Co znamenají síťové hrozby ve Windows 7. Odstraňování problémů. Technologie antivirové ochrany

Článek je určen těm, kteří o bezpečnosti sítě začali přemýšlet nebo v tom pokračují a posilují ochranu webových aplikací před novými hrozbami – vždyť nejprve musíte pochopit, jaké hrozby mohou existovat, abyste jim mohli předejít.

Z nějakého důvodu je potřeba myslet na bezpečnost sítě považována za právo pouze velkých společností, jako je Badoo, Google a Google, Yandex nebo Telegram, které otevřeně vyhlašují soutěže na hledání zranitelností a zvyšují bezpečnost svých produktů, webových aplikací a síťové infrastruktury ve všech směrech. Naprostá většina stávajících webových systémů přitom obsahuje „díry“ různého typu (studie Positive Technologies z roku 2012 obsahuje 90 % systémů středně rizikové zranitelnosti).

Co je síťová hrozba nebo zranitelnost sítě?

WASC (Web Application Security Consortium) identifikovalo několik základních tříd, z nichž každá obsahuje několik skupin, celkem 50, běžných zranitelností, jejichž použití může společnosti způsobit škodu. Úplná klasifikace uvedeno ve formě WASC Thread Classification v2.0 a v ruštině existuje překlad předchozí verze z InfoSecurity - Klasifikace bezpečnostních hrozeb webových aplikací, která bude použita jako základ pro klasifikaci a výrazně rozšířena.

Hlavní skupiny bezpečnostních hrozeb webových stránek

Nedostatečná autentizace při přístupu ke zdrojům

Tato skupina hrozeb zahrnuje útoky založené na hrubé síle, zneužití funkčnosti a předpověditelném umístění zdrojů (). Hlavním rozdílem oproti nedostatečné autorizaci je nedostatečné ověření práv (nebo funkcí) již autorizovaného uživatele (např. běžný autorizovaný uživatel může získat administrátorská práva jednoduše tím, že zná adresu ústředny, pokud je dostatečné ověření přístupových práv se neprovádí).

Takovým útokům lze účinně čelit pouze na úrovni aplikační logiky. Některé útoky (například příliš časté útoky hrubou silou) lze blokovat na úrovni síťové infrastruktury.

Nedostatečná autorizace

To může zahrnovat útoky zaměřené na snadné vynucení přístupových údajů nebo zneužití případných chyb při kontrole přístupu do systému. Kromě technik Brute Force to zahrnuje Credential a Session Prediction a Session Fixation.

Ochrana před útoky z této skupiny vyžaduje sadu požadavků na spolehlivý systém oprávnění uživatele.

To zahrnuje všechny techniky pro změnu obsahu webové stránky bez jakékoli interakce se serverem obsluhujícím požadavky – tj. hrozba je implementována prostřednictvím prohlížeče uživatele (ale obvykle samotný prohlížeč není „ slabý článek": problémy spočívají ve filtrování obsahu na straně serveru) nebo serveru mezipaměti. Typy útoků: Spoofing obsahu, Cross-Site Scripting, Zneužívání přesměrovačů URL, Falšování požadavků mezi stránkami, Rozdělení odpovědí HTTP, Pašování pašování odpovědí HTTP, stejně jako Směrování Objížďka, Rozdělení požadavků HTTP a Pašování požadavků HTTP.

Značnou část těchto hrozeb lze zablokovat na úrovni nastavení serverového prostředí, ale webové aplikace musí také pečlivě filtrovat jak příchozí data, tak reakce uživatelů.

Prováděcí kód

Útoky spouštěním kódu jsou klasickými příklady hackování webových stránek prostřednictvím zranitelností. Útočník může spustit svůj kód a získat přístup k hostingu, kde se stránka nachází odesláním speciálně připraveného požadavku na server. Útoky: Přetečení vyrovnávací paměti, Formátovací řetězec, Přetečení celého čísla, Vložení LDAP, Vložení příkazu pošty, Vložení nulového bajtu, Spuštění příkazu OS (příkazy OS), Spuštění externího souboru (RFI, Vzdálené zahrnutí souboru), Vložení SSI, Vložení SQL, Vložení XPath, XML Injection, XQuery Injection a implementace XXE (XML External Entities).

Ne všechny tyto typy útoků mohou ovlivnit váš web, ale jsou správně blokovány pouze na úrovni WAF (Web Application Firewall) nebo filtrování dat v samotné webové aplikaci.

Zpřístupnění informací

Útoky z této skupiny nejsou čistou hrozbou pro samotný web (protože web jimi nijak netrpí), ale mohou poškodit podnik nebo být použity k provádění jiných typů útoků. Typy: Fingerprinting a Path Traversal

Správná konfigurace serverového prostředí vám umožní zcela se chránit před takovými útoky. Je však třeba věnovat pozornost i chybovým stránkám webové aplikace (mohou obsahovat velký počet technické informace) a pracovat s nimi souborový systém(což může být ohroženo nedostatečnou vstupní filtrací). Stává se také, že v vyhledávací index objevují se odkazy na jakékoli zranitelnosti webu, což samo o sobě představuje významnou bezpečnostní hrozbu.

Logické útoky

Tato skupina zahrnuje všechny zbývající útoky, jejichž možnost spočívá především v omezených zdrojích serveru. Konkrétně se jedná o Denial of Service a cílenější útoky – SOAP Array Abuse, XML Attribute Blowup a XML Entity Expansion.

Ochrana proti nim je pouze na úrovni webové aplikace, případně blokování podezřelých požadavků (síťové vybavení nebo webové proxy). Ale se vznikem nových typů cílených útoků je nutné auditovat zranitelnosti webových aplikací.

