asm.md · web viewÎn prezent reţelele de calculatoare s-au răspîndit în toate domeniile:...
TRANSCRIPT
Ministerul Educaţiei Republicii Moldova,Direcţia Generală Educaţie, Tineret şi Sport
LICEUL ACADEMIEI DE ŞTIINŢE A MOLDOVEI
Conferinţa Ştiinţifică
”Spre Viitor”Securitatea reţelelor:
Metode de atac şi protecţie
Realizat:Neagaru Daniel
Coteţ DumitruCoordonator Științific:
Costașco Iurie
Chişinău 2010
CuprinsIntroducere..................................................................................................................................3
Scopul lucrării:........................................................................................................................3Obiective:................................................................................................................................3Actualitatea temei:..................................................................................................................3Metode de cercetare:...............................................................................................................3
I. Conceptele de Bază ale Securităţii în Reţele...........................................................................3
Standardul ISO/IEC 27002.....................................................................................................4II. Ce Reprezintă un Atac în Reţea?............................................................................................5
Definiţia atacului.....................................................................................................................5Etapele unui atac.....................................................................................................................6Vulnerabilităţile......................................................................................................................7
III. Metode Generale de Securitate.............................................................................................9
Securitatea fizică a echipamentelor......................................................................................10Securitatea accesului în Internet...........................................................................................10
IV.Tipurile de atacuri și metodele de protecție împotriva lor...................................................11
Ingineria Socială...................................................................................................................11Atacuri SMTP.......................................................................................................................11Spargerea parolelor...............................................................................................................11Flooding................................................................................................................................12Spoofing................................................................................................................................12Sniffing.................................................................................................................................13Denial of Service (DoS)........................................................................................................13Man-in-the-Middle attack (MITM).......................................................................................15Atacul Replay........................................................................................................................15DNS Rebiding.......................................................................................................................16DNS cache poisoning............................................................................................................16ARP Poisoning......................................................................................................................16Atacuri Wireless....................................................................................................................16
Partea Practică..........................................................................................................................17
Concluzie..................................................................................................................................18
Bibliografie...............................................................................................................................18
Anexe........................................................................................................................................19
Introducere
Scopul lucrării: Studiul celor mai frecvente tipuri de atacuri în rețele de calculatoare, precum și tehnicile
utilizate pentru a evita aceste atacuri.
Obiective: Definirea securității Analizarea tipurilor de atacuri din rețea Cercetarea tehnicilor de securitate Studierea metodelor de protecție împotriva celor mai frecvente și periculoase tipuri de
atacuri
Actualitatea temei:În prezent reţelele de calculatoare s-au răspîndit în toate domeniile: economic, administrativ,
financiar, etc., din această cauză schimbul de date între calculatoare prin reţea trebuie securizat la cel mai înalt nivel. Aşadar, securitatea unui calculator sau a unei întregi reţele este foarte importantă, întrucît nimeni nu este total securizat de atacurile din reţea, orice calculator este vulnerabil într-o oarecare măsură şi într-o reţea cu securitate ridicată, un calculator fără aceste măsuri de securitate poate fi veriga slabă ce poate duce la pierderea datelor sau chiar la defecte în reţea.
Securitatea unei reţele depinde nu numai de software-ul instalat în interiorul reţelei (antivirus, firewall, OS, etc.), ci, în egală măsură, de componentele hardware, cunoştinţele în domeniul securităţii a personalului, etc.
Cheia succesului unei lupte reprezintă cunoaşterea atacurilor folosite de duşman, deci dacă considerăm acţiunile hackerilor ca o luptă, este crucială cunoaşterea atacurilor pe care le va utiliza.
Metode de cercetare:În timpul realizării acestei teze, am decurs la diferite metode de cercetare pentru aprofundarea
în domeniu. Am studiat metodele de atac frecvent întîlnite, precum şi utilitele folosite pentru realizarea acestor atacuri. Am utilizat sistemul de operare Backtrack 4 ce reprezintă o armă puternică în mîînile unui hacker şi include numeroase utilite aplicate în toate tipurile de atacuri.
I. Conceptele de Bază ale Securităţii în ReţeleTrei concepte importante referitoare la securitatea în reţea sunt: confidenţialitatea,
integritatea şi disponibilitatea.Confidenţialitatea se referă la ideea că informaţia trebuie sa fie accesată doar de persoanele
autorizate în a face aceasta, altcineva avînd interzis accesul la aceste date. Cînd informaţia este citită sau copiată de către cineva neautorizat, rezultatul este cunoscut ca pierdere a confidenţialităţii. Uneori confidenţialitatea este critică, în cazul informaţiilor private, date secrete, coduri bancare, etc.
Integritatea constă în faptul că informaţia este primită identic după cum a fost trimisă, adică datele nu au fost interceptate sau modificate în timpul transferului. Informaţia poate fi coruptă dacă se află într-o reţea nesecurizată, iar în cazurile cînd ea este modificată neautorizat, aceasta se numeşte o pierdere a integrităţii, ceea ce înseamnă că informaţia a fost modificată din cauza erorilor întîmplătoare a personalului sau datele au fost interceptate de persoane neautorizate. Integritatea datelor poate fi foarte importantă în cazul datelor financiare, transferurilor de fonduri, etc.
Informaţia, de asemenea, poate fi inaccesibilă, chiar dacă se află în reţeaua necesară, făcînd persoanele autorizate să ramînă fără acces la datele de care au nevoie, acest fapt numindu-se pierdere a disponibilităţii. Un astfel de exemplu este atunci cînd un utilizator nu poate accesa o reţea sau un anumit serviciu, cel mai probabil suferind în urma unui atac de tipul Denial of Service.
Pentru a face informaţia dintr-o reţea disponibilă membrilor acestei reţele conform nevoilor şi accesului fiecăruia dintre ei, se utilizează autentificarea şi autorizarea.
Autentificarea este procesul ce determină dacă utilizatorul este într-adevăr cel care pretinde a fi. Acea probă poate fi verificarea unor date cunoscute doar de utilizatorul în cauză, de exemplu, o parolă, sau a unor elemente după care poate fi recunoscut: amprentele degetelor, textura retinei; sau chiar a unor obiecte pe care le deţine (smartcard-urile).
Autorizarea este procesul ce verifică dacă utilizatorul dat are acces la anumite resurse, poate executa un program, deschide un fişier, etc. Autentificarea şi autorizarea sunt strîns legate între ele, astfel fiecare utilizator trebuie să fie autentificat pentru a face o acţiune asupra căreia are autorizaţie.
Standardul ISO/IEC 27002Securitatea reţelelor este un domeniu complex, din care cauză au fost create subdiviziuni
pentru a putea face administrarea mai facilă. Acesta împărţire permite profesioniştilor o abordare mai precisă în privinţa instruirii, cercetării şi diviziuni muncii în acest domeniu. Sunt 12 domenii ale securităţii reţelelor specificate de Organizatia Internanaţională de Standardizare sau International Organization for Standardization (ISO)/International Electrotechnical Commission(IEC):
1. Evaluarea RisculuiDetermină valoarea cantitativă şi calitativă a riscului, ce ţine de o situaţie concretă sau un
pericol recunoscut. El constă în analiza, evaluarea şi diminuarea sau chiar înlaturarea riscului.2. Politica de Securitate
Reprezintă definiţia a ceea ce este securizat pentru un sistem sau o reţea. Este imposibil de ţinut un sistem securizat fără a înţelege ce-i aceea securitatea. Acest pas constă în elaborarea şi aplicarea în interiorul organizaţiei a unor principii, politici, standarde de menţinere a securitaţii reţelei, cît şi proceduri şi măsuri necesare în timpul şi după întîlnirea pericolului.
3. Organizarea Securităţii InformaţieiGuvernarea securităţii informaţionale este un pas important în protecţia reţelelor, ce constă în
formarea rapoartelor cu privire la eşecurile în securitate suferite şi căutarea metodelor de a le evita în viitor. Riscurile trebuie evaluate şi atenuate regulat.
