Hogar › Teléfono › ¿Qué significan las amenazas de red en Windows 7? Solución de problemas. Tecnologías de protección antivirus

¿Qué significan las amenazas de red en Windows 7? Solución de problemas. Tecnologías de protección antivirus

El artículo está dirigido a aquellos que han comenzado a pensar en la seguridad de la red o continúan haciéndolo y están fortaleciendo la protección de las aplicaciones web contra nuevas amenazas; después de todo, primero debe comprender qué amenazas pueden existir para poder prevenirlas.

Por alguna razón, la necesidad de pensar en la seguridad de la red se considera un derecho solo de las grandes empresas, como Badoo, Google y Google, Yandex o Telegram, que convocan abiertamente concursos para encontrar vulnerabilidades y aumentar la seguridad de sus productos, aplicaciones web y infraestructuras de red en todos los sentidos. Al mismo tiempo, la gran mayoría de los sistemas web existentes contienen "agujeros" de varios tipos (un estudio de 2012 de Positive Technologies, el 90% de los sistemas contienen vulnerabilidades de riesgo medio).

¿Qué es una amenaza de red o una vulnerabilidad de red?

WASC (Web Application Security Consortium) ha identificado varias clases básicas, cada una de las cuales contiene varios grupos, un total de 50, vulnerabilidades comunes, cuyo uso puede causar daños a una empresa. Clasificación completa presentado en forma de Clasificación de subprocesos WASC v2.0, y en ruso hay una traducción de la versión anterior de InfoSecurity - Clasificación de amenazas a la seguridad de aplicaciones web, que se utilizará como base para la clasificación y se ampliará significativamente.

Principales grupos de amenazas a la seguridad de los sitios web

Autenticación insuficiente al acceder a recursos

Este grupo de amenazas incluye ataques basados en fuerza bruta, abuso de funcionalidad y ubicación predecible de recursos (). La principal diferencia con una autorización insuficiente es que no hay una verificación suficiente de los derechos (o características) de un usuario ya autorizado (por ejemplo, un usuario autorizado normal puede obtener derechos de administrador simplemente conociendo la dirección del panel de control si hay suficiente verificación de derechos de acceso). no se realiza).

Estos ataques sólo pueden contrarrestarse eficazmente en el nivel de la lógica de la aplicación. Algunos ataques (por ejemplo, ataques de fuerza bruta demasiado frecuentes) se pueden bloquear en el nivel de infraestructura de red.

Autorización insuficiente

Esto puede incluir ataques destinados a forzar fácilmente los detalles de acceso o explotar cualquier error al verificar el acceso al sistema. Además de las técnicas de fuerza bruta, esto incluye la predicción de credenciales y sesiones y la fijación de sesiones.

La protección contra ataques de este grupo requiere un conjunto de requisitos para sistema confiable autorización del usuario.

Esto incluye todas las técnicas para cambiar el contenido de un sitio web sin ninguna interacción con el servidor que atiende las solicitudes, es decir, la amenaza se implementa a través del navegador del usuario (pero generalmente el navegador en sí no lo es " eslabón débil": los problemas radican en el filtrado de contenidos del lado del servidor) o en el servidor de caché intermedio. Tipos de ataques: suplantación de contenido, secuencias de comandos entre sitios, abuso de redirector de URL, falsificación de solicitudes entre sitios, división de respuestas HTTP, contrabando de respuestas HTTP, así como desvío de enrutamiento, división de solicitudes HTTP y contrabando de solicitudes HTTP.

Una parte importante de estas amenazas se puede bloquear en el nivel de configuración del entorno del servidor, pero las aplicaciones web también deben filtrar cuidadosamente tanto los datos entrantes como las respuestas de los usuarios.

Código de ejecución

Los ataques de ejecución de código son ejemplos clásicos de piratería de sitios web a través de vulnerabilidades. Un atacante puede ejecutar su código y obtener acceso al alojamiento donde se encuentra el sitio enviando una solicitud especialmente preparada al servidor. Ataques: desbordamiento de búfer, cadena de formato, desbordamiento de enteros, inyección LDAP, inyección de comandos de correo, inyección de bytes nulos, ejecución de comandos del sistema operativo (comandos del sistema operativo), ejecución de archivos externos (RFI, inclusión remota de archivos), inyección SSI, inyección SQL, inyección XPath, Inyección XML, Inyección XQuery e Implementación de XXE (Entidades Externas XML).

No todos estos tipos de ataques pueden afectar a tu sitio web, pero se bloquean correctamente sólo a nivel de WAF (Web Application Firewall) o filtrado de datos en la propia aplicación web.

Divulgación de información

Los ataques de este grupo no son una amenaza pura para el sitio en sí (ya que el sitio no los sufre de ninguna manera), pero pueden dañar una empresa o usarse para llevar a cabo otros tipos de ataques. Tipos: huellas dactilares y recorrido de ruta

La configuración adecuada del entorno del servidor le permitirá protegerse completamente de dichos ataques. Sin embargo, también debe prestar atención a las páginas de error de la aplicación web (pueden contener gran número información técnica) y trabajar con sistema de archivos(que puede verse comprometido por un filtrado de entrada insuficiente). También sucede que en índice de búsqueda Aparecen enlaces a cualquier vulnerabilidad del sitio, y esto en sí mismo es una amenaza de seguridad importante.

Ataques lógicos

Este grupo incluye todos los ataques restantes, cuya posibilidad radica principalmente en los recursos limitados del servidor. En particular, se trata de denegación de servicio y ataques más dirigidos: abuso de matrices SOAP, explosión de atributos XML y expansión de entidades XML.