DDoS útoky

Jak by mělo být z klasifikace zřejmé, DDoS útok v odborném slova smyslu je vždy vyčerpáním serverových zdrojů tím či oním způsobem. Jiné metody (i když jsou uvedeny na Wikipedii) přímo na DDoS útok nemají žádný vztah, ale představují jeden nebo jiný typ zranitelnosti webu. Wikipedia také dostatečně podrobně popisuje způsoby ochrany, nebudu je zde duplikovat.

Pojem „malware“ označuje jakýkoli program vytvořený a používaný k provádění neoprávněných a často škodlivých akcí. Zpravidla zahrnuje různé typy virů, červů, trojských koní, keyloggery, programy pro krádeže hesel, makroviry, viry spouštěcího sektoru, skriptové viry, podvodný software, spyware a adware. Bohužel tento seznam není zdaleka úplný, který je každým rokem doplňován o další a další nové druhy. malware, které v tomto materiálu budeme často nazývat obecně řečeno- viry.

Motivy pro psaní počítačových virů mohou být velmi odlišné: od banální touhy otestovat své programátorské dovednosti až po touhu způsobit škodu nebo získat nelegální příjem. Některé viry například téměř neškodí, ale pouze zpomalují počítač svou reprodukcí, zanášejí pevný disk počítače nebo vytvářejí grafické, zvukové a jiné efekty. Jiné mohou být velmi nebezpečné a mohou vést ke ztrátě programů a dat, vymazání informací v oblastech systémové paměti a dokonce k selhání částí pevného disku.

KLASIFIKACE VIRŮ

V současné době neexistuje jasná klasifikace virů, i když existují určitá kritéria pro jejich rozdělení.

Virová lokalita

V prvé řadě se malware dělí podle svého stanoviště (podle objektů, které ovlivňuje). Nejběžnějším typem malwaru je souborové viry že nakazit spustitelné soubory a jsou aktivovány při každém spuštění infikovaného objektu. Není divu, že někteří poštovní služby(Například, Služba Gmail), neumožňují odesílání e-mailů s připojenými spustitelnými soubory (soubory s příponou .EXE). To se provádí za účelem ochrany příjemce před přijetím e-mailu s virem. Když se takový virus dostane do počítače prostřednictvím sítě nebo jakéhokoli paměťového média, nečeká na spuštění, ale automaticky se spustí a provede škodlivé akce, na které je naprogramován.

To neznamená, že všechny spustitelné soubory jsou viry (např. instalační soubory mají také příponu .exe), nebo že viry mají pouze příponu exe. Mohou mít příponu inf, msi a obecně mohou být bez přípony nebo připojené k již existující dokumenty(nakazit je).

Další typ virů má svou vlastní charakteristickou vlastnost: jsou registrovány v zaváděcích oblastech disků nebo sektorů obsahujících zavaděč systému. Takové viry se zpravidla aktivují při bootování operačního systému a jsou volány viry spouštěcího sektoru .

Objekty infekce makroviry slouží jako soubory dokumentů, se kterými se zachází jako textové dokumenty a tabulky vyvinuté v makrojazycích. Většina virů tohoto typu je napsána pro ty nejoblíbenější textový editor MS Word.

a nakonec, síťové nebo skriptové viry k reprodukci využívají protokoly a příkazy počítačové sítě skriptovací jazyky. V poslední době se tento typ hrozby velmi rozšířil. Útočníci například často využívají zranitelnosti JavaScriptu k napadení počítače, což aktivně využívají téměř všichni vývojáři webových stránek.

Algoritmy provozu virů

Dalším kritériem pro rozdělení malwaru jsou vlastnosti jeho provozního algoritmu a použité technologie. Obecně lze všechny viry rozdělit na dva typy – rezidentní a nerezidentní. Rezidentní jsou umístěny v paměti RAM počítače a jsou aktivní, dokud se nevypne nebo nerestartuje. Nerezidentní, neinfikují paměť a jsou aktivní pouze v určitém okamžiku.

Satelitní viry (doprovodné viry) neupravují spustitelné soubory, ale vytvářejí jejich kopie se stejným názvem, ale jinou příponou s vyšší prioritou. Například soubor xxx.COM bude vždy spuštěn před xxx.EXE kvůli specifikům souborového systému Windows. Škodlivý kód je tedy spuštěn dříve původní program a pak už jen ona sama.

Viry-červy samostatně distribuované v katalozích pevné disky a počítačových sítí tím, že si tam vytvoří vlastní kopie. Využití zranitelností a různé chyby administrace v programech umožňuje červům šířit se zcela autonomně, automaticky vybírat a útočit na uživatelské stroje.

Neviditelné viry (stealth viry) se snaží částečně nebo úplně skrýt svou existenci v OS. K tomu zachycují přístup operačního systému k infikovaným souborům a sektorům disku a nahrazují neinfikované oblasti disku, což značně brání jejich detekci.

Duchovní viry (polymorfní nebo samošifrovací viry) mají zašifrované tělo, takže dvě kopie stejného viru nemají stejné části kódu. Tato okolnost značně komplikuje postup při odhalování takových hrozeb a proto tuto technologii používají téměř všechny typy virů.

Rootkity umožnit útočníkům skrýt stopy jejich aktivit v kompromitovaném operačním systému. Tyto druhy programů se zabývají utajováním škodlivé soubory a procesy, stejně jako jejich vlastní přítomnost v systému.

Další funkce

Mnoho škodlivých programů obsahuje další funkce, které nejen znesnadňují jejich detekci v systému, ale také umožňují útočníkům ovládat váš počítač a získat data, která potřebují. Mezi tyto viry patří zadní vrátka (systémový hacker), keyloggery (zachycovač klávesnice), spyware, botnety a další.

