Видове компютърни атаки и натрапници и как да ги открием

Както всички знаем, че сме в свят, заобиколен от информация, която всеки ден изисква по -добри нива на сигурност, ние Като администратори и ИТ ръководители ние сме пряко отговорни за осигуряването на сигурност, така че данните на нашата или нашата организация да са в безопасност.

Може би нашата информация не е толкова ценна или толкова важна, ако е загубена или открадната, но може да имаме много специална информация, като например банкови сметки, извлечения от сметки, лична информация и т.н., която трябва да остане „сигурна“ в нашите системи и ние не можем отричат, че хакерството днес е станало много по -различно от преди, днес има повече механизми за атака и различни техники за такава дейност.

Този път ще говорим за натрапници, ще анализираме някои от начините, по които хакерите имат достъп до информация, като се възползват от уязвимости, които може да съществуват.

Ние го разбираме неоторизиран достъп до системата представлява сериозен проблем със сигурността Тъй като това лице или софтуер може да извлече ценна информация от нашата база данни и по -късно да навреди на организацията по различни начини, когато говорим за софтуер, който може да влезе без разрешение, можем да мислим, че е червей, троянец или като цяло на вирус.

Ще се съсредоточим върху тези области по -долу:

  • 1. Видове натрапници
  • 2. Техники на проникване
  • 3. Откриване на нарушител
  • 4. Видове атаки

1. Видове натрапници


Можем да идентифицираме три (3) типа натрапници:

Измамен потребителТой се отнася до потребител, който незаконно осъществява достъп до ресурсите на организацията или който, с разрешенията, злоупотребява с наличната информация.

ИмитаторТова е човек, който няма нищо общо с легалния достъп в организацията, но който успява да достигне нивото на вземане на самоличността на легитимен потребител за достъп и нанасяне на щетите.

Тайни потребителиТова е човек, който може да поеме контрола върху одита на системата на организацията.

Обикновено имитаторът е външно лице, измамникът е вътрешен, а тайният потребител може да бъде външен или вътрешен. Атаките на нарушители, независимо от вида, могат да бъдат класифицирани като сериозни или доброкачествени, при доброкачествените те имат достъп само за да видят какво има в мрежата, докато при сериозните информацията може да бъде открадната и / или модифицирана в самата мрежа.

2. Техники на проникване


Както знаем, обичайният начин за достъп до система е чрез пароли и това е целта на натрапника, придобиване на пароли, използвайки различни техники, за да постигне целта си да наруши достъпа и да получи информация. Препоръчва се нашият файл с пароли да бъде защитен по един от следните методи:

Еднопосочно криптиранеТази опция съхранява само криптирана форма на паролата на потребителя, така че когато потребителят въведе паролата си, системата я криптира и сравнява със стойността, която е съхранила и, ако е идентична, позволява достъп, в противен случай я отказва.

Контрол на достъпаПри този метод достъпът до парола е много ограничен, само до един или няколко акаунта.

The методи, често използвани от хакеритеспоред някои анализи те са:

  • Тествайте думи в речника или списъци с възможни пароли, които са достъпни на хакерските сайтове
  • Опитвайки се с телефонни номера на потребителите или документи за самоличност
  • Тестване с номера на регистрационния номер
  • Получавайте лична информация от потребителите, наред с други

3. Откриване на нарушители


Като администратори трябва да анализираме възможните уязвимости, които нашата система има, за да избегне главоболие в бъдеще, можем да анализираме тези грешки със следните концепции:
  • Ако проучим как един нарушител може да атакува, тази информация ще ни помогне да засилим предотвратяването на проникване в нашата система
  • Ако открием натрапчивия потребител бързо, можем да попречим на този човек да върши работата си в нашата система и по този начин да избегнем щети.

Като администратори можем да анализираме поведението на потребителите в нашата организация и да открием, с много анализ, дали те представят някакво странно поведение, като например достъп през интранет до компютри или папки, до които не трябва да има достъп, промяна на файлове и т.н. Един от инструментите, които ще ни помогнат много при анализа на натрапници, е журналът за одит, тъй като ни позволява да следим дейностите, извършвани от потребителите.

Можем да използваме два (2) типа одитни планове:

Специфични журнали за одит за откриванеНие можем да внедрим такива регистрационни файлове, така че да ни показва само информацията, изисквана от системата за откриване на проникване.

Естествени журнали за одитТова е инструментът, който се предлага по подразбиране в операционните системи и съхранява цялата активност на потребителя, например програмата за преглед на събития Microsoft Windows.

Можем да открием аномалии въз основа на профили, тоест на поведението на потребителите, за това можем да използваме следните променливи:

  • Брояч: Това е стойност, която може да бъде увеличена, но не и намалена, докато не бъде инициирана от някакво действие
  • Калибър: Това е число, което може да се увеличи или намали и измерва текущата стойност на предприятието
  • Времеви интервал: Отнася се за периода от време между две събития
  • Използване на ресурси: Това предполага количеството ресурси, които се изразходват за определено време

Има друг вид откриване и той е този, който се основава на правила, те откриват проникването въз основа на събитията, които се случват в системата и прилагат поредица от дефинирани правила, за да идентифицират дали дейността е подозрителна или не.

Някои от примерите за тези правила са:

Една от интересните техники за привличане на вниманието на натрапниците е да се използват медени тенджери, които са просто инструменти за сигурност, където се създават системи, които изглеждат уязвими или слаби и в които има невярна информация, но с приятен външен вид за натрапника, очевидно пчелен съд няма или няма да има достъп до легитимен потребител на организацията.

Какво мярка за сигурност за предотвратяване на атаки на нарушители Без съмнение има правилно управление на паролите, знаем, че паролата позволява:

  • Осигурете или не достъп на потребител до системата
  • Предоставете привилегиите, които са присвоени на потребителя
  • Предлагайте политики за сигурност в компанията

В проучване, проведено от организация в Съединените щати, въз основа на три (3) милиона акаунта, беше направено заключението, че потребителите редовно използват следните параметри за своите пароли (които изобщо не са сигурни):

  • Име на акаунта
  • Идентификационни номера
  • Общи имена
  • Имена на места
  • Речник
  • Имена на машини

Важно е в ролята ни на администратори, координатори или ръководители на ИТ да обучаваме потребителите на нашата организация, така че те да знаят как да зададете силна парола, можем да използваме следните методи:

  • Реактивна проверка на паролата
  • Проактивна проверка на паролата
  • Образование на нашите потребители
  • Компютърно генерирани пароли

Както можем да видим, между всички нас (администратори и потребители) можем да се справим с всяка дейност от нарушители.

4. Видове атаки


След това ще разгледаме някои от видовете атаки, които могат да бъдат извършени в различните системи, ще извършим този анализ с етичен хакерски подход.

Отвличане
Този тип атака се състои от вземане на част от устройство за комуникация с друго устройство, има два (2) вида отвличане:

  • Активен: Това е, когато се вземе част от хоста и се използва за компрометиране на целта
  • пасивен: Случва се, когато част от устройството е конфискувана и целият трафик между двете устройства е записан

Ние имаме инструменти за отвличане от страници като:

  • IP-Watcher

¿Как можем да се предпазим от отвличане? Можем да използваме някой от следните методи в зависимост от протокола или функцията, например:

  • FTP: Нека използваме sFTP
  • Отдалечена връзка: Нека използваме VPN
  • HTTP: Нека използваме HTTPS
  • Telnet или rlogin: нека използваме OpenSSH или SSH
  • IP: Нека използваме IPsec

Атака на уеб сървър
Най -често срещаните сървъри за внедряване на уеб услуги имаме Apache и IIS. Натрапниците или хакерите, които възнамеряват да атакуват тези сървъри, трябва да владеят поне три (3) езика за програмиране като Html, ASP и PHP. Да се да се грижим за нашите уеб сървъри можем да използваме инструменти, наречена Brute Force Attack, като например следното:

  • Brutus за Windows
  • Hydra за Linux
  • NIX за Linux

The най -често срещаните атаки, които откриваме на ниво уеб сървър са както следва:

  • ScriptAttack
  • Пароли в същия код
  • Уязвимости в уеб приложенията
  • Валидиране на потребителско име

Като администратори можем прилагайте следните практики:

  • Инсталирайте и / или актуализирайте антивируса
  • Използвайте сложни пароли
  • Променете акаунтите по подразбиране
  • Изтриване на тестови кодове
  • Актуализирайте системата и сервизния пакет
  • Постоянно управлявайте и следете системните регистрационни файлове

Можем да използваме инструмента Acunetix, който ни позволява да проверим дали нашият уебсайт е уязвим за атаки, можем да го изтеглим от връзката.

Задни врати и троянски коне
Много от троянските коне се изпълняват в тестов режим, за да се провери отзивчивостта на организацията към евентуална атака, но не 100% са от вътрешни тестове, но в други случаи те са със злонамерени намерения от нарушител.

Някои от най -често срещаните троянски коне са:

  • Netbus
  • Прорат
  • Рая
  • Duckfix
  • Netcat

Да се предотвратяване на троянски атаки Важно е като администратори да изпълняваме някои задачи като:

  • Инсталирайте и актуализирайте антивирус
  • Стартирайте и активирайте защитната стена
  • Използвайте троянски скенер
  • Актуализирайте системните корекции

Атака на безжични мрежи
Нашите безжични мрежи може да са склонни да атакуват от нарушител, ние знаем, че съвременните технологии на безжичните мрежи са 802.11a, 802.11b, 802.11n и 802.11g, те се основават на тяхната честота.

Да се предотвратяване на атаки срещу нашите безжични мрежи можем да изпълним следните задачи:

  • Избягвайте използването на празен SSID
  • Избягвайте използването на SSID по подразбиране
  • Използвайте IPsec, за да подобрите сигурността в нашия IPS
  • Извършете MAC филтри, за да избегнете ненужни адреси

Някои инструменти, използвани за извършване на безжично хакване са:

  • Кисмет
  • GPSMap
  • NetStumbler
  • AirSnort
  • DStumbler

Въпреки че в нашата компания не използваме безжични мрежи непрекъснато, е добре да се внедри политики за сигурност за предотвратяване на атаки за тях би било идеално да направите следното (в случай, че използвате само Wireless):

  • Деактивирайте DHCP
  • Актуализирайте фърмуера
  • Използвайте WPA2 и по -висока сигурност
  • В случай на отдалечена връзка използвайте VPN

Атаки за отказ на услуга (DoS)
Основната цел на този тип атаки е да повлияе на всички услуги на нашата система, или чрез спирането им, насищането им, премахването им и т.н.

Ние можем предотвратяване на DoS атака използвайки следните дейности:

  • Използвайте услугите, от които наистина се нуждаем
  • Деактивирайте ICMP Response на защитната стена
  • Актуализирайте операционната система
  • Актуализирайте нашата защитна стена с опцията DoS атака

Някои инструменти, които можем да намерим в мрежата за DoS атаки са:

  • FSM FS Макс
  • Някои неприятности
  • Jolt 2
  • Взрив20
  • Пантера 2
  • Crazy Pinger и др.

Инструменти за разбиване на пароли
Друга от често срещаните атаки, които можем да претърпим в нашите организации, е атаката срещу пароли, както вече споменахме, понякога установените пароли не са достатъчно силни, поради което сме склонни към нарушител да открадне паролата ни и да има достъп до нашата система. Знаем, че сигурността на нашите пароли се основава на:

  • Удостоверяване: Оторизира достъпа до системата или фирмените приложения
  • Упълномощаване: Ако въведената парола е правилна, системата ще я потвърди и ще разреши въвеждането

Видовете на най -честите атаки, които откриваме, за да откраднат нашите пароли са:

Речникови атакиТова са списъци с установени думи, които са синхронизирани и се потвърждава, ако нашата парола е включена там.

Атака с груба силаТова е една от най -ефективните атаки, тъй като съдържа букви, цифри и специални знаци и те образуват комбинации, докато не намерят правилния ключ

Хибридни атакиТова е комбинация от двете (2) по -горе.

Някои инструменти за хакване на пароли са:

  • Pwdump3
  • Джон изкормвача
  • Бозон GetPass
  • Elcomsoft

Не забравяйте, че ако нашата парола или тази на потребител в организацията бъде открита от нарушител, можем да имаме сериозни проблеми, така че е важно не забравяйте, че повечето включват следните условия за нашите пароли:

  • Малки букви
  • Главни букви
  • Специални символи
  • Числа
  • Сложни думи

Препоръчваме да прегледате този урок, за да имате напълно надеждни пароли.

Ние можем открием дали сме жертва на проникване на парола проверка на системни регистрационни файлове, постоянно наблюдение на мрежовия трафик и др. На страницата sectools можем да намерим различни инструменти, които ще ни помогнат в работата ни за наблюдение на мрежата и евентуалните й атаки, поканата е да я познаем и да проведем тестове.

Друга страница, която можем да посетим, е foundstone, която принадлежи на McAffe и съдържа интересна група полезни инструменти.

Измама
В този тип нападателят ще се представя за друг обект, за това той ще фалшифицира данните, които се изпращат в комуникациите. Този тип атака може да възникне в различни протоколи, имаме IP спуфинг, ARP спуфинг, DNS фалшифициране, DHCP спуфинг и т.н.

Ето няколко чести атаки:

  • Неслепо измама
  • Сляпо измама
  • Човек в средата
  • Отказ от услуга (DOS)
  • Кражба на пристанища

Някои контрамерки, които можем да предприемем:

  • Използвайте криптиране и удостоверяване
  • Приложете филтриране на входа и изхода към рутера

Инжектиране на код
Тя се основава на използването на грешка, причинена от обработката на невалидни данни. Той се използва от нападател, за да вмъкне или инжектира код в уязвима компютърна програма и да промени хода на изпълнение. Успешната инжекция може да има катастрофални последици.

Някои места където можем да организираме инжекционна атака:

  • SQL
  • LDAP
  • XPath
  • NoSQL заявки
  • HTML
  • Shell

Някои мерки, които можем да предприемем при планиране:

  • Филтрирайте записите
  • Параметризирайте SQL изразите
  • Бягство променливи

Както виждаме, ние имаме много алтернативи за противодействие на евентуални атаки срещу нашата организация от нарушители, наша задача (ако е така) е да направим подробен анализ и да предприемем действия по тези въпроси.

Както споменахме по -рано и за щастие, не винаги ще има хакер или натрапник, заинтересован да проникне в нашата система и да открадне информация, но никога не знаем в бъдеще къде ще бъде нашата организация или ние самите.

wave wave wave wave wave