La protección contra ellos se realiza únicamente a nivel de la aplicación web o bloqueando solicitudes sospechosas (equipos de red o servidores proxy web). Pero con la aparición de nuevos tipos de ataques dirigidos, es necesario auditar las aplicaciones web en busca de vulnerabilidades.

ataques DDoS

Como debe quedar claro en la clasificación, un ataque DDoS en el sentido profesional es siempre el agotamiento de los recursos del servidor de una forma u otra. Otros métodos (aunque mencionados en Wikipedia) directamente para Ataque DDoS no tienen relación, pero representan uno u otro tipo de vulnerabilidad del sitio. Wikipedia también describe los métodos de protección con suficiente detalle; no los duplicaré aquí.

El término "malware" se refiere a cualquier programa creado y utilizado para realizar acciones no autorizadas y, a menudo, maliciosas. Como regla general, incluye varios tipos de virus, gusanos, troyanos, registradores de teclas, programas de robo de contraseñas, virus de macro, virus del sector de arranque, virus de script, software fraudulento, software espía y publicitario. Desafortunadamente, esta lista está lejos de ser completa, y cada año se repone con más y más especies nuevas. malware, que en este material a menudo llamaremos en términos generales- virus.

Los motivos para escribir virus informáticos pueden ser muy diferentes: desde un deseo banal de poner a prueba sus habilidades de programación hasta el deseo de causar daño o obtener ingresos ilegales. Por ejemplo, algunos virus casi no causan daño, solo ralentizan la máquina debido a su reproducción, contaminando el disco duro de la computadora o produciendo efectos gráficos, sonoros y de otro tipo. Otros pueden ser muy peligrosos, provocando la pérdida de programas y datos, borrando información en áreas de memoria del sistema e incluso fallas en partes del disco duro.

CLASIFICACIÓN DE VIRUS

Por el momento, no existe una clasificación clara de los virus, aunque existen ciertos criterios para su división.

Hábitat de virus

En primer lugar, el malware se divide según su hábitat (según los objetos a los que afecta). El tipo de malware más común es virus de archivos que infecta archivos ejecutables y se activan cada vez que se lanza un objeto infectado. No es de extrañar que algunos servicios postales(Por ejemplo, servicio de gmail), no permiten el envío de correos electrónicos con archivos ejecutables (archivos con extensión .EXE) adjuntos. Esto se hace para proteger al destinatario de recibir un correo electrónico con un virus. Al ingresar a una computadora a través de una red o cualquier medio de almacenamiento, este tipo de virus no espera a ser iniciado, sino que se inicia automáticamente y lleva a cabo las acciones maliciosas para las que está programado.

Esto no significa que todos los archivos ejecutables sean virus (por ejemplo, archivos de instalación también tienen la extensión .exe), o que los virus sólo tienen la extensión exe. Pueden tener extensión inf, msi, y en general pueden estar sin extensión o adjuntos a una ya documentos existentes(infectarlos).

El siguiente tipo de virus tiene su propia característica: se registran en las áreas de arranque de los discos o sectores que contienen el cargador de arranque del sistema. Como regla general, estos virus se activan cuando se inicia el sistema operativo y se llaman virus del sector de arranque .

Objetos de infección macrovirus sirven como archivos de documentos, que se tratan como documentos de texto y hojas de cálculo desarrolladas en macrolenguajes. La mayoría de los virus de este tipo están escritos para los usuarios más populares. editor de texto MS Word.

Y finalmente, virus de red o script Para reproducirse, utilizan protocolos y comandos de red informática. lenguajes de scripting. Recientemente, este tipo de amenaza se ha generalizado mucho. Por ejemplo, los atacantes suelen utilizar vulnerabilidades de JavaScript para infectar una computadora, lo que utilizan activamente casi todos los desarrolladores de sitios web.

Algoritmos de operación de virus

Otro criterio para dividir el malware son las características de su algoritmo operativo y las tecnologías utilizadas. En general, todos los virus se pueden dividir en dos tipos: residentes y no residentes. Los residentes se encuentran en la RAM de la computadora y están activos hasta que se apaga o se reinicia. No residentes, no infectan la memoria y están activos sólo en un momento determinado.

Virus satelitales (virus complementarios) no modifican los archivos ejecutables, sino que crean copias de ellos con el mismo nombre, pero con una extensión diferente y de mayor prioridad. Por ejemplo, el archivo xxx.COM siempre se ejecutará antes que xxx.EXE debido a las características específicas del sistema de archivos de Windows. Por lo tanto, el código malicioso se ejecuta antes programa original, y luego solo ella misma.

Virus-gusanos Distribuido independientemente en catálogos. discos duros y redes informáticas, creando allí sus propias copias. Explotación de vulnerabilidades y varios errores La administración en los programas permite que los gusanos se propaguen de forma completamente autónoma, seleccionando y atacando las máquinas de los usuarios automáticamente.

Virus invisibles (virus sigilosos) intentan ocultar total o parcialmente su existencia en el sistema operativo. Para ello, interceptan el acceso del sistema operativo a los archivos y sectores del disco infectados y sustituyen áreas no infectadas del disco, lo que dificulta en gran medida su detección.

Virus fantasma (virus polimórficos o autocifrados) tienen un cuerpo cifrado, de modo que dos copias de un mismo virus no tienen las mismas partes del código. Esta circunstancia complica enormemente el procedimiento para detectar tales amenazas y, por lo tanto, esta tecnología utilizado por casi todos los tipos de virus.

rootkits permitir a los atacantes ocultar rastros de sus actividades en un sistema operativo comprometido. Este tipo de programas se dedican al ocultamiento archivos maliciosos y procesos, así como su propia presencia en el sistema.