Dotčené operační systémy

Různé viry mohou být navrženy tak, aby fungovaly na určitých operačních systémech, platformách a prostředích (Windows, Linux, Unix, OS/2, DOS). Naprostá většina malwaru je samozřejmě napsána pro světově nejpopulárnější systém Windows. Některé hrozby však fungují pouze v Prostředí Windows 95/98, některé pouze na Windows NT a některé pouze ve 32bitových prostředích, aniž by to ovlivnilo 64bitové platformy.

ZDROJE HROZEB

Jedním z primárních cílů útočníků je najít způsob, jak doručit infikovaný soubor do vašeho počítače a vynutit si jeho aktivaci tam. Pokud váš počítač není připojen k počítačové síti a nevyměňuje si informace s jinými počítači prostřednictvím výměnných médií, můžete si být jisti, že se počítačových virů nebojí. Hlavními zdroji virů jsou:

• Disketa, laserový disk, flash karta nebo jakýkoli jiný vyměnitelné médium informace o tom, které soubory infikované virem se nacházejí;
• Pevný disk, který obdržel virus v důsledku práce s infikovanými programy;
• Jakákoli počítačová síť, včetně lokální sítě;
• Systémy elektronické pošty a zpráv;
• Globální internet;

TYPY POČÍTAČOVÝCH HROZEB

Pravděpodobně pro vás není tajemstvím, že dnes je hlavním zdrojem virů celosvětová globální síť. S jakými typy počítačových hrozeb se může setkat každý běžný uživatel globálního internetu?

• Kybervandalismus . Distribuce malwaru s cílem poškodit uživatelská data a deaktivovat počítač.
• Podvod . Distribuce malwaru za účelem získání nelegálního příjmu. Většina programů používaných k tomuto účelu umožňuje útočníkům sbírat důvěrné informace a použít jej ke krádeži peněz od uživatelů.
• Hackerské útoky . Hackování jednotlivé počítače nebo celé počítačové sítě za účelem krádeže důvěrných dat nebo instalace malwaru.
• Phishing . Vytváření falešných webových stránek, které jsou přesnou kopii stávající (například webové stránky banky) s cílem ukrást důvěrná data, když je uživatelé navštíví.
• Spam . Anonymní hromadné e-maily, které ucpávají e-mailové schránky uživatelů. Zpravidla se používají k inzerci zboží a služeb a také k phishingovým útokům.
• Adware . Šíření malwaru, který spouští reklamy ve vašem počítači nebo přesměrovává vyhledávací dotazy na placené (často pornografické) webové stránky. Často zabudované do volných popř sharewarové programy a je nainstalován na počítači uživatele bez jeho vědomí.
• Botnety . Zombie sítě sestávající z počítačů infikovaných trojským koněm (včetně vašeho PC), ovládaných jedním vlastníkem a používaných pro jeho účely (například rozesílání spamu).

ZNÁMKY POČÍTAČOVÉ INFEKCE

Detekce viru, který se dostal do vašeho počítače, v rané fázi je velmi důležitá. Dokud se totiž nestihne přemnožit a nasadit sebeobranný systém z odhalení, šance, že se ho zbavíme bez následků, je velmi vysoká. Přítomnost viru ve svém počítači můžete určit sami, když znáte počáteční příznaky infekce:

• Snížení množství volné paměti RAM;
• Výrazně pomalejší načítání a provoz počítače;
• Nepochopitelné (bezdůvodné) změny v souborech, stejně jako změny jejich velikosti a data poslední změna;
• Chyby při načítání operačního systému a během jeho provozu;
• Nemožnost ukládat soubory do určité složky;
• Nepochopitelný systémové zprávy, hudební a vizuální efekty.

Pokud zjistíte, že některé soubory zmizely nebo je nelze otevřít, operační systém nelze načíst nebo byl pevný disk zformátován, virus vstoupil do aktivní fáze a jednoduché skenování Pomocí speciálního antivirového programu se počítače nezbavíte. Možná budete muset přeinstalovat operační systém. Nebo spustit opravné prostředky z nouze spouštěcí disk, protože antivirus nainstalovaný v počítači pravděpodobně ztratil svou funkčnost kvůli tomu, že byl také upraven nebo zablokován malwarem.

Pravda, i když se vám podaří zbavit se infikovaných objektů, je často nemožné obnovit normální funkčnost systému, protože důležité systémové soubory mohou být nenávratně ztraceny. Zároveň pamatujte, že vašim důležitým datům, ať už se jedná o fotografie, dokumenty nebo hudební sbírku, může hrozit zničení.

Abyste se vyhnuli všem těmto problémům, musíte neustále sledovat antivirovou ochranu svého počítače a také ji znát a dodržovat základní pravidla informační bezpečnost.

ANTIVIROVÁ OCHRANA

Používají se k detekci a neutralizaci virů. speciální programy, které se nazývají „antivirové programy“ nebo „antiviry“. Blokují neoprávněný přístup k vašim informacím zvenčí a zabraňují infekci počítačové viry a v případě potřeby odstranit následky infekce.

Technologie antivirové ochrany

Nyní se pojďme podívat na používané technologie antivirové ochrany. Přítomnost jedné nebo druhé technologie v kompozici antivirový balíček, závisí na tom, jak je produkt umístěn na trhu a ovlivňuje jeho konečnou cenu.

Souborový antivirus. Komponenta, která řídí souborový systém počítače. Kontroluje všechny otevřené, spuštěné a uložené soubory ve vašem počítači. Pokud jsou zjištěny známé viry, budete zpravidla požádáni o dezinfekci souboru. Pokud to z nějakého důvodu není možné, je smazáno nebo přesunuto do karantény.

Mailový antivirus. Poskytuje ochranu pro příchozí a odchozí poštu a kontroluje v ní nebezpečné objekty.

Webový antivirus. Provádí antivirovou kontrolu provozu přenášeného přes internetový protokol HTTP, který zajišťuje ochranu vašeho prohlížeče. Monitoruje všechny spuštěné skripty pro škodlivý kód, včetně skriptu Java a skriptu VB.

IM antivirus. Zodpovědný za bezpečnost práce s internetovými pagery (ICQ, MSN, Jabber, QIP, Mail.RUAgent atd.) kontroluje a chrání informace přijaté prostřednictvím jejich protokolů.

Ovládání programu. Tato komponenta zaznamenává akce programů spuštěných ve vašem operačním systému a na základě toho reguluje jejich aktivity zavedená pravidla. Tato pravidla upravují přístup programu k různým systémovým zdrojům.
Firewall (firewall). Zajišťuje bezpečnost vaší práce lokální sítě a Internet, sledování aktivity v příchozím provozu, která je charakteristická pro síťové útoky, které využívají zranitelnosti operačního systému a softwaru. Všem síťová připojení jsou aplikována pravidla, která povolují nebo zakazují určité akce na základě analýzy určitých parametrů.

Proaktivní ochrana. Tato komponenta je navržena tak, aby identifikovala nebezpečný software na základě analýzy jeho chování v systému. Škodlivé chování může zahrnovat: činnost charakteristickou pro trojské koně, přístup do systémového registru, vlastní kopírování programů do různých oblastí souborového systému, zachycování datových vstupů z klávesnice, injektování do jiných procesů atd. Tímto způsobem je učiněn pokus o ochranu počítače nejen před již známé viry, ale také z nových, které ještě nebyly prozkoumány .

Anti-Spam. Filtruje veškerou příchozí a odchozí poštu nevyžádané e-maily(spam) a třídí jej v závislosti na uživatelském nastavení.

Anti-Spy. Základní složka, určený k boji proti podvodům na internetu. Chrání před phishingovými útoky, zadními vrátky, downloadery, zranitelnostmi, prolomením hesel, únosci dat, keyloggery a proxy, automatickými dialery pro placené webové stránky, vtipnými programy, reklamními programy a otravnými bannery.

Rodičovská kontrola. Toto je komponenta, která umožňuje nastavit omezení přístupu pro používání počítače a internetu. Pomocí tohoto nástroje můžete ovládat spouštění různých programů, používání internetu, navštěvování webových stránek v závislosti na jejich obsahu a mnoho dalšího, a tím chránit děti a dospívající před negativními vlivy při práci na počítači.

Bezpečné prostředí nebo pískoviště (Sandbox). Omezený virtuální prostor blokování přístupu k systémovým prostředkům. Poskytuje bezpečnou práci s aplikacemi, dokumenty, internetovými zdroji a také s webovými zdroji internetového bankovnictví, kde je bezpečnost při zadávání důvěrných dat obzvláště důležitá. Umožňuje vám také běhat uvnitř sebe sama nebezpečné aplikace bez rizika systémové infekce.

Základní pravidla antivirové ochrany

Přísně vzato, neexistuje žádný univerzální způsob boje s viry. I když máte v počítači nejmodernější antivirový program, absolutně to nezaručuje, že váš systém nebude infikován. Nejprve se totiž objeví viry a teprve potom je na ně lék. A to i přesto, že mnoho moderních antivirových řešení má detekční systémy neznámé hrozby, jejich algoritmy jsou nedokonalé a neposkytují vám 100% ochranu. Pokud však budete dodržovat základní pravidla antivirové ochrany, můžete výrazně snížit riziko infekce vašeho počítače a ztráty důležitých informací.

• Váš operační systém by měl mít dobrý antivirový program, který je pravidelně aktualizován.
• Nejcennější data by měla být zálohována.
• Rozdělte pevný disk na několik oddílů. To vám umožní izolovat důležité informace a neuchovávat je na systémovém oddílu, kde byl nainstalován váš operační systém. Vždyť je to právě on, kdo je hlavním cílem útočníků.
• Nenavštěvujte webové stránky s pochybným obsahem a zejména ty, které se zabývají nelegálním šířením obsahu, klíčů a generátorů klíčů. placené programy. Kromě bezplatných „zadarmo“ existuje zpravidla obrovské množství malwaru všech odrůd.
• Při používání e-mailu neotevírejte ani nespouštějte přílohy pošty z dopisů od neznámých adresátů.
• Všichni, kdo rádi komunikují pomocí internetových messengerů (QIP, ICQ), by si také měli dát pozor na stahování souborů a klikání na odkazy zaslané neznámými kontakty.
• Pro uživatele sociální sítě měli byste být dvojnásob opatrní. V poslední době se staly hlavním cílem kybernetických podvodníků, kteří přicházejí s mnoha schématy, která jim umožňují krást peníze uživatelů. Žádost o poskytnutí vašich citlivých informací v pochybných zprávách by vás měla okamžitě varovat.

ZÁVĚR

Po přečtení přemýšlíme tohoto materiálu, nyní chápete, jak důležité je brát vážně otázku zabezpečení a ochrany vašeho počítače před průniky narušitelů a účinky škodlivých programů na něj.
Na momentálně Existuje velké množství společností, které vyvíjejí antivirový software, a jak víte, není těžké se s jeho výběrem zmást. Ale to je velmi důležitý moment, protože je to antivirus, který je zdí chránící váš systém před tokem infekce proudící ze sítě. A pokud má tato stěna mnoho mezer, pak v ní bude nulový smysl.

Abychom běžným uživatelům usnadnili výběr vhodné ochrany PC, na našem portálu testujeme tu nejoblíbenější antivirová řešení poznávání jejich schopností a uživatelské rozhraní. Můžete se seznámit s nejnovějšími z nich a velmi brzy to na vás bude čekat nová recenze nejnovější produkty v této oblasti.

