den infekterade datorn.

2.5 Social ingenjörskonst.

För att skadlig programvara ska hamna på den attackerade IP:n används social ingenjörskonst. Social ingenjörskonst - en metod för obehörig åtkomst till informationsresurser baserad på den mänskliga psykologins egenskaper. Socialingenjörernas huvudmål är att få tillgång till säkra system för att kunna stjäla information, lösenord, data om kreditkort och så vidare. Objektet för attacken är inte maskinen, utan dess operatör. Därför är alla metoder och tekniker inom social ingenjörskonst baserade på att utnyttja den mänskliga faktorns svagheter.

Det finns flera vanliga tekniker och typer av attacker som sociala ingenjörer använder. Men ett gemensamt drag för alla dessa metoder är vilseledande, för att tvinga en person att utföra någon handling som inte är fördelaktig för honom och som är nödvändig för en social ingenjör. För att uppnå det önskade resultatet använder en social ingenjör ett antal olika taktiker: att imitera en annan person, distrahera uppmärksamheten, tvinga fram psykologisk stress, etc. De slutliga målen för bedrägeri kan också vara mycket olika.

Social ingenjörsteknik:

Förtestning. Pretexting är en uppsättning åtgärder som utförs enligt ett visst förberedd scenario (pretext).
Nätfiske. Nätfiske (engelsk nätfiske, från fiske - fiske, fiske) är en typ av internetbedrägeri, vars syfte är att få tillgång till konfidentiell användardata - inloggningar och lösenord. Syftet med nätfiske är att olagligt skaffa konfidentiell information.
Motprestation. Quid pro quo (lat. Motprestation- "för detta") - in engelska språket detta uttryck används vanligtvis i betydelsen "quid pro quo". Ofta presenteras en social ingenjör som anställd teknisk support, som rapporterar händelsen tekniska problem på den anställdes arbetsplats och erbjuder hjälp med att eliminera dem.

En studie från 2003 av Information Security Program visade att 90 % av kontorsanställda är villiga att avslöja konfidentiell information, såsom sina lösenord, för någon form av tjänst eller belöning.

Trojansk häst. En trojan är ett skadligt program som används av hackare för att samla in, förstöra eller ändra information, störa en dator eller använda användarresurser för sina egna syften. Denna teknik utnyttjar ofta målets nyfikenhet, älskar andra känslor.

Organisering av en pseudo-attack.

Att organisera en pseudo-attack på datorsystem använda sig av programvara Social Engineering Toolkit(SET) och Metasploit Ramverk(MFS). Dessa verktyg ingår som standard i Backtrack 5-distributionen, utformad för att testa möjligheten för system- och nätverkshackning. Vi använder också två virtuella maskiner med sådana operativsystem som:Windows7 och tillbaka spår 5.

bakdörrsgenerering. Vi kommer att använda SET för att skapa en omvänd TCP-bakdörr och MFS för att skapa en hanterare (hanterare) för att bearbeta paket från den skapade bakdörren, vilket kommer att upprätthålla en kommunikationskanal mellan en potentiell angripare och systemet där bakdörren kommer att startas.

Alla åtgärder utförs i konsolläge på OS Backtrack 5. Skapandet av nyttolast uppnås genom SET-verktyget, s. 4 Skapa a nyttolast och lister

Skapande av nyttolast med omvänd TCP (för att upprätta återkoppling) görs genom att välja punkt 2 Windows omvänd— TCP mätare och sedan punkt 16 Bakdörr Körbar. Denna operation slutför skapandet av bakdörren. När du skapar den anger du också portnumret genom vilket Respons. I mapp / pentest/ utnyttjar/ UPPSÄTTNING msf.exe kommer att genereras baserat på de alternativ vi har valt.

Utnyttja setup. Exploateringen är utformad för att ta emot TCP-förfrågningar från den skapade bakdörren. Dess konfiguration görs genom att starta MFS och välja exploateringshanteraren (lyssnaren): använd exploit/multi/hanterare.

Som ett resultat växlar MFS till kontexten för exploateringshanteraren. Nästa uppgift är att konfigurera nyttolasten för denna exploatering. Eftersom bakdörren är orienterad (skapad) med Revers_TCP Meterpretor, utbyts informationen genom TCP-anslutning: uppsättning/ nyttolast fönster/ mätare/ vänder_ tcp. Dessutom är det nödvändigt att ange den lokala värden (ip-adressen till en potentiell angripare) i alternativen.