4. Administrarea BunurilorPresupune elaborarea unei scheme clasificate, conform căreia se duce evidenţa bunurilor
informaţionale. Organizaţia trebuie să asigure securitatea echipamentelor la nivel fizic. E necesară ducerea evidenţei tuturor echipamentelor pentru a evita pierderea sau deteriorarea lor.
5. Securitatea Resurselor UmaneDefineşte procedurile de securitate privind angajarea, detaşarea şi părăsirea de către un
angajat a organizaţiei din care va face, face sau a făcut parte, cît şi instruirea şi conştientizarea personalului de măsurile de securitate din interiorul reţelei.
6. Securitatea Fizică şi a MediuluiDescrie măsurile de protecţie pentru centrele de date din cadrul unei organizaţii. Ele includ
măsurile de protecţie împotriva incendiilor, inundaţiilor; apărarea echipamentelor de fluctuaţii ale energiei, de supraîncălzire şi chiar protecţia dispozitivelor hardware împotriva răufăcătorilor.
7. Administrarea Comunicaţiilor Operaţiunilor
Descrie controlul securităţii reţelelor şi sistemelor. El include backup-uri regulate, update-urile software-ului de protecţie, ducerea evidenţei logării şi delogării utilizatorilor, monitorizarea modificărilor în setările echipamentelor, etc.
8. Controlul AccesuluiPriveşte restricţiile aplicate sistemelor, aplicaţiilor, funcţiilor, datelor, accesului fizic şi celui
direct la reţea. Este nevoie de ducerea evidenţei fiecăreia pentru a păstra reţeaua securizată. Controlul accesului poate fi aplicat începînd cu o simplă uşă încuiată, pînă la mecanisme biometrice de verificare a identităţii.
9. Achiziţia, Dezvoltarea şi Păstrarea Sistemelor InformaticeDefineşte aplicarea măsurilor de securitate în aplicaţii, şi include dezvoltarea şi înnoirea
software-ului, verificarea compatibilităţii şi cerinţelor minime, testarea, apoi şi implementarea lor.10. Administrarea Incidentelor de Securitate a Informaţiei
Tratează felul în care anticipează şi răspunde sistemul la breşele de securitate. Evenimentele, incidentele şi vulnerabilităţile securităţii trebuie avertizate, notate şi înlăturate adecvat. Personalul trebuie să fie instruit cum să acţioneze în cazuri de incidente în securitate. E nevoie de ţinut cont de eşecurile şi incidentele petrecute în trecut înainte de a utiliza o nouă metodă de securitate.
11. Administrarea Continuităţii AfaceriiAcest etap descrie relaţiile dintre planurile de recuperare în urma incidentelor şi administrarea
continuităţii afacerii, ce constă în analiza şi documentarea planurilor de protecţie pentru viitor pentru a menţine continuitatea business-ului. Această măsură are ca scop minimalizarea impactului în urma unui incident.
12. ConformitateaDescrie procesul de asigurare a conformităţii cu politicile de securitate a informaţiei,
standarde şi reguli. Organizaţia trebuie să ţină cont de legislaţie, precum dreptul de autor, protecţia datelor simple sau financiare, restricţiile criptografice.
Organizaţia poate avea un personal special care se ocupă de depanarea vulnerabilităţilor reţelelor în interiorul acelei organizaţii pentru a asigura o securitate mai ridicată. În plus la aceasta, accesul la fişierele de sistem trebuie să fie limitat pentru utilizatorii simpli.
II. Ce Reprezintă un Atac în Reţea?
Definiţia ataculuiAtacul este o asaltare a securităţii unui sistem, ce va duce la încălcarea politicii de securitate a
acelui sistem. Orice activitate dăunătoare ce pretinde să colecteze, modifice sau să distrugă resursele informaţionale a unui sistem poate fi considerat un atac. Există multe motive care pot provoca un atac în reţea. Persoanele care fac aceste atacuri sunt numiţi hackeri sau crackeri.
Un pericol în reţea poate fi orice act care poate întrerupe o operaţie, funcţionalitatea, integritatea sau disponibilitatea unui sistem sau a unei reţele.
Vulnerabilitatea este un defect în designul, configuraţia, implementarea sau managementul unui sistem, ce îl face susceptibil pentru pericolele din reţea. Orice sistem, cît de securizat nu ar fi, are vulnerabilităţi ce pot fi folosite pentru a obţine acces la date sau chiar la calculator. Din acest punct de vedere, atacul reprezintă o exploatare a unei vulnerabilităţi a acelui sistem.
În general, există 2 tipuri de atacuri: pasive şi active. Cele pasive sunt dificil de detectat, din cauza că ele nu lasă urme după activitatea sa, ci doar monitorizează şi scanează traficul dintre calculatoare. Exemple de atacuri pasive sunt sniffingul pachetelor de date şi analiza traficului.
Atacurile active reprezintă încercările de a face modificări neautorizate în sistem. Ele sunt uşor de detectat, dar pot aduce daune mult mai mari decît atacurile pasive. Ele pot include modificarea datelor transmise sau stocate, sau chiar crearea noilor fluxuri de date pentru a obţine acces la calculator. Exemple de atacuri active sunt: atacurile DoS, DDoS, viruşii, viermii, troienii, backdoor-urile, replay-ul, spargerea parolelor, ingineria socială, spoofing-ul, sniffing-ul şi alte atacuri bazate pe protocoale.
Atacurile pot proveni din interiorul sau exteriorul organizaţiei, deosebindu-se atacuri interne şi atacuri externe. Cele externe, la rîndul lor, pot fi structurate sau nestructurate.
Atacurile interne provin de la angajaţii nesatisfăcuţi din interiorul organizaţiei. Ei pot avea un privilegiu asupra reţelei, şi deseori atacurile sunt ascunse sub procese normale ce au loc în reţea.
Cele externe provin de la persoane fără acces direct la reţeaua organizaţiei, atacurile fiind deseori bazate pe planuri complexe, tehnici de atac. Acest tip de atac se deosebeşte de precedentul cel mai mult prin faptul că hackerul are nevoie de a obţine informaţii despre reţeaua victimă înainte de a o ataca, pe cînd atacurile interne deja presupun o oarecare cunoaştere a reţelei.
Primul tip de atac extern este cel structurat, în care atacantul de obicei are un plan bine stabilit ce ţine de intenţiile de distrugeri şi pierderi care i le doreşte reţelei. El trebuie să aibă cunoştinţe bune în designul reţelei, metodele de ocolire a securităţii, modificarea codului pentru a ataca reţeaua în modul necesar, etc. Pentru realizarea atacului, hackerul utilizează diverse coduri pentru a exploata vulnerabilităţile în software-ul sau sistemul de operare instalat.
Atacurile nestructurate sunt de obicei efectuate de persoane cu experienţă mai mică, aşa numiţii „script kiddie”. Ei de obicei utilizează soft disponibil pe internet pentru a realiza un atac, fără a cunoaşte cum el funcţionează şi fără a-l putea modifica în conformitate cu reţeaua victimă. Atacatorii folosesc resursele disponibile, precum parole sau script-uri, pentru a obţine acces şi a rula programe ce au ca scop vandalizarea reţelei.
Etapele unui atacPentru a ataca o reţea, hackerul efectuează următorii paşi:
1. FootprintingEste prima etapă pentru realizarea unui atac. Hackerul încearcă să obţină cît mai multă
informaţie necesară pentru a sparge reţeaua dată. Aceasta presupune colectarea datelor utile publice, de exemplu de pe Web-Siteul organizaţiei, determinarea structurii reţelei, domenului de IP-uri, serverelor DNS, routerelor, hosturilor active, sistemelor de operare a serverelor, etc.