Funcionalidad adicional

Muchos programas maliciosos contienen funciones adicionales que no sólo dificultan su detección en el sistema, sino que también permiten a los atacantes controlar su computadora y obtener los datos que necesitan. Estos virus incluyen puertas traseras (piratas informáticos del sistema), registradores de pulsaciones de teclas (interceptores de teclado), software espía, botnets y otros.

Sistemas operativos afectados

Se pueden diseñar varios virus para funcionar en determinados sistemas operativos, plataformas y entornos (Windows, Linux, Unix, OS/2, DOS). Por supuesto, la gran mayoría del malware está escrito para el sistema Windows más popular del mundo. Sin embargo, algunas amenazas sólo funcionan en Entorno de Windows 95/98, algunos sólo en Windows NT y otros sólo en entornos de 32 bits, sin afectar a las plataformas de 64 bits.

FUENTES DE AMENAZAS

Uno de los objetivos principales de los atacantes es encontrar una manera de enviar un archivo infectado a su computadora y forzar su activación allí. Si su computadora no está conectada a una red informática y no intercambia información con otras computadoras a través de medios extraíbles, puede estar seguro de que no teme a los virus informáticos. Las principales fuentes de virus son:

Disquete, disco láser, tarjeta flash o cualquier otro medios removibles información sobre qué archivos infectados por virus se encuentran;
Un disco duro que recibió un virus como resultado de trabajar con programas infectados;
Cualquier red informática, incluida una red local;
Sistemas de correo electrónico y mensajería;
Internet mundial;

TIPOS DE AMENAZAS INFORMÁTICAS

Probablemente no sea ningún secreto para usted que hoy en día la principal fuente de virus es la red mundial. ¿Qué tipos de amenazas informáticas puede encontrar cualquier usuario normal de Internet global?

Cibervandalismo . Distribución de malware con el objetivo de dañar los datos del usuario e inutilizar el ordenador.
Fraude . Distribución de malware para obtener ingresos ilegales. La mayoría de los programas utilizados para este propósito permiten a los atacantes recopilar información confidencial y usarlo para robar dinero de los usuarios.
Ataques de piratas informáticos . Seco computadoras individuales o redes informáticas enteras con el fin de robar datos confidenciales o instalar malware.
Phishing . Creación de sitios web falsos que son una copia exacta los existentes (por ejemplo, la web de un banco) con el objetivo de robar datos confidenciales cuando los usuarios los visitan.
Correo basura . Correos electrónicos masivos anónimos que obstruyen las bandejas de entrada de los usuarios. Normalmente se utilizan para publicitar bienes y servicios, así como para ataques de phishing.
software publicitario . Difundir malware que ejecuta anuncios en su computadora o redirecciona consultas de búsqueda a sitios web pagos (a menudo pornográficos). A menudo integrado en forma gratuita o programas shareware y se instala en el ordenador del usuario sin su conocimiento.
Redes de bots . Redes zombis que consisten en computadoras infectadas con un troyano (incluida su PC), controladas por un propietario y utilizadas para sus fines (por ejemplo, enviar spam).

SIGNOS DE INFECCIÓN INFORMÁTICA

Detectar un virus que ha entrado en su computadora en una etapa temprana es muy importante. Después de todo, hasta que tenga tiempo de multiplicarse y desplegar un sistema de autodefensa contra la detección, las posibilidades de deshacerse de él sin consecuencias son muy altas. Usted mismo puede determinar la presencia de un virus en su computadora conociendo los primeros signos de infección:

Reducir la cantidad de RAM libre;
Carga y funcionamiento de la computadora significativamente más lentos;
Cambios incomprensibles (sin motivo alguno) en archivos, así como cambios en sus tamaños y fechas. último cambio;
Errores al cargar el sistema operativo y durante su funcionamiento;
Incapacidad para guardar archivos en ciertas carpetas;
Incomprensible mensajes del sistema, efectos musicales y visuales.

Si descubre que algunos archivos han desaparecido o no se pueden abrir, el sistema operativo no se puede cargar o el disco duro se ha formateado, esto significa que el virus ha entrado en la fase activa y escaneo simple No puede deshacerse de una computadora con un programa antivirus especial. Es posible que tengas que reinstalar el sistema operativo. O ejecutar remedios de emergencia disco de arranque, ya que probablemente el antivirus instalado en el ordenador haya perdido su funcionalidad debido a que también fue modificado o bloqueado por malware.

Es cierto que incluso si logra deshacerse de los objetos infectados, a menudo es imposible restaurar la funcionalidad normal del sistema, ya que los archivos importantes del sistema pueden perderse irremediablemente. Al mismo tiempo, recuerda que tus datos importantes, ya sean fotografías, documentos o una colección de música, pueden estar en riesgo de destrucción.

Para evitar todos estos problemas, debe monitorear constantemente la protección antivirus de su computadora, así como conocer y cumplir con reglas basicas seguridad de la información.

PROTECCIÓN ANTIVIRUS

Se utilizan para detectar y neutralizar virus. programas especiales, que se denominan “programas antivirus” o “antivirus”. Bloquean el acceso no autorizado a tu información desde el exterior y previenen infecciones virus informáticos y, si es necesario, eliminar las consecuencias de la infección.

Tecnologías de protección antivirus

Ahora, echemos un vistazo a las tecnologías de protección antivirus utilizadas. La presencia de una u otra tecnología en la composición. paquete antivirus, depende de cómo se posicione el producto en el mercado y afecta a su coste final.