Att köra hanteraren leder till meterpretor-kontexten, där de sessioner som du kan ansluta till kommer att representeras. Sessionen kommer att visas efter att bakdörren har lanserats på en fjärrmaskin, vilket i vissa fall uppnås i praktiken genom social ingenjörskonst.

För att simulera denna process, startas bakdörren på den andra virtuell maskin. Efter det kommer en session till detta system att finnas tillgänglig i meterpretor, det vill säga vår bakdörr tillhandahåller en kommunikationskanal och vi får kontroll över den infekterade maskinen.

Internet säkerhet

Varje användare, oavsett om det är en individ eller ett företag, har med nödvändighet information som är unik ur hans synvinkel. Ett företag kan vara både en kommersiell struktur och en statlig, kommunal eller budgetinstitution, men i alla fall stöds dess verksamhet på något sätt av ett datornätverk. Och behovet av att säkerställa informationssäkerheten i ett datornätverk är utom tvivel.

Källor till hot och möjliga konsekvenser

Källor till hot mot nätverket kan vara både externa och interna. Den uppenbara externa källan är Internet. Även om användare lokalt nätverk inte har direkt tillgång till Internet kan de använda e-posttjänster och ta emot information utifrån, vars säkerhet inte garanteras. Strängt taget är Internet inte en källa till hot, utan ett medium genom vilket skadlig information kommer in i det lokala nätverket. Initiativtagarna till hot kan vara skrupelfria partners, kriminella eller tvärtom brottsbekämpande myndigheter, hackare, till och med leverantörens tekniska personal. Den interna faran ligger i det avsiktliga införandet eller skapandet av villkor för införandet av skadlig programvara av anställda i företaget. Den hierarkiska nivån på den anställde här har praktiskt taget ingen mening. Som en intern potentiell hotkälla är det nödvändigt att överväga den använda lågkvalitativa eller föråldrade hårdvaran och programvaran för informationsbehandling - sårbarheten hos dessa komponenter kan upphäva säkerheten i ett datornätverk.

Konsekvenserna av otillräckligt dataskydd på nätverket är många - stöld, förstörelse eller distribution av konfidentiell information (företagshemligheter), personuppgifter, utbyte av information, blockering av åtkomst till den, begränsning av funktionalitet eller fullständig avstängning av företagsnätverket. Det senare leder till att affärsprocesser faktiskt stoppas.

Skyddsalternativ

Det är viktigt att skydda datornätverk. Det måste förstås att ett säkerhetshot av en eller annan skala alltid existerar. Om det kommer att implementeras eller inte beror på hur nätverket är organiserat och vilka metoder för att skydda det lokala nätverket som används. Ett LAN-säkerhetssystem blir tillförlitligt när det använder hårdvara med tillräcklig prestanda och högkvalitativ mjukvara med transparent hantering - användaren måste förstå vad han gör och varför. När det gäller ett företagsnätverk är en hårdvarubrandvägg en adekvat lösning. Tillsammans med installerat program Internet Control Server (ICS) implementerar en omfattande motåtgärd mot externa och interna hot. Trafik (inklusive intern trafik) som passerar genom nätverksgatewayen analyseras kontinuerligt av de inbyggda verktygen för skydd av datornätverk. DLP-modulen filtrerar eventuella informationsläckor, strömmande antivirus upptäcker skadlig programvara redan innan den tränger in i nätverksdatorer. Suricata Attack Detector fångar potentiellt skadlig aktivitet på nätverket. Anslutningsmonitorn visar trafikflöden från varje klient. Många nätverkssäkerhetskomponenter är lätta att konfigurera, deras arbete blir tydligt även för en icke-specialist, och det är lätt att hantera ett sådant program.

Det är den höga säkerhetsnivån i det lokala nätverket som gör en arbetsmiljö av många interagerande datorer som gör att företaget kan fungera normalt. Ett nätverksskyddsprogram ska vara komplext och modernt inuti, men enkelt och förståeligt på nivån av användarinteraktion.