Tipuri de atacuri și intruși pe computer și cum să le detectați

După cum știm cu toții că suntem într-o lume înconjurată de informații care necesită în fiecare zi niveluri mai bune de securitate, noi În calitate de administratori și șefi IT, suntem direct responsabili pentru asigurarea securității, astfel încât datele organizației noastre sau ale noastre să fie sigure.

Poate că informațiile noastre nu sunt atât de valoroase sau atât de importante dacă sunt pierdute sau furate, dar este posibil să avem informații foarte speciale, cum ar fi conturi bancare, extrase de cont, informații personale etc., care trebuie să rămână „sigure” în sistemele noastre și nu putem neagă faptul că hacking-ul de astăzi a devenit foarte diferit decât era înainte, astăzi există mai multe mecanisme de atac și diferite tehnici pentru o astfel de activitate.

De data aceasta vom vorbi despre intruși, vom analiza câteva dintre modurile în care hackerii pot accesa informațiile profitând de vulnerabilitățile care pot exista.

Înțelegem asta accesul neautorizat la sistem constituie o problemă gravă de securitate Deoarece acea persoană sau software poate extrage informații valoroase din baza noastră de date și ulterior dăuna organizației în diferite moduri, atunci când vorbim despre software care poate intra fără autorizație, ne putem gândi că este un vierme, un troian sau, în general, al unui virus.

Ne vom concentra pe aceste domenii mai jos:

  • 1. Tipuri de intruși
  • 2. Tehnici de intruziune
  • 3. Detectarea intrușilor
  • 4. Tipuri de atacuri

1. Tipuri de intruși


Putem identifica trei (3) tipuri de intruși:

Utilizator fraudulosSe referă la un utilizator care accesează ilegal resursele organizației sau care, având permisiunile, utilizează în mod greșit informațiile disponibile.

ImitatorEste o persoană care nu are nimic de-a face cu accesul legal în organizație, dar care reușește să atingă nivelul de preluare a identității unui utilizator legitim pentru a accesa și face daunele.

Utilizator clandestinEste o persoană care poate prelua controlul asupra auditului sistemului organizației.

De obicei, imitatorul este o persoană externă, utilizatorul fraudulos este intern și utilizatorul clandestin poate fi extern sau intern. Atacurile intrușilor, indiferent de tip, pot fi clasificate drept grave sau benigne, în cele benigne au acces doar pentru a vedea ceea ce este în rețea, în timp ce în cele grave informațiile pot fi furate și / sau modificate în interiorul rețelei.

2. Tehnici de intruziune


După cum știm, modalitatea obișnuită de a accesa un sistem este prin parole și la aceasta își propune intrusul, dobândind parole folosind diferite tehnici pentru a-și atinge obiectivul de a încălca accesele și a obține informații. Se recomandă ca fișierul nostru cu parolă să fie protejat cu una dintre următoarele metode:

Criptare unidirecționalăAceastă opțiune stochează doar o formă criptată a parolei utilizatorului, astfel încât atunci când utilizatorul introduce parola, sistemul o criptează și o compară cu valoarea pe care a stocat-o și, dacă este identică, permite accesul, altfel o refuză.

Controlul accesuluiCu această metodă, accesul la parolă este foarte limitat, doar la unul sau câteva conturi.

metode utilizate în mod obișnuit de hackeri, conform unor analize sunt:

  • Testați cuvintele dicționarului sau listele de parole posibile care sunt disponibile pe site-urile hackerilor
  • Încercați cu numerele de telefon ale utilizatorilor sau cu documentele de identificare
  • Testarea cu numerele de înmatriculare
  • Obțineți informații personale de la utilizatori, printre altele

3. Detectarea intrușilor


În calitate de administratori, trebuie să analizăm posibilele vulnerabilități pe care le are sistemul nostru pentru a evita durerile de cap în viitor, putem analiza aceste eșecuri cu următoarele concepte:
  • Dacă studiem modul în care un intrus poate ataca, aceste informații ne vor ajuta să consolidăm prevenirea intruziunii în sistemul nostru
  • Dacă detectăm rapid utilizatorul intruziv, putem împiedica această persoană să-și facă treaba în sistemul nostru și astfel să evităm daunele.