2. Scanarea porturilorAtacatorul pretinde să găsească un serviciu vulnerabil ce admite un port deschis pe hostul
victimă. Există mai multe tipuri de scanări: Vanilla/SYNC – se trimit pachete SYN TCP care încearcă să se conecteze prin toate porturile 0-
65535 Strobe – se testează porturile standarde utilizate de serviciile sistemelor de operare Windows
sau UNIX Sweep – se scanează un set mare de adrese IP pentru a găsi un sistem cu un port deschis Scanarea pasivă – traficul reţelei este analizat pentru a verifica ce porturi sunt deschise Scanarea UDP – spre hostul victimă se trimit pachete UDP goale, în rezultat hostul raspunzînd
cu erori, astfel analizîndu-se porturile deschise Ocolirea prin FTP – pentru a ascunde locaţia hackerului, scanarea este efectuată prin
intermediul unui server FTP
Scanarea FIN – sunt trimise pachete FIN, ce pretind închiderea sesiunilor, fiind trimise spre toate porturile.
3. EnumerareaSunt utilizate diverse metode pentru a determina aplicaţiile şi serviciile active pe host, ce nu
se folosesc la moment, utilizatori impliciţi fără protecţie, sau hosturi neprotejate. Enumerarea este utilă în reţelele fără o securitate ridicată.
4. Obţinerea accesuluiPentru a obţine acces la un calculator din reţea, hackerul de obicei foloseste calul troian şi
software de decriptare a parolelor. Odată ce obţine accesul, el poate şterge, modifica datele sau adăuga şi elimina serviciile din reţea.
Există 3 tipuri de atacuri de acces: Accesul neautorizat la sistem – presupune executarea scripturilor sau a codurilor dăunătoare ce
va duce la obţinerea accesului asupra sistemului. Escaladarea neautorizată a privilegiilor – tip frecvent de atac ce presupune ocolirea
restricţiilor utilizatorului prin obţinerea accesului la un utilizator cu drepturi mai mari pentru a căpăta acces asupra reţelei.
Manipularea neautorizată a datelor – presupune citirea, modificarea sau ştergerea datelor confidenţiale.
5. Escaladarea privelegiilorAcest pas presupune căutarea metodelor de obţinere a accesului la un utilizator privelegiat, în
cazul în care aceasta nu a fost făcută în pasul precedent. Escaladarea privelegiilor presupune căutarea în registre a datelor despre utilizatori, a documentelor, utilizarea software-ului pentru decriptarea parolelor, sau a unui alt cal Troian pentru a căpăta acreditivele utilizatorului privelegiat.
6. Instalarea backdoor-uluiHackerul poate instala în calculatorul victimă un software special numit backdoor, care
permite utilizarea în viitor a aceluiaşi calculator, fără necesitatea de a mai sparge încă o dată măsurile de securitate.
7. Eliminarea urmelor după activităţile efectuateDe obicei, hackerii şterg orice urmă lăsată de activităţile sale, astfel micşorînd posibilitatea
administratorului de a observa o activitate străină în interiorul reţelei.
VulnerabilităţileDupă cum s-a spus mai sus, vulnerabilitatea reprezintă un defect ce poate fi exploatat de unul
sau mai multe pericole. Ele există mereu, dar sub diferite forme. Ele pot avea numeroase cauze de apariţie. De exemplu, cu cît e mai complex un sistem, cu atît are mai multe vulnerabilităţi. Altă cauză poate fi familiaritatea cu sistemele de operare, software şi hardware utilizate implicit, ce pot avea vulnerabilităţi cunoscute. Cu cît sunt mai multe conexiuni cu care operează sistemul, cu atît mai multe puncte critice poate avea. Protocoalele, serviciile, porturile şi conexiunile fizice reprezintă puncte critice care pot admite vulnerabilităţi pentru sistem. Parolele slabe pot fi uşor sparse prin bruteforce, deci e nevoie de un management al securităţii parolelor, evitînd totodată repetarea aceleiaşi parole în diferite locaţii. Fiecare sistem de operare are vulnerabilităţi, şi dacă hackerul cunoaşte sistemul de operare al victimei, el le poate utiliza pentru vitorul atac. Accesînd site-uri web necunoscute, calculatorul poate instala software dăunător fără conştiinţa utilizatorului, care pot chiar permite accesul hackerului la calculatorul victimă. Cele mai frecvente vulnerabilităţi sunt defectele în aplicaţii, de care programatorul nu a ţinut cont, ce pot fi utilizate de hackeri în scopuri diferite de scopul aplicaţiei. Datele de intrare pot fi utilizate la fel în scopuri cu intenţii rele. Programul presupune că datele din
input sunt corecte, deci dacă input-ul conţine instrucţiuni noi pentru program, ele pot fi executate, acţionînd altfel decît cum a fost programat.
Există mai multe tipuri de vulnerabilităţi:1. Violarea siguranţei memoriei
Presupune utilizarea memoriei RAM rezervate pentru o aplicaţie în scopuri nepreconizate de acea aplicaţie. 2 exemple de astfel de vulnerabilităţi reprezintă buffer overflow şi dangling pointers.
Buffer overflowReprezintă o vulnerabilitate ce permite modificarea valorii variabilei din memorie adiacente
cu variabila de input, deci, cunoscînd repartizarea variabilelor în memorie se poate de modificat valoarea altei variabile, nepreconizate pentru aceasta. Acest atac are loc prin introducerea datelor de mărime mai mare decît cele preconizate de program.
Dangling pointersReprezintă pointeri ce indică în zone goale din memorie, deci hackerul poate utiliza aceste
zone goale pentru a afla valorile variabilelor ascunse de program.2. Erori de validare a datelor de intrare
Reprezintă cea mai utilizată vulnerabilitate, şi are numeroase tehnici specifice pentru atac: Defecte ale formatului şirului de caractere
Acest tip de defect este folosit pentru a afişa conţinutul stivei sau a altei zone din memorii, prin introducerea în locul unui şir de caractere a jetoanelor ce indică spre aceste zone de memorie.
Injecţia SQLVulnerabilităţile în SQL pot permite hackerilor să citească conţinutul bazelor de date, astfel
putînd citi datele confidenţiale. Injecţia SQL are loc prin introducerea comenzilor SQL în cîmpul de input, astfel executînd comenzi interzise în caz normal.
Injecţia coduluiExistă numeroase metode de utilizare a acestei vulnerabilităţi, dar funcţionează dupa acelaşi
principiu ca şi injecţia SQL, cu excepţia că codul dăunător poate fi inserat în orice limbaj de programare, pe cînd cel mai des ele se utilizează în scripturile PHP, HTML şi ASP. Ele se utilizează pentru includerea fişierelor locale în cod, copierea fişierelor cookie străine, etc.
Directory traversalEste o vulnerabilitate ce permite citirea conţinutului directoriilor sau fişierelor de pe un server
web, care în mod normal nu sunt disponibile. XSS (Cross site scripting)
Reprezintă o vulnerabilitate ce permite hackerului să insereze coduri javascript pe paginile vizitate de alţi utilizatori, pentru a fura fişierele cookie ale lor, după care le poate folosi pentru a se loga ca acel utilizator.
3. Race ConditionsAcesta reprezintă o vulnerabilitate, în care 2 semnale sau ajung concomitent, sau luptă pentru
modificarea datelor de ieşire. Este întîlnită frecvent în cazurile cînd 2 utilizatori modifică concomitent acelaşi fişier. Preponderent există 2 tipuri de astfel de vulnerabilităţi:
TOCTTOU (time-of-check-to-time-of-use)Un exemplu de astfel de defect este cazul cînd un utilizator modifică o pagina web, dar
administratorul în acelaşi timp blochează editarea acelei pagini, dar după ce utilizatorul a salvat-o, modificările sunt acceptate, din cauza că la momentul cînd administratorul a blocat pagina, utilizatorul deja începuse modificarea ei.
Symlink race
Hackerul creează un link către un fişier neaccesibil pentru el. Cînd un utilizator privelegiat creează un fişier cu acelaşi nume ca şi linkul, el modifică fişierul spre care redirecţionează linkul, posibil chiar şi inserînd codul creat de atacator.
4. Confuzia privelegiilorExistă situaţii în care un utilizator poate folosi privelegiile altora pentru a-şi îndeplini
scopurile sale. Reprezintă o metodă de escaladare a privelegiilor. De exemplu, un utilizator nu poate executa o anumită instrucţiune, pe cînd sistemul o poate face, deci utilizatorul foloseşte funcţiile standarde pentru a indica sistemului să execute anumite instrucţiuni, dar modificînd comenzile în dependenţă de cum are el nevoie, astfel executînd instrucţiunea interzisă. Tipuri de astfel de defecte sunt:
XSRF (cross-site request forgery)Asemănător cu vulnerabilităţile XSS, doar că în cazul acesta nu sunt exploataţi utilizatorii, ci
browserul lor, de exemplu, în tagul html a unei imagini este inclusă nu linkul unei imagini, ci a unei pagini ce conţine variabele, dînd valori variabilelor, şi victima dupa ce va deschide pagina data nu va vedea imaginea, pe cînd acţiunea va fi performată fără conştiinţa lui.
FTP bounceHackerul poate utiliza serverele FTP pentru a efectua acţiuni pe alte servere, ce nu sunt
permise în mod direct, de exemplu, chiar şi scanarea prin intermediul serverului FTP reprezintă o metodă de utilizare a vulnerabilităţii serverului FTP.
5. Eşecurile interfeţei utilizatoruluiReprezintă erori care nu au fost preconizate de programator, de exemplu, prin intermediul
erorilor hackerii află informaţiile confidenţiale, doar schimbînd datele de intrare. Drept alt exemplu pot servi comenzile ce execută schimbări în sistem, dar aprobarea de la utilizator cerînd-o fără a descrie implicit ce va efectua.
III. Metode Generale de SecuritateAsigurarea „securității datelor” stocate în cadrul unei rețele de calculatoare, presupune
proceduri de manipulare a datelor care să nu poată duce la distribuirea accidentală a lor și măsuri de duplicare a datelor importante, pentru a putea fi refăcute în caz de nevoie. Pentru a defini o rețea sigură de calculatoare trebuie elaborate următoarele: lista cerințelor de securitate, regulile de protecție și securitate, mecanismele de securitate. Într-o rețea de calculatoare modelul de securitate presupune trei nivele: securitatea fizică, niveluri logice de securitate și conectare sigură.
Parte din procesul de a asigura securitatea este să efectuați teste pentru a determina zonele unde securitatea este slabă. Testele trebuie efectuate cu regularitate, deoarece noi amenințări apar zilnic. Testarea regulată asigură detalii asupra oricăror slăbiciuni posibile în planul de securitate curent, ce trebuie îndepărtate. Valoarea echipamentelor fizice este deseori cu mult mai mică decît valoarea datelor conținute. Atacatorii pot obtine acces la date neprotejate din cadrul PC-urilor. Toate PC-urile ar trebui să fie protejate prin parole. Se recomandă 2 nivele de protecție prin parole:
BIOS – Se împiedică modificarea setărilor BIOS fără a introduce parola corespunzatoare
Autentificare – Împiedică accesul neautorizat la rețea.Securitatea sistemului de fişiereToate sistemele de fișiere țin evidența resurselor, însă numai sistemele de fișiere cu jurnale
pot înregistra logările utilizatorilor după dată și timp. Sistemul de fișiere FAT 32, folosit în cîteva versiuni ale Windows, nu are nici sisteme de jurnale nici metode de criptare. Prin urmare, în situațiile în care este nevoie de securitate ridicată se utilizează, în general, sisteme de fișiere precum NTFS.
Politicile de securitate stabilesc orientarea generală și oferă linii directoare pentru administratorii și utilizatorii de rețea, în cazul unor situații neprevăzute. Cele mai importante politici de securitate sunt: prevenirea, autentificarea şi instruirea.
Prevenirea este cea mai bună politică de protejare a datelor. Prin prevenirea accesului neautorizat în rețea, datele vor fi în siguranță.
Autentificarea este politica prin care se asigură o primă linie de apărare împotriva utilizatorilor neautorizati. Aceasta înseamnă, că accesul într-o rețea necesită un nume de utilizator valid și o parolă.
Instruirea este o politică pe care administratorul de rețea trebuie să o promoveze permanent în rîndul utilizatorilor. Pentru aceasta, administratorul trebuie să elaboreze un ghid clar, concis cu noțiunile pe care utilizatorii trebuie să le cunoască cu privire la procedurile de operare și de asigurare a securității.
Securitatea fizică a echipamentelor Asigurarea securității serverelor: într-o retea de dimensiuni mari în care majoritatea datelor
sunt confidențiale, serverele trebuie să fie la adăpost de eventualele distrugeri intenționate sau accidentale. Cea mai simplă soluție este de a închide serverele într-o încăpere în care accesul este limitat.
Protejarea cablului: de asemenea, pe cablul de cupru se poate intercala un dispozitiv de interceptare, astfel încît informațiile să fie furate direct. În acest context, în faza de proiectare, traseele cablurilor trebuie să fie stabilite în așa fel, încît să nu permită accesul persoanelor neautorizate. Cablurile de cupru pot fi dispuse în structura clădirii, prin tavan, perete, sau podea.
Salvările pentru copii de rezervă ale datelor și programelor: siguranța efectuării operațiunilor de salvare a datelor și programelor, pe suporți magnetici, precum și a păstrării acestora în condiții de securitate deplină, este o mare problemă. Administratorul de rețea trebuie să prevadă reguli și norme stricte pentru efectuarea operațiunilor de salvare, cît și pentru condițiile de păstrare în siguranță a suporților magnetici respectivi. Procedurile de efectuare de backup-uri de date ar trebui incluse într-un plan de securitate. Datele pot fi pierdute sau deteriorate în circumstanţe precum furt, erori ale echipamentelor sau dezastre precum incendiu sau inundaţii. Backup-ul datelor este una dintre cele mai eficiente metode de protecţie împotriva pierderilor de date. Înainte de a efectua backup-ul, trebuie ținut cont de următoarele aspecte: siguranța, stocarea și frecvența lor.
Securitatea accesului în Internet În cadrul operațiunilor ce se efectuează în Internet se impun măsuri de securitate deosebite, ce
trebuie să limiteze accesul la informații, asigurînd, în principal, caracterul privat al datelor, integritatea si imposibilitatea repudierii.
Criptarea datelor folosește coduri și cifruri. Traficul dintre resurse și computerele din rețea poate fi protejat de atacatorii care monitorizează sau înregistrează tranzacții prin implementarea criptării. Este foarte puțin probabil să se poată descifra date capturate în timp util pentru a fi folosite.
Reţelele Virtuale Private (VPN) folosesc criptarea pentru a proteja datele. O conexiune de tip VPN permite unui utilizator la distanță să acceseze în siguranță resursele unei rețele ca și cum ar fi legat fizic la acea rețea.
Orice comunicație care folosește TCP/IP are asociat un număr de port. Utilizatorul poate controla tipul de date trimise către un PC selectînd ce porturi sunt deschise și care sunt securizate, cu ajutorul unui Firewall. Acesta poate fi implementat în hardware, software, sau o combinație din ambele.
Antivirusul reprezintă un program software utilizat pentru a preveni, detecta, dezinfecta, șterge aplicațiile dăunătoare, precum virușii, caii troieni, viermii, adware, spyware, etc. Pentru a menține calculatorul securizat de cei mai noi viruși, este necesară reînoirea regulată a fișierelor de semnături. Ele conțin informația după care programul antivirus detectează virușii.
Semnături digitale Semnăturile digitale asigură un nivel de integritate și imposibilitatea de repudiere pentru
oricine este îngrijorat de folosirea datelor și accesul neautorizat la informații în cadrul diferitelor servicii. Există mulţi algoritmi de semnătură digitală în literatura de specialitate. Practic s-au impus trei dintre acestea :
Standardul de semnătură digitală (DDS) a guvernului SUA Semnătura pe bază de hash Semnătura RSA creată prin utilizarea algoritmului clasic dezvoltat de Don Rivest
Fiecare dintre algoritmi are utilizare diferită şi cerinţe diferite.
IV.Tipurile de atacuri i metodele de protec ie împotrivaș ț lor
Ingineria SocialăReprezină una din cele mai simple şi eficiente atacuri, dar totuşi nu necesită cunoştinţe în
domeniul tehnologiilor. Ea presupune manipulrea persoanelor ce au o autoritate în sistemul ce urmează a fi spars, de a face anumite lucruri, ce l-ar ajuta pe hacker să execute atacul. Ingineria socială este foarte simplă, de aceea, deseori, nu se iau în consideraţie astfel de atacuri şi din cauza lor pot apărea distrugeri enorme pentru companie. De obicei, ingineria socială este însoţită de alte tipuri de atacuri, astfel devenind o armă puternică în mîna atacantului.
Ingineria socială poate fi evitată prin implementarea tehnicilor de securitate ce protejează de accesul liber al persoanelor neautorizate în încăperile companiei, instruirea personalului, anunţarea lucrătorilor în caz că apare o persoană nouă autorizată, etc.
O altă metodă, apropiată de aceasta, utilizată de hackeri reprezintă Dumpster Diving, ce presupune căutarea codului de programe, parolelor în urne, resurse neutilizate, de aceea e necesară distrugerea datelor confidenţiale, ci nu aruncarea lor.
Există mai multe metode de atacuri de acest tip, printre care sunt şi phishing-ul, vishing-ul şi baiting-ul. Phishingul reprezintă un atac, în care se simulează o organizaţie legitimă, care cere informaţii confidenţiale de la utilizator, de exemplu, pe e-mailul victimei vine un mesaj ce conţine siteul emulat al unei organizaţii reale, cu emblema sa, iar în cazul cînd utilizatorul încearcă să se logheze, el trimite parola sa atacatorului.
Baitingul reprezintă atacul, cînd victima introduce codul dăunător în calculatorul său, doar din propria curiozitate. Hackerul poate lăsa un disc, sau un flash drive USB, ce va instala automat codul dăunător cînd este introdus, şi victima din curiozitate poate introduce acel flash pentru a vedea ce e înscris pe el, astfel infectînd calculatorul, dînd permisiune hackerului să obţină acces la el.
Atacuri SMTPAceste atacuri de obicei sunt bazate pe vulnerabilitatatea buffer overflow, inserînd în textul
mesajului un conţinut prea mare, iar în secvenţa ce nu încape în e-mail sunt incluse comenzi pentru serverul e-mail, astfel, după ce se trimite mesajul, eroarea va executa codul dăunător din mesaj, dînd posibilitate hackerului să spargă serverul.
Apărarea împotriva acestui atac este Update-ul regulat al softului şi sistemului de operare a serverului, pentru a evita vulnerabilităţile.
Spargerea parolelorAceasta reprezintă un atac pe care hackerul îl efectuează ca să se poată autoriza şi autentifica
într-un sistem pentru a-i obţine resursele. În majoritatea cazurilor, atacantul obţine nu parolele, ci hashul acelor parole. Precum funcţia de criptare a parolelor nu este una inversabilă, deci parola nu se poate de calculat cunoscînd hashul, ea de obicei este aflată prin trierea tuturor variantelor posibile, sau conform unui dicţionar, pînă nu coincide parola criptată cu hashul căpătat. Există numeroase metode de criptare, dar cele mai sigure şi utilizate în prezent sunt md5 şi sha. Saltingul reprezintă o metodă de criptare a parolelor, în funcţie de numele de utilizator, astfel complicînd spargerea lor considerabil.
Pentru a evita riscul ca parolele să fie sparte, e nevoie ca ele să fie de o dificultate mare, să conţină litere mici, majuscule, cifre, semne de punctuaţie, totodată trebuie ca ele să fie schimbate la intervale regulate, pentru a nu da şanse atacatorului să reuşească să le spargă în acest interval de timp.
FloodingFlooding-ul poate inunda un server sau host cu o cantitate anormală de pachete, avînd ca scop
supraîncărcarea serverului. Se deosebesc 2 tipuri de flooding-uri: SYN Flood – inundarea are loc cu pachete SYN speciale, fără a trimite înapoi ca
răspuns pachete ACK. Aceasta duce la faptul că calculatorul primeşte mai multe pachete SYN decît poate prelucra, lăsînd multe conexiuni semideschise concomitent.
Ca soluţie pentru apărarea contra acestui atac poate servi serviciul numit SYNcookie, ce prelucrează în alt fel procesul de stabilire a conexiunii dintre calculatoare prin handshaking. Fără acest serviciu, conexiunea s-ar stabili în următorul fel: Clientul cere o conexiune, deci trimite un pachet SYN către server. Serverul înştiinţează că cererea a fost primită, şi trimite clientului un pachet SYN-ACK. Acesta îi transmite un pachet ACK, confirmînd conexiunea. Utilizînd SYNcookie, conexiunea are loc în aşa fel: Calculatorul A transmite numărul X calculatorului B pentru a cere conexiunea. Acesta crează numărul Y, ce reprezintă o transformare criptată a lui X, şi dacă calculatorul B acceptă, conexiunea are loc. Aceasta face ca să nu fie necesară salvarea tuturor pachetelor SYN deschise pe jumătate, deci atacurile de tip SYN Flood nu vor mai fi periculoase.
Altă metodă de protecţie presupune crearea programelor care automat vor şterge pachetele SYN după o anumită perioadă de timp, dacă hostul nu cere răspuns, pachetul va fi şters.
În prezent reţelele nu sunt vulnerabile la SYN Flood, deoarece metodele de apărare împotriva lor sunt deseori utilizate.
ICMP ping Flood – se inundează cu pinguri. Este periculos doar în cazul cînd lăţimea de bandă a victimei este cu mult mai mică ca a atacatorului. Dacă atacul are loc, calculatorul victimă va consuma o cantitate mare din lăţimea sa de bandă, şi alte procese nu vor putea avea loc în sistem.
În prezent astfel tipuri de atacuri nu prezintă pericol, deoarece lăţimile de bandă de obicei sînt destul de mari pentru a suporta cantităţile de cereri ICMP.
SpoofingSpoofingul nu este mereu un atac, dar de obicei este însoţit de un atac. El reprezintă
ascunderea informaţiei despre calculatorul atacator, de exemplu a adresei IP, adresei MAC, serverului DHCP, DNS, User Agentului, etc. El este utilizat pentru a ascunde identitatea hackerului şi a-i face mai dificilă găsirea calculatorului atacator. Spoofingul se realizează prin serverele proxy, vulnerabilităţile în protocoalele TCP/IP sau prin serviciile anonime de pe internet. Utilizînd Spoofingul
pentru IP, atacatorul poate trimite pachete dăunătoare unui calculator din reţea, iar acela îi va răspunde calculatorului cu adresa IP sub care s-a ascuns hackerul, din această cauză IP Spoofingul este deseori folosit pentru atacuri de tip DoS, MITM, smurf, pentru redirecţionarea traficului sau pentru accesarea reţelei protejate de un firewall, dacă se cunoaşte un IP ce poate accesa reţeaua.
O metodă eficientă de atac reprezintă Spoofingul Numerelor Secvenţiale. Orice reţea TCP/IP utilizează numerele secvenţiale pentru a stabili conexiunile, prin intermediul procesului de handshaking. Aceste numere sunt bazate pe ceasul intern al calculatorului respectiv, calculat după un algoritm. Deci urmărind numerele secvenţiale transmise între 2 calculatoare, se poate calcula următoarele valori ale acestor numere, deci se poate de trimis acele numere calculate, intrînd într-o reţea de încredere cu calculatoarele victime.