Antivirus de archivos. Componente que controla el sistema de archivos de la computadora. Comprueba todos los archivos abiertos, iniciados y guardados en su computadora. Si se detectan virus conocidos, normalmente se le pedirá que desinfecte el archivo. Si por alguna razón esto no es posible, se elimina o se pone en cuarentena.

Antivirus de correo. Proporciona protección para el correo entrante y saliente y lo analiza en busca de objetos peligrosos.

Antivirus web. Realiza un análisis antivirus del tráfico transmitido a través del protocolo HTTP de Internet, lo que garantiza la protección de su navegador. Supervisa todos los scripts en ejecución para código malicioso, incluidos los scripts Java y VB.

Antivirus de mensajería instantánea. Responsable de la seguridad del trabajo con buscapersonas de Internet (ICQ, MSN, Jabber, QIP, Mail.RUAgent, etc.) verifica y protege la información recibida a través de sus protocolos.

Control del programa. Este componente registra las acciones de los programas que se ejecutan en su sistema operativo y regula sus actividades en función de reglas establecidas. Estas reglas regulan el acceso del programa a varios recursos del sistema.
Cortafuegos (cortafuegos). Garantiza tu seguridad laboral redes locales e Internet, que rastrea la actividad del tráfico entrante que es característica de los ataques a la red que explotan las vulnerabilidades del sistema operativo y del software. a todos conexiones de red Se aplican reglas que permiten o prohíben determinadas acciones en función del análisis de determinados parámetros.

Protección proactiva. Este componente está diseñado para identificar software peligroso basándose en el análisis de su comportamiento en el sistema. El comportamiento dañino puede incluir: actividad característica de programas troyanos, acceso al registro del sistema, autocopia de programas en diversas áreas del sistema de archivos, interceptación de la entrada de datos desde el teclado, inyección en otros procesos, etc. De esta forma, se intenta proteger la computadora no solo de virus ya conocidos, pero también de otros nuevos que aún no han sido investigados.

Antispam. Filtra todo el correo entrante y saliente para correos electrónicos no deseados(spam) y lo clasifica según la configuración del usuario.

Antiespía. Componente esencial, diseñado para combatir el fraude en Internet. Protege contra ataques de phishing, puertas traseras, descargadores, vulnerabilidades, descifradores de contraseñas, secuestradores de datos, registradores de pulsaciones de teclas y servidores proxy, marcadores automáticos para sitios web pagos, programas de broma, programas publicitarios y banners molestos.

Controles parentales. Este es un componente que le permite establecer restricciones de acceso para usar su computadora e Internet. Con esta herramienta podrás controlar el inicio de diversos programas, el uso de Internet, las visitas a sitios web según su contenido y mucho más, protegiendo así a niños y adolescentes de influencias negativas cuando trabajan en una computadora.

Entorno seguro o caja de arena (Sandbox). Limitado espacio virtual bloquear el acceso a los recursos del sistema. Proporciona un trabajo seguro con aplicaciones, documentos, recursos de Internet, así como con recursos web de banca por Internet, donde la seguridad al ingresar datos confidenciales es de particular importancia. También te permite correr dentro de ti. aplicaciones inseguras sin riesgo de infección del sistema.

Reglas básicas de protección antivirus.

Estrictamente hablando, no existe una forma universal de combatir los virus. Incluso si tiene el programa antivirus más moderno en su computadora, esto no garantiza en absoluto que su sistema no se infecte. Después de todo, los virus aparecen primero y sólo entonces existe una cura para ellos. Y a pesar de que muchas soluciones antivirus modernas cuentan con sistemas de detección amenazas desconocidas, sus algoritmos son imperfectos y no le brindan una protección del 100%. Pero, si cumple con las reglas básicas de protección antivirus, puede reducir significativamente el riesgo de infección de su computadora y pérdida de información importante.

Su sistema operativo debe tener un buen programa antivirus que se actualice periódicamente.
Se debe realizar una copia de seguridad de los datos más valiosos.
Particione su disco duro en varias particiones. Esto le permitirá aislar información importante y no guardarla en la partición del sistema donde estaba instalado su sistema operativo. Después de todo, es él el principal objetivo de los atacantes.
No visite sitios web con contenido dudoso y especialmente aquellos que se dedican a la distribución ilegal de contenido, claves y generadores de claves. programas pagos. Como regla general, además de los “obsequios” gratuitos, existe una gran cantidad de malware de todo tipo.
Cuando utilice el correo electrónico, no abra ni ejecute archivos adjuntos de correo de cartas de destinatarios desconocidos.
Todos aquellos a quienes les gusta comunicarse mediante mensajeros de Internet (QIP, ICQ) también deben tener cuidado con la descarga de archivos y el clic en enlaces enviados por contactos desconocidos.
Para usuarios redes sociales deberías tener doble cuidado. Recientemente, se han convertido en el principal objetivo de los estafadores cibernéticos que idean múltiples esquemas que les permiten robar el dinero de los usuarios. Una solicitud para proporcionar su información confidencial en mensajes dudosos debería alertarlo de inmediato.

CONCLUSIÓN

Pensamos después de leer. de este material Ahora comprende lo importante que es tomar en serio la cuestión de la seguridad y la protección de su computadora contra intrusiones de intrusos y los efectos de programas maliciosos en ella.
En en este momento Hay una gran cantidad de empresas que desarrollan software antivirus y, como comprenderá, no es difícil confundirse con su elección. Pero este es un momento muy importante, ya que es el antivirus el muro que protege su sistema del flujo de infección que sale de la red. Y si este muro tiene muchos huecos, entonces no tendrá ningún sentido.

Para que a los usuarios comunes les resulte más fácil elegir la protección de PC adecuada, en nuestro portal probamos los más populares. soluciones antivirus conocer sus capacidades y interfaz de usuario. Puedes familiarizarte con las últimas novedades y muy pronto te estarán esperando. nueva reseña los últimos productos en este campo.

La red como objeto de protección.

Lo mas moderno sistemas automatizados Los sistemas de procesamiento de información son sistemas distribuidos construidos sobre estándares. arquitecturas de red y utilizar conjuntos estándar de servicios de red y software de aplicación. Las redes corporativas "heredan" todos los métodos "tradicionales" de intervención no autorizada en los sistemas informáticos locales. Además, se caracterizan por canales específicos de penetración y acceso no autorizado a la información debido al uso de tecnologías de red.

Enumeremos las principales características de los sistemas informáticos distribuidos:

lejanía territorial de los componentes del sistema y presencia de un intenso intercambio de información entre ellos;
amplia gama los métodos utilizados para presentar, almacenar y transmitir información;
integración de datos para varios propósitos pertenencia a diferentes sujetos, en el marco de bases de datos unificadas y, por el contrario, colocación de los datos necesarios para algunos sujetos en varios nodos remotos de la red;
abstraer a los propietarios de los datos de las estructuras físicas y la ubicación de los datos;
uso de modos de procesamiento de datos distribuidos;
participación en el proceso procesamiento automatizado información de una gran cantidad de usuarios y personal de diversas categorías;
acceso inmediato y simultáneo a los recursos gran número usuarios;
diversidad de medios utilizados tecnología informática y software;

¿Qué son las vulnerabilidades, amenazas y ataques de la red?

EN seguridad informática término " vulnerabilidad"(Inglés) vulnerabilidad) se utiliza para indicar una falla en el sistema, mediante la cual un atacante puede violar intencionalmente su integridad y causar operación incorrecta. Las vulnerabilidades pueden ser el resultado de errores de programación, fallas en el diseño del sistema, contraseñas débiles, virus y otro malware, inyecciones de scripts y SQL. Algunas vulnerabilidades se conocen sólo teóricamente, mientras que otras se utilizan activamente y tienen vulnerabilidades conocidas.

Normalmente, una vulnerabilidad permite a un atacante "engañar" a una aplicación para que realice una acción que no debería tener derecho a realizar. Esto se hace introduciendo de alguna manera datos o código en el programa en lugares tales que el programa los perciba como "propios". Algunas vulnerabilidades surgen debido a una verificación insuficiente de la entrada del usuario y permiten que se inserten comandos arbitrarios (inyección SQL, XSS, SiXSS) en el código interpretado. Otras vulnerabilidades surgen debido a más problemas complejos, como escribir datos en un búfer sin comprobar sus límites (desbordamiento del búfer). El análisis de vulnerabilidades a veces se denomina sondeo, por ejemplo, cuando hablan de sondear una computadora remota, se refieren a buscar puertos de red abiertos y la presencia de vulnerabilidades asociadas con las aplicaciones que utilizan estos puertos.

Bajo amenaza(en general) generalmente entienden un evento, acción, proceso o fenómeno potencialmente posible que podría conducir a un daño a los intereses de alguien. Una amenaza a los intereses de los súbditos. relaciones de información Llamaremos a aquel evento, proceso o fenómeno que, a través de su impacto en la información u otros componentes del SA, puede conducir directa o indirectamente a un daño a los intereses de estos sujetos.

Ataque de red- una acción cuyo objetivo es tomar el control (aumentar los derechos) sobre un sistema informático remoto/local, o desestabilizarlo, o negar el servicio, así como obtener datos de los usuarios que utilizan este sistema informático remoto/local. información cibercrimen informática

Vistas: 3378

Por alguna razón, la necesidad de pensar en la seguridad de la red se considera un derecho solo de las grandes empresas, como , y , o , que convocan abiertamente concursos para encontrar vulnerabilidades y aumentar en todos los sentidos la seguridad de sus productos, aplicaciones web e infraestructuras de red. . Al mismo tiempo, la gran mayoría de los sistemas web existentes contienen "agujeros" de varios tipos (el 90% de los sistemas contienen vulnerabilidades de riesgo medio).

¿Qué es una amenaza de red o una vulnerabilidad de red?

WASC (Web Application Security Consortium) ha identificado varias clases básicas, cada una de las cuales contiene varios grupos de vulnerabilidades comunes, cuyo uso puede causar daños a una empresa. La clasificación completa se presenta en el formulario y en ruso hay una traducción de la versión anterior de InfoSecurity, que se utilizará como base para la clasificación y se ampliará significativamente.

Principales grupos de amenazas a la seguridad de los sitios web

Autenticación insuficiente al acceder a recursos

Este grupo de amenazas incluye ataques basados en Selección (), Abuso de Funcionalidad () y Ubicación Predecible de Recursos (). La principal diferencia con una autorización insuficiente es que no hay una verificación suficiente de los derechos (o características) de un usuario ya autorizado (por ejemplo, un usuario autorizado normal puede obtener derechos de administrador simplemente conociendo la dirección del panel de control si hay suficiente verificación de derechos de acceso). no se realiza).

Autorización insuficiente

Esto puede incluir ataques destinados a forzar fácilmente los detalles de acceso o explotar cualquier error al verificar el acceso al sistema. Además de las técnicas de Selección (), esto incluye Access Guessing () y Session Fixing ().

La protección contra ataques de este grupo requiere un conjunto de requisitos para un sistema de autorización de usuarios confiable.

Esto incluye todas las técnicas para cambiar el contenido de un sitio web sin ninguna interacción con el servidor que atiende las solicitudes, es decir, la amenaza se implementa a través del navegador del usuario (pero normalmente el navegador en sí no es el "eslabón débil": el problema radica en el filtrado de contenidos en el lado del servidor) o un servidor de caché intermedio. Tipos de ataque: suplantación de contenido (), solicitudes entre sitios (XSS,), abuso de redireccionamiento (), falsificación de solicitudes entre sitios (), división de respuestas HTTP (, contrabando de respuestas HTTP () y omisión de enrutamiento (), división de solicitudes HTTP () y contrabando de solicitudes HTTP ().

Código de ejecución

Los ataques de ejecución de código son ejemplos clásicos de piratería de sitios web a través de vulnerabilidades. Un atacante puede ejecutar su código y obtener acceso al alojamiento donde se encuentra el sitio enviando una solicitud especialmente preparada al servidor. Ataques: Desbordamiento de búfer(), Formato de cadenas(), Desbordamiento de enteros(), Inyección LDAP(), Inyección de correo(), Byte nulo(), Ejecución de comandos del sistema operativo(), Ejecución de archivos externos (RFI, ), Inyección SSI() , Inyección SQL (), Inyección XPath (), Inyección XML (), Inyección XQuery () e Inyección XXE ().

No todos estos tipos de ataques pueden afectar a tu sitio web, pero se bloquean correctamente sólo a nivel de WAF (Web Application Firewall) o filtrado de datos en la propia aplicación web.

Divulgación de información

La configuración adecuada del entorno del servidor le permitirá protegerse completamente de dichos ataques. Sin embargo, también debe prestar atención a las páginas de error de la aplicación web (que pueden contener mucha información técnica) y al manejo del sistema de archivos (que puede verse comprometido por un filtrado de entrada insuficiente). También sucede que en el índice de búsqueda aparecen enlaces a algunas vulnerabilidades del sitio, y esto en sí mismo es una amenaza importante para la seguridad.

Ataques lógicos

Este grupo incluye todos los ataques restantes, cuya posibilidad radica principalmente en los recursos limitados del servidor. En particular, se trata de denegación de servicio () y ataques más específicos: abuso de SOAP (), desbordamiento de atributos XML y expansión de entidades XML ().

ataques DDoS

Como debe quedar claro en la clasificación, un ataque DDoS en el sentido profesional es siempre el agotamiento de los recursos del servidor de una forma u otra. Otros métodos () no están directamente relacionados con un ataque DDoS, pero representan uno u otro tipo de vulnerabilidad del sitio. Wikipedia también describe los métodos de protección con suficiente detalle; no los duplicaré aquí.

Los fabricantes de enrutadores a menudo no se preocupan demasiado por la calidad de su código, razón por la cual las vulnerabilidades son comunes. Hoy en día, los enrutadores son un objetivo prioritario para los ataques a la red, lo que permite a las personas robar dinero y datos sin pasar por los sistemas de seguridad locales. ¿Cómo puedo comprobar yo mismo la calidad del firmware y la idoneidad de la configuración? Utilidades gratuitas, servicios de verificación en línea y este artículo le ayudarán con esto.

Los enrutadores de consumo siempre han sido criticados por su falta de confiabilidad, pero alto precio aún no garantiza una alta seguridad. En diciembre del año pasado, especialistas de la empresa Punto de control Descubrimos más de 12 millones de enrutadores (incluidos los mejores modelos) y módems DSL que pueden ser pirateados debido a una vulnerabilidad en el mecanismo de recepción. ajustes automáticos. Es ampliamente utilizado para configuración rápida Equipo de red en el lado del cliente (CPE - equipo de las instalaciones del cliente). Durante los últimos diez años, los proveedores han estado utilizando el protocolo de gestión de equipos de suscriptores CWMP (CPE WAN Management Protocol) para este fin. La especificación TR-069 brinda la capacidad de enviar configuraciones usándola y conectar servicios a través del Servidor de configuración automática (ACS - Servidor de configuración automática). Los empleados de Check Point descubrieron que muchos enrutadores tienen un error al procesar las solicitudes CWMP, y los proveedores complican aún más la situación: la mayoría de ellos no cifran la conexión entre ACS y el equipo del cliente y no restringen el acceso mediante direcciones IP o MAC. En conjunto, esto crea las condiciones para un fácil ataque de intermediario.

A través de una implementación vulnerable de CWMP, un atacante puede hacer casi cualquier cosa: establecer y leer parámetros de configuración, restablecer la configuración a los valores predeterminados y reiniciar el dispositivo de forma remota. El tipo de ataque más común consiste en reemplazar las direcciones DNS en la configuración del enrutador con servidores controlados por el atacante. Filtran solicitudes web y redirigen a páginas falsas las que contienen llamadas a servicios bancarios. Se crearon páginas falsas para todos los sistemas de pago populares: PayPal, Visa, MasterCard, QIWI y otros.

La peculiaridad de este ataque es que el navegador se ejecuta en un sistema operativo limpio y envía una solicitud a la dirección ingresada correctamente de un sistema de pago real. Examen configuración de red Los análisis de ordenador y virus no revelan ningún problema. Además, el efecto persiste si te conectas al sistema de pago a través de un enrutador pirateado desde otro navegador e incluso desde otro dispositivo de la red doméstica.

Dado que la mayoría de las personas rara vez verifican la configuración de su enrutador (o incluso confían este proceso a los técnicos del ISP), el problema pasa desapercibido durante mucho tiempo. Normalmente se enteran por exclusión, después de que el dinero ha sido robado de las cuentas y una comprobación informática no ha dado ningún resultado.

Para conectarse al enrutador a través de CWMP, un atacante utiliza una de las vulnerabilidades comunes típicas de los dispositivos de red. nivel de entrada. Por ejemplo, contienen un servidor web de terceros, RomPager, escrito por Allegro Software. Hace muchos años, se descubrió un error en el procesamiento de cookies, que se corrigió rápidamente, pero el problema persiste. Dado que este servidor web forma parte del firmware, no es posible actualizarlo de una sola vez en todos los dispositivos. Cada fabricante tuvo que lanzar una nueva versión para cientos de modelos que ya estaban a la venta y convencer a sus propietarios para que descargaran la actualización lo antes posible. Como ha demostrado la práctica, ninguno de los usuarios domésticos hizo esto. Por lo tanto, la cantidad de dispositivos vulnerables asciende a millones incluso diez años después del lanzamiento de las correcciones. Además, los propios fabricantes siguen utilizando la antigua versión vulnerable de RomPager en su firmware hasta el día de hoy.

Además de los enrutadores, la vulnerabilidad afecta a los teléfonos VoIP, cámaras de red y otros equipos que pueden configurarse de forma remota mediante CWMP. Normalmente, para esto se utiliza el puerto 7547. Puede verificar su estado en el enrutador utilizando el servicio gratuito Shields Up de Steve Gibson. Para hacer esto, escriba su URL (grc.com) y luego agregue /x/portprobe=7547.

La captura de pantalla es sólo indicativa. resultado positivo. Negativo no garantiza que no haya vulnerabilidad. Para excluirlo, deberá realizar una prueba de penetración completa, por ejemplo, utilizando el escáner Nexpose o el marco Metasploit. Los propios desarrolladores a menudo no están preparados para decir qué versión de RomPager se utiliza en una versión particular de su firmware y si existe. Este componente definitivamente no está presente sólo en firmware alternativo de código abierto (hablaremos de ello más adelante).

Registrar un DNS seguro

Es una buena idea verificar la configuración de su enrutador con más frecuencia e inmediatamente configurarla manualmente. direcciones alternativas Servidores DNS. Éstos son algunos de ellos disponibles de forma gratuita.

DNS seguro de Comodo: 8.26.56.26 y 8.20.247.20
Norton ConnectSafe: 199.85.126.10, 199.85.127.10
DNS público de Google: 8.8.8.8, 2001:4860:4860:8888 - para IPv6
DNS abierto: 208.67.222.222, 208.67.220.220

Todos ellos bloquean sólo sitios infectados y de phishing, sin restringir el acceso a recursos para adultos.

Desconéctate y reza

Hay otros desde hace mucho tiempo. problemas conocidos, que los propietarios de dispositivos de red o (con menos frecuencia) sus fabricantes no quieren solucionar. Hace dos años, los expertos de DefenseCode descubrieron un conjunto completo de vulnerabilidades en enrutadores y otros equipos de red activos de nueve empresas importantes. Todos ellos están asociados con una implementación de software incorrecta de componentes clave. En particular, la pila UPnP en el firmware para chips Broadcom o el uso de versiones anteriores de la biblioteca abierta libupnp. Junto con los especialistas de Rapid7 y CERT, los empleados de DefenseCode encontraron alrededor de siete mil modelos de dispositivos vulnerables. Durante seis meses de escaneo activo rango aleatorio Las direcciones IPv4 identificaron más de 80 millones de hosts que respondieron a una solicitud UPnP estándar a un puerto WAN. Cada quinto de ellos admitía el servicio SOAP (Simple Acceso a objetos Protocolo), y 23 millones permitieron la ejecución de código arbitrario sin autorización. En la mayoría de los casos, un ataque a enrutadores con tal agujero en UPnP se lleva a cabo mediante una solicitud SOAP modificada, lo que provoca un error en el procesamiento de datos y el resto del código termina en un área arbitraria de la RAM del enrutador, donde se ejecuta con derechos de superusuario. En los enrutadores domésticos, es mejor desactivar UPnP por completo y asegurarse de que las solicitudes al puerto 1900 estén bloqueadas. El mismo servicio de Steve Gibson ayudará con esto. protocolo UPnP(Universal Plug and Play) está habilitado de forma predeterminada en la mayoría de los enrutadores, impresoras de red, cámaras IP, NAS y también electrodomésticos inteligentes. Está habilitado de forma predeterminada en Windows, OS X y muchos Versiones de Linux. Si es posible sintonia FINA usarlo no es tan malo. Si las únicas opciones disponibles son "activar" y "desactivar", entonces es mejor elegir esta última. A veces, los fabricantes introducen software deliberadamente en los equipos de red. Lo más probable es que esto suceda a instancias de los servicios de inteligencia, pero en caso de escándalo, las respuestas oficiales siempre mencionan "necesidad técnica" o "un servicio propio para mejorar la calidad de la comunicación". Se han descubierto puertas traseras integradas en algunos Enrutadores Linksys y Netgear. Abrieron el puerto 32764 para recepción comandos remotos. Dado que este número no corresponde a ningún servicio conocido, este problema es fácil de detectar, por ejemplo, utilizando un escáner de puertos externo.

INFORMACIÓN

Otra forma de realizar una auditoría gratuita de la red doméstica es descargar y ejecutar antivirus avast. Sus nuevas versiones contienen el asistente de verificación de red, que identifica vulnerabilidades conocidas y configuraciones de red peligrosas.

Los valores predeterminados son para los corderos.

El problema más común con la seguridad del enrutador sigue siendo la configuración de fábrica. Estas no son sólo direcciones IP internas, contraseñas y iniciar sesión administrador, pero también incluyó servicios que aumentan la comodidad a costa de la seguridad. Además de UPnP, el protocolo de control remoto Telnet y el servicio WPS (Wi-Fi) suelen estar habilitados de forma predeterminada. Configuración protegida). A menudo se encuentran errores críticos en el procesamiento de solicitudes Telnet. Por ejemplo, Enrutadores D-Link Las series DIR-300 y DIR-600 permitieron recibir de forma remota un shell y ejecutar cualquier comando a través del demonio telnetd sin ninguna autorización. En los enrutadores Linksys E1500 y E2500, la inyección de código era posible mediante ping regular. Como resultado, no se verificó el parámetro ping_size para ellos. OBTENER método la puerta trasera se cargó en el enrutador en una línea. En el caso del E1500, no fueron necesarios trucos adicionales durante la autorización. Nueva contraseña simplemente puede configurarlo sin ingresar el actual. Se identificó un problema similar con el teléfono VoIP Netgear SPH200D. Además, al analizar el firmware, resultó que estaba activa una cuenta de servicio oculta con la misma contraseña. Con Shodan, puedes encontrar un enrutador vulnerable en un par de minutos. Todavía le permiten cambiar cualquier configuración de forma remota y sin autorización. Puede aprovechar esto de inmediato o puede hacer una buena acción: busque a este desafortunado usuario en Skype (por IP o nombre) y envíele un par de recomendaciones; por ejemplo, cambie el firmware y lea este artículo.

Supercúmulo de agujeros masivos

Los problemas rara vez vienen solos: la activación de WPS conduce automáticamente a la activación de UPnP. Además, el PIN estándar o la clave de autenticación previa utilizada en WPS anula toda la protección criptográfica de nivel WPA2-PSK. Debido a errores de firmware, WPS a menudo permanece habilitado incluso después de deshabilitarlo a través de la interfaz web. Puede averiguarlo utilizando un escáner de Wi-Fi; por ejemplo, aplicación gratuita Analizador de Wifi para teléfonos inteligentes Android. Si el propio administrador utiliza los servicios vulnerables, no será posible rechazarlos. Es bueno que el enrutador le permita protegerlos de alguna manera. Por ejemplo, no acepte comandos para puerto WAN o establezca una dirección IP específica para usar Telnet. A veces simplemente no hay forma de configurar o simplemente deshabilitar un servicio peligroso en la interfaz web y es imposible cerrar el agujero con los medios estándar. la unica salida en este caso, busque un firmware nuevo o alternativo con un conjunto ampliado de funciones.

Servicios alternativos

Más Popular abrir firmware acero DD-WRT, OpenWRT y su horquilla Gargoyle. Solo se pueden instalar en enrutadores de la lista de compatibles, es decir, aquellos para los cuales el fabricante del chipset ha revelado las especificaciones completas. Por ejemplo, Asus tiene una serie separada de enrutadores que fueron diseñados originalmente con miras al uso de DD-WRT (bit.ly/1xfIUSf). Ya cuenta con doce modelos desde el nivel básico hasta el nivel corporativo. Enrutadores MikroTik ejecute RouterOS, que no es inferior en flexibilidad a la familia *WRT. Este también es un sistema operativo de red completo en núcleo de linux, que admite absolutamente todos los servicios y cualquier configuración imaginable. Firmware alternativo Hoy en día puedes instalarlo en muchos routers, pero ten cuidado y comprueba el nombre completo del dispositivo. Con el mismo número de modelo y apariencia Los enrutadores pueden tener diferentes revisiones, lo que puede ocultar plataformas de hardware completamente diferentes.

control de seguridad

Puede comprobar la vulnerabilidad de OpenSSL utilidad gratuita ScanNow de Rapid7 (bit.ly/18g9TSf) o su versión simplificada en línea (bit.ly/1xhVhrM). La verificación en línea se realiza en unos segundos. EN programa separado Puede configurar un rango de direcciones IP, por lo que la prueba lleva más tiempo. Por cierto, los campos de registro de la utilidad ScanNow no se verifican de ninguna manera.

Después del escaneo, se mostrará un informe y una oferta para probar el escáner de vulnerabilidades Nexpose más avanzado, dirigido a redes empresariales. Está disponible para Windows, Linux y VMware. Dependiendo de la versión, el período de prueba gratuito está limitado de 7 a 14 días. Las limitaciones se relacionan con la cantidad de direcciones IP y áreas de escaneo.

Desafortunadamente, instalar firmware alternativo de código abierto es sólo una forma de aumentar la seguridad y seguridad totalél no lo dará. Todo el firmware se basa en un principio modular y combina una serie de componentes clave. Cuando se detecta algún problema en ellos, afecta a millones de dispositivos. Por ejemplo, una vulnerabilidad en la biblioteca abierta OpenSSL también afectó a los enrutadores con *WRT. Su funciones criptográficas se utiliza para cifrar sesiones de acceso remoto a través de SSH, organizar VPN, administrar servidor web local y otras tareas populares. Los fabricantes comenzaron a publicar actualizaciones con bastante rapidez, pero el problema aún no se ha eliminado por completo.

Constantemente se encuentran nuevas vulnerabilidades en los enrutadores y algunas de ellas se explotan incluso antes de que se publique una solución. Todo lo que el propietario del enrutador puede hacer es deshabilitar servicios innecesarios, cambiar los parámetros predeterminados, limitar mando a distancia, verifique la configuración y actualice el firmware con más frecuencia.

Popular en la categoría: