Charakteristické rysy síťových útoků. Typy hackerských útoků na webové zdroje

Charakteristické rysy síťových útoků. Typy hackerských útoků na webové zdroje

Naše počítačové systémy jsou zranitelné vůči různým typům útoků. Pro ochranu systému před těmito útoky je důležité znát běžné počítačové útoky V dnešním světě se stalo téměř běžnou situací, kdy slyšíme o napadení systémů osobních počítačů nebo sítí. V tomto věku technologií existují různé typy počítačových útoků, před kterými musíte chránit svá drahocenná data, systémy a sítě. Zatímco některé útoky mohou data v počítači jednoduše poškodit, existují i ​​jiné útoky, kde mohou data z počítačového systému být odcizen, stejně jako další útoky, kdy může být celá síť vypnuta.

Jednoduše řečeno, existují dva hlavní typy útoků, pasivní útoky a aktivní útoky Pasivní útoky jsou ty, kdy jsou data v počítači sledována a později využívána pro škodlivé zájmy, zatímco aktivní útoky jsou takové, kde dochází buď ke změnám dat nebo dat. budou smazány nebo budou sítě zcela zničeny Níže jsou uvedeny některé z nejběžnějších typů aktivních a pasivních útoků, které mohou ovlivnit počítače.

Aktivní typy počítačových útoků

Virus

Nejznámější počítačové útoky a viry existují již dlouhou dobu. Instalují se do počítačů a šíří se do dalších souborů v systému. Jsou často distribuovány prostřednictvím externích pevných disků nebo prostřednictvím určitých internetových stránek nebo jako přílohy e-mailů. Jakmile jsou viry spuštěny, stanou se nezávislými na tvůrci a jejich cílem je infikovat mnoho souborů a dalších systémů.

Root Kit

Hackeři získávají přístup do systému pomocí kořenové sady ovladačů a přebírají úplnou kontrolu nad počítačem Patří k nejnebezpečnějším počítačovým útokům, protože hacker může získat větší kontrolu nad systémem než vlastník systému. V některých případech mohou hackeři také zapnout webovou kameru a sledovat aktivity oběti, přičemž o ní vědí vše.

trojský

V seznamu počítačových útoků se trojské koně řadí na nejvyšší místo po virech. Často jsou zabudovány do softwaru, spořičů obrazovky nebo do her, které poběží normálně. Jakmile se však zkopírují do systému, infikují počítač s virem nebo root kitem. Jinými slovy, fungují jako přenašeči virů nebo rootkity k infikování systému.

Červ

Červy lze nazvat příbuznými virů. Rozdíl mezi viry a internetovými červy je ten, že červi infikují systém bez jakékoli pomoci ze strany uživatele. Prvním krokem je, že červi prohledají počítače, zda neobsahují zranitelnosti, zkopírují se do systému a infikují systém a proces se opakuje.

Pasivní typy počítačových útoků

Odposlechy

Jak název napovídá, hackeři tajně uslyší konverzace probíhající mezi dvěma počítači v síti. To se může stát v uzavřeném systému i přes internet. Další jména, se kterými je spojen, jsou slídí. Díky odposlechu se citlivá data mohou dostat přes síť a mohou k nim přistupovat další lidé.

Útoky na hesla

Jedním z nejběžnějších typů kybernetických útoků jsou útoky pomocí hesel Zde hackeři získají přístup k počítači a síťovým zdrojům získáním kontrolního hesla. Často je vidět, že útočník změnil konfiguraci serveru a sítě a v některých případech dokonce smazat data Navíc mohou být data přenášena do různých sítí.

Prolomený klíč k útoku

K uchování důvěrných dat lze použít tajný kód nebo číslo. Získání klíče je pro hackera bezesporu opravdu obrovský úkol a je možné, že po intenzivním zkoumání je hacker skutečně schopen na klíče položit ruce. Když je klíč v držení hackera, je znám jako kompromitovaný klíč. Hacker bude mít nyní přístup k důvěrným datům a může v nich provádět změny. Existuje však také možnost, že hacker bude zkoušet různé permutace a kombinace klíče, aby se dostal k jiným sadám citlivých dat.

Předstírání identity

Každý počítač má IP adresu, díky které je platný a nezávislý na síti. Jedním z běžných počítačových útoků je převzetí identity jiného počítače. Zde lze odesílat IP pakety z platných adres a přistupovat na konkrétní IP. Po získání přístupu mohou být systémová data smazána, upravena nebo přesměrována. Kromě toho může hacker použít tuto kompromitovanou IP adresu k útoku na jiné systémy v síti nebo mimo ni.

Útoky na aplikační vrstvě

Cílem útoku na aplikační vrstvě je způsobit zhroucení operačního systému serveru. Jakmile je v operačním systému vytvořena chyba, může hacker získat přístup ke správě serveru. Do systému může být zavlečen virus nebo může být na server odesláno více požadavků, což může způsobit jeho zhroucení, nebo mohou být zakázány bezpečnostní kontroly, což ztěžuje obnovení serveru.

To byly některé z typů útoků, kterým mohou být vystaveny servery a jednotlivé počítačové systémy.

Vzdálený síťový útok- informační destruktivní dopad na distribuovaný výpočetní systém, prováděný programově prostřednictvím komunikačních kanálů.

Zavedení

Pro organizaci komunikace v heterogenním síťovém prostředí se používá sada protokolů TCP/IP, které zajišťují kompatibilitu mezi počítači různých typů. Tato sada protokolů si získala oblibu díky své kompatibilitě a poskytování přístupu ke zdrojům globálního internetu a stala se standardem pro mezisíťovou práci. Všudypřítomnost zásobníku protokolů TCP/IP však také odhalila jeho slabiny. Zejména z tohoto důvodu jsou distribuované systémy náchylné ke vzdáleným útokům, protože jejich součásti obvykle využívají otevřené kanály pro přenos dat a útočník může nejen pasivně odposlouchávat přenášené informace, ale také modifikovat přenášený provoz.

Obtížnost detekce vzdáleného útoku a relativní snadnost implementace (vzhledem k nadbytečné funkčnosti moderních systémů) staví tento typ protiprávního jednání na první místo z hlediska stupně nebezpečí a znemožňuje včasnou reakci na hrozbu. Výsledkem je, že útočník zvyšuje šance na úspěšné provedení útoku.

Klasifikace útoků

Podle povahy dopadu

  • Pasivní
  • Aktivní

Pasivní dopad na distribuovaný výpočetní systém (DCS) je nějaký dopad, který přímo neovlivňuje provoz systému, ale zároveň může porušovat jeho bezpečnostní politiku. Nedostatek přímého vlivu na provoz RVS vede právě k tomu, že pasivní vzdálený vliv (RPI) je obtížně zjistitelný. Možným příkladem typického PUV v DCS je naslouchání komunikačnímu kanálu v síti.

Aktivní dopad na DCS - dopad, který má přímý dopad na provoz samotného systému (narušení funkčnosti, změna konfigurace DCS apod.), který porušuje bezpečnostní politiku v něm přijatou. Téměř všechny typy vzdálených útoků jsou aktivními vlivy. To je způsobeno skutečností, že samotná podstata škodlivého účinku zahrnuje aktivní složku. Jasným rozdílem mezi aktivním vlivem a pasivním vlivem je zásadní možnost jeho detekce, neboť v důsledku jeho implementace dochází v systému k některým změnám. Při pasivním vlivu nezůstanou absolutně žádné stopy (vzhledem k tomu, že útočník v systému vidí zprávu někoho jiného, ​​nic se nezmění).

Účelem vlivu

  • narušení fungování systému (přístup do systému)
  • porušení integrity informačních zdrojů (IR)
  • porušení důvěrnosti IR

Tato vlastnost, podle které se klasifikace provádí, je v podstatě přímou projekcí tří základních typů hrozeb – odmítnutí služby, prozrazení a porušení integrity.

Hlavním cílem téměř každého útoku je získat neoprávněný přístup k informacím. Existují dvě základní možnosti získávání informací: zkreslení a odposlech. Možnost zachycení informací znamená získání přístupu k nim bez možnosti jejich změny. Zachycování informací tedy vede k porušení jejich důvěrnosti. Poslech kanálu v síti je příkladem zachycení informací. V tomto případě dochází k nelegitimnímu přístupu k informacím bez možnosti jejich nahrazení. Je také zřejmé, že porušení důvěrnosti informací se týká pasivních vlivů.

Schopnost nahrazovat informace by měla být chápána buď jako úplná kontrola nad tokem informací mezi systémovými objekty, nebo jako schopnost přenášet různé zprávy jménem někoho jiného. Je tedy zřejmé, že záměna informace vede k narušení její integrity. Takový informačně destruktivní vliv je typickým příkladem aktivního vlivu. Příkladem vzdáleného útoku navrženého k narušení integrity informací je vzdálený útok (RA) „False RVS object“.

Na základě přítomnosti zpětné vazby od napadeného objektu

  • se zpětnou vazbou
  • bez zpětné vazby (jednosměrný útok)

Útočník odešle napadenému objektu nějaké požadavky, na které očekává odpověď. Následně se mezi útočníkem a napadeným objeví zpětná vazba, která útočníkovi umožní adekvátně reagovat na nejrůznější změny v napadeném objektu. To je podstatou vzdáleného útoku, prováděného za přítomnosti zpětné vazby od útočícího objektu. Takové útoky jsou nejtypičtější pro RVS.

Útoky s otevřenou smyčkou se vyznačují tím, že nemusejí reagovat na změny v napadeném objektu. Takové útoky jsou obvykle prováděny zasláním jednotlivých požadavků na napadený objekt. Útočník nepotřebuje odpovědi na tyto požadavky. Takové UA lze také nazvat jednosměrné UA. Příkladem jednosměrných útoků je typický DoS útok.

Podle stavu začátku nárazu

Vzdálené ovlivňování, stejně jako každé jiné, může začít probíhat pouze za určitých podmínek. V RVS existují tři typy takových podmíněných útoků:

  • útok na žádost od napadeného objektu
  • útok při výskytu očekávané události na napadeném objektu
  • bezpodmínečný útok

Dopad útočníka začne za předpokladu, že potenciální cíl útoku vyšle požadavek určitého typu. Takový útok lze nazvat útokem na žádost napadeného objektu. Tento typ UA je nejtypičtější pro RVS. Příkladem takových požadavků na internetu jsou požadavky DNS a ARP a v Novell NetWare - požadavek SAP.

Útok při výskytu očekávané události na napadeném objektu. Útočník průběžně sleduje stav OS vzdáleného cíle útoku a začíná ovlivňovat, kdy v tomto systému nastane konkrétní událost. Samotný napadený objekt je iniciátorem útoku. Příkladem takové události může být přerušení relace uživatele se serverem bez zadání příkazu LOGOUT v Novell NetWare.

Bezpodmínečný útok je proveden okamžitě a bez ohledu na stav operačního systému a napadeného objektu. Útočník je tedy v tomto případě iniciátorem útoku.

Pokud je narušen běžný provoz systému, jsou sledovány jiné cíle a neočekává se, že by útočník získal nelegální přístup k datům. Jeho cílem je deaktivovat OS na napadeném objektu a znemožnit ostatním systémovým objektům přístup ke zdrojům tohoto objektu. Příkladem útoku tohoto typu je DoS útok.

Podle umístění předmětu útoku vzhledem k napadenému objektu

  • intrasegmentální
  • intersegmentální

Některé definice:

Zdroj útoku (předmět útoku)- program (případně operátor) vedoucí útok a provádějící přímý dopad.

Hostitel- počítač, který je prvkem sítě.

Směrovač- zařízení, které směruje pakety v síti.

Podsíť je skupina hostitelů, kteří jsou součástí globální sítě a liší se tím, že jim router přiděluje stejné číslo podsítě. Můžeme také říci, že podsíť je logické sdružení hostitelů prostřednictvím směrovače. Hostitelé ve stejné podsíti mohou mezi sebou komunikovat přímo bez použití routeru.

Segment sítě- sjednocení hostitelů na fyzické úrovni.

Z hlediska vzdáleného útoku je nesmírně důležité relativní umístění subjektu a objektu útoku, tedy zda se nacházejí v různých nebo stejných segmentech. Během útoku uvnitř segmentu se subjekt a cíl útoku nacházejí ve stejném segmentu. V případě mezisegmentového útoku se předmět a cíl útoku nacházejí v různých segmentech sítě. Tento klasifikační znak umožňuje posoudit takzvaný „stupeň odlehlosti“ útoku.

Níže bude ukázáno, že útok uvnitř segmentu je mnohem snazší provést než útok mezi segmenty. Všimli jsme si také, že vzdálený útok mezi segmenty představuje mnohem větší nebezpečí než útok v rámci segmentu. Důvodem je skutečnost, že v případě mezisegmentového útoku se cíl a útočník mohou nacházet ve vzdálenosti mnoha tisíc kilometrů od sebe, což může výrazně ztížit opatření k odražení útoku.

Podle úrovně referenčního modelu ISO/OSI, na kterém se dopad provádí

  • fyzikální
  • potrubí
  • síť
  • doprava
  • relační
  • zástupce
  • aplikovaný

Mezinárodní organizace pro normalizaci (ISO) přijala normu ISO 7498, která popisuje propojování otevřených systémů (OSI), do které patří i RBC. Každý síťový výměnný protokol, stejně jako každý síťový program, lze tak či onak promítnout do referenčního 7vrstvého modelu OSI. Tato víceúrovňová projekce umožňuje popsat funkce používané v síťovém protokolu nebo programu z hlediska modelu OSI. UA je síťový program a je logické o něm uvažovat z hlediska projekce do referenčního modelu ISO/OSI.

Stručný popis některých síťových útoků

Fragmentace dat

Když je datový paket IP přenášen přes síť, paket lze rozdělit na několik částí. Následně po dosažení cíle je paket z těchto fragmentů rekonstruován. Útočník může zahájit odesílání velkého množství fragmentů, což vede k přetečení softwarových vyrovnávacích pamětí na straně příjemce a v některých případech k pádu systému.

Ping záplavový útok

Tento útok vyžaduje, aby útočník měl přístup k rychlým internetovým kanálům.

Program ping odešle ICMP paket typu ECHO REQUEST, v němž nastaví čas a jeho identifikátor. Jádro přijímajícího počítače odpoví na takový požadavek paketem ICMP ECHO REPLY. Po jeho přijetí zobrazí ping rychlost paketu.

Ve standardním provozním režimu jsou pakety odesílány v pravidelných intervalech, prakticky bez zatížení sítě. Ale v "agresivním" režimu může záplava paketů ICMP echo request/reply přetížit malou linku, takže nebude schopna přenášet užitečné informace.

Nestandardní protokoly zapouzdřené v IP

IP paket obsahuje pole, které specifikuje protokol zapouzdřeného paketu (TCP, UDP, ICMP). Útočníci mohou použít nestandardní hodnotu tohoto pole k přenosu dat, která nebudou zaznamenána standardními nástroji pro řízení toku informací.

Šmoulí útok

Šmoulí útok zahrnuje odesílání požadavků ICMP do sítě jménem počítače oběti.

V důsledku toho počítače, které přijaly takové pakety vysílání, reagují na počítač oběti, což vede k výraznému snížení propustnosti komunikačního kanálu a v některých případech k úplné izolaci napadené sítě. Šmoulí útok je extrémně účinný a rozšířený.

Protistrana: pro rozpoznání tohoto útoku je nutné analyzovat zatížení kanálu a určit důvody poklesu propustnosti.

DNS spoofing útok

Výsledkem tohoto útoku je zavedení vynucené korespondence mezi IP adresou a názvem domény do mezipaměti serveru DNS. V důsledku úspěšného útoku obdrží všichni uživatelé serveru DNS nesprávné informace o názvech domén a IP adresách. Tento útok se vyznačuje velkým počtem paketů DNS se stejným názvem domény. To je způsobeno nutností vybrat některé parametry výměny DNS.

Protiopatření: pro detekci takového útoku je nutné analyzovat obsah DNS provozu nebo použít DNSSEC.

IP spoofing útok

Se spoofingem zdrojové IP adresy je spojeno velké množství útoků na internetu. Mezi takové útoky patří také syslog spoofing, který zahrnuje odeslání zprávy do počítače oběti jménem jiného počítače v interní síti. Vzhledem k tomu, že protokol syslog se používá k udržování systémových protokolů, zasíláním falešných zpráv do počítače oběti je možné vyvolat informace nebo zakrýt stopy neoprávněného přístupu.

Protiopatření: detekce útoků souvisejících s falšováním IP adres je možná sledováním příjmu na jednom z rozhraní paketu se zdrojovou adresou stejného rozhraní nebo sledováním příjmu paketů s IP adresami vnitřní sítě na externím rozhraní .

Uložení balíčku

Útočník posílá do sítě pakety s falešnou návratovou adresou. Pomocí tohoto útoku může útočník přepnout spojení navázaná mezi jinými počítači na svůj vlastní počítač. V tomto případě se přístupová práva útočníka stanou právy uživatele, jehož připojení k serveru bylo přepnuto na počítač útočníka.

Sniffing - poslech kanálu

Možné pouze v segmentu lokální sítě.

Téměř všechny síťové karty podporují schopnost zachytit pakety přenášené přes společný kanál místní sítě. V tomto případě může pracovní stanice přijímat pakety adresované jiným počítačům ve stejném segmentu sítě. Útočníkovi se tak zpřístupní veškerá výměna informací v segmentu sítě. K úspěšnému provedení tohoto útoku musí být počítač útočníka umístěn ve stejném segmentu místní sítě jako napadený počítač.

Zachycování paketů na routeru

Síťový software routeru má přístup ke všem síťovým paketům odeslaným přes router, což umožňuje zachycení paketů. K provedení tohoto útoku musí mít útočník privilegovaný přístup alespoň k jednomu routeru v síti. Protože je přes router obvykle přenášeno tolik paketů, je jejich úplné zachycení téměř nemožné. Jednotlivé pakety však mohou být dobře zachyceny a uloženy pro pozdější analýzu útočníkem. Nejúčinnější zachycení FTP paketů obsahujících uživatelská hesla a také e-maily.

Vynucení falešné trasy na hostiteli pomocí ICMP

Na internetu existuje speciální protokol ICMP (Internet Control Message Protocol), jehož jednou z funkcí je informovat hostitele o změně aktuálního routeru. Tato řídicí zpráva se nazývá přesměrování. Je možné odeslat falešnou přesměrovací zprávu z libovolného hostitele v segmentu sítě jménem routeru napadenému hostiteli. V důsledku toho se změní aktuální směrovací tabulka hostitele a v budoucnu bude veškerý síťový provoz tohoto hostitele procházet například přes hostitele, který odeslal zprávu s falešným přesměrováním. Tímto způsobem je možné aktivně vnutit falešnou trasu v rámci jednoho segmentu internetu.

Spolu s běžnými daty zasílanými přes TCP spojení standard zajišťuje i přenos urgentních (Mimo pásmo) dat. Na úrovni formátů paketů TCP je to vyjádřeno jako nenulový urgentní ukazatel. Většina počítačů s nainstalovaným systémem Windows má síťový protokol NetBIOS, který pro své potřeby používá tři porty IP: 137, 138, 139. Pokud se připojíte k počítači se systémem Windows přes port 139 a pošlete tam několik bajtů dat OutOfBand, implementace NetBIOS Když neví, co s těmito daty dělat, jednoduše zavěsí nebo restartuje počítač. U Windows 95 to obvykle vypadá jako modrá textová obrazovka indikující chybu v ovladači TCP/IP a nemožnost pracovat se sítí, dokud nebude operační systém restartován. NT 4.0 bez aktualizací Service Pack se restartuje, NT 4.0 s balíčkem ServicePack 2 se zhroutí na modré obrazovce. Soudě podle informací ze sítě jsou k takovému útoku náchylné jak Windows NT 3.51, tak Windows 3.11 for Workgroups.

Odeslání dat na port 139 vede k restartu NT 4.0 nebo k „modré obrazovce smrti“ s nainstalovaným Service Pack 2. Podobné odesílání dat na port 135 a některé další porty vede k značnému zatížení procesu RPCSS.EXE. Na Windows NT WorkStation to vede k výraznému zpomalení Windows NT Server prakticky zamrzne.

Spoofing důvěryhodného hostitele

Úspěšná implementace vzdálených útoků tohoto typu umožní útočníkovi provést relaci se serverem jménem důvěryhodného hostitele. (Trusted host - stanice, která se legálně připojila k serveru). Implementace tohoto typu útoku obvykle spočívá v odesílání výměnných paketů ze stanice útočníka jménem důvěryhodné stanice pod jeho kontrolou.

Technologie detekce útoků
Síťové a informační technologie se mění tak rychle, že statické ochranné mechanismy, mezi které patří systémy řízení přístupu, firewally a autentizační systémy, v mnoha případech nemohou poskytnout účinnou ochranu. K rychlému odhalení a prevenci narušení bezpečnosti jsou proto nutné dynamické metody. Jednou technologií, která dokáže detekovat narušení, která nelze identifikovat pomocí tradičních modelů řízení přístupu, je technologie detekce narušení.

Proces detekce útoků je v podstatě procesem hodnocení podezřelých aktivit, ke kterým dochází v podnikové síti. Jinými slovy, detekce narušení je proces identifikace a reakce na podezřelou aktivitu zaměřenou na výpočetní nebo síťové zdroje.

Metody analýzy síťových informací

Účinnost systému detekce útoků do značné míry závisí na metodách použitých k analýze přijatých informací. První systémy detekce narušení, vyvinuté na počátku 80. let, využívaly k detekci útoků statistické metody. V současné době byla do statistické analýzy přidána řada nových technik, počínaje expertními systémy a fuzzy logikou a konče využitím neuronových sítí.

Statistická metoda

Hlavními výhodami statistického přístupu je použití již vyvinutého a osvědčeného aparátu matematické statistiky a přizpůsobení chování subjektu.

Nejprve jsou stanoveny profily pro všechny subjekty analyzovaného systému. Jakákoli odchylka použitého profilu od referenčního je považována za nepovolenou činnost. Statistické metody jsou univerzální, protože analýza nevyžaduje znalost možných útoků a zranitelností, které využívají. Při použití těchto technik však nastávají problémy:

  • „statistické“ systémy nejsou citlivé na pořadí událostí; v některých případech mohou tytéž události, v závislosti na pořadí, v jakém se vyskytují, charakterizovat abnormální nebo normální aktivitu;
  • je obtížné nastavit hraniční (prahové) hodnoty charakteristik monitorovaných systémem detekce útoků, aby bylo možné adekvátně identifikovat anomální aktivitu;
  • „Statistické“ systémy mohou být útočníky „trénovány“ v průběhu času, takže útočné akce jsou považovány za normální.

Je třeba také vzít v úvahu, že statistické metody nejsou použitelné v případech, kdy neexistuje žádný vzorec typického chování pro uživatele nebo kdy jsou pro uživatele typické neoprávněné akce.

Expertní systémy

Expertní systémy se skládají ze sady pravidel, která zachycují znalosti lidského experta. Použití expertních systémů je běžnou metodou detekce útoků, při které jsou informace o útoku formulovány ve formě pravidel. Tato pravidla mohou být zapsána například jako sled akcí nebo jako podpis. Při splnění některého z těchto pravidel se rozhodne o přítomnosti neoprávněné aktivity. Důležitou výhodou tohoto přístupu je téměř úplná absence falešných poplachů.

Databáze expertního systému by měla obsahovat skripty pro většinu aktuálně známých útoků. Aby expertní systémy zůstaly neustále aktuální, vyžadují neustálou aktualizaci databáze. Přestože expertní systémy nabízejí dobrou viditelnost do logovacích dat, požadované aktualizace mohou být ignorovány nebo ručně provedeny administrátorem. Výsledkem je minimálně expertní systém s oslabenými schopnostmi. V nejhorším případě nedostatek řádné údržby snižuje zabezpečení celé sítě a uvádí uživatele v omyl ohledně skutečné úrovně zabezpečení.

Hlavní nevýhodou je nemožnost odrazit neznámé útoky. Navíc i malá změna již známého útoku se může stát vážnou překážkou fungování systému detekce útoků.

Neuronové sítě

Většina moderních metod detekce útoků používá určitou formu analýzy řízeného prostoru, buď na základě pravidel nebo statistického přístupu. Řízeným prostorem mohou být protokoly nebo síťový provoz. Analýza je založena na sadě předdefinovaných pravidel, které vytváří správce nebo samotný systém detekce narušení.

Jakékoli oddělení útoku v čase nebo mezi více útočníků je obtížné odhalit pomocí expertních systémů. Kvůli široké škále útoků a hackerů, dokonce i ad hoc, průběžné aktualizace databáze pravidel expertního systému nikdy nezaručí přesnou identifikaci celé řady útoků.

Využití neuronových sítí je jednou z cest, jak tyto problémy expertních systémů překonat. Na rozdíl od expertních systémů, které dokážou dát uživateli jednoznačnou odpověď na shodu posuzovaných charakteristik s pravidly vloženými do databáze, neuronová síť analyzuje informace a poskytuje příležitost vyhodnotit, zda jsou data v souladu s charakteristikami, kterými jsou. trénovaný rozpoznávat. Zatímco míra shody reprezentace neuronové sítě může dosáhnout 100 %, spolehlivost výběru zcela závisí na kvalitě systému při analýze příkladů úlohy.

Nejprve je neuronová síť natrénována, aby správně identifikovala pomocí předem vybraného vzorku příkladů domén. Odezva neuronové sítě je analyzována a systém je nastaven tak, aby bylo dosaženo uspokojivých výsledků. Kromě počátečního tréninkového období získává neuronová síť zkušenosti v průběhu času, protože analyzuje data specifická pro doménu.

Důležitou výhodou neuronových sítí při odhalování zneužití je jejich schopnost „naučit se“ charakteristiky záměrných útoků a identifikovat prvky, které se liší od těch, které byly dříve v síti pozorovány.

Každá z popsaných metod má řadu výhod a nevýhod, proto je nyní téměř obtížné najít systém, který implementuje pouze jednu z popsaných metod. Zpravidla se tyto metody používají v kombinaci.

Přetečení vyrovnávací paměti je součástí mnoha typů škodlivých útoků. Přepadové útoky mají zase mnoho druhů. Jeden z nejnebezpečnějších zahrnuje zadání do dialogového okna, kromě textu, spustitelného kódu, který je k němu připojen. Takový vstup může vést k tomu, že tento kód bude zapsán nad spouštěný program, což dříve nebo později způsobí jeho spuštění. Následky není těžké si představit.

„Pasivní“ útoky pomocí např. snifferu jsou obzvláště nebezpečné, protože za prvé jsou prakticky nedetekovatelné a za druhé jsou spouštěny z lokální sítě (externí firewall je bezmocný).

Viry- škodlivé programy schopné vlastního kopírování a vlastní distribuce. V prosinci 1994 jsem obdržel varování o šíření síťových virů (dobré časy a xxx-1) na internetu:

Od okamžiku vytvoření do okamžiku zjištění viru uběhnou hodiny, dny, týdny a někdy i měsíce. Záleží na tom, jak rychle se projeví následky infekce. Čím delší je tato doba, tím větší je počet infikovaných počítačů. Po identifikaci skutečnosti infekce a šíření nové verze viru trvá několik hodin (například pro Email_Worm.Win32.Bagle.bj) až tři týdny (W32.Netsky.N@mm). identifikovat signaturu, vytvořit antidotum a zahrnout jeho signaturu do databázového antivirového programu. Dočasný diagram životního cyklu virus je znázorněn na obr. 12.1 („Zabezpečení sítě“, v. 2005, vydání 6, červen 2005, str. 16-18). Jen v roce 2004 bylo zaregistrováno 10 000 nových virových signatur. Červ Blaster infikoval 90 % strojů během 10 minut. Během této doby musí antivirový tým detekovat objekt, kvalifikovat jej a vyvinout protiopatření. Je jasné, že to je nereálné. Antivirový program tedy není ani tak protiopatření, jako spíše sedativní. Stejné úvahy platí pro všechny ostatní typy útoků. Jakmile je znám typ útoku, útok sám o sobě obvykle není nebezpečný, protože protiopatření již byla vyvinuta a zranitelnost je pokryta. Právě z tohoto důvodu je věnována taková pozornost systému správy aktualizací (záplat) softwaru.

Některé viry a červi mají vestavěné programy SMTP určené k jejich odesílání a vylíhnou se, aby snadno pronikly do infikovaného počítače. Nejnovější verze jsou vybaveny nástroji pro potlačení aktivity jiných virů nebo červů. Tímto způsobem lze vytvořit celé sítě infikovaných strojů (BotNet) připravené spustit na příkaz například DDoS útok. K ovládání takových zombie strojů lze použít protokol IRC(Internet Relay Chart). Tento systém zasílání zpráv je podporován velkým počtem serverů, a proto je obvykle obtížné takový kanál sledovat a zaznamenávat. To je také usnadněno skutečností, že většina systémů sleduje vstupní provoz blíže než výstupní provoz. Je třeba mít na paměti, že kromě DoS útoků může infikovaný stroj sloužit ke skenování jiných počítačů a odesílání SPAMů, k ukládání nelegálních softwarových produktů, k ovládání samotného stroje a odcizení dokumentů tam uložených, k identifikaci použitých hesel a klíčů ze strany majitele. Škody způsobené virem Blaster se odhadují na 475 000 dolarů.

Bohužel neexistuje žádný spolehlivý prostředek k detekci nových viry (jehož podpis není znám).


Rýže. 12.1.

V roce 2005 byla identifikována další hrozba – šíření virů a síťových červů pomocí robotů vyhledávačů (botů) založených na IRC.

Programy robotů nejsou vždy nebezpečné; některé z jejich druhů se používají ke sběru dat, zejména o preferencích zákazníků, a ve vyhledávači Google pracují na shromažďování a indexování dokumentů. Ale v rukou hackera se tyto programy promění v nebezpečné zbraně. Nejznámější útok byl zahájen v roce 2005, i když přípravy a „první experimenty“ začaly v září 2004. Program hledal stroje se specifickými zranitelnostmi, zejména LSASS (Local Security Authority Subsystem Service, Windows). Subsystém LSASS, navržený k zajištění bezpečnosti, byl sám o sobě zranitelný vůči útokům, jako je přetečení vyrovnávací paměti. Přestože zranitelnost již byla opravena, počet strojů s neaktualizovanou verzí zůstává významný. Po průniku hacker obvykle používá IRC k provedení operací, které potřebuje (otevření konkrétního portu, rozeslání SPAMu, spuštění skenů pro další potenciální oběti).

Novinkou těchto programů je, že jsou zabudovány do operačního systému takovým způsobem (rootkit), že je nelze detekovat, protože jsou umístěny v oblasti jádra OS. Pokud se antivirový program pokusí o přístup do určité oblasti paměti za účelem identifikace škodlivého kódu, rootkit takový požadavek zachytí a odešle testovacímu programu upozornění, že je vše v pořádku. Aby toho nebylo málo, programy botů mohou upravovat obsah

Cílené používání tradičních bezpečnostních kontrol, jako je antivirový software, firewally, kryptografie a tak dále, samozřejmě pomáhá zabránit neoprávněnému přístupu k informacím. V tomto případě však vstupuje do hry lidský faktor. Osoba, koncový uživatel, se ukazuje jako nejslabší článek v systému bezpečnosti informací a hackeři, kteří to vědí, dovedně používají metody sociálního inženýrství. Ať už existují jakékoli víceúrovňové identifikační systémy, nemají žádný účinek, pokud uživatelé například používají hesla, která lze snadno prolomit. Profesionálním přístupem k bezpečnostní problematice firmy řeší tyto problémy centrálním vydáváním unikátních a složitých hesel nebo stanovením přísných firemních pravidel pro zaměstnance a adekvátních sankcí za jejich nedodržení. Situaci však komplikuje skutečnost, že v poslední době roli počítačových zločinců stále častěji nehrají „externí“ hackeři, ale samotní koncoví uživatelé. Podle jednoho amerického specialisty na informační bezpečnost: "Typickým počítačovým zločincem je dnes zaměstnanec, který má přístup k systému, jehož je netechnickým uživatelem." Ve Spojených státech tvoří počítačové zločiny spáchané bílými límečky 70–80 % ročních ztrát spojených s moderní technologií. Navíc pouze 3 % podvodů a 8 % zneužití zahrnovalo speciální zničení zařízení, programů nebo dat. V ostatních případech útočníci pouze manipulovali s informacemi – ukradli je, upravili nebo vytvořili nové, nepravdivé. V dnešní době stále rozšířenější používání internetu umožňuje hackerům vyměňovat si informace v celosvětovém měřítku. Dlouho se vytvořila jakási „hackerská internacionála“ - koneckonců internet, jako žádný jiný technický prostředek, smazává hranice mezi státy a dokonce i celými kontinenty. Přidejte k tomu téměř úplnou anarchii internetu. Každý dnes může najít pokyny k hackování počítače a všechny potřebné softwarové nástroje jednoduchým hledáním klíčových slov jako „hacker“, „hacking“, „hack“, „crack“ nebo „phreak“. Dalším faktorem, který výrazně zvyšuje zranitelnost počítačových systémů, je široké používání standardizovaných, snadno použitelných operačních systémů a vývojových prostředí. To umožňuje hackerům vytvářet univerzální nástroje pro hackování a případný útočník již nepotřebuje jako dříve dobré programátorské dovednosti – stačí znát IP adresu napadeného webu a k provedení útoku stačí ke spuštění programu nalezeného na internetu. Věčná konfrontace mezi pancířem a projektilem pokračuje. Specialisté na informační bezpečnost již pochopili, že je zbytečné neustále dohánět hackerské technologie, počítačoví útočníci jsou vždy o krok napřed. Nové techniky jsou proto stále více založeny na preventivním odhalování porušení v informačních systémech. Postupem času se však objevují nové problémy, související především s rozvojem bezdrátové komunikace. Společnosti specializující se na informační bezpečnost proto musí věnovat stále více pozornosti ochraně dat přenášených pomocí nových bezdrátových standardů.

Při ozbrojené bankovní loupeži je průměrná ztráta 19 tisíc dolarů a při počítačovém zločinu již 560 tisíc. Podle amerických expertů se škody způsobené počítačovými zločiny za posledních deset let zvyšovaly ročně v průměru o 35 %. V tomto případě je v průměru odhaleno 1 % počítačových trestných činů a pravděpodobnost, že pachatel půjde do vězení za odhalené počítačové podvody, není větší než 10 %.

Síťové útoky jsou stejně rozmanité jako systémy, na které se zaměřují. Čistě technologicky využívá většina síťových útoků řadu omezení, která jsou vlastní protokolu TCP/IP. Ostatně, svého času byl internet vytvořen pro komunikaci mezi vládními úřady a univerzitami na podporu vzdělávacího procesu a vědeckého výzkumu. Tehdy ještě tvůrci Sítě netušili, jak široce se rozšíří. Z tohoto důvodu postrádaly specifikace raných verzí internetového protokolu (IP) požadavky na zabezpečení, a proto je mnoho implementací IP přirozeně zranitelných. Teprve o mnoho let později, s rychlým rozvojem elektronického obchodování a řadou vážných incidentů s hackery, se konečně začaly široce implementovat bezpečnostní nástroje internetového protokolu. Protože však zabezpečení IP původně nebylo vyvinuto, začaly být jeho implementace doplňovány různými síťovými procedurami, službami a produkty navrženými tak, aby snižovaly inherentní rizika tohoto protokolu.

Poštovní bombardování

E-mailové bombardování (tzv. mailbombing) je jedním z nejstarších a nejprimitivnějších typů internetových útoků. Bylo by správnější to dokonce nazývat počítačovým vandalismem (nebo jednoduše chuligánstvím, v závislosti na závažnosti následků). Podstatou mailbombingu je ucpat poštovní schránku „nevyžádanou“ korespondencí nebo dokonce deaktivovat poštovní server poskytovatele internetu. K tomuto účelu se používají speciální programy - poštovní bombardéry. Jednoduše bombardují poštovní schránku označenou jako cíl velkým množstvím písmen, přičemž uvádějí falešné informace o odesílateli - až po IP adresu. Vše, co agresor používající takový program potřebuje, je uvést e-mail cíle útoku, počet zpráv, napsat text dopisu (obvykle něco urážlivého), uvést nepravdivé informace o odesílateli, pokud to program neudělá. a stiskněte tlačítko „start“. Většina poskytovatelů internetu však má své vlastní systémy na ochranu klientů před poštovním bombardováním. Když počet identických dopisů ze stejného zdroje začne překračovat určité rozumné meze, veškerá příchozí korespondence tohoto druhu je jednoduše zničena. Takže dnes už neexistuje žádný vážný strach z poštovního bombardování.

Útoky na hádání hesel

Hacker, který útočí na systém, často začíná své akce tím, že se snaží získat heslo administrátora nebo některého z uživatelů. Ke zjištění hesla existuje mnoho různých metod. Zde jsou ty hlavní: IP spoofing a packet sniffing – podíváme se na ně níže. Zavedení „trojského koně“ do systému je jednou z nejběžnějších technik v hackerské praxi, o které si také povíme podrobněji později. Útok hrubou silou. Existuje mnoho programů, které provádějí jednoduché vyhledávání hesel přes internet nebo přímo na napadeném počítači. Některé programy vyhledávají hesla pomocí specifického slovníku, jiné jednoduše náhodně generují různé sekvence znaků. Logické vyhledávání možností hesla. Útočník pomocí této metody jednoduše zkouší možné kombinace znaků, které může uživatel použít jako heslo. Tento přístup se obvykle ukáže jako překvapivě účinný. Experti na počítačovou bezpečnost nikdy nepřestanou žasnout nad tím, jak často uživatelé používají takové „tajemné“ kombinace, jako jsou hesla, jako je 1234, qwerty nebo jejich vlastní jméno napsané pozpátku. Vážní hackeři mohou při výběru cenného hesla důkladně prostudovat osobu používající toto heslo. Jména rodinných příslušníků a dalších příbuzných, oblíbený pes/kočka; jaké týmy a sporty „objekt“ podporuje; jaké knihy a filmy má rád; jaké noviny si ráno přečte - všechny tyto údaje a jejich kombinace jdou do praxe. Před podobnými útoky můžete uniknout pouze použitím náhodné kombinace písmen a číslic jako hesla, nejlépe vygenerovaného speciálním programem. A samozřejmě je nutné pravidelně měnit heslo – za to je zodpovědný správce systému. Sociální inženýrství. Toto je hackerovo použití psychologických technik k „práci“ s uživatelem. Typickým (a nejjednodušším) příkladem je telefonát od domnělého „správce systému“ s prohlášením typu „Došlo zde k selhání systému a informace o uživateli byly ztraceny. Mohli byste prosím znovu uvést své uživatelské jméno a heslo? Takže oběť sama předá heslo do rukou hackera. Kromě pravidelné ostražitosti pomáhá chránit před podobnými útoky systém „jednorázových hesel“. Kvůli své složitosti se však zatím nedočkal široké distribuce.

Viry, e-mailoví červi a trojské koně

Tyto pohromy primárně neovlivňují poskytovatele nebo podnikovou komunikaci, ale počítače koncových uživatelů. Rozsah porážky je prostě působivý – globální počítačové epidemie, které propukají stále častěji, způsobují mnohamiliardové ztráty. Autoři „škodlivých“ programů jsou stále sofistikovanější a ztělesňují nejpokročilejší software a psychologické technologie v moderních virech. Viry a trojské koně jsou různé třídy „nepřátelského“ programového kódu. Viry se vkládají do jiných programů, aby na pracovní stanici koncového uživatele provedly svou škodlivou funkci. Může se jednat například o zničení všech nebo jen určitých souborů na pevném disku (nejčastěji), poškození zařízení (zatím exotické) nebo jiné operace. Viry jsou často naprogramovány tak, aby se spustily k určitému datu (typickým příkladem je slavný WinChih, neboli „Černobyl“), a také aby posílaly své kopie e-mailem na všechny adresy nalezené v adresáři uživatele. Trojský kůň je na rozdíl od viru nezávislý program, který se nejčastěji nezaměřuje na hrubé zničení informací charakteristických pro viry. Účelem zavedení trojského koně je obvykle získat skryté dálkové ovládání počítače za účelem manipulace s informacemi na něm obsaženými. Trojské koně se úspěšně maskují za různé hry nebo užitečné programy, z nichž velká část je na internetu distribuována zdarma. Hackeři navíc někdy vkládají trojské koně do zcela „nevinných“ a renomovaných programů. Jakmile je trojský kůň na počítači, obvykle svou přítomnost neinzeruje a své funkce vykonává co nejtajněji. Takový program může například v tichosti poslat svému hackerovi heslo a přihlašovací jméno pro přístup k internetu z tohoto konkrétního počítače; vytvářet a odesílat určité soubory na adresu v něm vloženou; sledovat vše, co se zadává z klávesnice atd. Sofistikovanější verze trojských koní, uzpůsobené k útoku na konkrétní počítače konkrétních uživatelů, mohou na pokyn vlastníka nahradit určitá data jinými předem připravenými nebo upravit data uložená v souborech, a tím uvést vlastníka počítače v omyl. To je mimochodem celkem běžná technika z arzenálu průmyslové špionáže a provokací. Boj s viry a trojskými koňmi probíhá pomocí specializovaného softwaru a dobře vybudovaná ochrana poskytuje dvojí kontrolu: na úrovni konkrétního počítače a na úrovni lokální sítě. Moderní prostředky boje proti škodlivému kódu jsou poměrně účinné a praxe ukazuje, že k pravidelným propuknutím globálních epidemií počítačových virů dochází z velké části díky „lidskému faktoru“ – většina uživatelů a mnoho systémových administrátorů (!) je prostě příliš líní pravidelně aktualizovat antivirový program. databází a kontrolovat příchozí e-maily před jejich čtením na přítomnost virů (ačkoli to nyní stále častěji provádějí samotní poskytovatelé internetových služeb).

Síťová inteligence

Přísně vzato, průzkum sítě nelze nazvat útokem na počítačový systém - koneckonců, hacker neprovádí žádné „škodlivé“ akce. Samotnému útoku však vždy předchází průzkum sítě, protože při jeho přípravě útočníci potřebují shromáždit všechny dostupné informace o systému. V tomto případě jsou informace shromažďovány pomocí velkého souboru veřejně dostupných dat a aplikací – hacker se totiž snaží získat co nejvíce užitečných informací. To zahrnuje skenování portů, DNS dotazy, ping na adresy odhalené pomocí DNS atd. To umožňuje zejména zjistit, kdo vlastní tu či onu doménu a jaké adresy jsou této doméně přiřazeny. Ping sweeping DNS-objevené adresy vám umožní zjistit, kteří hostitelé skutečně běží v dané síti, a nástroje pro skenování portů vám umožní vytvořit kompletní seznam služeb podporovaných těmito hostiteli. Při provádění průzkumu sítě se analyzují i ​​vlastnosti aplikací běžících na hostitelích – zkrátka se získávají informace, které lze následně využít při hackování nebo provedení DoS útoku. Není možné se úplně zbavit průzkumu sítě, především proto, že se neprovádějí formálně nepřátelské akce. Pokud například zakážete ICMP echo a echo response na periferních routerech, můžete se zbavit testování pingem, ale přijdete o data potřebná k diagnostice selhání sítě. Kromě toho mohou útočníci skenovat porty bez předchozího testování pingem. Bezpečnostní a monitorovací systémy na úrovni sítě a hostitele obvykle dobře informují správce systému o probíhajícím průzkumu sítě. Pokud je správce svědomitý ve svých povinnostech, umožňuje mu to lépe se připravit na nadcházející útok a dokonce přijmout proaktivní opatření, například upozorněním poskytovatele, z jehož sítě někdo projevuje nadměrnou zvědavost.

Čmuchání paketů

Sniffer paketů je aplikační program, který používá síťovou kartu pracující v promiskuitním režimu (v tomto režimu síťový adaptér posílá všechny pakety přijaté fyzickými kanály do aplikace ke zpracování). V tomto případě sniffer ("sniffer") zachytí všechny síťové pakety, které jsou přenášeny přes napadenou doménu. Zvláštností situace v tomto případě je, že nyní v mnoha případech fungují sniffery v sítích na zcela legálním základě - používají se k diagnostice poruch a analýze provozu. Proto není vždy možné spolehlivě určit, zda konkrétní program sniffer používají útočníci, a zda byl program pouze nahrazen podobným, ale s „pokročilými“ funkcemi. Pomocí snifferu mohou útočníci zjistit různé důvěrné informace, jako jsou uživatelská jména a hesla. Je to dáno tím, že řada široce používaných síťových aplikací přenáší data v textovém formátu (telnet, FTP, SMTP, POP3 atd.). Protože uživatelé často používají stejné přihlašovací jméno a heslo pro více aplikací a systémů, i jednorázové zachycení těchto informací představuje vážnou hrozbu pro informační bezpečnost podniku. Po získání přihlašovacího jména a hesla konkrétního zaměstnance může mazaný hacker získat přístup k uživatelskému zdroji na úrovni systému a s jeho pomocí vytvořit nového, falešného uživatele, kterého lze kdykoli použít k přístupu do sítě. a informační zdroje. Pomocí určité sady nástrojů však můžete hrozbu sniffování paketů výrazně zmírnit. Za prvé, jde o poměrně silné autentizační prostředky, které je obtížné obejít, a to i za použití „lidského faktoru“. Například jednorázová hesla. Jedná se o dvoufaktorovou autentizační technologii, která kombinuje to, co máte, s tím, co znáte. V tomto případě hardware nebo software náhodně vygeneruje jedinečné jednorázové jednorázové heslo. Pokud hacker zjistí toto heslo pomocí snifferu, bude tato informace k ničemu, protože v tom okamžiku bude heslo již použito a vyřazeno. To se ale týká pouze hesel – například e-mailové zprávy zůstávají stále nechráněné. Dalším způsobem, jak bojovat proti čichání, je použití anti-snifferů. Jedná se o hardware nebo software fungující na internetu, který sniffer rozpoznávají. Měří doby odezvy hostitele a určují, zda hostitelé musí zpracovávat „nadstandardní“ provoz. Tyto typy nástrojů nemohou zcela eliminovat hrozbu čichání, ale jsou životně důležité při budování komplexního systému ochrany. Nejúčinnějším opatřením by však podle některých odborníků bylo prostě udělat práci snifferů beze smyslu. K tomu stačí chránit data přenášená komunikačním kanálem pomocí moderních kryptografických metod. Hacker díky tomu nezachytí zprávu, ale zašifrovaný text, tedy posloupnost pro něj nesrozumitelných bitů. V současnosti jsou nejrozšířenějšími kryptografickými protokoly IPSec od společnosti Cisco, dále protokoly SSH (Secure Shell) a SSL (Secure Socket Layer).

IP spoofing

Spoofing je typ útoku, při kterém se hacker uvnitř nebo vně organizace vydává za oprávněného uživatele. Toho lze dosáhnout různými způsoby. Hacker může například použít IP adresu, která je v rozsahu IP adres oprávněných k použití v rámci sítě organizace, nebo autorizovanou externí adresu, pokud má povolen přístup k určitým síťovým zdrojům. Mimochodem, IP spoofing se často používá jako součást složitějšího a komplexnějšího útoku. Typickým příkladem je DDoS útok, při kterém hacker obvykle hostuje program na IP adrese někoho jiného, ​​aby skryl svou skutečnou identitu. Nejčastěji se však IP spoofing používá k deaktivaci systému pomocí falešných příkazů, stejně jako ke krádeži konkrétních souborů nebo naopak vkládání falešných informací do databází. Zcela eliminovat hrozbu spoofingu je téměř nemožné, lze ji však výrazně zmírnit. Například má smysl nakonfigurovat bezpečnostní systémy tak, aby odmítaly veškerý provoz přicházející z externí sítě se zdrojovou adresou, která by ve skutečnosti měla být v interní síti. To však pomáhá bojovat proti falšování IP pouze v případě, že jsou autorizovány pouze interní adresy. Pokud jsou některé externí adresy takové, pak použití této metody ztrácí smysl. Je také dobré, pro každý případ, předem zastavit pokusy uživatelů vaší sítě podvrhnout sítě jiných lidí – toto opatření vám může pomoci vyhnout se celé řadě problémů, pokud se v organizaci objeví útočník nebo jen počítačový chuligán. Chcete-li to provést, musíte použít jakýkoli odchozí provoz, pokud jeho zdrojová adresa nepatří do vnitřního rozsahu IP adres organizace. V případě potřeby může tento postup provést také váš poskytovatel internetových služeb. Tento typ filtrování je znám jako „RFC 2827“. Opět, stejně jako u čuchání paketů, nejlepší obranou je učinit útok zcela neúčinným. IP spoofing lze implementovat pouze v případě, že autentizace uživatele je založena na IP adresách. Proto šifrování autentizace činí tento typ útoku zbytečným. Místo šifrování však můžete stejně dobře použít náhodně generovaná jednorázová hesla.

Útok odepření služby

Dnes je jednou z nejběžnějších forem hackerských útoků na světě útok odmítnutí služby (DoS). Přitom se jedná o jednu z nejmladších technologií – její implementace byla možná až v souvislosti se skutečně rozšířeným rozšířením internetu. Není náhodou, že DoS útoky byly široce diskutovány až poté, co byly v prosinci 1999 s pomocí této technologie „zaplaveny“ webové stránky tak známých korporací jako Amazon, Yahoo, CNN, eBay a E-Trade. Přestože se první zprávy o něčem podobném objevily již v roce 1996, až do „vánočního překvapení“ v roce 1999 nebyly DoS útoky vnímány jako vážná hrozba pro internetovou bezpečnost. O rok později, v prosinci 2000, se však vše opakovalo: weby největších korporací byly napadeny technologií DoS a jejich systémoví administrátoři opět nedokázali útočníkům čelit. V roce 2001 se útoky DoS staly běžnou záležitostí. Přísně vzato, útoky DoS nejsou prováděny za účelem krádeže informací nebo jejich manipulace. Jejich hlavním cílem je paralyzovat práci napadeného webu. V podstatě jde jen o online terorismus. Není náhodou, že americké zpravodajské agentury mají podezření, že za mnoha DoS útoky na servery velkých korporací stojí notoričtí antiglobalisté. Něco jiného je totiž hodit cihlu do okna McDonald’s někde v Madridu nebo v Praze a něco jiného je shodit web této superkorporace, která se již dávno stala jakýmsi symbolem globalizace světové ekonomiky. DoS útoky jsou nebezpečné i proto, že k jejich nasazení nepotřebují kyberteroristé žádné speciální znalosti a dovednosti – veškerý potřebný software je spolu s popisy samotné technologie zcela volně dostupný na internetu. Navíc je velmi obtížné se tomuto typu útoku bránit. Technologie útoku DoS obecně vypadá takto: webová stránka vybraná jako cíl je zasažena záplavou falešných požadavků z mnoha počítačů po celém světě. V důsledku toho jsou servery obsluhující uzel paralyzovány a nemohou obsluhovat požadavky běžných uživatelů. Uživatelé počítačů, ze kterých jsou zasílány falešné požadavky, přitom ani netuší, že jejich stroj tajně využívají útočníci. Toto rozložení „pracovní zátěže“ nejen zvyšuje destruktivní účinek útoku, ale také značně komplikuje opatření k jeho odražení, což znemožňuje identifikaci skutečné adresy koordinátora útoku. Dnes jsou nejčastěji používané typy DoS útoků:

Šmoula – ICMP (Internet Control Message Protocol) požadavky ping na adresu řízeného vysílání. Falešná zdrojová adresa použitá v paketech tohoto požadavku se nakonec stane cílem útoku. Systémy, které přijmou řízený požadavek ping na vysílání, na něj reagují a „zaplavují“ síť, ve které se nachází cílový server.

  • ICMP flood je útok podobný Smurf, ale bez zesílení vytvářeného požadavky na řízenou broadcast adresu.
  • UDP flood - odesílání mnoha UDP (User Datagram Protocol) paketů na adresu cílového systému, což vede k „svázání“ síťových zdrojů.
  • TCP záplava - odesílání mnoha TCP paketů na adresu cílového systému, což také vede k „vazbě“ síťových zdrojů.
  • TCP SYN flood - při provádění tohoto typu útoku je vydáno velké množství požadavků na inicializaci TCP spojení s cílovým hostitelem, který v důsledku toho musí vynaložit všechny své prostředky na sledování těchto částečně otevřených spojení.

V případě útoku je nutné u poskytovatele internetu „odříznout“ provoz určený k zahlcení napadené sítě, protože na vstupu do sítě to již nebude možné – bude obsazena celá šířka pásma. Pokud je tento typ útoku prováděn současně na více zařízeních, označuje se jako útok DDoS (Distributed Denial of Service). Hrozbu útoků DoS lze zmírnit několika způsoby. Nejprve musíte správně nakonfigurovat funkce proti falšování na vašich routerech a firewallech. Tyto funkce musí zahrnovat minimálně filtrování RFC 2827. Pokud hacker není schopen zamaskovat svou pravou identitu, je nepravděpodobné, že provede útok. Za druhé, musíte povolit a správně nakonfigurovat funkce anti-DoS na směrovačích a branách firewall. Tyto funkce omezují počet napůl otevřených kanálů a zabraňují přetížení systému. Rovněž se doporučuje, pokud hrozí DoS útok, omezit objem nekritického provozu procházejícího sítí. To si musíte vyjednat s poskytovatelem internetu. Obvykle to omezuje množství provozu ICMP, protože se používá čistě pro diagnostické účely.

Man-in-the-Middle útoky

Tento typ útoku je velmi typický pro průmyslovou špionáž. Při útoku typu Man-in-the-Middle musí hacker získat přístup k paketům přenášeným přes Síť, a proto jsou v tomto případě často v roli útočníků sami zaměstnanci podniku nebo například zaměstnanec poskytovatele společnost. Útoky typu Man-in-the-Middle často používají sniffery paketů, transportní protokoly a směrovací protokoly. Účelem takového útoku je ukrást nebo zfalšovat přenášené informace nebo získat přístup k síťovým zdrojům. Je extrémně obtížné se proti takovým útokům chránit, protože se obvykle jedná o útoky krtka v rámci samotné organizace. Čistě technicky se tedy můžete chránit pouze šifrováním přenášených dat. Pak hacker místo potřebných dat dostane změť symbolů, které bez superpočítače po ruce prostě nelze rozumět. Pokud však má útočník štěstí a dokáže zachytit informace o kryptografické relaci, šifrování dat automaticky ztratí veškerý význam. Takže v tomto případě by „v čele“ boje neměli být „technici“, ale personální oddělení a bezpečnostní služba podniku.

Používání „děr“ a „chyb“ v softwaru

Velmi, velmi častým typem hackerských útoků je použití zranitelností (nejčastěji banálních chyb) v široce používaném softwaru, především pro servery. Software společnosti Microsoft je „proslulý“ zejména svou nespolehlivostí a slabým zabezpečením. Obvykle se situace vyvíjí následovně: někdo objeví „díru“ nebo „chybu“ v serverovém softwaru a zveřejní tuto informaci na internetu na příslušném fóru. Výrobce tohoto softwaru vydává opravu („patch“), která tento problém odstraňuje, a zveřejňuje ji na svém webovém serveru. Problém je, že ne všichni administrátoři kvůli prosté lenosti neustále sledují detekci a vzhled záplat a mezi objevením „díry“ a napsáním „záplaty“ také uplyne nějaký čas: Hackeři čtou i tematické konference a , Musíme jim dát, co jim patří, velmi obratně uplatňují získané informace v praxi. Není náhodou, že většina předních světových odborníků na informační bezpečnost jsou bývalí hackeři.

Hlavním cílem takového útoku je získat přístup k serveru jménem uživatele, který aplikaci provozuje, obvykle s právy správce systému a příslušnou úrovní přístupu. Je poměrně obtížné se před tímto typem útoku chránit. Jedním z důvodů, kromě nekvalitního softwaru, je i to, že při provádění takových útoků útočníci často využívají porty, které mají povolený průchod firewallem a které nelze zavřít z čistě technologických důvodů. Nejlepší obranou je tedy v tomto případě kompetentní a svědomitý správce systému.

Bude ještě...

Spolu s rozšiřováním úrody jakékoliv zemědělské plodiny se vždy zvyšuje počet hmyzích škůdců právě této plodiny. Stejně tak s rozvojem informačních technologií a jejich pronikáním do všech sfér moderního života roste počet útočníků aktivně využívajících tyto technologie. Proto budou v dohledné době otázky ochrany počítačových sítí stále aktuálnější. Kromě toho bude obrana probíhat ve dvou hlavních oblastech: technologické a konzultační. Pokud jde o hlavní trendy ve vývoji odvětví informační bezpečnosti, podle odborníků ze známé společnosti The Yankee Group budou v následujících letech následující:

1. Důraz při budování ochranných systémů se bude postupně přesouvat – od boje proti „vnějším“ útokům hackerů k ochraně před útoky „zevnitř“.

2. Bude vyvíjena a zdokonalována hardwarová ochrana proti útokům hackerů. Na trhu se objeví nová třída síťových zařízení - „ochranné servisní přepínače“. Budou schopny poskytovat komplexní ochranu počítačových sítí, zatímco moderní zařízení obvykle plní spíše omezený soubor specifických funkcí a hlavní zátěž stále leží na specializovaném softwaru.

3. Rychlý rozvoj zajišťuje trh služeb pro bezpečné doručování digitálního obsahu a ochranu samotného obsahu před nelegálním kopírováním a neoprávněným použitím. Souběžně s rozvojem trhu bezpečného doručování se budou vyvíjet i odpovídající technologie. Experti z The Yankee Group odhadují objem tohoto trhu na 200 milionů dolarů na základě výsledků z roku 2001 a předpovídají růst na 2 miliardy dolarů do roku 2005.

4. Biometrické autentizační systémy (sítnice, otisky prstů, hlas atd.), včetně složitých, budou využívány mnohem šířeji. Mnohé z toho, co lze nyní vidět pouze v akčních filmech, bude začleněno do každodenního firemního života.

5. Do roku 2005 budou poskytovatelé internetu poskytovat svým klientům lví podíl bezpečnostních služeb. Navíc jejich hlavními klienty budou společnosti, jejichž podnikání je postaveno speciálně na internetových technologiích, tedy aktivní spotřebitelé webhostingových služeb, systémů elektronického obchodování atd.

6. Očekává se, že trh se službami zabezpečení inteligentních sítí rychle poroste. Důvodem je skutečnost, že nové koncepce ochrany IT systémů před hackery se nezaměřují ani tak na reakci na již nastalé události/útoky, ale na jejich předvídání, předcházení jim a přijímání proaktivních a preventivních opatření.

7. Výrazně vzroste poptávka po komerčních šifrovacích šifrovacích systémech pro přenášená data, včetně „zakázkového“ vývoje pro konkrétní společnosti, s ohledem na oblasti jejich činnosti.

8. Na trhu řešení bezpečnosti IT bude docházet k postupnému odklonu od „standardních systémů“, a proto bude narůstat poptávka po poradenských službách pro vývoj konceptů bezpečnosti informací a budování systémů řízení bezpečnosti informací. pro konkrétní zákazníky.

Trh se systémy a službami informační bezpečnosti se rozvíjí také v „postsovětském prostoru“ – i když ne stejným tempem a ne ve stejném měřítku jako na Západě. Jak uvedl list Kommersant, v Rusku organizace vynakládají od 1 % (hutnictví) do 30 % (finanční sektor) svých rozpočtů na rozvoj informační infrastruktury různého typu. Náklady na obranu přitom zatím dosahují jen asi 0,1-0,2 % nákladové části rozpočtů. Celkový objem trhu systémů informační bezpečnosti v Rusku v roce 2001 odhadují odborníci na 40–80 milionů dolarů. V roce 2002 by podle údajů obsažených v návrhu státního rozpočtu měly činit 60-120 milionů dolarů. Pro srovnání: jak ukázal nedávný výzkum IDC, očekává se, že velikost samotného evropského trhu s produkty pro informační bezpečnost (software a hardware) vzroste z 1,8 miliardy USD v roce 2000 na 6,2 miliardy USD v roce 2005.

Kaspersky Internet Security chrání váš počítač před síťovými útoky.

Síťový útok je průnik do operačního systému vzdáleného počítače. Útočníci zahajují síťové útoky, aby převzali kontrolu nad operačním systémem, způsobili odmítnutí služby nebo získali přístup k chráněným informacím.

Síťové útoky jsou škodlivé akce prováděné samotnými útočníky (například skenování portů, hádání hesla) a také akce prováděné škodlivými programy nainstalovanými na napadeném počítači (například přenos chráněných informací útočníkovi). Malware zapojený do síťových útoků zahrnuje některé trojské koně, nástroje pro útoky DoS, škodlivé skripty a síťové červy.

Síťové útoky lze rozdělit do následujících typů:

  • Skenování portů. Tento typ síťového útoku je obvykle přípravnou fází pro nebezpečnější síťový útok. Útočník kontroluje porty UDP a TCP používané síťovými službami na cílovém počítači a určuje zranitelnost cílového počítače vůči nebezpečnějším typům síťových útoků. Skenování portů také umožňuje útočníkovi určit operační systém na cílovém počítači a vybrat pro něj vhodné síťové útoky.
  • DoS útoky nebo síťové útoky způsobující odmítnutí služby. Jedná se o síťové útoky, v jejichž důsledku se napadený operační systém stává nestabilním nebo zcela nefunkčním.

    Existují následující hlavní typy útoků DoS:

    • Odesílání speciálně vytvořených síťových paketů do vzdáleného počítače, které tento počítač neočekává, což způsobuje poruchu nebo zastavení operačního systému.
    • Odeslání velkého množství síťových paketů do vzdáleného počítače v krátkém časovém období. Všechny prostředky napadeného počítače jsou využity ke zpracování síťových paketů odeslaných útočníkem, proto počítač přestane plnit své funkce.
  • Síťové útoky - průniky. Jedná se o síťové útoky, jejichž cílem je „unést“ operační systém napadeného počítače. Jedná se o nejnebezpečnější typ síťového útoku, protože v případě úspěchu se operační systém dostává zcela pod kontrolu útočníka.

    Tento typ síťového útoku se používá v případech, kdy útočník potřebuje získat důvěrná data ze vzdáleného počítače (například čísla bankovních karet nebo hesla) nebo použít vzdálený počítač pro své vlastní účely (například k útoku na jiné počítače z tohoto počítače). počítač) bez vědomí uživatele.

  1. Na záložce Ochrana v bloku Ochrana proti síťovým útokům zrušte zaškrtnutí políčka.

Ochranu síťových útoků můžete povolit také v aplikaci Protection Center. Zakázání ochrany nebo součástí ochrany počítače výrazně zvyšuje riziko infekce počítače, a proto se v aplikaci Protection Center zobrazují informace o zakázání ochrany.

Důležité: Pokud jste vypnuli ochranu před síťovými útoky, pak se po restartování aplikace Kaspersky Internet Security nebo restartování operačního systému nezapne automaticky a budete ji muset zapnout ručně.

Pokud je zjištěna nebezpečná síťová aktivita, aplikace Kaspersky Internet Security automaticky přidá adresu IP útočícího počítače do seznamu blokovaných počítačů, pokud tento počítač není přidán do seznamu důvěryhodných počítačů.

  1. V řádku nabídek klikněte na ikonu programu.
  2. V nabídce, která se otevře, vyberte Nastavení.

    Otevře se okno nastavení programu.

  3. Na záložce Ochrana v bloku Ochrana proti síťovým útokům zaškrtněte políčko Povolit ochranu proti síťovému útoku.
  4. Klikněte na tlačítko Výjimky.

    Otevře se okno se seznamem důvěryhodných počítačů a seznamem blokovaných počítačů.

  5. Otevřete záložku Zamčené počítače.
  6. Pokud jste si jisti, že blokovaný počítač nepředstavuje hrozbu, vyberte jeho IP adresu v seznamu a klikněte na tlačítko Odblokovat.

    Otevře se potvrzovací okno.

  7. V potvrzovacím okně proveďte jednu z následujících akcí:
    • Pokud chcete počítač odemknout, klikněte na tlačítko Odemknout.

      Kaspersky Internet Security odblokuje IP adresu.

    • Pokud chcete, aby aplikace Kaspersky Internet Security nikdy neblokovala vybranou adresu IP, klepněte na tlačítko Odblokujte a přidejte k výjimkám.

      Kaspersky Internet Security odblokuje IP adresu a přidá ji do seznamu důvěryhodných počítačů.

  8. Kliknutím na tlačítko Uložit změny uložíte.

Můžete vytvořit seznam důvěryhodných počítačů. Aplikace Kaspersky Internet Security automaticky neblokuje adresy IP těchto počítačů, když zjistí nebezpečnou síťovou aktivitu, která z nich pochází.

Když je zjištěn síťový útok, aplikace Kaspersky Internet Security o něm uloží informace do zprávy.

  1. Otevřete nabídku Ochrana.
  2. Vyberte Přehledy.

    Otevře se okno zpráv aplikace Kaspersky Internet Security.

  3. Otevřete záložku Ochrana proti síťovým útokům.

Poznámka: Pokud součást Ochrana před síťovým útokem dokončila chybu, můžete si prohlédnout zprávu a zkusit součást restartovat. Pokud se vám nedaří problém vyřešit, kontaktujte technickou podporu.



Oblíbené v kategorii:
Jak zkombinovat vrstvy ve Photoshopu do jedné nebo je spojit do skupiny Jak zkombinovat několik vrstev ve Photoshopu
Jak sloučit vrstvy ve Photoshopu do jedné nebo je spojit do skupiny...
číst
Přenos kontaktů do nového telefonu Android
Přenos kontaktů do nového telefonu Android
číst
Samsung Galaxy se restartuje sám – Solutions Galaxy note 4 se restartuje sám
Samsung Galaxy se sám restartuje – řešení Galaxy Note...
číst
Klíčové vlastnosti Kaspersky Rescue Disk
Klíčové vlastnosti Kaspersky Rescue Disk
číst

Nejnovější články
MacBook se nepřipojí k wifi MacBook nevidí...
číst
Jak vydělat peníze na WebMoney
číst
Tablet "Supra": recenze zákazníků
číst
Umístění lodí v reálném čase
číst
Nejlepší programy pro Android Záznam hovorů z...
číst
Odebírání nesledujících na Twitteru
číst
Připojení k internetu na notebooku: všechny možné...
číst
Samsung Galaxy S IV je nová vlajková loď...
číst
Nahoru