Kao što svi znamo da smo u svijetu okruženom informacijama koje svaki dan zahtijevaju bolju razinu sigurnosti, mi Kao administratori i voditelji IT -a izravno smo odgovorni za pružanje sigurnosti kako bi podaci naše ili naše organizacije bili sigurni.
Možda naši podaci nisu toliko vrijedni ili toliko važni ako se izgube ili ukradu, ali možemo imati vrlo posebne podatke, poput bankovnih računa, izvoda s računa, osobnih podataka itd., Koji moraju ostati "sigurni" u našim sustavima, a mi ne možemo poricati da je hakiranje danas postalo jako drugačije nego što je bilo prije, danas postoji više mehanizama napada i različitih tehnika za takve aktivnosti.
Ovaj put govorit ćemo o uljezima, analizirat ćemo neke od načina na koje hakeri mogu pristupiti informacijama iskorištavajući ranjivosti koje mogu postojati.
Mi to razumijemo neovlašteni pristup sustavu predstavlja ozbiljan sigurnosni problem Budući da ta osoba ili softver mogu izvući vrijedne podatke iz naše baze podataka i kasnije naštetiti organizaciji na različite načine, kada govorimo o softveru koji može ući bez ovlaštenja, možemo misliti da je riječ o crvu, trojanskom ili općenito o virus.
U nastavku ćemo se usredotočiti na ova područja:
- 1. Vrste uljeza
- 2. Tehnike upada
- 3. Otkrivanje uljeza
- 4. Vrste napada
1. Vrste uljeza
Možemo identificirati tri (3) vrste uljeza:
Lažni korisnikOdnosi se na korisnika koji nezakonito pristupa resursima organizacije ili koji s dopuštenjem zlouporabljava dostupne podatke.
ImitatorTo je osoba koja nema nikakve veze sa legalnim pristupom u organizaciji, ali koja uspijeva doseći razinu preuzimanja identiteta legitimnog korisnika za pristup i nanošenje štete.
Tajni korisnikTo je osoba koja može preuzeti kontrolu nad revizijom sustava organizacije.
Obično je imitator vanjska osoba, lažni korisnik je interni, a tajni korisnik može biti vanjski ili unutarnji. Napadi uljeza, bez obzira na vrstu, mogu se klasificirati kao ozbiljni ili dobroćudni, u dobroćudnim oni imaju pristup samo da vide što je na mreži, dok se u ozbiljnijima podaci mogu sami ukrasti i / ili izmijeniti.
2. Tehnike upada
Kao što znamo, uobičajen način pristupa sustavu je putem lozinki, a to je ono što uljez cilja, stječući lozinke različitim tehnikama kako bi postigao svoj cilj kršenja pristupa i dobivanja informacija. Preporučuje se da naša datoteka lozinke bude zaštićena jednom od sljedećih metoda:
Jednosmjerno šifriranjeOva opcija pohranjuje samo šifrirani oblik korisničke lozinke, pa kada korisnik unese svoju lozinku, sustav je šifrira i uspoređuje s vrijednošću koju je pohranio te, ako je identična, omogućuje pristup, u suprotnom je odbija.
Kontrola pristupaOvom metodom pristup lozinkom je vrlo ograničen, samo na jedan ili nekoliko računa.
The metode koje hakeri obično koriste, prema nekim analizama to su:
- Testirajte riječi u rječniku ili popise mogućih lozinki koje su dostupne na hakerskim stranicama
- Pokušajte s telefonskim brojevima korisnika ili identifikacijskim dokumentima
- Testiranje s brojevima registarskih oznaka
- Dobivajte osobne podatke od korisnika, između ostalih
3. Otkrivanje uljeza
Kao administratori moramo analizirati moguće ranjivosti koje naš sustav ima kako bi izbjegao glavobolje u budućnosti, te greške možemo analizirati sa sljedećim konceptima:
- Ako proučimo kako uljez može napasti, ove će nam informacije pomoći da pojačamo sprječavanje upada u naš sustav
- Ako brzo otkrijemo nametljivog korisnika, možemo spriječiti tu osobu da radi svoje u našem sustavu i tako izbjeći štetu.
Kao administratori možemo analizirati ponašanje korisnika unutar naše organizacije i s puno analiza otkriti ako predstavljaju bilo kakvo čudno ponašanje, poput pristupa putem intraneta računalima ili mapama kojima ne treba pristupiti, izmjena datoteka itd. Jedan od alata koji će nam uvelike pomoći u analizi uljeza je revizorski dnevnik jer nam omogućuje praćenje aktivnosti korisnika.
Možemo koristiti dvije (2) vrste planovi revizije:
Zapisnici posebne revizije za otkrivanjeTakve zapisnike možemo implementirati tako da nam samo prikazuju informacije koje zahtijeva sustav za otkrivanje upada.
Zavičajni dnevnici revizijeTo je alat koji prema zadanim postavkama dolazi u operativnim sustavima i sprema sve korisničke aktivnosti, na primjer, preglednik događaja Microsoft Windows.
Anomalije možemo otkriti na temelju profila, odnosno ponašanja korisnika, za to možemo upotrijebiti sljedeće varijable:
- Brojač: To je vrijednost koja se može povećati, ali ne i smanjiti dok se ne pokrene nekom radnjom
- Kalibar: To je broj koji se može povećati ili smanjiti i mjeri trenutnu vrijednost entiteta
- Vremenski interval: Odnosi se na vremensko razdoblje između dva događaja
- Korištenje resursa: Podrazumijeva količinu sredstava koja se potroše u određenom vremenu
Postoji još jedna vrsta otkrivanja i to ona koja se temelji na pravilima, ona otkrivaju upad na temelju događaja koji se događaju u sustavu i primjenjuju niz definiranih pravila kako bi identificirali je li aktivnost sumnjiva ili ne.
Neki od primjera ovih pravila su:
Jedna od zanimljivih tehnika za privlačenje pažnje uljeza je korištenje lonaca za med, koji su jednostavno sigurnosni alati u kojima se stvaraju sustavi koji se čine ranjivima ili slabima i u kojima postoje lažne informacije, ali s ugodnim izgledom za uljeza, očito medeni lonac nema ili neće imati pristup legitimnom korisniku organizacija.
Što sigurnosne mjere za sprječavanje napada uljeza Bez sumnje, postoji ispravno upravljanje lozinkama, znamo da lozinka omogućuje:
- Omogućite ili ne pristupite korisniku sustavu
- Omogućite privilegije koje su dodijeljene korisniku
- Ponudite sigurnosne politike u tvrtki
U studiji koju je provela jedna organizacija u Sjedinjenim Državama, na temelju tri (3) milijuna računa, zaključeno je da korisnici redovito koriste sljedeće parametre za svoje lozinke (koji uopće nisu sigurni):
- Korisničko ime
- Identifikacijski brojevi
- Uobičajena imena
- Imena mjesta
- Rječnik
- Imena strojeva
Važno je da u ulozi administratora, koordinatora ili voditelja IT -a educiramo korisnike naše organizacije kako bi znali kako postaviti jaku lozinku, možemo koristiti sljedeće metode:
- Reaktivna provjera lozinke
- Proaktivna provjera lozinke
- Edukacija naših korisnika
- Računalo generirane lozinke
Kao što vidimo, među svima nama (administratorima i korisnicima) možemo se nositi s bilo kojom aktivnošću od uljeza.
4. Vrste napada
Zatim ćemo pregledati neke od vrsta napada koji se mogu izvršiti u različitim sustavima. Ovu ćemo analizu provesti s etičkim hakerskim pristupom.
Otmica
Ova vrsta napada sastoji se od uzimanja dijela uređaja za komunikaciju s drugim uređajem, postoje dvije (2) vrste otmice:
- Aktivan: To je kada se dio hosta uzima i koristi za kompromitiranje cilja
- pasivno: Događa se kada se dio uređaja zaplijeni i zabilježi sav promet između dva uređaja
Imamo alati za otmicu sa stranica poput:
- IP-Watcher
¿Kako se možemo zaštititi od otmice? Ovisno o protokolu ili funkciji, možemo koristiti bilo koju od sljedećih metoda, na primjer:
- FTP: Koristimo sFTP
- Daljinska veza: Koristimo VPN
- HTTP: Koristimo HTTPS
- Telnet ili rlogin: koristimo OpenSSH ili SSH
- IP: Koristimo IPsec
Napad na web poslužitelj
Najčešći poslužitelji za implementaciju web usluga imamo Apache i IIS. Uljezi ili hakeri koji namjeravaju napasti ove poslužitelje moraju poznavati najmanje tri (3) programska jezika kao što su Html, ASP i PHP. Do brinemo se za naše web poslužitelje možemo koristiti alate, pod nazivom Brute Force Attack, poput sljedećeg:
- Brutus za Windows
- Hydra za Linux
- NIX za Linux
The najčešći napadi koje nalazimo na razini web poslužitelja su kako slijedi:
- ScriptAttack
- Lozinke u istom kodu
- Ranjivosti u web aplikacijama
- Potvrda korisničkog imena
Kao administratori to možemo primijeniti sljedeće prakse:
- Instalirajte i / ili ažurirajte antivirus
- Koristite složene lozinke
- Promijenite zadane račune
- Izbrišite testne kodove
- Ažurirajte sustav i servisni paket
- Stalno upravljajte i nadgledajte zapisnike sustava
Možemo koristiti alat Acunetix koji nam omogućuje da provjerimo je li naša web stranica osjetljiva na napade, možemo je preuzeti s veze.
Stražnja vrata i trojanci
Mnogi trojanci pokreću se u testnom načinu kako bi provjerili reagiranje organizacije na mogući napad, ali ne 100% su iz internih testova, ali u drugim prilikama su sa zlonamjernom namjerom od strane uljeza.
Neki od najčešći trojanci su:
- Netbus
- Prorat
- Raj
- Duckfix
- Netcat
Do spriječiti trojanske napade Važno je da kao administratori izvršavamo neke zadatke kao što su:
- Instalirajte i ažurirajte antivirus
- Pokrenite i aktivirajte Vatrozid
- Koristite skener za trojance
- Ažurirajte zakrpe sustava
Napad na bežične mreže
Naše bežične mreže mogu biti sklone napadu od strane uljeza, znamo da su moderne tehnologije bežičnih mreža 802.11a, 802.11b, 802.11n i 802.11g, one se temelje na njihovoj učestalosti.
Do spriječiti napade na naše bežične mreže možemo izvesti sljedeće zadatke:
- Izbjegavajte korištenje praznog SSID -a
- Izbjegavajte korištenje zadanog SSID -a
- Koristite IPsec za poboljšanje sigurnosti u našem IPS -u
- Izvršite MAC filtre kako biste izbjegli nepotrebne adrese
Neki alati koji se koriste za izvođenje bežičnog hakiranja su:
- Kismet
- GPS karta
- NetStumbler
- AirSnort
- DStumbler
Iako u našoj tvrtki ne koristimo bežične mreže kontinuirano, to je dobro implementirati sigurnosne politike za sprječavanje napada za njih bi bilo idealno učiniti sljedeće (u slučaju korištenja samo bežične mreže):
- Onemogućite DHCP
- Ažurirajte firmver
- Koristite WPA2 i višu sigurnost
- U slučaju daljinske veze koristite VPN
Napadi uskraćivanja usluge (DoS)
Glavni cilj ove vrste napada je utjecati na sve usluge našeg sustava, bilo zaustavljanjem, zasićenjem, uklanjanjem itd.
Možemo spriječiti DoS napad koristeći sljedeće aktivnosti:
- Iskoristite usluge koje su nam zaista potrebne
- Onemogućite ICMP odgovor na vatrozidu
- Ažurirajte operacijski sustav
- Ažurirajte naš vatrozid opcijom napada DoS
Neki alate koje možemo pronaći u mreži za DoS napade su:
- FSM FSMax
- Neke nevolje
- Jolt 2
- Blast20
- Pantera 2
- Ludi Pinger itd.
Alati za razbijanje lozinki
Još jedan od uobičajenih napada koje možemo pretrpjeti u našim organizacijama je napad na zaporke, kao što smo već spomenuli, ponekad utvrđene lozinke nisu dovoljno jake, zbog čega smo skloni uljezu koji nam ukrade lozinku i ima pristup naš sustav. Znamo da se sigurnost naših lozinki temelji na:
- Ovjera: Odobrava pristup sustavu ili aplikacijama tvrtke
- Autorizacija: Ako je unesena lozinka točna, sustav će je potvrditi i odobriti unos
Vrste najčešći napadi koje otkrijemo da nam ukradu zaporke su:
Napadi na rječnikTo su popisi utvrđenih riječi koje se sinkroniziraju i provjerava se ako je tamo uključena naša lozinka.
Napad grubom silomTo je jedan od najučinkovitijih napada jer sadrži slova, brojeve i posebne znakove te tvore kombinacije sve dok ne pronađu ispravan ključ
Hibridni napadiTo je kombinacija gornje dvije (2).
Neki alati za hakiranje lozinki su:
- Pwdump3
- Ivan trgač
- Bozon GetPass
- Elcomsoft
Upamtite da ako uljez otkrije našu lozinku ili lozinku korisnika u organizaciji, možemo imati ozbiljnih problema, pa je važno zapamtite da većina uključuje sljedeće uvjete za naše lozinke:
- Mala slova
- Velika slova
- Posebni znakovi
- Brojevi
- Složene riječi
Preporučujemo da pregledate ovaj vodič kako biste imali potpuno jake lozinke.
Možemo otkriti jesmo li žrtva probijanja lozinke provjera zapisnika sustava, stalno praćenje mrežnog prometa itd. Na stranici sectools možemo pronaći različite alate koji će nam pomoći u našem radu na praćenju mreže i njezinih mogućih napada, pozivnica je da je upoznate i izvršite testove.
Još jedna stranica koju možemo posjetiti je foundstone koji pripada McAffeu i sadrži zanimljivu skupinu korisnih alata.
Spoofing
U ovoj vrsti napadač će se lažno predstavljati s drugim entitetom, zbog čega će krivotvoriti podatke koji se šalju u komunikaciji. Ova vrsta napada može se pojaviti u različitim protokolima, imamo IP lažiranje, ARP lažiranje, DNS lažiranje, DHCP lažiranje itd.
Evo nekih uobičajeni napadi:
- Neslijepo prevara
- Slijepo lažiranje
- Čovjek u sredini
- Uskraćivanje usluge (DOS)
- Krađa luka
Neki protumjere koje možemo poduzeti:
- Koristite šifriranje i provjeru autentičnosti
- Primijenite filtriranje ulaza i izlaza na usmjerivaču
Injekcija koda
Temelji se na iskorištavanju pogreške uzrokovane obradom nevažećih podataka. Napadač ga koristi za umetanje ili ubrizgavanje koda u ranjivi računalni program i promjenu tijeka izvršavanja. Uspješna injekcija može imati katastrofalne posljedice.
Neka mjesta gdje možemo sastaviti napad injekcijom:
- SQL
- LDAP
- XPath
- NoSQL upiti
- HTML
- Ljuska
Neki mjere koje možemo poduzeti prilikom planiranja:
- Filtrirajte unose
- Parametrizirajte SQL izraze
- Izbjegle varijable
Kao što vidimo, imamo mnogo alternativa za suzbijanje mogućih napada uljeza na našu organizaciju, naš je zadatak (ako je to slučaj) da napravimo detaljnu analizu i poduzmemo mjere po tim pitanjima.
Kao što smo već spomenuli, i na sreću, neće uvijek postojati haker ili uljez zainteresiran za prodor u naš sustav i krađu informacija, ali nikada u budućnosti ne znamo gdje ćemo biti naša organizacija ili mi sami.