Характерные особенности сетевых атак
Развитие интернет-технологий привело к росту угроз разглашения персональных данных, критически важных корпоративных ресурсов, государственных тайн и т.д. Этому способствуют два основных фактора: повсеместное проникновение Интернета и всеобщее распространение простых в использовании операционных систем и сред разработки. Этот фактор резко снижает требования к уровню знаний злоумышленника.
Проблемы обеспечения информационной безопасности в корпоративных компьютерных сетях обусловлены угрозами безопасности для локальных рабочих станций, локальных сетей и атаками на корпоративные сети, имеющие выход в общедоступные сети передачи данных.
Нарушитель, осуществляя атаку, ставит перед собой следующие цели:
¨ нарушение конфиденциальности передаваемой информации;
¨ нарушение целостности и достоверности передаваемой информации;
¨ нарушение работоспособности системы в целом или отдельных ее частей.
С точки зрения безопасности распределенные системы характеризуются прежде всего наличием удаленных атак, поскольку компоненты распределенных систем обычно используют открытые каналы передачи данных и нарушитель может не только проводить пассивное прослушивание передаваемой информации, но и модифицировать передаваемый трафик (активное воздействие). Трудность выявления факта проведения удаленной атаки выводит этот вид неправомерных действий на первое место по степени опасности, поскольку необнаруживаемость препятствует своевременному реагированию на осуществленную угрозу, в результате чего у нарушителя увеличиваются шансы успешной реализации атаки.
Безопасность локальной сети отличается от безопасности межсетевого взаимодействия тем, что в этом случае на первое по значимости место выходят нарушения зарегистрированных пользователей, поскольку в основном каналы передачи данных локальной сети находятся на контролируемой территории, защита от несанкционированного подключения к которым реализуется административными методами.
На практике IP-сети уязвимы для ряда способов несанкционированного вторжения в процесс обмена данными. Существует четыре основных категории сетевых атак:
¨ атаки доступа;
¨ атаки модификации;
¨ атаки типа «отказ в обслуживании»;
¨ комбинированные атаки.
Атака доступа – это попытка получения злоумышленником информации, на ознакомление с которой у него нет разрешения. Атака доступа направлена на нарушение конфиденциальности информации. Они бывают следующих видов:
¨ Подслушивание (Sniffing). По большей части данные передаются по компьютерным сетям в незащищенном формате (открытым текстом), что позволяет злоумышленнику, получившему доступ к линиям передачи данных в сети, подслушивать или считывать трафик. Для подслушивания в компьютерных сетях используют сниффер. Сниффер – прикладная программа, которая перехватывает все сетевые пакеты, передаваемые через определенный домен. В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа трафика. Однако ввиду того, что некоторые сетевые приложения передают данные в текстовом формате, с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию. Предотвратить угрозу сниффинга пакетов можно с помощью следующих мер и средств: применение для аутентификации однократных паролей; установка аппаратных или программных средств, распознающих снифферы; применение криптографической защиты каналов связи.
¨ Перехват (Hijacking). Это активная атака. Злоумышленник захватывает информацию в процессе ее передачи к месту назначения (перехват имен и паролей). Если приложение работает в режиме клиент/сервер, а аутентификационные данные передаются по сети в читаемом текстовом формате, эту информацию с большой вероятностью можно использовать для доступа к другим корпоративным или внешним ресурсам. В самом худшем случае хакер получает доступ к пользовательскому ресурсу на системном уровне и с его помощью создает атрибуты нового пользователя, которые можно в любой момент применить для доступа в сеть и к ее ресурсам.
¨ Перехват сеанса (Session Hijacking) – по окончании начальной процедуры аутентификации соединение, установленное законным пользователем (например, с почтовым сервером) переключается злоумышленником на новый хост, а исходному серверу выдается команда разорвать соединение. В результате «собеседник» законного пользователя оказывается незаметно подмененным. После получения доступа к сети у атакующего злоумышленника появляются большие возможности:
à он может посылать некорректные данные приложениям и сетевым службам, что приводит к их аварийному завершению или неправильному функционированию;
à он может также наводнить компьютер или всю сеть трафиком, пока не произойдет останов системы в связи с перегрузкой;
à атакующий может блокировать трафик, что приведет к потере доступа авторизованных пользователей к сетевым ресурсам.
Атака модификации – это попытка неправомочного изменения информации; она направлена на нарушение целостности информации. К этой категории сетевых атак относятся:
à Изменение данных – злоумышленник, получивший возможность прочитать данные может изменить их. Данные в пакете могут быть изменены, даже если злоумышленник ничего не знает ни об отправителе, ни о получателе
à Добавление данных – добавление новых данных, например, в информацию об истории прошлых периодов. Взломщик выполняет операцию в банковской системе, в результате чего средства со счета клиента перемещаются на его собственный счет.
à Удаление данных – перемещение существующих данных, например аннулирование записи об операции из балансового отчета банка, в результате чего снятые со счета денежные средства остаются на нем.
Атака типа «отказ в обслуживании» (Denial-of-Service, DoS) – она не нацелена на получение доступа к сети или на извлечение из этой сети какой-либо информации. DoS-атака делает сеть организации недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения. DoS-атака занимает все соединения, доступные для приложений, и держит их в занятом состоянии, не допуская обслуживания обычных пользователей. В ходе DoS-атак могут использоваться обычные интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol).
Для предотвращения DoS-атаки требуется координация действий с провайдером. Если трафик, предназначенный для переполнения сети, не остановить у провайдера, то на входе в сеть это сделать невозможно, так как вся полоса пропускания будет занята.
Если атака этого типа проводится одновременно через множество устройств, то она назывпается распределенной атакой «отказ в обслуживании» (DDoS, Distributed DoS).
К DoS-атакам можно отнести:
à Отказ в доступе к информации – в результате DoS-атаки, направленной против информации, последняя становится непригодной для использования. Информация уничтожается, искажается или переносится в недоступное место.
à Отказ в доступе к приложениям – атака направлена на приложения, обрабатывающие или отображающие информацию, либо на компьютерную систему, в которой эти приложения выполняются. В случае успеха подобной атаки решение задач, выполняемых с помощью такого приложения, становится невозможным.
à Отказ в доступе к системе – целью атаки является вывод из строя компьютерной системы, в результате чего сама система, установленные на ней приложения и вся сохраненная информация становятся недоступными.
à Отказ в доступе к средствам связи – целью атаки является коммуникационная среда. Целостность компьютерной системы и информации не нарушается, однако отсутствие средств связи лишает пользователей доступа к этим ресурсам.
Комбинированная атака заключается в применении злоумышленником нескольких взаимно связанных действий для достижения своей цели. К этой категории сетевых атак относятся:
à Подмена доверенного субъекта. Большая часть сетей и операционных систем используют IP-адрес компьютера для того, чтобы определять, тот ли это адресат, который нужен. В некоторых случаях возможно некорректное присвоение IP-адреса (подмена IP-адреса отправителя другим адресом) – такой способ атаки называют фальсификацией адреса, или IP-спуфингом (IP-spoofing).
IP-спуфинг имеет место, когда злоумышленник, находящийся внутри корпорации или вне ее, выдает себя за законного пользователя. Злоумышленник может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Злоумышленник может также использовать специальные программы, формирующие IP-пакеты таким образом, чтобы они выглядели как исходящие с разрешенных внутренних адресов корпоративной сети.
Атаки IP-спуфинга часто являются отправной точкой для других атак. Классическим примером является атака типа «отказ в обслуживании» (DoS), которая начинается с чужого адреса, скрывающего истинную личность хакера. Обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверным приложениями.
Угрозу спуфинга можно ослабить с помощью следующих мер:
à правильная настройка управления доступом из внешней сети;
à пресечение попыток спуфинга чужих сетей пользователями своей сети;
à введение дополнительных методов аутентификации пользователей на основе одноразовых паролей или других методов криптографии в дополнение к аутентификации пользователей производится на базе IP-адресов
à Посредничество. Атака типа «посредничество» подразумевает активное подслушивание, перехват передаваемых данных невидимым промежуточным узлом и управление ими. Когда компьютеры взаимодействуют на низких сетевых уровнях, они не всегда могут определить, с кем именно они обмениваются данными.
à Посредничество в обмене незашифрованными ключами (атака Man-in-the-Middl – «человек-в-середине»). Для проведения атаки «человек-в-середине» злоумышленнику нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера ISP в любую другую сеть, может, например, получить сотрудник этого провайдера. Для атак этого типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации.
В более общем случае атаки «человек-в-середине» проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа трафика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии.
Эффективно бороться с атаками типа «человек-в-середине» можно только с помощью криптографии.
à Атака эксплойта. Эксплойт (exploit – эксплуатировать) – это компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на компьютерную систему. Целью атаки может быть как захват контроля над системой, так и нарушение ее функционирования (DoS-атака).
В зависимости от метода получения доступа к уязвимому программному обеспечению, эксплойты подразделяются на:
· удаленный эксплойт – работает через сеть и использует уязвимость в защите без какого-либо предварительного доступа к уязвимой системе;
· локальный эксплойт – запускается непосредственно в уязвимой системе, требуя предварительного доступа к ней. Обычно используется для получение взломщиком прав суперпользователя.
Атака эксплойта может быть нацелена на различные компоненты компьютерной системы – серверные приложения, клиентские приложения или модули операционной системы.
à Парольные атаки. Целью этих атак является завладение паролем и логином законного пользователя. Злоумышленники могут проводить парольные атаки, используя такие методы, как:
· подмена IP-адреса (IР-спуфинг);
· подслушивание (сниффинг);
· простой перебор.
Спуфинг и сниффинг позволяют завладеть паролем и логином пользователя, если те передаются открытым текстом по незащищенному каналу.
Часто хакеры пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой подход носит название «атака полного перебора» (Brute Force Attack). Для этой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования. Если в результате злоумышленнику удается подобрать пароль, он получает доступ к ресурсам на правах обычного пользователя. Если этот пользователь имеет значительные привилегии доступа, злоумышленник может создать для себя «проход» для будущего доступа, который будет действовать, даже если пользователь изменит свои пароль и логин.
Средства перехвата, подбора и взлома паролей в настоящее время считаются практически легальными и официально выпускаются достаточно большим числом компаний. Они позиционируются как программы для аудита безопасности и восстановления забытых паролей, и их можно на законных основаниях приобрести у разработчиков.
Парольных атак можно избежать, если не пользоваться паролями в текстовой форме. Использование одноразовых паролей и криптографической аутентификации могут практически свести на нет угрозу таких атак. К сожалению, не все приложения, хосты и устройства поддерживают указанные методы аутентификации.
При использовании обычных паролей необходимо придумать такой пароль, который было бы трудно подобрать. Минимальная длина пароля должна быть не менее восьми символов. Пароль должен включать символы верхнего регистра, цифры и специальные символы (#, $, &, % и т.д.).
à Угадывание ключа. Криптографический ключ представляет собой код или число, необходимое для расшифровки защищенной информации. Хотя узнать ключ доступа трудно и такие попытки требуют больших затрат ресурсов, тем не менее это возможно. В частности, для определения значения ключа может быть использована специальная программа, реализующая метод полного перебора. Ключ, к которому получает доступ атакующий, называется скомпрометированным. Атакующий использует скомпрометированный ключ для получения доступа к защищенным передаваемым данным без ведома отправителя и получателя. Ключ дает возможность расшифровывать и изменять данные.
à Атаки на уровне приложений. Самый распространенный способ проведения подобных атак – использование известных слабостей серверного программного обеспечения (FTP, HTTP, веб-сервера). Главная проблема с атаками на уровне приложений состоит в том, что злоумышленники часто пользуются портами, которым разрешен проход через межсетевой экран.
Сведения об атаках на уровне приложений широко публикуются, чтобы дать возможность администраторам устранить проблему с помощью коррекционных модулей (патчей). Многие хакеры также имеют доступ к этим сведениям, что позволяет им учиться.
Невозможно полностью исключить атаки на уровне приложений. Хакеры постоянно открывают и публикуют на своих сайтах в Интернете все новые уязвимые места прикладных программ. Здесь важно осуществлять хорошее системное администрирование. Чтобы снизить уязвимость от атак этого типа, можно предпринять следующие меры:
· анализировать лог-файлы операционных систем и сетевые лог-файлы с помощью специальных аналитических приложений;
· отслеживать данные о слабых местах прикладных программ;
· пользоваться самыми свежими версиями операционных систем и приложений и самыми последними коррекционными модулями (патчами);
· использовать системы распознавания.
à Анализ сетевого трафика. Целью атак подобного типа являются прослушивание каналов связи и анализ передаваемых данных и служебной информации с целью изучения топологии и архитектуры построения системы, получения критической пользовательской информации (паролей пользователей или номеров кредитных карт, передаваемых в открытом виде). Атакам данного типа подвержены такие протоколы, как FTP и Telnet, особенностью которых является то, что имя и пароль пользователя передаются в рамках этих протоколов в открытом виде.
à Сетевая разведка. Сетевая разведка – это сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер пытается получить о ней как можно больше информации. Сетевая разведка проводится в форме запросов DNS, эхо-тестирования (Ping Sweep) и сканирования портов. Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо-тестирование адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной среде. Получив список хостов, хакер использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. В результате добывается информация, которую можно использовать для взлома.
Полностью избавиться от сетевой разведки невозможно. Если, к примеру, отключить эхо-ответ на периферийных маршрутизаторах, можно избавится от эхо-тестирования, но потерять данные, необходимые для диагностики сетевых сбоев. Кроме того, сканировать порты можно и без предварительного эхо-тестирования.
à Злоупотребление доверием. Этот тип действий представляет собой злонамеренное использование отношений доверия, существующих в сети. Типичным примером такого злоупотребления является ситуация в периферийной части корпоративной сети. В этом сегменте обычно располагаются серверы DNS, SMTP и HTTP. Поскольку все они принадлежат к одному и тому же сегменту, взлом одного из них приводит к взлому и всех остальных, так как эти серверы доверяют другим системам своей сети. Риск злоупотребления доверием можно снизить за счет более жесткого контроля уровней доверия в пределах своей сети. Системы, расположенные с внешней стороны межсетевого экрана, никогда не должны пользоваться абсолютным доверием со стороны систем, защищенных межсетевым экраном.
Отношения доверия должны ограничиваться определенными протоколами и по возможности аутентифицироваться не только по IP-адресам, но и по другим параметрам.
à Псевдоантивирусы. Это мошеннические программы, являющиеся фальшивыми антивирусами. Хотя псевдоантивирусы выводят сообщения об обнаружении вредоносных программ, но на самом деле они ничего не находят и не лечат. Их задача состоит в том, чтобы убедить пользователя в наличии угрозы (на самом деле несуществующей) для компьютера и спровоцировать его уплатить деньги за активацию «антивирусного продукта».
Для распространения фальшивых антивирусов используются способы, применяемые для распространения большинства вредоносных программ, например скрытая загрузка при помощи Trojan-Downloader, реклама в Интернете. В настоящее время множество сайтов размещают баннеры с информацией о новом «волшебном» продукте, который избавляет от всех проблем.
Первым этапом деятельности псевдоантивируса является «сканирование» системы пользователя. По ходу «сканирования» псевдоантивирус выводит сообщения, последовательность которых хорошо продумана: например, ошибка Windows, обнаружение вредоносных программ, необходимость установить антивирус. Фальшивый антивирус предлагает исправить якобы выявленные ошибки и вылечить систему, но уже за деньги. Чем достовернее имитация действий серьезного легального ПО, тем больше у мошенников шансов получить плату за «работу» лжеантивируса.
Псевдоантивирусы практически невозможно выявить с помощью эвристических сигнатур, которые основаны на поведенческом анализе. Кроме того, псевдоантивирусы нередко содержат действительно вредоносные программы, которые могут использоваться для получения доступа к компьютеру, кражи ваших персональных.
à Фишинг (Phishing). Фишинг является относительно новым видом интернет-мошенничества. Его цель – получить идентификационные данные пользователей (пароли, номера кредитных карт, банковских счетов, PIN-кодов и другой конфиденциальной информации, дающей доступ к деньгам пользователя). Фишинг использует не технические недостатки программного обеспечения, а легковерность пользователей Интернета. Злоумышленник закидывает в Интернет приманку и «вылавливает» информацию.
Злоумышленник создает практически точную копию сайта выбранного банка (электронной платежной системы, аукциона и т.п.). Затем при помощи спам-технологии по электронной почте рассылается письмо, составленное таким образом, чтобы быть максимально похожим на настоящее письмо от выбранного банка. При составлении письма используются логотипы банка, имена и фамилии реальных руководителей банка. В таком письме, как правило, сообщается о том, что из-за смены программного обеспечения в системе интернет-банкинга пользователю необходимо подтвердить или изменить свои учетные данные. В качестве причины для изменения данных могут быть названы выход из строя ПО банка или нападение хакеров. Цель таких писем – заставить пользователя щелкнуть по приведенной ссылке, а затем ввести свои конфиденциальные данные (пароль, номер счета, PIN-код) на ложном сайте банка (электронной платежной системы, аукциона). Зайдя на ложный сайт, пользователь вводит в соответствующие строки свои конфиденциальные данные, а далее аферисты получают доступ в лучшем случае к его почтовому ящику, а в худшем – к электронному счету.
В настоящее время мошенники часто используют троянские программы. Задача фишера в этом случае сильно упрощается – достаточно заставить пользователя перебраться на фишерский сайт и «подцепить» программу, которая самостоятельно разыщет на жестком диске все, что нужно. Наравне с троянскими программами используются и кейлоггеры – на подставных сайтах на компьютеры жертв загружают шпионские утилиты, отслеживающие нажатия клавиш. При использовании такого подхода необязательно находить выходы на клиентов конкретного банка или компании, а потому фишеры стали подделывать и сайты общего назначения, такие как новостные ленты и поисковые системы.
à Фарминг (Pharming) – это вид мошенничества, целью которого является получить персональные данные пользователей, но не через почту, а прямо через официальные веб-сайты. Фармеры заменяют на серверах DNS цифровые адреса легитимных веб-сайтов на поддельные, в результате чего пользователи перенаправляются на сайты мошенников. Этот вид мошенничества еще опаснее, так как заметить подделку практически невозможно.
Для защиты от фишинга и фарминга применяются следующие меры:
· плагины для популярных браузеров – суть защиты заключается в блокировании сайтов, попавших в черные списки мошеннических ресурсов;
· системы генерации одноразовых паролей для интернет-доступа к банковским счетам и аккаунтам в платежных системах
· дополнительные уровней защиты за счет комбинации ввода пароля с использованием аппаратного USB-ключа.
à Применение ботнетов. Ботнет (зомби-сеть) – это сеть компьютеров, зараженных вредоносной программой поведения Backdoor. Backdoor позволяет злоумышленнику удаленно управлять зараженными машинами (каждой в отдельности, частью компьютеров, входящих в сеть, или всей сетью целиком) без ведома пользователя. Такие программы называются ботами.
Зараженными машинами, входящими в сеть, хозяин ботнета может управлять откуда угодно: из другого города, страны или даже с другого континента, а организация Интернета позволяет делать это анонимно.
Управление компьютером, который заражен ботом, может быть:
· прямым – злоумышленник может установить связь с инфицированным компьютером и управлять им, используя встроенные в тело программы-бота команды
· опосредованным – бот сам соединяется с центром управления или другими машинами в сети, посылает запрос и выполняет полученную команду.
Хозяин зараженной машины, как правило, не подозревает о том, что она используется злоумышленниками. Именно поэтому зараженные вредоносной программой-ботом компьютеры, находящиеся под тайным контролем киберпреступников, называют еще зомби-компьютерами, а сеть, в которую они входят, – зомби-сетью. Чаще всего зомби-машинами становятся персональные компьютеры домашних пользователей.
Ботнеты могут использоваться злоумышленниками для решения криминальных задач разного масштаба: от рассылки спама до атак на государственные сети.
à Рассылка спама. Это наиболее распространенный и один из самых простых вариантов эксплуатации ботнетов. По экспертным оценкам, в настоящее время более 80% спама рассылается с зомби-машин. Спам с ботнетов необязательно рассылается владельцами сети. За определенную плату спамеры могут взять ботнет в аренду. Многотысячные ботнеты позволяют спамерам осуществлять с зараженных машин миллионные рассылки в течение короткого времени. Еще одно «преимущество» ботнетов – возможность сбора адресов электронной почты на зараженных машинах. Украденные адреса продаются спамерам, либо используются при рассылке спама самими хозяевами ботнета. При этом растущий ботнет позволяет получать новые и новые адреса.
Перечисленные атаки на IP-сети возможны в силу ряда причин:
à использование общедоступных каналов передачи данных – важнейшие данные передаются по сети в незашифрованном виде;
à уязвимости в процедурах идентификации, реализованных в стеке TCP/IP. – идентифицирующая информация на уровне IP передается в открытом виде;
à отсутствие в базовой версии стека протоколов TCP/IP механизмов, обеспечивающих конфиденциальность и целостность передаваемых сообщений;
à аутентификация отправителя осуществляется по его IP-адресу – процедура аутентификации выполняется только на стадии установления соединения, а в дальнейшем подлинность принимаемых пакетов не проверяется;
à отсутствие возможности контроля за маршрутом прохождения сообщений в сети Интернет, что делает удаленные сетевые атаки практически безнаказанными.