Síť jako předmět ochrany

Nejmodernější automatizované systémy systémy zpracování informací jsou distribuované systémy postavené na standardu síťové architektury a používání standardních sad síťových služeb a aplikačního softwaru. Podnikové sítě „zdědí“ všechny „tradiční“ metody neoprávněného zásahu do místních počítačových systémů. Kromě toho se vyznačují specifickými kanály pronikání a neoprávněným přístupem k informacím díky použití síťových technologií.

Uveďme hlavní rysy distribuovaných výpočetních systémů:

• územní odlehlost součástí systému a přítomnost intenzivní výměny informací mezi nimi;
• široký rozsah metody používané pro prezentaci, ukládání a přenos informací;
• integrace dat pro různé účely příslušnost k různým subjektům v rámci jednotných databází a naopak umístění dat nezbytných pro některé subjekty do různých vzdálených síťových uzlů;
• abstrahování vlastníků dat od fyzických struktur a umístění dat;
• použití distribuovaných režimů zpracování dat;
• účast v procesu automatizované zpracování informace od velkého počtu uživatelů a personálu různých kategorií;
• okamžitý a současný přístup ke zdrojům velký počet uživatelé;
• rozmanitost použitých prostředků výpočetní technika a software;

Co jsou zranitelnosti sítě, hrozby a útoky?

V počítačová bezpečnost termín" zranitelnost"(Angličtina) zranitelnost) se používá k označení chyby v systému, pomocí které může útočník úmyslně narušit jeho integritu a příčinu nesprávný provoz. Zranitelnosti mohou být důsledkem programovacích chyb, nedostatků v návrhu systému, slabých hesel, virů a jiného malwaru, skriptů a injekcí SQL. Některé zranitelnosti jsou známy pouze teoreticky, zatímco jiné jsou aktivně využívány a mají známé exploity.

Chyba zabezpečení obvykle umožňuje útočníkovi „oklamat“ aplikaci, aby provedla akci, na kterou by neměla mít právo. To se děje tak, že se do programu nějakým způsobem vkládají data nebo kód na taková místa, aby je program vnímal jako „své“. Některé zranitelnosti vznikají kvůli nedostatečnému ověření uživatelského vstupu a umožňují vkládat do interpretovaného kódu libovolné příkazy (SQL injection, XSS, SiXSS). Další zranitelnosti vznikají kvůli více komplexní problémy, jako je zápis dat do vyrovnávací paměti bez kontroly jejích hranic (přetečení vyrovnávací paměti). Někdy se nazývá skenování zranitelnosti sondování, když například mluví o prozkoumávání vzdáleného počítače, myslí tím hledání otevřených síťových portů a přítomnost zranitelností spojených s aplikacemi využívajícími tyto porty.

Pod ohrožení(obecně) obvykle rozumí potenciálně možné události, akci, procesu nebo jevu, který by mohl vést k poškození něčích zájmů. Ohrožení zájmů subjektů informační vztahy budeme nazývat takovou událost, proces nebo jev, který svým dopadem na informace nebo jiné složky AS může přímo či nepřímo vést k poškození zájmů těchto subjektů.

Síťový útok- akce, jejímž účelem je převzít kontrolu (navýšení práv) nad vzdáleným/místním počítačovým systémem nebo jej destabilizovat nebo odmítnout službu, jakož i získat data od uživatelů využívajících tento vzdálený/místní počítačový systém. informační počítačová počítačová kriminalita

Zobrazení: 3378

Článek je určen těm, kteří o bezpečnosti sítě začali přemýšlet nebo v tom pokračují a posilují ochranu webových aplikací před novými hrozbami – vždyť nejprve musíte pochopit, jaké hrozby mohou existovat, abyste jim mohli předejít.

Z nějakého důvodu je potřeba myslet na bezpečnost sítě považována za právo pouze velkých společností, jako jsou , a , nebo , které otevřeně vyhlašují soutěže na hledání zranitelností a zvyšují bezpečnost svých produktů, webových aplikací a síťových infrastruktur ve všech směrech . Naprostá většina stávajících webových systémů přitom obsahuje „díry“ různého typu (90 % systémů obsahuje středně rizikové zranitelnosti).

Co je síťová hrozba nebo zranitelnost sítě?

WASC (Web Application Security Consortium) identifikovalo několik základních tříd, z nichž každá obsahuje několik skupin běžných zranitelností, jejichž použití může způsobit poškození společnosti. Úplná klasifikace je uvedena ve formuláři a v ruštině je k dispozici překlad předchozí verze z InfoSecurity - která bude použita jako základ pro klasifikaci a bude výrazně rozšířena.

Hlavní skupiny bezpečnostních hrozeb webových stránek

Nedostatečná autentizace při přístupu ke zdrojům

Tato skupina hrozeb zahrnuje útoky založené na výběru (), zneužití funkčnosti () a předvídatelného umístění zdroje (). Hlavním rozdílem oproti nedostatečné autorizaci je nedostatečné ověření práv (nebo funkcí) již autorizovaného uživatele (např. běžný autorizovaný uživatel může získat administrátorská práva jednoduše tím, že zná adresu ústředny, pokud je dostatečné ověření přístupových práv se neprovádí).

Takovým útokům lze účinně čelit pouze na úrovni aplikační logiky. Některé útoky (například příliš časté útoky hrubou silou) lze blokovat na úrovni síťové infrastruktury.

Nedostatečná autorizace

To může zahrnovat útoky zaměřené na snadné vynucení přístupových údajů nebo zneužití případných chyb při kontrole přístupu do systému. Kromě technik výběru () to zahrnuje odhadování přístupu () a fixaci relací ().

Ochrana před útoky z této skupiny vyžaduje sadu požadavků na spolehlivý systém autorizace uživatelů.

To zahrnuje všechny techniky pro změnu obsahu webové stránky bez jakékoli interakce se serverem obsluhujícím požadavky – tj. hrozba je implementována prostřednictvím prohlížeče uživatele (ale obvykle samotný prohlížeč není „slabým článkem“: problém spočívá ve filtrování obsahu na straně serveru) nebo přes mezipaměťový server. Typy útoků: falšování obsahu (), požadavky mezi stránkami (XSS, ), zneužívání přesměrování (), padělání požadavků mezi stránkami (), dělení odpovědi HTTP (, pašování odpovědí HTTP () a obcházení směrování (), dělení požadavků HTTP () a pašování požadavků HTTP ().

Značnou část těchto hrozeb lze zablokovat na úrovni nastavení serverového prostředí, ale webové aplikace musí také pečlivě filtrovat jak příchozí data, tak reakce uživatelů.

Prováděcí kód

Útoky spouštěním kódu jsou klasickými příklady hackování webových stránek prostřednictvím zranitelností. Útočník může spustit svůj kód a získat přístup k hostingu, kde se stránka nachází odesláním speciálně připraveného požadavku na server. Útoky: Přetečení vyrovnávací paměti (), Formátování řetězce (), Přetečení celého čísla (), Vložení LDAP (), Vložení pošty (), Null Byte (), Spuštění příkazu OS (), Spuštění externího souboru (RFI, ), Vložení SSI () , SQL Injection (), XPath Injection (), XML Injection (), XQuery Injection () a XXE Injection ().

Ne všechny tyto typy útoků mohou ovlivnit váš web, ale jsou správně blokovány pouze na úrovni WAF (Web Application Firewall) nebo filtrování dat v samotné webové aplikaci.

Zpřístupnění informací

Útoky z této skupiny nejsou čistou hrozbou pro samotný web (protože web jimi nijak netrpí), ale mohou poškodit podnik nebo být použity k provádění jiných typů útoků. Typy: Fingerprint () a Directory Traversal ()

Správná konfigurace serverového prostředí vám umožní zcela se chránit před takovými útoky. Pozor je ale třeba věnovat i chybovým stránkám webové aplikace (které mohou obsahovat řadu technických informací) a zacházení se souborovým systémem (který může být narušen nedostatečnou filtrací vstupů). Stává se také, že se v indexu vyhledávání objeví odkazy na některé zranitelnosti webu a to samo o sobě představuje významnou bezpečnostní hrozbu.

Logické útoky

Tato skupina zahrnuje všechny zbývající útoky, jejichž možnost spočívá především v omezených zdrojích serveru. Konkrétně se jedná o Denial of Service () a cílenější útoky - SOAP Abuse (), XML Attribute Overflow a XML Entity Expansion ().

Ochrana proti nim je pouze na úrovni webové aplikace, případně blokování podezřelých požadavků (síťové vybavení nebo webové proxy). Ale se vznikem nových typů cílených útoků je nutné auditovat zranitelnosti webových aplikací.

DDoS útoky

Jak by mělo být z klasifikace zřejmé, DDoS útok v odborném slova smyslu je vždy vyčerpáním serverových zdrojů tím či oním způsobem. Jiné metody () přímo nesouvisí s útokem DDoS, ale představují jeden nebo jiný typ zranitelnosti webu. Wikipedia také dostatečně podrobně popisuje způsoby ochrany, nebudu je zde duplikovat.

Výrobci routerů se často příliš nestarají o kvalitu svého kódu, a proto jsou zranitelnosti časté. Dnes jsou routery prioritním cílem síťových útoků a umožňují lidem krást peníze a data a obejít místní bezpečnostní systémy. Jak mohu sám zkontrolovat kvalitu firmwaru a vhodnost nastavení? Bezplatné nástroje, online kontrolní služby a tento článek vám s tím pomohou.

Směrovače spotřebitelské třídy byly vždy kritizovány za jejich nespolehlivost, ale vysoká cena zatím nezaručuje vysokou bezpečnost. V prosinci loňského roku specialisté společnosti Kontrolní bod objevili více než 12 milionů routerů (včetně špičkových modelů) a DSL modemů, které mohou být hacknuty kvůli zranitelnosti přijímacího mechanismu automatické nastavení. Je široce používán pro rychlé nastavení síťová zařízení na straně klienta (CPE - zařízení zákaznických prostor). V posledních deseti letech poskytovatelé k tomuto účelu používají protokol pro správu účastnických zařízení CWMP (CPE WAN Management Protocol). Specifikace TR-069 poskytuje možnost odesílat pomocí ní nastavení a připojovat služby přes Auto Configuration Server (ACS - Auto Configuration Server). Zaměstnanci Check Pointu zjistili, že mnoho routerů má chybu ve zpracování požadavků CWMP a poskytovatelé situaci dále komplikují: většina z nich nešifruje spojení mezi ACS a klientským zařízením a neomezuje přístup pomocí IP nebo MAC adres. Společně to vytváří podmínky pro snadný útok typu man-in-the-middle.

Prostřednictvím zranitelné implementace CWMP může útočník dělat téměř cokoliv: nastavovat a číst konfigurační parametry, resetovat nastavení na výchozí hodnoty a vzdáleně restartovat zařízení. Nejběžnějším typem útoku je nahrazení adres DNS v nastavení routeru servery ovládanými útočníkem. Filtrují webové požadavky a přesměrovávají ty, které obsahují volání bankovních služeb, na falešné stránky. Falešné stránky byly vytvořeny pro všechny populární platební systémy: PayPal, Visa, MasterCard, QIWI a další.

Zvláštností tohoto útoku je, že prohlížeč běží na čistém OS a odešle požadavek na správně zadanou adresu skutečného platebního systému. Zkouška nastavení sítě skenování počítače a virů na něm neodhalí žádné problémy. Efekt navíc přetrvává, pokud se k platebnímu systému připojíte přes hacknutý router z jiného prohlížeče a dokonce i z jiného zařízení v domácí síti.

Vzhledem k tomu, že většina lidí jen zřídka kontroluje nastavení svého routeru (nebo dokonce svěří tento proces technikům ISP), problém zůstane dlouho nezjištěný. Většinou se o tom dozvědí vyloučením - po odcizení peněz z účtů a počítačová kontrola nic nepřinesla.

Pro připojení k routeru přes CWMP používá útočník jednu z běžných zranitelností typických pro síťová zařízení vstupní úroveň. Obsahují například webový server třetí strany, RomPager, napsaný Allegro Software. Před mnoha lety v něm byla objevena chyba ve zpracování cookies, která byla promptně opravena, ale problém stále přetrvává. Vzhledem k tomu, že tento webový server je součástí firmwaru, není možné jej aktualizovat jedním tahem na všech zařízeních. Každý výrobce musel vydat nové vydání pro stovky modelů již v prodeji a přesvědčit jejich majitele, aby si aktualizaci stáhli co nejdříve. Jak ukázala praxe, žádný z domácích uživatelů to neudělal. Proto jde počet zranitelných zařízení i deset let po vydání oprav do milionů. Sami výrobci navíc ve svém firmwaru dodnes používají starou zranitelnou verzi RomPager.

Kromě routerů se zranitelnost týká VoIP telefonů, síťových kamer a dalších zařízení, která lze vzdáleně konfigurovat pomocí CWMP. Obvykle se k tomu používá port 7547. Jeho stav můžete zkontrolovat na routeru pomocí bezplatné služby Shields Up od Steva Gibsona. Chcete-li to provést, zadejte jeho adresu URL (grc.com) a poté přidejte /x/portprobe=7547.

Snímek obrazovky je pouze orientační pozitivní výsledek. Negative nezaručuje, že neexistuje žádná zranitelnost. Chcete-li jej vyloučit, budete muset provést úplný penetrační test – například pomocí skeneru Neexpose nebo frameworku Metasploit. Sami vývojáři často nejsou připraveni říci, která verze RomPager se používá v konkrétní verzi jejich firmwaru a zda tam vůbec je. Tato komponenta rozhodně není přítomna pouze v alternativním open source firmwaru (o nich si povíme později).

Registrace zabezpečeného DNS

Je dobré častěji kontrolovat nastavení routeru a okamžitě je nastavit ručně alternativní adresy DNS servery. Zde jsou některé z nich dostupné zdarma.

• Comodo Secure DNS: 8.26.56.26 a 8.20.247.20
• Norton ConnectSafe: 199.85.126.10, 199.85.127.10
• Veřejné DNS Google: 8.8.8.8, 2001:4860:4860:8888 – pro IPv6
• OpenDNS: 208.67.222.222, 208.67.220.220

Všechny blokují pouze infikované a phishingové stránky, aniž by omezovaly přístup ke zdrojům pro dospělé.

Odpojte se a modlete se

Jiní jsou už dlouho známé problémy, které majitelé síťových zařízení nebo (méně často) jejich výrobci nechtějí opravit. Před dvěma lety odborníci na DefenseCode objevili celou sadu zranitelností ve směrovačích a dalších aktivních síťových zařízeních od devíti velkých společností. Všechny jsou spojeny s nesprávnou softwarovou implementací klíčových komponent. Zejména zásobník UPnP ve firmwaru pro čipy Broadcom nebo použití starších verzí otevřené knihovny libupnp. Spolu se specialisty Rapid7 a CERT našli zaměstnanci DefenseCode asi sedm tisíc modelů zranitelných zařízení. Po dobu šesti měsíců aktivního skenování náhodný rozsah Adresy IPv4 identifikovaly více než 80 milionů hostitelů, kteří odpověděli na standardní požadavek UPnP na port WAN. Každý pátý z nich podporoval službu SOAP (Simple Přístup k objektu Protokol) a 23 milionů umožnilo spouštění libovolného kódu bez oprávnění. Ve většině případů je útok na routery s takovou dírou v UPnP proveden prostřednictvím upraveného požadavku SOAP, což vede k chybě zpracování dat a zbytek kódu skončí v libovolné oblasti RAM routeru, kde provádí se s právy superuživatele. Na domácích routerech je lepší UPnP úplně zakázat a ujistit se, že požadavky na port 1900 jsou blokovány. S tím pomůže stejná služba Steva Gibsona. protokol UPnP(Universal Plug and Play) je ve výchozím nastavení na většině směrovačů povoleno, síťové tiskárny, IP kamery, NAS a příliš chytré domácí spotřebiče. Ve výchozím nastavení je povolena ve Windows, OS X a mnoha dalších Linuxové verze. Pokud je to možné jemné doladění používat to není tak špatné. Pokud jsou k dispozici pouze možnosti „povolit“ a „zakázat“, je lepší zvolit druhou možnost. Někdy výrobci záměrně zavádějí software do síťových zařízení. S největší pravděpodobností se tak děje na příkaz zpravodajských služeb, ale v případě skandálu se v oficiálních odpovědích vždy zmiňuje „technická nutnost“ nebo „proprietární služba pro zlepšení kvality komunikace“. V některých byla objevena vestavěná zadní vrátka routery Linksys a Netgear. Otevřeli port 32764 pro příjem vzdálené příkazy. Jelikož toto číslo neodpovídá žádné známé službě, lze tento problém snadno odhalit – například pomocí externího skeneru portů.

INFO

Dalším způsobem, jak provést bezplatný audit domácí sítě, je stažení a spuštění antivirus Avast. Jeho nové verze obsahují průvodce Network check wizard, který identifikuje známá zranitelnost a nebezpečná nastavení sítě.

Výchozí hodnoty jsou pro jehňata

Nejčastějším problémem se zabezpečením routeru zůstává tovární nastavení. Nejsou to pouze interní IP adresy, hesla a přihlášení admin, ale zahrnoval i služby, které zvyšují pohodlí za cenu bezpečnosti. Kromě UPnP je ve výchozím nastavení často povolen protokol dálkového ovládání Telnet a služba WPS (Wi-Fi). Chráněné nastavení). Při zpracování požadavků Telnet se často vyskytují kritické chyby. Například, Směrovače D-Link série DIR-300 a DIR-600 umožňovaly vzdáleně přijímat shell a provádět jakýkoli příkaz prostřednictvím démona telnetd bez jakékoli autorizace. Na routerech Linksys E1500 a E2500 bylo vkládání kódu možné prostřednictvím běžného pingu. V důsledku toho pro ně nebyl zkontrolován parametr ping_size metoda GET Backdoor byl nahrán do routeru v jednom řádku. V případě E1500 nebyly při autorizaci potřeba žádné další triky. Nové heslo můžete jej jednoduše nastavit bez zadání aktuálního. Podobný problém byl identifikován u VoIP telefonu Netgear SPH200D. Při analýze firmwaru se navíc ukázalo, že byl aktivní skrytý servisní účet se stejným heslem. Pomocí Shodan můžete najít zranitelný router během několika minut. Stále vám umožňují měnit jakákoli nastavení na dálku a bez oprávnění. Můžete toho okamžitě využít, nebo můžete udělat dobrý skutek: najít tohoto nešťastného uživatele na Skype (podle IP nebo jména) a poslat mu pár doporučení - například změnit firmware a přečíst si tento článek.

Nadshluk masivních děr

Problém zřídka přichází sám: aktivace WPS automaticky vede k povolení UPnP. Standardní PIN nebo předautentizační klíč používaný ve WPS navíc ruší veškerou kryptografickou ochranu na úrovni WPA2-PSK. Kvůli chybám firmwaru zůstává WPS často povoleno i poté, co je zakázáno prostřednictvím webového rozhraní. Můžete to zjistit pomocí skeneru Wi-Fi - např. bezplatná aplikace Wifi Analyzer pro smartphony Android. Pokud zranitelné služby používá sám správce, nebude možné je odmítnout. Je dobré, pokud vám router umožňuje je nějak zabezpečit. Nepřijímejte například příkazy k WAN port nebo nastavit konkrétní IP adresu pro použití Telnetu. Někdy prostě neexistuje způsob, jak nakonfigurovat nebo jednoduše deaktivovat nebezpečnou službu ve webovém rozhraní a není možné uzavřít díru standardními prostředky. Jediná cesta ven v tomto případě vyhledejte nový nebo alternativní firmware s rozšířenou sadou funkcí.

Alternativní služby

Nejoblíbenější otevřít firmware ocel DD-WRT, OpenWRT a jeho vidlice Gargoyle. Lze je nainstalovat pouze na routery ze seznamu podporovaných – tedy ty, u kterých výrobce čipsetu prozradil úplné specifikace. Například Asus má samostatnou řadu routerů, které byly původně navrženy s ohledem na použití DD-WRT (bit.ly/1xfIUSf). Má již dvanáct modelů od základní až po podnikovou úroveň. routery MikroTik spustit RouterOS, který není o nic horší než rodina *WRT. Toto je také plnohodnotný síťový OS Linuxové jádro, který podporuje naprosto všechny služby a jakoukoli myslitelnou konfiguraci. Alternativní firmware dnes ho můžete nainstalovat na mnoho routerů, ale buďte opatrní a zkontrolujte si celý název zařízení. Se stejným číslem modelu a vzhled Směrovače mohou mít různé revize, které mohou skrývat zcela odlišné hardwarové platformy.

Bezpečnostní kontrola

Můžete zkontrolovat zranitelnost OpenSSL bezplatný nástroj ScanNow od Rapid7 (bit.ly/18g9TSf) nebo jeho zjednodušené online verze (bit.ly/1xhVhrM). Online ověření proběhne během několika sekund. V samostatný program Můžete nastavit rozsah IP adres, takže test trvá déle. Mimochodem, registrační pole utility ScanNow nejsou nijak kontrolována.

Po skenování se zobrazí zpráva a nabídka na vyzkoušení pokročilejšího skeneru zranitelnosti Neexpose, zaměřeného na firemní sítě. Je k dispozici pro Windows, Linux a VMware. V závislosti na verzi je bezplatné zkušební období omezeno na 7 až 14 dní. Omezení se týkají počtu IP adres a skenovaných oblastí.

Bohužel instalace alternativního open source firmwaru je jen způsob, jak zvýšit bezpečnost a úplná bezpečnost on to nedá. Veškerý firmware je postaven na modulárním principu a kombinuje řadu klíčových komponent. Když je v nich zjištěn problém, dotkne se milionů zařízení. Například zranitelnost v otevřené knihovně OpenSSL ovlivnila také směrovače s *WRT. Jí kryptografické funkce používá se k šifrování relací vzdáleného přístupu přes SSH, organizaci VPN, správě lokální webový server a další oblíbené úkoly. Výrobci začali vydávat aktualizace poměrně rychle, ale problém stále nebyl zcela odstraněn.

Ve směrovačích se neustále nacházejí nové zranitelnosti a některé z nich jsou zneužity ještě před vydáním opravy. Jediné, co může vlastník routeru udělat, je zakázat nepotřebné služby, změnit výchozí parametry, omezit dálkové ovládání, zkontrolujte nastavení a aktualizujte firmware častěji.