În calitate de administratori, putem analiza comportamentul utilizatorilor din cadrul organizației noastre și putem detecta, cu o mulțime de analize, dacă aceștia prezintă un comportament ciudat, cum ar fi accesul prin intranet la computere sau foldere care nu ar trebui accesate, modificarea fișierelor etc. Unul dintre instrumentele care ne vor ajuta foarte mult în analiza intrușilor este jurnalul de audit, deoarece ne permite să urmărim activitățile desfășurate de utilizatori.

Putem folosi două (2) tipuri de planuri de audit:

Jurnalele de audit specifice pentru descoperirePutem implementa astfel de jurnale astfel încât să ne arate doar informațiile solicitate de sistemul de detectare a intruziunilor.

Jurnalele de audit nativeEste instrumentul care vine în mod implicit în sistemele de operare și stochează toată activitatea utilizatorului, de exemplu, vizualizatorul de evenimente Microsoft Windows.

Putem detecta anomalii bazate pe profiluri, adică pe comportamentul utilizatorilor, pentru aceasta putem folosi următoarele variabile:

  • Tejghea: Este o valoare care poate fi mărită, dar nu micșorată până când nu este inițiată de o acțiune
  • Calibru: Este un număr care poate crește sau scădea și măsoară valoarea curentă a unei entități
  • Interval de timp: Se referă la perioada de timp dintre două evenimente
  • Utilizarea resurselor: Implică cantitatea de resurse care sunt consumate într-un anumit timp

Există un alt tip de detectare și este cel care se bazează pe reguli, acestea detectează intruziunea pe baza evenimentelor care apar în sistem și aplică o serie de reguli definite pentru a identifica dacă activitatea este suspectă sau nu.

Unele dintre exemplele acestor reguli sunt:

Una dintre tehnicile interesante pentru a atrage atenția intrușilor este utilizarea vaselor de miere, care sunt pur și simplu instrumente de securitate în care sunt create sisteme care par a fi vulnerabile sau slabe și în care există informații false, dar cu un aspect plăcut pentru intrus, evident că un pot de miere nu are sau nu va avea acces la un utilizator legitim de Organizatia.

Ce măsură de securitate pentru a preveni atacurile intrușilor Fără îndoială, există o gestionare corectă a parolelor, știm că o parolă permite:

  • Oferiți sau nu accesul unui utilizator la sistem
  • Furnizați privilegiile care au fost atribuite utilizatorului
  • Oferiți politici de securitate în companie

Într-un studiu realizat de o organizație din Statele Unite, bazat pe trei (3) milioane de conturi, s-a ajuns la concluzia că utilizatorii folosesc în mod regulat următorii parametri pentru parolele lor (care nu sunt deloc sigure):

  • Nume de cont
  • Numere de identificare
  • Denumiri comune
  • Numele locului
  • Dicţionar
  • Numele mașinilor

Este important ca în rolul nostru de administratori, coordonatori sau șefi IT să educăm utilizatorii organizației noastre, astfel încât aceștia să știe cum să setați o parolă puternică, putem folosi următoarele metode:

  • Verificare reactivă a parolei
  • Verificare proactivă a parolei
  • Educarea utilizatorilor noștri
  • Parole generate de computer

După cum putem vedea, între noi toți (administratori și utilizatori) putem face față oricărei activități de la intruși.

4. Tipuri de atacuri


În continuare vom analiza câteva dintre tipurile de atacuri care pot fi comise în diferite sisteme, vom efectua această analiză cu o abordare etică a hackerilor.

Hijacking
Acest tip de atac constă în luarea unei secțiuni a unui dispozitiv pentru a comunica cu un alt dispozitiv, există două (2) tipuri de deturnare:

  • Activ: Este atunci când o secțiune a gazdei este luată și utilizată pentru a compromite ținta
  • pasiv: Se întâmplă atunci când o secțiune a dispozitivului este confiscată și tot traficul dintre cele două dispozitive este înregistrat

Noi avem instrumente pentru deturnare din pagini precum:

  • IP-Watcher

¿Cum ne putem proteja de deturnare? Putem folosi oricare dintre următoarele metode, în funcție de protocol sau funcție, de exemplu:

  • FTP: Să folosim sFTP
  • Conexiune de la distanță: Să folosim VPN
  • HTTP: Să folosim HTTPS
  • Telnet sau rlogin: să folosim OpenSSH sau SSH
  • IP: Să folosim IPsec

Atacă pe un server web
Cele mai comune servere pentru implementarea serviciilor web sunt Apache și IIS. Intrușii sau hackerii care intenționează să atace aceste servere trebuie să cunoască cel puțin trei (3) limbaje de programare precum Html, ASP și PHP. La aveți grijă de serverele noastre web, putem folosi instrumente, numit Brute Force Attack, cum ar fi următoarele:

  • Brutus pentru Windows
  • Hydra pentru Linux
  • NIX pentru Linux

cele mai frecvente atacuri le găsim la nivel de server web sunt după cum urmează:

  • ScriptAttack
  • Parole în același cod
  • Vulnerabilități în aplicațiile web
  • Validarea numelui de utilizator

În calitate de administratori putem implementați următoarele practici:

  • Instalați și / sau actualizați antivirusul
  • Folosiți parole complexe
  • Schimbați conturile implicite
  • Ștergeți codurile de testare
  • Actualizare sistem și service pack
  • Gestionați și monitorizați în mod constant jurnalele de sistem

Putem folosi instrumentul Acunetix care ne permite să verificăm dacă site-ul nostru web este vulnerabil la atacuri, îl putem descărca de pe link.

În spate și troieni
Mulți dintre troieni sunt rulați în modul test pentru a verifica capacitatea de reacție a organizației la un posibil atac, dar nu 100% provin din teste interne, dar cu alte ocazii sunt cu intenție rău intenționată de către un intrus.

Unele dintre troienii cei mai comuni sunt:

  • Netbus
  • Prorat
  • Paradis
  • Duckfix
  • Netcat

La preveni atacurile troiene Este important ca în calitate de administratori să îndeplinim anumite sarcini precum:

  • Instalați și actualizați un antivirus
  • Rulați și activați Paravanul de protecție
  • Folosiți un scaner troian
  • Actualizați patch-urile de sistem

Atac asupra rețelelor fără fir
Rețelele noastre wireless pot fi predispuse la atacul unui intrus, știm că tehnologiile moderne ale rețelelor wireless sunt 802.11a, 802.11b, 802.11n și 802.11g, acestea se bazează pe frecvența lor.

La prevenim atacurile asupra rețelelor noastre wireless putem efectua următoarele sarcini:

  • Evitați să utilizați SSID gol
  • Evitați să utilizați SSID-ul implicit
  • Utilizați IPsec pentru a îmbunătăți securitatea IPS-ului nostru
  • Efectuați filtre MAC pentru a evita adresele inutile

niste instrumente utilizate pentru a efectua hacking wireless sunt:

  • Kismet
  • GPSMap
  • NetStumbler
  • AirSnort
  • DStumbler

Deși în compania noastră nu folosim rețele wireless în mod continuu, este bine să le implementăm politici de securitate pentru prevenirea atacurilor pentru ei, ar fi ideal să facă următoarele (în cazul utilizării numai a Wireless):

  • Dezactivați DHCP
  • Actualizați firmware-ul
  • Folosiți WPA2 și o securitate mai mare
  • În cazul conexiunii la distanță, utilizați VPN

Atacuri de negare a serviciului (DoS)
Obiectivul principal al acestui tip de atac este de a afecta toate serviciile sistemului nostru, fie prin oprirea acestora, saturarea acestora, eliminarea acestora etc.

Putem preveni un atac DoS folosind următoarele activități:

  • Folosiți serviciile de care avem nevoie cu adevărat
  • Dezactivați răspunsul ICMP pe firewall
  • Actualizați sistemul de operare
  • Actualizați Paravanul de protecție cu opțiunea de atac DoS

niste instrumente pe care le putem găsi în rețea pentru atacuri DoS sunt:

  • FSM FSMax
  • Câteva probleme
  • Jolt 2
  • Blast20
  • Panther2
  • Crazy Pinger etc.

Instrumente de cracare a parolei
Un alt atac comun pe care îl putem suferi în organizațiile noastre este atacul asupra parolelor, așa cum am menționat deja, uneori parolele stabilite nu sunt suficient de puternice, motiv pentru care suntem predispuși la un intrus care ne fură parola și putem accesa sistemul nostru. Știm că securitatea parolelor noastre se bazează pe:

  • Autentificare: Autorizează accesul la sistem sau la aplicațiile companiei
  • Autorizare: Dacă parola introdusă este corectă, sistemul o va valida și va autoriza intrarea

Tipurile de cele mai frecvente atacuri le găsim pentru a ne fura parolele sunt:

Dicționar atacuriSunt liste de cuvinte stabilite care sunt sincronizate și este validat dacă parola noastră este inclusă acolo.

Atac de forță brutăEste unul dintre cele mai eficiente atacuri, deoarece conține litere, cifre și caractere speciale și formează combinații până când găsesc cheia corectă

Atacuri hibrideEste o combinație a celor două (2) de mai sus.

niste instrumente de hacking cu parolă sunt:

  • Pwdump3
  • Ioan spintecatorul
  • Boson GetPass
  • Elcomsoft

Amintiți-vă că, dacă parola noastră sau a unui utilizator din organizație este descoperită de un intrus, putem avea probleme serioase, deci este important nu uitați că majoritatea includ următoarele condiții pentru parolele noastre:

  • Litere mici
  • Litere mari
  • Personaje speciale
  • Numere
  • Cuvinte complexe

Vă recomandăm să revedeți acest tutorial pentru a avea parole complet puternice.

Putem detectează dacă suntem victime ale cracării parolelor verificarea jurnalelor de sistem, monitorizarea constantă a traficului de rețea etc. Pe pagina sectools putem găsi diferite instrumente care ne vor ajuta cu munca noastră de a monitoriza rețeaua și posibilele atacuri ale acesteia, invitația este să o cunoaștem și să efectuăm teste.

O altă pagină pe care o putem vizita este foundstone care aparține lui McAffe și conține un grup interesant de instrumente utile.

Spoofing
În acest tip, atacatorul va identifica o altă entitate, pentru aceasta va falsifica datele care sunt trimise în comunicări. Acest tip de atac poate apărea în diferite protocoale, avem spoofing IP, spoofing ARP, spoofing DNS, spoofing DHCP etc.

Aici sunt câteva atacuri comune:

  • Spoofing non-orb
  • Blind Spoofing
  • Bărbatul din mijloc
  • Refuzul de serviciu (DOS)
  • Furt de port

niste contramăsuri pe care le putem lua:

  • Folosiți criptarea și autentificarea
  • Aplicați filtrarea de intrare și ieșire pe router

Injectarea codului
Se bazează pe exploatarea unei erori cauzate de prelucrarea datelor nevalide. Este folosit de un atacator pentru a insera sau injecta cod într-un program de computer vulnerabil și pentru a schimba cursul de execuție. O injecție reușită poate avea consecințe dezastruoase.

Unele locuri unde putem pune împreună un atac de injecție:

  • SQL
  • LDAP
  • XPath
  • Interogări NoSQL
  • HTML
  • Coajă

niste măsuri pe care le putem lua atunci când programăm:

  • Filtrează intrările
  • Parametrează instrucțiunile SQL
  • Variabile de evacuare

După cum putem vedea, avem multe alternative pentru a contracara posibilele atacuri asupra organizației noastre de către intruși, este sarcina noastră (dacă este cazul) să facem o analiză detaliată și să luăm măsuri cu privire la aceste probleme.

Așa cum am menționat anterior și, din fericire, nu va exista întotdeauna un hacker sau un intrus interesat să pătrundă în sistemul nostru și să fure informații, dar nu știm niciodată în viitor unde va fi organizația noastră sau noi înșine.

wave wave wave wave wave