Session Highjacking e asemănător ca şi Spoofingul Numerelor Secvenţiale, doar că în acest caz se fură sesiunea unui client, prin ascunderea adresei IP sau MAC reale, cu adresele clientului deja conectat la reţea, astfel opţinînd privelegiile acelui client în reţeaua dată.
Cea mai utilizată metodă de securizare împotriva Spoofingului, este criptarea datelor între routere şi hosturi externe, ce micşorează şansa ca hackerul să afle datele despre calculatoare în timp rezonabil. Altă soluţie ar fi filtrarea în firewall a traficului extern ce vine de la un host de încredere din interiorul reţelei, ce ar evita IP Spoofingul.
SniffingSniffingul reprezină procesul de capturare şi analiză a traficului. Utilitarele folosite pentru
sniffing se numesc sniffere sau analizatoare de protocoale. Ele analizează pachetele transmise prin reţea, capturînd parolele, sau alte date confidenţiale transmise în formă de text simplu. De obicei analizatoarele de protocoale se utilizează în reţele locale, dar pot fi utilizate şi în reţelele WAN. Sniffingul poate fi simplu utilizat în LAN în cazul cînd placa de reţea a victimei e setat în modul “promiscuous”, ce asigură că informaţia va fi citită idiferent de IP-ul sursei.
Pentru protecţia împotriva acestor sniffere, se utilizează IPSec, care encriptează traficul din reţea, astfel datele capturate de hacker nu vor fi uşor descifrabile. Altă metodă ar fi folosirea programelor anti-sniffer, ce verifică dacă reţeaua este monitorizată sau nu.
Utilizarea switch-urilor în loc de huburi permite segmentarea subreţelelor, deci atacatorul dintr-un segment de subreţea nu va putea analiza traficul dintre calculatoarele altei subreţele.
Denial of Service (DoS)Scopurile atacurilor DoS nu sunt captarea datelor, parolelor, ci prevenirea utilizatorilor
legitimi de a se folosi de anumite resurse ale reţelei. Atacurile DoS se pot manifesta în 2 moduri: prin inundarea cu informaţie invalidă a serverului, sau prin căderea activităţii lui. Orice atac care are ca scop limitarea disponibilităţii unui host poate fi clasificat ca atac DoS. Cele mai frecvente atacuri DoS sunt bazate pe protocoalele TCP/IP. Ele funcţionează prin unul din următoarele metode:
Consumul resurselor computaţionale, precum lăţimea benzii de transfer, spaţiu pe hard, puterea procesorului, etc.
Coruperea configuraţiilor informaţiei Coruperea stării informaţiei, de exemplu întreruperea nesolicitată a conexiunilor TCP/IP Distrugerea fizică a componentelor reţelei. Împiedicarea comunicării dintre 2 calculatoare, astfel ei nu vor putea comunica adecvat.
Există multe tipuri diferite de atacuri DoS: Ping of Death
Acest tip de atac trimite pinguri de mărime mai mare decît mărimea maximă 65535 B, astfel pachetul ICMP este fragmentat, şi staţia victimă va trebui să îl reasambleze, dar în acest timp el mai primeşte pinguri, astfel ducînd la supraîncărcarea sistemului.
Atacuri TeardropSe bazează pe acelaşi principiu ca şi Ping of Death, doar că Teardrop utilizează defectele în
protocoalele TCP/IP, în urma transmiterii pachetelor prin reţea fiind imposibilă reasamblarea lor din cauza valorii greşite a offsetului inserat în traficul IP, ce reprezintă o vulnerabilitate în codul de reasamblare a pachetelor invalide din TCP/IP. Aşadar prelucrînd multe pachete invalide, calculatorul se supraîncarcă.
Atacuri peer-to-peer Hackerii au descoperit defecte ale reţelelor peer-to-peer, carea le-au permis să iniţializeze
atacuri DDoS cu ajutorul calculatoarelor zombie din reţeaua p2p. Acest atac se deosebeşte de atacurile DDoS simple prin faptul că aici atacatorul nu are nevoie să comunice cu calculatoarele zombie pentru a începe atacul. Ele automat se vor deconecta de la reţeaua p2p, iniţializînd atacul asupra serverului web victimă. În cazul atacurilor cu un număr mare de calculatoare, serverul se va supraîncărca, chiar şi închinzînd conexiunile, el va cheltui multe resurse,
Acest atac poate fi evitat prin specificarea în protocolul p2p care porturi sunt permise, şi care nu, astfel blocînd portul 80, posibilităţile de atac a serverului web prin această tehnică devin foarte mici.
Permanent Denial of Service (PDoS)Cunoscut ca şi Phlashing reprezintă atacuri care distrug sistemul într-atît, încît e necesară
înlocuirea componentelor hardware, sau chiar a întregului sistem. Atacatorul obţine acces la un printer, router sau alte componente din reţea, astfel îi poate modifica firmware+ul cu o imagine invalidă, coruptă, sau modificată, astfel distrugînd acel component.
Flood la nivelul de aplicaţieFlood-ul pe Internet Relay Chat (IRC), reprezintă o armă de atac frecvent utilizată. Ea are ca
scop eliminearea unui utlizator din conversaţie, sau chiar închiderea conversaţiei, prin intermediului Flood-ului. Există multe metode de astfel de atacuri, de exemplu: prin trimiterea unor mesaje extrem de lungi, prin trimiterea unui număr enorm de mesaje, invitaţii sau notificări victimei într-un timp scurt, schimbarea nickului, sau conectarea/deconectarea foarte rapidă si repetată.
SPAM-ul de asemenea poate fi un atac DoS. Utilizatorii unui server e-mail pot primi mesaje nesolocitate, ce reclamează diferite produse de care utilizatorul nu are nevoie, sau mesaje cu caracter neplăcut, etc. Acestea reprezintă SPAM-ul, care are ca scop nu deranjarea utilizatorului, ci atacul serverului, prin transmiterea a numeroase e-mailuri, care unii utilizatori trimit altora, SPAM-erii îşi doresc supraîncărcarea serverului, ce poate duce la utilizarea întregii lăţimi de bandă, a puterii procesorului, sau a spaţiului pe hard. SPAM-ul poate conţine adresa de returnare falsificată, sub numele unui utilizator real, deci e-mailul lui va fi invadat de răspunsuri la mesaj. Programele anti-spam pot filtra mesajele nesolicitate, dar deseori ei consideră ca SPAM şi mesajele legitimate.
Diferite exploituri ce atacă vulnerabilităţile buffer overflow, pot utiliza tot spaţiul de pe disc, sau puterea procesorului, astfel facînd serverul neeficient. Alt tip de atac DoS poate fi aplicat prin bruteforce, transmiţînd victimei numere mari de pachete, saturînd lăţimea de bandă a victimei, astfel încît alţi utilizatori nu o pot folosi. Aşa metodă se utilizează de obicei în atacurile DDoS. Alt exemplu poate fi atunci cînd se supraîncarcă un anumit serviciu al serverului, ocupînd tot spaţiul de pe hard cu fişierele de înregistrare log. O tehnică specială de atac DoS reprezintă „Banana attack”, ce redirecţionează toate pachetele trimise de client serverului, înapoi clientului, inundînd-ul cu aceleaşi pachete trimise.
Avînd acces la calculatorul victimei, atacatorul îl poate încetini întratît, încît sa devină inutilizabil, folosind în acest scop Fork Bomb, ce reprezintă un proces care se deschide pe sine însuşi de atîtea ori, cîte sloturi maxime pentru procese admite sistemul de operare, şi în caz că se închide un proces, el automat se deschide din nou, astfel nu permite calculatorului să execute alte procese, făcînd sistemul inutilizabil.
DDoSDistributed Denial of Service reprezintă atacul în care un singur server este atacat de multe
calculatoarea Zombie, care sunt infectate de hacker prin diverse metode, de obicei prin intermediul programelor malware, în care este înscris adresa IP a victimei, deci nu este nevoie de interacţiunea atacatorului pentru a reliza atacul, deşi în unele cazuri el poate prelua controlul asupra calculatoarelor infectate. Este utilizată în atacurile Smurf şi Fraggle, care sunt explicate în continuare.
În prezent nu există metode eficiente de evitare a atacurilor DDoS, totodată nu poate fi aflat uşor provenienţa atacului.
Distributed Reflected Denial of Service Attack (DRDoS)Presupune trimiterea unor cereri false către un număr mare de calculatoare, iar cu ajutorul IP
Spoofing, se redirecţionează toate răspunsurile către hostul cu IP-ul emulat. Un tip de atac DRDoS reprezintă atacul Smurf, ce reprezintă generarea unui trafic enorm în interiorul unei reţele, prin intermediul pachetelor ICMP cu o adresă IP modificată a sursei. Dacă routerul transmite pachetele spre toate calculatoarele din reţea, atunci pingurile se vor transmite spre calculatorul victimă în număr foarte mare, multiplicînd traficul cu numărul de hosturi din reţea. În acest caz reţeaua ce transmite pingurile calculatorului victimă este numită amplificator Smurf.
Metodele de protecţie împotriva acestui atac presupun nu apărarea victimei, ci reţelei, ca ea să nu participe în atacul Smurf. Pentru aceasta se interzic transmiterea pachetelor ICMP în afara reţelei, sau se configurează routerele să nu permită trecerea pachetelor ICMP.
Atacul Fraggle este asemănător cu Smurf, fiind doar o simplă modificarea a acesteia, pachetele de date fiind de tip UDP, şi atacul bazîndu-se pe porturile 7 şi 19.
Degradation of ServiceAcest atac utilizează calculatoare Zombie pulsatoare, adică ele transmit Flooduri doar că nu în
timp îndelungat, ci în intervale anumite de timp. Astfel aşa tipuri de atacuri sunt dificil de detectat, deoarece sunt asemănătoare cu un trafic mărit, dar ele degradează treptat serverul. Ele pot fi mai periculoase ca Flood-ul simplu, ducînd la întreruperea conexiunilor cu serverul pe perioade lungi de timp.
Man-in-the-Middle attack (MITM)Atacul MITM presupune ca hackerul să intercepteze şi, dacă are nevoie, să modifice
conţinutul mesajelor dintre 2 calculatoare, facînd ambele victime să creadă că ei comunică între ei, pe cînd conversaţia este controlată de atacator. Victima A cere victimei B keyul cu care vor encripta mesajele în conversaţia ce urmează. Hackerul primeşte keyul victimei B, dar victimei A îi trimite altul, astfel A cu B nu vor putea comunica. În timp ce victimele comunică între ele, atacatorul converteşte mesajele dintr-un key în altul, şi în caz de nevoie, modifică mesajul iniţial.
Acest atac poate fi obţinut prin intermediul Spoofingului DHCP, adică un calculator din reţea pretinde că el este serverul DHCP, luînd informaţia despre hosturi de la serverul DHCP real. Dacă atacatorul indică calculatoarelor din reţea date greşite, ele vor întîmpina probleme de conectare, iar în cazul cînd default gateway este indicat un calculator al hackerului din reţea, acel calculator poate aplica sniffingul pentru a afla toate datele confidenţiale trimise de calculatoarele din reţea altor reţele externe. Acest Spoofing DHCP poate fi detectat utilizînd programele special destinate pentru aceasta.
Atacul ReplayAcest atac constă în transmiterea fraudată a mesajelor către o victimă, ca şi cum din partea
altei persoane. În urma sniffingului în interiorul unei reţele, atacatorul poate intercepta datele confidenţiale din interiorul reţelei. De exemplu, calculatorul A doreşte să comunice cu calculatorul B, acesta cerîndu-i o parolă pentru a verifica identitatea. Dacă hashul parolei coincide cu cea pe care o cunoaşte calculatorul B, conexiunea are loc. În acest timp, hackerul a captat acest hash, şi în viitor îl poate folosi pentru ca calculatorul B să creadă că de fapt comunică cu calculatorul A.
Pentru a evita astfel de atacuri, se utilizează jetoanele de sesiune, de care se ataşează hashul parolei, în dependenţă de acest jeton, la verificarea identităţii. Pentru altă sesiune, se foloseşte alt jeton, care este generat de numere aleatoare. Apare altă problemă, deoarece numerele aleatoare nu sunt chiar atît de aleatoare, fiind calculate dupa unele valori care se schimbă în timp, de exemplu timpul de cînd e pornit calculatorul. Atacatorul poate afla acest algoritm, urmărind mai multe conexiuni dintre victime, aflînd următoarea valoare la momentul începerii atacului.
DNS RebidingReprezintă o formă de atac, cînd utilizatorul accesează o pagină web, ce alterează modul în
care browserul accesează siteul utilizînd serverul DNS. Prin intermediul codului web javascript, flash sau java, hackerul poate manipula browserul victimei. Deseori DNS Rebiding este utilizat pentru atacurile DDoS, dînd comenzi browserului victimei să atace un server Web, astfel toţi utilizatorii care întîmplator vor deschide acea pagină web, îşi vor infecta browserul, ajutînd hackerului să atace acel server. Pentru a evita astfel de atacuri se utilizează mai multe tehnici. De exemplu DNS Pinning, ce verifică dacă adresa DNS iniţială este aceeaşi ca şi la moment, doar că această metodă provoacă erori în cazul serverelor DNS dinamice. Altă tehnică presupune negarea tuturor cererilor HTTP ce nu au un header cunoscut al hostului.
DNS cache poisoningPresupune modificarea bazei de date cache a serverului DNS, astfel încît el va asocia adrese
ale siteurilor Web cu IP greşit, redirecţionînd spre alt site. Atacatorul de exemplu poate redirecţiona către o pagină web ce conţine un virus, vierme, sau cal troian, astfel, infectînd calculatorul victimei prin intermediul vulnerabilităţilor în serverul DNS. Infectarea serverului DNS are loc cel mai des cu ajutorul exploiturilor sau a utilitelor special scrise pentru aceasta. De asemenea, există numeroase utilite, sau implementarea serviciilor Network Address Translation (NAT) şi Port Address Translation (PAT) pentru a apreveni astfel de atacuri.
ARP PoisoningCunoscut şi sub numele de ARP Flooding, ARP Poisning Routing (APR). Principiul atacului
constă în faptul că atacatorul trimite pachete ARP (Address Resolution Protocol) falsificate către utilizatorii reţelei. Pachetul asociază adresa MAC a hackerului cu o adresă IP străină din reţea, de exemplu, a gatewayului. Aşadar, tot traficul care pretinde să iasă în exteriorul reţelei, va trece nu prin gateway, ci prin calculatorul atacatorului, dîndu-i posibilitate să implementeze atacuri de tip Man-in-the-Middle, sau sniffingul reţelei.
O metodă de apărare împotriva acestui atac reprezintă DHCP snopping, ce verifică după adresa MAC dacă serverul DHCP este întradevăr real.
Atacuri WirelessPrecum undele radio sunt dificil de controlat, reţelele Wi-Fi sunt supuse des atacurilor de
securitate. Toate tehnicile de atac în reţea prin cablu sunt valabile şi pentru wireless, doar că în acest
caz, există multe metode specifice, caracteristice în mare parte punctelor de acces. Orice calculator ce suportă conexiuni wireless, va putea intercepta toate pachetele care se transmit în radiusul în care fucnţionează punctul de acces wireless, de aceea securitatea în reţele Wi-Fi este extrem de sensibilă. Prin intermediul atacurilor wireless, hackerul poate ataca în continuare reţeaua prin cablu.
Cea mai simplă metodă de atac wireless reprezintă Wireless DeAuth, care are ca scop nu furtul, modificarea datelor, ci doar delogarea tuturor utilizatorilor din reţea, fără a cunoaşte key-ul.
După ce hackerii au început să exploateze reţelele wireless, au apărut metode de securitate bazate pe key-uri. WEP reprezintă prima metodă de evitare a accesului neautorizat. Dar el are multe vulnerabilităţi, care sunt utilizate de atacatori pentru a exploata reţeaua. O tehnică mai sigură de securitate reprezintă WPA, mai apoi fiind dezvoltat WPA-2, dar hackerii oricum gasise vulnerabilităţi în aceste tehnici. În prezent una din cele mai sigure metode de securitate wireless reprezintă Cisco LEAP, care au corectat vulnerabilităţile celorlalte tehnici. Destul de frecvente sunt şi atacurile MITM, DoS, Replay, pentru reţelele Wi-Fi.
O metodă adiţională de securitate reprezintă filtrarea adreselor MAC, deci doar calculatorul cu o adresă specifică va putea utiliza punctul de acces, deşi utilizarea Spoofingului MAC este destul de simplă, astfel e posibil de utilizat aceasta pentru a obţine acces neautorizat la reţea. Altă utilizarea a Spoofingului MAC ar fi în Session HighJacking. Ea presupune Sniffingul reţelei wireless, pentru a găsi adresele MAC a utilizatorilor deja autorizaţi, şi modificarea adresei proprii în conformitate cu adresa utilizatorului, şi atacatorul se poate folosi de reţea, fiind socotot deja logat de punctul de acces.
Network Injection este procesul în care atacatorul utilizează un punct de acces ce nu filtrează traficul, pentru a reconfigura routerele, switchurile şi huburile inteligente. În aşa fel, o întreagă reţea poate să cadă, fiind necesară restartarea, sau chiar reconfigurarea lor.
Atacul Caffe Latte este o altă metodă de a exploata reţeaua WEP. Pentru a o realiza, hackerul nu are nevoie să se afle în radiusul de acoperire a reţelei. El exploatează sistemele Windows, capturînd informaţia din stivă, astfel obţinînd key-ul de la reţeaua wireless. Atacatorul transmite numeroase cereri ARP encriptate, utilizînd Floodul cu aceste pachete, el poate obţine keyul.
Partea PracticăPartea practică a tezei include cercetarea şi penetrarea reţelei Liceului Academiei de Ştiinţe,
cu ajutorul coordonatorului nostru ştiinţific, administrator al acestei reţele. Am urmărit etapele de realizare a unui atac, precum a fost descris în teză. Iniţial, am pretins să obţinem acces la reţea de la un Laptop, dar am aflat că reţeaua filtrează adresele MAC, deci utilizînd utilita macchanger am schimbat adresa MAC cu a unui calculator din reţea, astfel obţinînd acces egal ca şi celelalte calculatoare din reţea. Mai apoi am determinat structura reţelei cu ajutorul utilitei Zenmap. De asemenea, am aflat şi sistemele de operare a acestor calculatoare (Anexa 2). Următoarea etapă consta în obţinerea acesului la un calculator din reţea. Pentru aceasta am utilizat Metasploit-ul, ce conţine o bază de date enormă de exploit-uri pentru numeroase vulnerabilităţi. Metasploitul reprezintă o utilită cu numeroase isntrumente de scanare, exploatare, obţinere a accesului, escaladării privelegiilor, şi obţinere a informaţiei despre un host.
Întrucît calculatoarele din reţea erau destul de securizate, nu am putut obţine acces nici la unul din ele, însă am desecurizat unul din ele pentru a demonstra importanţa securităţii. Datorită utilitei Zenmap (Anexa 1) am determinat vulnerabilităţile calculatorului victimă, adică servicii care întrețin un anumit port deschis, prin intermediul căreia putem aplica atacuri de tip buffer overflow (Anexa 3) pentru a obține acces. Cu ajutorul defectelor în serviciul msrpc de pe portul TCP 135, care era activat, dar nu era utilizat, exploitul a folosit shellcodul, pentru a activa payload-ul ce ne va permite executarea comenzilor din cmd a calculatorului victimă.
Astfel, după cîteva ore de încercări, am obţinut accesul total asupra calculatorului, ceea ce demonstrează că un hacker cu mai multă experienţă ar fi spars sistemul destul de uşor. Ideea pe care ne-am bazat pentru a sparge sistemul, consta în faptul că orice calculator are vulnerabilităţi ce pot fi utilizate cu ajutorul exploiturilor. Acestea execută coduri dăunătoare prin intermediul defectelor diferitelor servicii, care sunt activate, avînd porturi deschise, dar nu sunt utilizate sau filtrate.
ConcluzieDupă cercetarea dată, am demonstrat importanţa securităţii în domeniul tehnologiilor
informaţionale, precum şi multitudinea de daune ce poate provoca un atacator unei singure persoane sau chiar şi unei întregi organizaţii. Sistemele informaţionale niciodată nu pot fi în siguranţă totală, şi uneori preţul informaţiei este mult mai mare decît preţul acelor sisteme pe care se află, dacă se iau în consideraţie datele confidenţiale, secrete. De aceea, securitatea datelor poate fi un factor critic în economia unei companii. Lupta pentru informaţii nu poate fi stopată, de aceea hackerii vor găsi noi metode complexe de atacuri, pentru a dobîndi informaţiile secrete.
Securitatea unei reţele depinde de foarte mulţi factori, precum am spus, de aceea înainte de a securiza o reţea, este nevoie de a calcula nivelul de protecţie în raport cu datele păstrate în acele sisteme. Un utilizator simplu nu va avea nevoie de securitate foarte ridicată, preţul securizării nu trebuie să depăşească preţul informaţiei.
În urma cercetării, am demonstrat că doar dacă un calculator are antivirus şi firewall, el nu este securizat, există numeroase metode de a evita detectarea de către aceste programe, totodată experienţa utilizatorului fiind cel mai important factor ce determină securitatea. Efectuînd teza, ne-am obţinut scopul propus, demonstrînd procesele care au loc pentru principalele tipuri de atacuri, precum şi metodele de protecţie împotriva lor.
Măsurile de protecţie ar fi trebuit de implicat, indiferent de valoarea informaţiei, ci chiar şi din cauza că unele atacuri pot distruge componentele hardware. În dependenţă de nivelul de securitate necesar, protecţia poate fi asigurată printr-o singură parolă, pînă la tehnologii biometrice, smartcard-uri, parole cu tehnici deosebite de criptare, etc.
Bibliografie Lydia Parziale, David T. Britt, Chuck Davis, Jason Forrester, Wei Liu, Carolyn Matthews,
Nicolas Rosselot; TCP/IP Tutorial and Technical Overview; Business Machines Corporation, 2006
Tom Karygiannis, Les Owens, Wireless Network Security 802.11, Bluetooth and Handheld Devices; Computer Security Division Information Technology Laboratory National Institute of Standards and Technology, Gaithersburg, 2002
John E. Canavan; Fundamentals of Network Security; ARTECH HOUSE, 2001 Florent Parent, Managing Cisco Network Security: Building Rock-Solid Networks, Syngress
Publishing, 2000 Christopher Leidigh; Fundamental Principles of Network Security; American Power Conversion;
2005 http://en.wikipedia.org/wiki/Attack_(computer) http://en.wikipedia.org/wiki/ISO_IEC_27002 http://en.wikipedia.org/wiki/Wireless_security http://www.proprofs.com/mwiki/index.php?title=Attacks http://offensive-security.com/metasploit-unleashed http://www.cert.org/encyc_article/tocencyc.html http://www.interhack.net/pubs/network-security/ http://openlearn.open.ac.uk/mod/oucontent/view.php?id=399423 http://iso27001security.com/html/27002.html
Anexe
Anexa 1
Structura subreţelei liceului Structura reţelei Academiei de Ştiinţe şi ieşirea în afara reţelei.
Anexa 2
Baza de date a hosturilor din subreţea, cu sistemele lor de operare şi adresele MAC.
Anexa 3Rezultatul scanării de către Nmap, în Metasploit, în care sunt indicate serviciile posibil vulnerabile pentru atacuri