Злоумышленники: кто, зачем и как?

Первым шагом в обеспечении сохранности вашей компьютерной системы и информации является понимание ваших противников. Характеристики компьютерных злоумышленников следующие:

• Люди, занимающиеся хакерством для развлечения, из чувства гордости или просто ради взлома компьютерных систем (для того чтобы понять как многое они могут). Например, студенты университетов или колледжей, известные как скриптовые воришки (script-kiddies, skiddie, script bunny, script kitty, script-running juvenile (SRJ)), которые пробуют заработать доступом к конфиденциальным системам, например, принадлежащим правительству.

Примечание. Термин script-kiddies и его синонимы, перечисленные выше, не имеют точного перевода на русский язык. Термин основан, в том числе и на игре слов bunny –кролик, juvenile –юный, ребяческий, kitty –котенок и в тоже время банк и т.п. В целом, означает шалость, переходящую на грань компьютерного преступления и обычно совершаемую студентами и старшими школьниками.

• Внутренний или внешний персонал, который хочет целенаправленно отомстить организации. Нарушения безопасности изнутри организации составляют от 70% до 90% всех нарушений безопасности согласно оценкам Hurwitz Group Framingham, Massachusetts
• Люди, имеющие желание получить доход или другую выгоду от использования конфиденциальных данных системы-источника (например, коммерческая выгода, военная выгода)
• 
  Преступники или организации, цель которых нарушить защиту системы с целью шантажа и промышленного шпионажа.
• 
  Террористы, преследующие политические цели и пытающиеся деморализовать население страны-жертвы.

Компьютерные системы, легко атакуемые злоумышленниками, это те, которые используют основные настройки, как для домашних компьютеров. Как только домашние компьютеры захвачены, они могут использоваться для нападения на компьютеры в организациях. Системы домашних компьютеров более уязвимы по следующим причинам:

• Домашние пользователи могут использовать модемные/беспроводные сети, которые можно перехватить.
• 
  Домашние компьютерные системы менее защищены.
• 
  Домашние пользователи хуже определяют, что система взломана.
• 
  Доступ к домашним системам может обеспечить альтернативный доступ к компьютерам на их рабочем месте.

В основном злоумышленники атакуют, в следующей последовательности:

Шаг 1: сбор информации

• Угадывание паролей
• 
  Выдача себя за системного администратора при запросе конфиденциальной информации
• Чтение пакетов конфиденциальной информации, посылаемой через Интернет или сохраненной на компьютере
• Сканирование на уязвимость.

Шаг 2: Анализ информации

• Использование информации, собранной и просмотренной через слабые точки сети (например, открытые порты, учётные записи пользователей).

Шаг 3: Запуск атаки

• Изменить, удалить или повредить данные в системе.
• Сделать невозможным создание системой избыточного количества потоков в сети (например, отказ в обслуживании законных пользователей, что будет обсуждаться позднее).
• Замедление сети.
• Повреждение вебсайта.

Диаграмма внизу иллюстрирует общий процесс атаки.

Рисунок 1 Общий поток атаки.

Ниже вы узнаете о некоторых видах атак.

Кража личности и нарушение конфиденциальности (Identity Theft and Privacy Violation)

• Взламывание пароля
• Анализ трафика
• Социальная инженерия/мошенничество
• Обманные действия
• Сканирование портов

Таблица ниже дает краткий обзор уровней нарушений каждого нападения из этого раздела. Заметьте, что большинство из этих нападений используются для получения информации, с помощью которой можно было бы совершить более серьезные атаки на целостность данных.

Таблица 1. Уровень нарушения защиты, достигаемый «кражей личности» и атаками нарушения конфиденциальности

Один из механизмов нападения – получить информацию о логине и пароле для того, чтобы взломать счет пользователя. Как только самозванцы взламывают ваше пользовательское имя и пароль, они могут действовать от вашего имени, со всеми вашими привилегиями доступа, чтобы изменить данные вашей учетной записи, послать электронную почту от вашего имени или напасть на другие компьютеры также под вашим именем. К тому же, если у вашей учетной записи были наивысшие, например, административные, права, злоумышленники могут использовать вашу учетную запись, чтобы получить те же права. Они могут также генерировать сообщения, имитирующие источник, которому вы доверяете, и заставить вас дать конфиденциальную информацию, такую как имена логинов, пароли и секретные данные вашей системы. Следующие материалы охватывают некоторые из методов атак, используемые для получения конфиденциальной информации.

Взламывание пароля

Самый простой механизм атаки на пароль называется «исследование содержимого мусорных контейнеров» (rummaging through trash). Этот метод представляет собой поиск конфиденциальной информации в мусоре тем злоумышленником, который может физически найти мусорную корзину. Некоторые пользователи позволяют легко получить доступ к их паролям, оставляя их в заметках вблизи компьютера. Некоторые даже пишут их и наклеивают на монитор.

Один из путей получения пароля – метод грубой силы (brute force method), при котором перебираются все возможные буквенно-цифровые комбинации, пока пароль не будет взломан. Похожий метод – атака по словарю (dictionary attack), просматривающая каждое слово в словаре слов, предполагая, что это пароль. Атака по словарю позволяет уменьшить область поиска. Существует довольно много программных средств, спроектированных для взлома паролей с помощью подобных.

Примечание. Перебор, или атака по словарю — метод преодоления криптографической защиты путём перебора большого числа вариантов, однако, в отличие от метода грубой силы, проверяются не все возможные варианты, а лишь уже отобранные до этого и загружаемые из списка слов, или словаря. Этот метод оказывается достаточно эффективным потому, что многие люди выбирают в качестве пароля одиночные слова или их простые вариации (например, добавляют к ним одну цифру). Примером неудачного пароля, взлом которого не займёт много времени при атаке по эффективному словарю, может служить самый популярный пароль (согласно исследованию Брюса Шнайера ^[1]) — password1.

Предотвращение (защита от нападения):

• Не оставляйте информацию о пароле в мусоре или в заметных местах
• Уничтожьте или заблокируйте конфиденциальную информацию
• Создайте трудности с отгадыванием пароля, невосприимчивого к грубой силе или атаке по словарю.
• Чаще меняйте пароли
• Ограничьте физический доступ к компьютеру, особенно центральному серверу.

Анализ трафика

Анализ трафика – программа или аппаратное устройство, захватывающие пакеты данных, передаваемые через сеть. Некоторые пакеты данных могут содержать конфиденциальную информацию. Инсталляция анализа трафика не требует административных прав. Ее можно поставить на ноутбук и войти в сеть через открытый порт.

Пользователи кабельные модемов и беспроводного доступа имеют наивысший риск взлома такими программами по сравнению с DSL и традиционными dial-up пользователями, потому что соседство кабельных модемных и беспроводных пользователей – часть той же LAN. Пакеты анализа трафика, установленные на любом компьютере с кабельным модемом или беспроводным подключением, могут фиксировать пакеты данных, передаваемые другими компьютерами в этой же LAN.

Предотвращение (защита от нападения):

• Использование шифрования данных, используя протоколы шифрования (больше о шифровании будет рассказано в 6.2.1 Шифрование)
• Ограничить физический доступ к сети
• Мониторинг использования сети и отслеживание нестандартных и подозрительных активностей.

Социальная инженерия/мошенничество

Социальная инженерия относится к действию по получению информации путем обмана людей для последующего доступа к системам. В отличие от других обсуждаемых методов нападения, при этом нападении не вовлекается программное обеспечение. Нападение посредством социальной инженерии может быть путем манипуляции сетевым администратором или другим зарегистрированным пользователем, для получения имени и пароля. Это можно осуществить через телефон, электронную почту или даже притворяясь какой-нибудь важной персоной.

Рассмотрим пример нападения методом социальной инженерии: Джо – работник в компании. Он хочет получить доступ к компьютеру президента компании (CEO). Он обращается к администратору системы, притворяясь, что он – CEO. Он заявляет, что забыл пароль и просит администратора системы сбросить его. Поскольку сброс паролей – общая задача, которую сетевые администраторы часто выполняют, сетевой администратор сбрасывает пароль без дальнейших вопросов к Джо. Пока CEO находится вне офиса, Джо пробирается в офис CEO и использует пароль, полученный от администратора системы, чтобы обратиться к компьютеру CEO. Сейчас он может работать как CEO и получить его файлы, изменить его данные или послать электронную почту.

Предотвращение (защита от нападения):

• Проверять идентичность людей, запрашивающих конфиденциальную информацию
• Быть осведомленным о схемах социальной инженерии и обучать других политике безопасности и ее важности

Имитация

Имитация – акт использования компьютера, чтобы выдать себя за его законного пользователя. Злоумышленник может атаковать, используя другую машину так, что его нельзя будет привлечь к ответственности за его действия. Например, злоумышленник может замаскироваться под другую машину со специальными привилегиями доступа, чтобы получить возможность управления компьютерами в сети. Затем злоумышленник может запустить атаку отказа обслуживания (будет обсуждаться ниже в 6.1.4 Отказ от обслуживания) на компьютерную систему, которая является целью нападения, посылая многочисленные пакеты данных, чтобы ограничить сетевые ресурсы атакуемой системы и заставить систему ее стать недоступной для других пользователей. Когда атакуемые системы пытаются найти нападавшего, результаты их поиска, скорее всего, укажут на машину, которая использовалась для маскировки злоумышленника.

Два метода имитации – имитация IP и email.

Имитация IP – техника, используемая для достижения несанкционированного доступа к компьютерам, в результате чего злоумышленник шлет сообщения на компьютер с IP адреса, свидетельствующего, что сообщение пришло с надёжного источника. Используя имитацию IP, злоумышленник должен сначала идентифицировать IP адрес надежного источника и затем изменить заголовки пакетов, чтобы казалось, будто они пришли с этого источника. Этот метод эффективен, так как диалог между машинами автоматизирован и исключает необходимость использования имени пользователя и пароля.

Больше информации о различных формах IP-имитации читайте в "Spoofing: An Overview of Some of the Current Spoofing Threats" (Обзор некоторых угроз имитации) на сайте SANS. Сайт SANS также содержит документ "Introduction to IP spoofing" (Введение в IP имитацию).

Другая техника – почтовая (email) имитация, где атакующий подделывает заголовокemail, чтобы он выглядел, словно пришел откуда-то или от какого-то действительного источника.

Следующие примеры имитации email, которые могут привести к нарушению сохранности данных.

• Email от системного администратора, сообщающий пользователям удалить файлы или дать конфиденциальную информацию, такую как логины и пароли.
• Email, заявляющий, что он от администратора, требующий от пользователей сменить свои пароли на какую-то специфическую строку и грозящий приостановкой аккаунта если они на это не согласятся.
• Email, заявляющий, что он от авторитетной персоны, требующий у пользователей послать им копию пароля или другой конфиденциальной информации

Заметьте, что поставщики Интернет услуг обычно не конкретизируют ваш новый пароль. Точно также, законные поставщики услуг никогда не просили бы вас послать им любой пароль по электронной почте, телефоне или иным способом.

Вы можете прочитать об имитации e-mail в реальности на Best Buy, "E-mail Scam Makes Best Buy Scramble."
Предотвращение (защита от нападения):

• Мониторинг журналов операций серверов, таких как почтовый сервер, веб-сервер и сканирование необычного поведения (контроль должен происходить автономно, чтобы избежать нападений в течение процесса)
• Минимизировать системные привилегии на серверах
• Ограничить доступ пользователей к сети и функциям команд администратора

Сканирование портов

Задача сканирования портов – обнаружить слабые стороны защиты в удаленном или локальном хосте (главном компьютере). Сканер портов – программа, которая просматривает порты TCP/IP и сервисы (например, TELNET или FTP) и фиксирует ответы от целевой системы. Злоумышленник может использовать сканер портов для поиска информации о целевом узле, например, какой порт открыт и может ли анонимный пользователь зарегистрироваться. Как только злоумышленник успешно заходит через открытый порт, он может пробовать получить доступ к другим компьютерам в сети. Активность сканера портов – обычно предшествует нападению на целевую систему.

Предотвращение (защита от нападения):

Не нашли, что искали? Воспользуйтесь поиском по сайту: