Rasgos característicos de los ataques a la red. Tipos de ataques de piratas informáticos a recursos web

Rasgos característicos de los ataques a la red. Tipos de ataques de piratas informáticos a recursos web

Nuestros sistemas informáticos son vulnerables a varios tipos de ataques. Para proteger el sistema de estos ataques, es importante conocer los ataques informáticos más comunes. En el mundo actual, se ha convertido casi en una situación común cuando escuchamos sobre ataques a sistemas o redes de computadoras personales. En esta era de la tecnología, existen varios tipos de ataques informáticos de los cuales necesita proteger sus preciados datos, sistemas y redes. Si bien algunos ataques pueden simplemente dañar los datos de la computadora, hay otros ataques en los que los datos del sistema informático pueden hacerlo. ser robado, así como otros ataques en los que se puede cerrar toda la red.

En pocas palabras, hay dos tipos principales de ataques: ataques pasivos y ataques activos. Los ataques pasivos son aquellos en los que los datos de una computadora se monitorean y luego se utilizan para intereses maliciosos, mientras que los ataques activos son aquellos en los que hay cambios en los datos. se eliminarán o las redes se destruirán por completo. A continuación se detallan algunos de los tipos más comunes de ataques activos y pasivos que pueden afectar a las computadoras.

Tipos activos de ataques informáticos.

Virus

Los ataques y virus informáticos más famosos existen desde hace mucho tiempo. Se instalan en las computadoras y se propagan a otros archivos del sistema. A menudo se distribuyen a través de discos duros externos, de determinados sitios de Internet o como archivos adjuntos de correo electrónico. Una vez que se lanzan los virus, se vuelven independientes de su creador y su objetivo es infectar muchos archivos y otros sistemas.

Kit de raíz

Los piratas informáticos obtienen acceso al sistema utilizando el conjunto raíz de controladores y toman el control total de la computadora. Se encuentran entre los ataques informáticos más peligrosos porque el pirata informático puede obtener más control sobre el sistema que el propietario del sistema. En algunos casos, los piratas informáticos también pueden encender una cámara web y monitorear las actividades de la víctima, sabiendo todo sobre ella.

troyano

En la lista de ataques informáticos, los caballos de Troya ocupan el primer lugar después de los virus. A menudo están integrados en un software, en protectores de pantalla o en juegos que se ejecutan normalmente. Sin embargo, una vez que se copian en el sistema, infectan la computadora. con un virus o kit de raíz. Es decir, actúan como portadores de virus o rootkits para infectar el sistema.

Gusano

Los gusanos pueden denominarse parientes de los virus. La diferencia entre virus y gusanos de Internet es que los gusanos infectan un sistema sin la ayuda del usuario. El primer paso es que los gusanos escaneen las computadoras en busca de vulnerabilidades. Luego se copian en el sistema e infectan el sistema, y ​​el proceso se repite.

Tipos pasivos de ataques informáticos.

Escuchar a escondidas

Como sugiere el nombre, los piratas informáticos escucharán sigilosamente las conversaciones que tienen lugar entre dos computadoras en una red. Esto puede suceder en un sistema cerrado, así como a través de Internet. Otros nombres con los que se asocia son husmear. Con las escuchas ilegales, los datos confidenciales pueden atravesar la red y otras personas pueden acceder a ellos.

Ataques de contraseña

Uno de los tipos más comunes de ataques cibernéticos son los ataques con contraseña. Aquí, los piratas informáticos obtienen acceso a una computadora y a los recursos de la red obteniendo una contraseña de control. A menudo se ve que el atacante ha cambiado la configuración del servidor y de la red y, en algunos casos, incluso puede hacerlo. eliminar datos. Además, los datos pueden transmitirse a diferentes redes.

Clave de ataque comprometida

Para almacenar datos confidenciales, se puede utilizar un código o número secreto. Obtener la clave es sin duda una tarea realmente enorme para un hacker, y es posible que después de una investigación intensiva el hacker pueda hacerse con las claves. Cuando una clave está en posesión de un hacker, se la conoce como clave comprometida. El pirata informático ahora tendrá acceso a datos confidenciales y podrá realizar cambios en los datos. Sin embargo, también existe la posibilidad de que el pirata informático pruebe diferentes permutaciones y combinaciones de la clave para acceder a otros conjuntos de datos confidenciales.

Suplantación de identidad

Cada computadora tiene una dirección IP por lo que es válida e independiente en la red. Uno de los ataques informáticos más comunes es asumir la identidad de otra computadora. Aquí se pueden enviar paquetes IP desde direcciones válidas y acceder a una IP específica. Una vez que se obtiene el acceso, los datos del sistema se pueden eliminar, modificar o redirigir. Además, un pirata informático puede utilizar esta dirección IP comprometida para atacar otros sistemas dentro o fuera de la red.

Ataques a la capa de aplicación

El objetivo de un ataque a la capa de aplicación es provocar una falla en el sistema operativo del servidor. Una vez que se crea una falla en el sistema operativo, el pirata informático puede obtener acceso a la administración del servidor, lo que a su vez conduce a que los datos se modifiquen de varias maneras. Se puede introducir un virus en el sistema, o se pueden enviar múltiples solicitudes al servidor, lo que puede provocar que falle, o se pueden desactivar los controles de seguridad, lo que dificulta la recuperación del servidor.

Estos son algunos de los tipos de ataques a los que pueden verse sometidos servidores y sistemas informáticos individuales. La lista de los últimos ataques informáticos sigue aumentando cada día, para los cuales los piratas informáticos utilizan nuevos métodos de piratería.

Ataque de red remota- impacto destructivo de la información en un sistema informático distribuido, realizado mediante programación a través de canales de comunicación.

Introducción

Para organizar las comunicaciones en un entorno de red heterogéneo, se utiliza un conjunto de protocolos TCP/IP, que garantizan la compatibilidad entre ordenadores de diferentes tipos. Este conjunto de protocolos ha ganado popularidad debido a su compatibilidad y provisión de acceso a los recursos de Internet global y se ha convertido en un estándar para la interconexión de redes. Sin embargo, la ubicuidad de la pila de protocolos TCP/IP también ha expuesto sus debilidades. Precisamente por esta razón, los sistemas distribuidos son vulnerables a ataques remotos, ya que sus componentes suelen utilizar canales de transmisión de datos abiertos y un atacante no sólo puede escuchar pasivamente la información transmitida, sino también modificar el tráfico transmitido.

La dificultad de detectar un ataque remoto y la relativa facilidad de implementación (debido a la funcionalidad redundante de los sistemas modernos) coloca a este tipo de acciones ilegales en primer lugar en términos del grado de peligrosidad e impide una respuesta oportuna a la amenaza, como resultado de lo cual el atacante aumenta las posibilidades de implementar con éxito el ataque.

Clasificación de ataque

Por la naturaleza del impacto.

  • Pasivo
  • Activo

El impacto pasivo en un sistema informático distribuido (DCS) es algún impacto que no afecta directamente el funcionamiento del sistema, pero que al mismo tiempo puede violar su política de seguridad. La falta de influencia directa sobre el funcionamiento del RVS conduce precisamente a que la influencia remota pasiva (RPI) sea difícil de detectar. Un posible ejemplo de un PUV típico en un DCS es escuchar un canal de comunicación en una red.

Impacto activo en el DCS: un impacto que tiene un impacto directo en el funcionamiento del propio sistema (deterioro de la funcionalidad, cambio en la configuración del DCS, etc.), que viola la política de seguridad adoptada en el mismo. Casi todos los tipos de ataques remotos son influencias activas. Esto se debe al hecho de que la propia naturaleza del efecto dañino incluye un principio activo. La clara diferencia entre influencia activa e influencia pasiva es la posibilidad fundamental de su detección, ya que como resultado de su implementación se producen algunos cambios en el sistema. Con una influencia pasiva, no queda absolutamente ningún rastro (debido a que el atacante ve el mensaje de otra persona en el sistema, nada cambiará en el mismo momento).

Por propósito de influencia

  • interrupción del funcionamiento del sistema (acceso al sistema)
  • violación de la integridad de los recursos de información (IR)
  • violación de la confidencialidad de IR

Esta característica mediante la cual se realiza la clasificación es esencialmente una proyección directa de tres tipos básicos de amenazas: denegación de servicio, divulgación y violación de la integridad.

El objetivo principal que se persigue en casi cualquier ataque es obtener acceso no autorizado a la información. Existen dos opciones fundamentales para la obtención de información: la distorsión y la interceptación. La opción de interceptar información significa acceder a ella sin posibilidad de modificarla. Por tanto, la interceptación de información conlleva una violación de su confidencialidad. Escuchar un canal en una red es un ejemplo de interceptación de información. En este caso se produce un acceso ilegítimo a la información sin posibles opciones de sustitución. También es obvio que la violación de la confidencialidad de la información se refiere a influencias pasivas.

La capacidad de reemplazar información debe entenderse como un control total sobre el flujo de información entre los objetos del sistema o como la capacidad de transmitir varios mensajes en nombre de otra persona. Por tanto, está claro que la sustitución de información conduce a una violación de su integridad. Esta influencia destructiva de la información es un ejemplo típico de influencia activa. Un ejemplo de un ataque remoto diseñado para violar la integridad de la información es el ataque remoto (RA) de “objeto RVS falso”.

Basado en la presencia de retroalimentación del objeto atacado.

  • con retroalimentación
  • sin retroalimentación (ataque unidireccional)

El atacante envía algunas solicitudes al objeto atacado, del que espera recibir una respuesta. En consecuencia, aparece retroalimentación entre el atacante y el atacado, permitiendo al primero responder adecuadamente a todo tipo de cambios en el objeto atacado. Ésta es la esencia de un ataque remoto, llevado a cabo en presencia de retroalimentación del objeto atacante. Estos ataques son más típicos del RVS.

Los ataques de bucle abierto se caracterizan por el hecho de que no necesitan reaccionar ante cambios en el objeto atacado. Estos ataques suelen llevarse a cabo enviando solicitudes únicas al objeto atacado. El atacante no necesita respuestas a estas solicitudes. Esta UA también puede denominarse UA unidireccional. Un ejemplo de ataques unidireccionales es un ataque DoS típico.

Según la condición del inicio del impacto.

La influencia remota, como cualquier otra, sólo puede comenzar a tener lugar bajo ciertas condiciones. Hay tres tipos de ataques condicionales en RVS:

  • ataque a petición del objeto atacado
  • Ataque cuando ocurre un evento esperado en el objeto atacado.
  • ataque incondicional

El impacto del atacante comenzará siempre que el objetivo potencial del ataque envíe una solicitud de un determinado tipo. Un ataque de este tipo puede denominarse ataque a petición del objeto atacado. Este tipo de UA es más típico del RVS. Un ejemplo de este tipo de solicitudes en Internet son las solicitudes DNS y ARP, y en Novell NetWare, una solicitud SAP.

Un ataque ante la ocurrencia de un evento esperado en el objeto atacado. El atacante monitorea continuamente el estado del sistema operativo del objetivo remoto del ataque y comienza a influir cuando ocurre un evento específico en este sistema. El propio objeto atacado es el iniciador del ataque. Un ejemplo de tal evento sería que la sesión de un usuario con el servidor se interrumpa sin emitir el comando SALIR DE SESIÓN en Novell NetWare.

Un ataque incondicional se lleva a cabo de forma inmediata e independientemente del estado del sistema operativo y del objeto atacado. Por tanto, en este caso el atacante es el iniciador del ataque.

Si se interrumpe el funcionamiento normal del sistema, se persiguen otros objetivos y no se espera que el atacante obtenga acceso ilegal a los datos. Su objetivo es desactivar el sistema operativo del objeto atacado y hacer imposible que otros objetos del sistema accedan a los recursos de este objeto. Un ejemplo de ataque de este tipo es un ataque DoS.

Por ubicación del sujeto del ataque en relación con el objeto atacado

  • intrasegmental
  • intersegmentario

Algunas definiciones:

Fuente del ataque (sujeto del ataque)- un programa (posiblemente un operador) que dirija el ataque y lleve a cabo el impacto directo.

Anfitrión- una computadora que es un elemento de una red.

Enrutador- un dispositivo que enruta paquetes en una red.

Subred es un grupo de hosts que forman parte de una red global, y se diferencian en que el enrutador les asigna el mismo número de subred. También podemos decir que una subred es una asociación lógica de hosts a través de un enrutador. Los hosts dentro de la misma subred pueden comunicarse directamente entre sí sin utilizar un enrutador.

Segmento de red- unificación de huestes a nivel físico.

Desde el punto de vista de un ataque remoto, la ubicación relativa del sujeto y el objeto del ataque es extremadamente importante, es decir, si se encuentran en segmentos diferentes o idénticos. Durante un ataque dentro de un segmento, el sujeto y el objetivo del ataque se encuentran en el mismo segmento. En el caso de un ataque entre segmentos, el sujeto y el objetivo del ataque se encuentran en diferentes segmentos de la red. Esta característica de clasificación permite juzgar el llamado "grado de lejanía" del ataque.

A continuación se mostrará que un ataque dentro de un segmento es mucho más fácil de llevar a cabo que un ataque entre segmentos. También observamos que un ataque remoto entre segmentos representa un peligro mucho mayor que uno dentro de un segmento. Esto se debe al hecho de que, en el caso de un ataque entre segmentos, el objetivo y el atacante pueden encontrarse a una distancia de muchos miles de kilómetros entre sí, lo que puede dificultar significativamente las medidas para repeler el ataque.

Según el nivel del modelo de referencia ISO/OSI al que se realiza el impacto

  • físico
  • conducto
  • red
  • transporte
  • de una sesión
  • representante
  • aplicado

La Organización Internacional de Normalización (ISO) adoptó la norma ISO 7498, que describe la interconexión de sistemas abiertos (OSI), a la que también pertenecen los RBC. Cada protocolo de comunicación de red, así como cada programa de red, se puede proyectar de una forma u otra sobre el modelo de 7 capas de referencia OSI. Esta proyección multinivel permite describir las funciones utilizadas en un protocolo o programa de red en términos del modelo OSI. UA es un programa de red y es lógico considerarlo desde el punto de vista de la proyección sobre el modelo de referencia ISO/OSI.

Breve descripción de algunos ataques a la red.

Fragmentación de datos

Cuando un paquete de datos IP se transmite a través de una red, el paquete se puede dividir en varios fragmentos. Posteriormente, al llegar al destino, el paquete se reconstruye a partir de estos fragmentos. Un atacante puede iniciar el envío de una gran cantidad de fragmentos, lo que provoca un desbordamiento de los buffers de software en el lado receptor y, en algunos casos, un fallo del sistema.

Ataque de inundación de ping

Este ataque requiere que el atacante tenga acceso a canales rápidos de Internet.

El programa ping envía un paquete ICMP de tipo ECHO REQUEST, configurando en él la hora y su identificador. El núcleo de la máquina receptora responde a dicha solicitud con un paquete ICMP ECHO REPLY. Al recibirlo, ping muestra la velocidad del paquete.

En el modo de funcionamiento estándar, los paquetes se envían a intervalos regulares, prácticamente sin carga en la red. Pero en el modo "agresivo", una avalancha de paquetes de solicitud/respuesta de eco ICMP puede causar congestión en una línea pequeña, impidiéndole transmitir información útil.

Protocolos no estándar encapsulados en IP

El paquete IP contiene un campo que especifica el protocolo del paquete encapsulado (TCP, UDP, ICMP). Los atacantes pueden utilizar un valor no estándar de este campo para transmitir datos que no serán registrados por las herramientas de control de flujo de información estándar.

Ataque pitufo

El ataque pitufo implica enviar solicitudes ICMP transmitidas a la red en nombre de la computadora víctima.

Como resultado, las computadoras que han recibido dichos paquetes de transmisión responden a la computadora víctima, lo que conduce a una reducción significativa en el rendimiento del canal de comunicación y, en algunos casos, al aislamiento completo de la red atacada. El ataque de los pitufos es extremadamente eficaz y generalizado.

Contrarrestar: para reconocer este ataque, es necesario analizar la carga del canal y determinar las razones de la disminución del rendimiento.

Ataque de suplantación de DNS

El resultado de este ataque es la introducción de una correspondencia forzada entre una dirección IP y un nombre de dominio en la caché del servidor DNS. Como resultado de un ataque exitoso, todos los usuarios del servidor DNS recibirán información incorrecta sobre nombres de dominio y direcciones IP. Este ataque se caracteriza por una gran cantidad de paquetes DNS con el mismo nombre de dominio. Esto se debe a la necesidad de seleccionar algunos parámetros de intercambio de DNS.

Contrarrestar: para detectar un ataque de este tipo, es necesario analizar el contenido del tráfico DNS o utilizar DNSSEC.

Ataque de suplantación de IP

Una gran cantidad de ataques en Internet están asociados con la falsificación de la dirección IP de origen. Dichos ataques también incluyen la suplantación de syslog, que implica enviar un mensaje a la computadora víctima en nombre de otra computadora en la red interna. Dado que el protocolo syslog se utiliza para mantener registros del sistema, al enviar mensajes falsos a la computadora víctima, es posible inducir información o encubrir las pistas de acceso no autorizado.

Contrarrestar: la detección de ataques relacionados con la suplantación de direcciones IP es posible monitoreando la recepción en una de las interfaces de un paquete con la dirección de origen de la misma interfaz o monitoreando la recepción de paquetes con direcciones IP de la red interna en la interfaz externa .

Imposición de paquetes

El atacante envía paquetes con una dirección de retorno falsa a la red. Con este ataque, un atacante puede cambiar las conexiones establecidas entre otras computadoras a su propia computadora. En este caso, los derechos de acceso del atacante se vuelven iguales a los derechos del usuario cuya conexión al servidor se cambió a la computadora del atacante.

Oler - escuchar un canal

Posible solo en el segmento de red local.

Casi todas las tarjetas de red admiten la capacidad de interceptar paquetes transmitidos a través de un canal de red local común. En este caso, la estación de trabajo puede recibir paquetes dirigidos a otras computadoras en el mismo segmento de red. De este modo, todo el intercambio de información en el segmento de la red queda disponible para el atacante. Para implementar con éxito este ataque, la computadora del atacante debe estar ubicada en el mismo segmento de red local que la computadora atacada.

Intercepción de paquetes en el enrutador

El software de red de un enrutador tiene acceso a todos los paquetes de red enviados a través del enrutador, lo que permite la interceptación de paquetes. Para llevar a cabo este ataque, el atacante debe tener acceso privilegiado a al menos un enrutador de la red. Dado que normalmente se transmiten tantos paquetes a través de un enrutador, la interceptación total de ellos es casi imposible. Sin embargo, es posible que un atacante intercepte y almacene paquetes individuales para su posterior análisis. La interceptación más eficaz de paquetes FTP que contienen contraseñas de usuario, así como de correo electrónico.

Forzar una ruta falsa en un host usando ICMP

En Internet existe un protocolo especial ICMP (Protocolo de mensajes de control de Internet), una de cuyas funciones es informar a los hosts sobre el cambio del enrutador actual. Este mensaje de control se llama redireccionamiento. Es posible enviar un mensaje de redireccionamiento falso desde cualquier host en el segmento de red en nombre del enrutador al host atacado. Como resultado, la tabla de enrutamiento actual del host cambia y, en el futuro, todo el tráfico de red de este host pasará, por ejemplo, a través del host que envió el mensaje de redireccionamiento falso. De esta manera, es posible imponer activamente una ruta falsa dentro de un segmento de Internet.

Además de los datos habituales enviados a través de una conexión TCP, el estándar también prevé la transmisión de datos urgentes (fuera de banda). En el nivel de formatos de paquetes TCP, esto se expresa como un puntero urgente distinto de cero. La mayoría de las PC con Windows instalado tienen el protocolo de red NetBIOS, que utiliza tres puertos IP para sus necesidades: 137, 138, 139. Si se conecta a una máquina con Windows a través del puerto 139 y envía varios bytes de datos OutOfBand allí, entonces la implementación de NetBIOS sin saber qué hacer con estos datos, simplemente cuelga o reinicia la máquina. Para Windows 95, esto generalmente parece una pantalla de texto azul que indica un error en el controlador TCP/IP y la imposibilidad de trabajar con la red hasta que se reinicie el sistema operativo. NT 4.0 sin Service Packs se reinicia, NT 4.0 con ServicePack 2 falla y aparece una pantalla azul. A juzgar por la información de la red, tanto Windows NT 3.51 como Windows 3.11 para trabajo en grupo son susceptibles a dicho ataque.

El envío de datos al puerto 139 provoca un reinicio de NT 4.0, o una "pantalla azul de la muerte" con el Service Pack 2 instalado. Un envío similar de datos al 135 y algunos otros puertos provoca una carga significativa en el proceso RPCSS.EXE. En Windows NT WorkStation, esto provoca una desaceleración significativa; Windows NT Server prácticamente se congela.

Suplantación de host de confianza

La implementación exitosa de ataques remotos de este tipo permitirá al atacante realizar una sesión con el servidor en nombre de un host confiable. (Host confiable: una estación que se conectó legalmente al servidor). La implementación de este tipo de ataque suele consistir en enviar paquetes de intercambio desde la estación del atacante en nombre de una estación de confianza bajo su control.

Tecnologías de detección de ataques
Las tecnologías de redes e información están cambiando tan rápidamente que los mecanismos de protección estáticos, que incluyen sistemas de control de acceso, cortafuegos y sistemas de autenticación, en muchos casos no pueden proporcionar una protección eficaz. Por lo tanto, se requieren métodos dinámicos para detectar y prevenir rápidamente violaciones de seguridad. Una tecnología que puede detectar infracciones que no pueden identificarse mediante los modelos tradicionales de control de acceso es la tecnología de detección de intrusiones.

Básicamente, el proceso de detección de ataques es el proceso de evaluar actividades sospechosas que ocurren en una red corporativa. En otras palabras, la detección de intrusiones es el proceso de identificar y responder a actividades sospechosas dirigidas a recursos informáticos o de red.

Métodos para analizar la información de la red.

La eficacia de un sistema de detección de ataques depende en gran medida de los métodos utilizados para analizar la información recibida. Los primeros sistemas de detección de intrusiones, desarrollados a principios de los años 80, utilizaban métodos estadísticos para detectar ataques. Actualmente, se han añadido una serie de nuevas técnicas al análisis estadístico, desde los sistemas expertos y la lógica difusa hasta el uso de redes neuronales.

Método estadístico

Las principales ventajas del enfoque estadístico son el uso de un aparato de estadística matemática ya desarrollado y probado y la adaptación al comportamiento del sujeto.

En primer lugar, se determinan perfiles para todos los sujetos del sistema analizado. Cualquier desviación del perfil utilizado respecto al de referencia se considera actividad no autorizada. Los métodos estadísticos son universales porque el análisis no requiere conocimiento de posibles ataques ni de las vulnerabilidades que explotan. Sin embargo, al utilizar estas técnicas surgen problemas:

  • los sistemas “estadísticos” no son sensibles al orden de los acontecimientos; en algunos casos, los mismos acontecimientos, según el orden en que ocurren, pueden caracterizar una actividad anormal o normal;
  • es difícil establecer valores límite (umbrales) de las características monitoreadas por el sistema de detección de ataques para identificar adecuadamente la actividad anómala;
  • Los atacantes pueden "entrenar" sistemas "estadísticos" con el tiempo para que las acciones de ataque se consideren normales.

También se debe tener en cuenta que los métodos estadísticos no son aplicables en los casos en que no existe un patrón de comportamiento típico del usuario o cuando las acciones no autorizadas son típicas del usuario.

Sistemas expertos

Los sistemas expertos consisten en un conjunto de reglas que capturan el conocimiento de un experto humano. El uso de sistemas expertos es un método común de detección de ataques en el que la información del ataque se formula en forma de reglas. Estas reglas pueden escribirse, por ejemplo, como una secuencia de acciones o como una firma. Cuando se cumple cualquiera de estas reglas, se toma una decisión sobre la presencia de actividad no autorizada. Una ventaja importante de este enfoque es la ausencia casi total de falsas alarmas.

La base de datos del sistema experto debería contener scripts para la mayoría de los ataques conocidos actualmente. Para mantenerse constantemente actualizados, los sistemas expertos requieren una actualización constante de la base de datos. Aunque los sistemas expertos ofrecen buena visibilidad de los datos de registro, el administrador puede ignorar o realizar manualmente las actualizaciones necesarias. Como mínimo, esto da como resultado un sistema experto con capacidades debilitadas. En el peor de los casos, la falta de un mantenimiento adecuado reduce la seguridad de toda la red, engañando a sus usuarios sobre el nivel real de seguridad.

La principal desventaja es la incapacidad de repeler ataques desconocidos. Además, incluso un pequeño cambio en un ataque ya conocido puede convertirse en un serio obstáculo para el funcionamiento del sistema de detección de ataques.

Redes neuronales

La mayoría de los métodos modernos de detección de ataques utilizan algún tipo de enfoque estadístico o basado en reglas para el análisis del espacio controlado. El espacio controlado puede ser registros o tráfico de red. El análisis se basa en un conjunto de reglas predefinidas que son creadas por el administrador o el propio sistema de detección de intrusiones.

Cualquier separación de un ataque a lo largo del tiempo o entre múltiples atacantes es difícil de detectar utilizando sistemas expertos. Debido a la gran variedad de ataques y piratas informáticos, incluso ad hoc, las actualizaciones continuas de la base de datos de reglas del sistema experto nunca garantizarán una identificación precisa de toda la gama de ataques.

El uso de redes neuronales es una de las formas de superar estos problemas de los sistemas expertos. A diferencia de los sistemas expertos, que pueden dar al usuario una respuesta definitiva sobre el cumplimiento de las características consideradas con las reglas integradas en la base de datos, una red neuronal analiza la información y brinda la oportunidad de evaluar si los datos son consistentes con las características que son. capacitado para reconocer. Si bien el grado de correspondencia de la representación de una red neuronal puede alcanzar el 100%, la confiabilidad de la elección depende completamente de la calidad del sistema al analizar ejemplos de la tarea en cuestión.

Primero, la red neuronal se entrena para identificar correctamente utilizando una muestra preseleccionada de ejemplos de dominio. Se analiza la respuesta de la red neuronal y se ajusta el sistema de forma que se consigan resultados satisfactorios. Además del período de entrenamiento inicial, la red neuronal gana experiencia con el tiempo a medida que analiza datos de dominios específicos.

Una ventaja importante de las redes neuronales a la hora de detectar abusos es su capacidad para "aprender" las características de los ataques deliberados e identificar elementos que no se parecen a los observados anteriormente en la red.

Cada uno de los métodos descritos tiene una serie de ventajas y desventajas, por lo que ahora es casi difícil encontrar un sistema que implemente solo uno de los métodos descritos. Como regla general, estos métodos se utilizan en combinación.

Los desbordamientos de búfer son parte de muchos tipos de ataques maliciosos. Los ataques de desbordamiento tienen, a su vez, muchas variedades. Uno de los más peligrosos consiste en introducir en un cuadro de diálogo, además de texto, un código ejecutable adjunto. Dicha entrada puede resultar en que este código se escriba encima del programa en ejecución, lo que tarde o temprano hará que se ejecute. Las consecuencias no son difíciles de imaginar.

Los ataques "pasivos" que utilizan, por ejemplo, un sniffer son especialmente peligrosos porque, en primer lugar, son prácticamente indetectables y, en segundo lugar, se lanzan desde la red local (el firewall externo no tiene poder).

Virus- programas maliciosos capaces de autocopiarse y distribuirse por sí mismos. En diciembre de 1994, recibí una advertencia sobre la propagación de virus de red (buenos tiempos y xxx-1) en Internet:

Desde el momento de su creación hasta el momento en que se detecta el virus pasan horas, días, semanas y a veces meses. Depende de qué tan rápido aparezcan los efectos de la infección. Cuanto mayor sea este tiempo, mayor será el número de ordenadores infectados. Después de identificar el hecho de la infección y la propagación de una nueva versión del virus, se necesitan desde un par de horas (por ejemplo, para Email_Worm.Win32.Bagle.bj) hasta tres semanas (W32.Netsky.N@mm) para identificar la firma, crear un antídoto e incluir su firma en la base de datos del programa antivirus. Temporario diagrama del ciclo de vida El virus se muestra en la Fig. 12.1 ("Seguridad de red", versión 2005, número 6, junio de 2005, páginas 16-18). Sólo en 2004 se registraron 10.000 nuevas firmas de virus. El gusano Blaster infectó el 90% de las máquinas en 10 minutos. Durante este tiempo, el equipo antivirus debe detectar el objeto, calificarlo y desarrollar una contramedida. Está claro que esto no es realista. Por lo tanto, un programa antivirus no es tanto una contramedida como sedante. Las mismas consideraciones se aplican a todos los demás tipos de ataques. Una vez que se conoce la firma de un ataque, el ataque en sí no suele ser peligroso, ya que ya se han desarrollado contramedidas y se ha cubierto la vulnerabilidad. Es por esta razón que se presta tanta atención al sistema de gestión de actualizaciones de software (parches).

Algunos virus y gusanos tienen programas SMTP integrados diseñados para enviarlos y trampillas para penetrar fácilmente en la máquina infectada. Las versiones más recientes están equipadas con herramientas para suprimir la actividad de otros virus o gusanos. De esta forma, se pueden crear redes enteras de máquinas infectadas (BotNet), listas para lanzar, por ejemplo, un ataque DDoS cuando se les ordene. Se puede utilizar un protocolo para controlar este tipo de máquinas zombies. IRC(Gráfico de retransmisión de Internet). Este sistema de mensajería está respaldado por una gran cantidad de servidores y, por lo tanto, dicho canal suele ser difícil de rastrear y registrar. Esto también se ve facilitado por el hecho de que la mayoría de los sistemas monitorean el tráfico de entrada más de cerca que el tráfico de salida. Hay que tener en cuenta que una máquina infectada puede servir, además de para ataques DoS, para escanear otros ordenadores y enviar SPAM, almacenar productos de software ilegales, controlar la propia máquina y robar documentos allí almacenados, identificar contraseñas y claves utilizadas. por el propietario. Los daños causados ​​por el virus Blaster se estiman en 475.000 dólares.

Desafortunadamente, no hay medios confiables para detectar nuevos virus (cuya firma se desconoce).


Arroz. 12.1.

En 2005, se identificó otra amenaza: la propagación de virus y gusanos de red mediante robots de motores de búsqueda (bots) basados ​​en IRC.

Los programas bots no siempre son peligrosos; algunas de sus variedades se utilizan para recopilar datos, en particular, sobre las preferencias de los clientes, y en el motor de búsqueda de Google funcionan para recopilar e indexar documentos. Pero en manos de un hacker, estos programas se convierten en armas peligrosas. El ataque más famoso se lanzó en 2005, aunque los preparativos y los “primeros experimentos” comenzaron en septiembre de 2004. El programa buscaba máquinas con vulnerabilidades específicas, en particular, LSASS (Servicio de subsistema de autoridad de seguridad local, Windows). El subsistema LSASS, diseñado para ayudar a garantizar la seguridad, era en sí mismo vulnerable a ataques como el desbordamiento del búfer. Aunque la vulnerabilidad ya se ha solucionado, la cantidad de máquinas con una versión no actualizada sigue siendo significativa. Después de una intrusión, el hacker suele utilizar IRC para realizar las operaciones que necesita (abrir un puerto específico, enviar SPAM, iniciar análisis en busca de otras víctimas potenciales).

Una característica nueva de estos programas es que están integrados en el sistema operativo de tal manera (rootkit) que no pueden ser detectados, ya que se encuentran en el área del kernel del sistema operativo. Si un programa antivirus intenta acceder a un área específica de la memoria para identificar código malicioso, el rootkit intercepta dicha solicitud y envía una notificación al programa de prueba de que todo está bien. Para empeorar las cosas, los programas bot pueden modificar el contenido.

Por supuesto, el uso específico de controles de seguridad tradicionales, como software antivirus, firewalls, criptografía, etc., ayuda a prevenir el acceso no autorizado a la información. Sin embargo, en este caso entra en juego el factor humano. La persona, el usuario final, resulta ser el eslabón más débil del sistema de seguridad de la información, y los piratas informáticos, sabiendo esto, utilizan hábilmente métodos de ingeniería social. Independientemente de los sistemas de identificación multinivel que existan, no surten ningún efecto si los usuarios, por ejemplo, utilizan contraseñas fáciles de descifrar. Con un enfoque profesional de las cuestiones de seguridad, las empresas resuelven dichos problemas emitiendo de forma centralizada contraseñas únicas y complejas o estableciendo reglas corporativas estrictas para los empleados y sanciones adecuadas en caso de incumplimiento. Sin embargo, la situación se complica por el hecho de que últimamente el papel de los delincuentes informáticos no lo desempeñan cada vez más los piratas informáticos "externos", sino los propios usuarios finales. Según un especialista estadounidense en seguridad de la información, "el típico delincuente informático actual es un empleado que tiene acceso a un sistema del que no es usuario técnico". En Estados Unidos, los delitos informáticos cometidos por trabajadores administrativos representan entre el 70% y el 80% de las pérdidas anuales asociadas con la tecnología moderna. Además, sólo el 3% de los fraudes y el 8% de los abusos implicaron destrucción especial de equipos, programas o datos. En otros casos, los atacantes sólo manipularon la información: la robaron, la modificaron o crearon una nueva información falsa. Hoy en día, el uso cada vez más extendido de Internet permite a los piratas informáticos intercambiar información a escala global. Hace tiempo que se ha formado una especie de "hacker internacional"; después de todo, Internet, como ningún otro medio técnico, borra las fronteras entre estados e incluso continentes enteros. Añádase a esto la casi completa anarquía de Internet. Hoy en día, cualquiera puede encontrar instrucciones para piratear computadoras y todas las herramientas de software necesarias simplemente buscando palabras clave como "hacker", "hacking", "hack", "crack" o "phreak". Otro factor que aumenta significativamente la vulnerabilidad de los sistemas informáticos es el uso generalizado de sistemas operativos y entornos de desarrollo estandarizados y fáciles de usar. Esto permite a los piratas informáticos crear herramientas universales para la piratería, y un atacante potencial ya no necesita, como antes, tener buenas habilidades de programación; basta con conocer la dirección IP del sitio atacado y, para llevar a cabo un ataque, es suficiente. para iniciar un programa encontrado en Internet. Continúa el eterno enfrentamiento entre armadura y proyectil. Los especialistas en seguridad de la información ya se han dado cuenta de que no tiene sentido ponerse siempre al día con las tecnologías de los piratas informáticos; los atacantes informáticos siempre van un paso por delante. Por ello, las nuevas técnicas se basan cada vez más en la detección preventiva de violaciones en los sistemas de información. Sin embargo, con el tiempo surgen nuevos problemas, principalmente relacionados con el desarrollo de las comunicaciones inalámbricas. Por tanto, las empresas especializadas en seguridad de la información deben prestar cada vez más atención a la protección de los datos transmitidos utilizando nuevos estándares inalámbricos.

En un robo a un banco a mano armada, la pérdida media es de 19 mil dólares, y en un delito informático, ya de 560 mil. Según los expertos estadounidenses, los daños causados ​​por delitos informáticos han aumentado anualmente una media del 35% en los últimos diez años. En este caso, en promedio, se detecta el 1% de los delitos informáticos y la probabilidad de que un delincuente vaya a prisión por un fraude informático detectado no supera el 10%.

Los ataques a la red son tan variados como los sistemas a los que se dirigen. Desde el punto de vista puramente tecnológico, la mayoría de los ataques a la red utilizan una serie de limitaciones inherentes al protocolo TCP/IP. Después de todo, hubo un tiempo en que Internet se creó para la comunicación entre agencias gubernamentales y universidades para apoyar el proceso educativo y la investigación científica. En aquel entonces, los creadores de la Red no tenían idea de cuán ampliamente se extendería. Debido a esto, las especificaciones de las primeras versiones del Protocolo de Internet (IP) carecían de requisitos de seguridad y, por lo tanto, muchas implementaciones de IP son inherentemente vulnerables. Sólo muchos años después, con el rápido desarrollo del comercio electrónico y una serie de incidentes graves con piratas informáticos, las herramientas de seguridad del protocolo de Internet finalmente comenzaron a implementarse ampliamente. Sin embargo, dado que la seguridad IP no fue desarrollada originalmente, sus implementaciones comenzaron a complementarse con diversos procedimientos, servicios y productos de red diseñados para reducir los riesgos inherentes a este protocolo.

Bombardeo postal

El bombardeo de correo electrónico (el llamado mailbombing) es uno de los tipos de ataques de Internet más antiguos y primitivos. Sería más correcto incluso llamarlo vandalismo informático (o simplemente vandalismo, dependiendo de la gravedad de las consecuencias). La esencia del mailbombing es obstruir el buzón con correspondencia "basura" o incluso desactivar el servidor de correo del proveedor de Internet. Para ello, se utilizan programas especiales: mailbombers. Simplemente bombardean el buzón designado como objetivo con una gran cantidad de letras, al tiempo que indican información falsa del remitente, hasta la dirección IP. Todo lo que necesita un agresor que utilice un programa de este tipo es indicar el correo electrónico del objetivo del ataque, el número de mensajes, escribir el texto de la carta (generalmente algo ofensivo), indicar información falsa del remitente si el programa no hace esto. y presione el botón “iniciar”. Sin embargo, la mayoría de los proveedores de Internet tienen sus propios sistemas para proteger a los clientes del bombardeo de correo. Cuando el número de cartas idénticas de la misma fuente comienza a exceder ciertos límites razonables, toda la correspondencia entrante de este tipo simplemente se destruye. Por eso hoy ya no existe ningún temor serio a un bombardeo postal.

Ataques para adivinar contraseñas

Un hacker que ataca un sistema muchas veces comienza sus acciones intentando obtener la contraseña de un administrador o de uno de los usuarios. Para averiguar la contraseña, existen muchos métodos diferentes. Estos son los principales: suplantación de IP y rastreo de paquetes; los veremos a continuación. Introducir un “caballo de Troya” en un sistema es una de las técnicas más comunes en la práctica de los hackers; también hablaremos de ello con más detalle más adelante; Ataque de fuerza bruta. Existen muchos programas que realizan búsquedas sencillas de contraseñas a través de Internet o directamente en el ordenador atacado. Algunos programas buscan contraseñas utilizando un diccionario específico, otros simplemente generan aleatoriamente diferentes secuencias de caracteres. Búsqueda lógica de opciones de contraseña. Un atacante que utiliza este método simplemente prueba posibles combinaciones de caracteres que el usuario puede utilizar como contraseña. Este enfoque suele resultar sorprendentemente eficaz. Los expertos en seguridad informática nunca dejan de sorprenderse de la frecuencia con la que los usuarios utilizan combinaciones tan "misteriosas" como contraseñas, como 1234, qwerty o su propio nombre escrito al revés. Los piratas informáticos serios, al seleccionar una contraseña preciada, pueden estudiar a fondo a la persona que la utiliza. Nombres de miembros de la familia y otros parientes, perro/gato favorito; qué equipos y deportes apoya el “objeto”; qué libros y películas le gustan; qué periódico lee por la mañana: todos estos datos y sus combinaciones entran en acción. Puede escapar de este tipo de ataques sólo utilizando una combinación aleatoria de letras y números como contraseña, preferiblemente generada por un programa especial. Y, por supuesto, es necesario cambiar la contraseña periódicamente; el administrador del sistema es responsable de controlarlo. Ingeniería social. Este es el uso que hace el hacker de técnicas psicológicas para "trabajar" con el usuario. Un ejemplo típico (y el más simple) es una llamada telefónica de un supuesto "administrador del sistema" con una declaración como "Hemos tenido una falla en el sistema y se ha perdido la información del usuario. ¿Podría proporcionar su nombre de usuario y contraseña nuevamente?". Entonces la propia víctima entrega la contraseña al hacker. Además de la vigilancia periódica, un sistema de "contraseñas de un solo uso" ayuda a proteger contra este tipo de ataques. Sin embargo, debido a su complejidad, aún no ha recibido una amplia distribución.

Virus, gusanos de correo electrónico y caballos de Troya

Estos flagelos no afectan principalmente a los proveedores ni a las comunicaciones corporativas, sino a los ordenadores de los usuarios finales. La magnitud de la derrota es sencillamente impresionante: las epidemias informáticas mundiales, cada vez más frecuentes, provocan pérdidas multimillonarias. Los autores de programas "maliciosos" se están volviendo cada vez más sofisticados e incorporan el software y las tecnologías psicológicas más avanzadas en los virus modernos. Los virus y los caballos de Troya son clases diferentes de código de programa "hostil". Los virus se insertan en otros programas para realizar su función maliciosa en la estación de trabajo del usuario final. Esto podría ser, por ejemplo, la destrucción de todos o sólo algunos archivos en el disco duro (la mayoría de las veces), daños al equipo (por ahora exóticos) u otras operaciones. Los virus suelen estar programados para activarse en una fecha específica (un ejemplo típico es el famoso WinChih, también conocido como “Chernobyl”) y también para enviar copias de sí mismos por correo electrónico a todas las direcciones que se encuentran en la libreta de direcciones del usuario. Un caballo de Troya, a diferencia de un virus, es un programa independiente que, en la mayoría de los casos, no se centra en la destrucción masiva de información característica de los virus. Normalmente, el propósito de introducir un caballo de Troya es obtener control remoto oculto sobre una computadora para manipular la información contenida en ella. Los caballos de Troya se disfrazan con éxito como diversos juegos o programas útiles, muchos de los cuales se distribuyen gratuitamente en Internet. Además, los piratas informáticos a veces incorporan caballos de Troya en programas completamente “inocentes” y de buena reputación. Una vez en una computadora, el caballo de Troya generalmente no anuncia su presencia y realiza sus funciones del modo más secreto posible. Un programa de este tipo puede, por ejemplo, enviar silenciosamente a su propietario hacker una contraseña y un inicio de sesión para acceder a Internet desde esta computadora en particular; crear y enviar ciertos archivos a la dirección incluida en él; rastrear todo lo que se ingresa desde el teclado, etc. Versiones más sofisticadas de caballos de Troya, adaptadas para atacar computadoras específicas de usuarios específicos, pueden, bajo la dirección del propietario, reemplazar ciertos datos con otros preparados de antemano o modificar datos almacenados en archivos, engañando así al propietario de la computadora. Por cierto, esta es una técnica bastante común del arsenal de provocaciones y espionaje industrial. La lucha contra virus y caballos de Troya se lleva a cabo mediante software especializado, y una protección bien diseñada proporciona un doble control: a nivel de una computadora específica y a nivel de la red local. Los medios modernos para combatir el código malicioso son bastante efectivos, y la práctica demuestra que las epidemias globales de virus informáticos que surgen periódicamente se deben en gran parte al "factor humano": la mayoría de los usuarios y muchos administradores de sistemas (!) son simplemente demasiado vagos para actualizar periódicamente el programa antivirus. bases de datos y comprobar si hay virus en el correo electrónico entrante antes de leerlo (aunque ahora esto lo hacen cada vez más los propios proveedores de servicios de Internet).

Inteligencia de red

Estrictamente hablando, el reconocimiento de la red no puede considerarse un ataque a un sistema informático; después de todo, el pirata informático no realiza ninguna acción "maliciosa". Sin embargo, el reconocimiento de la red siempre precede al ataque en sí, ya que al prepararlo, los atacantes deben recopilar toda la información disponible sobre el sistema. En este caso, la información se recopila utilizando un gran conjunto de datos y aplicaciones disponibles públicamente, porque el pirata informático intenta obtener la mayor cantidad de información útil posible. Esto implica escaneo de puertos, consultas de DNS, ping a direcciones reveladas mediante DNS, etc. Esto permite, en particular, saber quién es el propietario de tal o cual dominio y qué direcciones están asignadas a este dominio. Hacer ping a las direcciones descubiertas por DNS le permite ver qué hosts se están ejecutando realmente en una red determinada, y las herramientas de escaneo de puertos le permiten crear una lista completa de los servicios admitidos por estos hosts. Al realizar un reconocimiento de red, también se analizan las características de las aplicaciones que se ejecutan en los hosts; en resumen, se obtiene información que posteriormente se puede utilizar para piratear o realizar un ataque DoS. Es imposible deshacerse por completo del reconocimiento de la red, principalmente porque no se llevan a cabo acciones formalmente hostiles. Si, por ejemplo, desactiva el eco ICMP y la respuesta de eco en los enrutadores periféricos, puede deshacerse de las pruebas de ping, pero perderá los datos necesarios para diagnosticar fallas de red. Además, los atacantes pueden escanear puertos sin realizar pruebas de ping previas. Los sistemas de seguridad y monitoreo a nivel de red y host generalmente hacen un buen trabajo al notificar al administrador del sistema sobre el reconocimiento continuo de la red. Si el administrador es consciente de sus responsabilidades, esto le permitirá prepararse mejor para un próximo ataque e incluso tomar medidas proactivas, por ejemplo, notificando al proveedor de cuya red alguien muestra una curiosidad excesiva.

rastreo de paquetes

Un rastreador de paquetes es un programa de aplicación que utiliza una tarjeta de red que funciona en modo promiscuo (en este modo, el adaptador de red envía todos los paquetes recibidos a través de canales físicos a la aplicación para su procesamiento). En este caso, el rastreador ("sniffer") intercepta todos los paquetes de red que se transmiten a través del dominio atacado. La peculiaridad de la situación en este caso es que ahora, en muchos casos, los rastreadores funcionan en las redes de forma completamente legal: se utilizan para diagnosticar fallos y analizar el tráfico. Por lo tanto, no siempre es posible determinar de forma fiable si los atacantes utilizan o no un programa rastreador específico y si el programa simplemente ha sido reemplazado por uno similar, pero con funciones "avanzadas". Utilizando un rastreador, los atacantes pueden encontrar información confidencial, como nombres de usuario y contraseñas. Esto se debe al hecho de que varias aplicaciones de red ampliamente utilizadas transmiten datos en formato de texto (telnet, FTP, SMTP, POP3, etc.). Dado que los usuarios suelen utilizar el mismo nombre de usuario y contraseña para múltiples aplicaciones y sistemas, incluso una intercepción única de esta información representa una grave amenaza para la seguridad de la información de una empresa. Una vez adquirido el nombre de usuario y la contraseña de un empleado específico, un hacker astuto puede acceder a un recurso de usuario a nivel del sistema y, con su ayuda, crear un usuario nuevo y falso, que puede utilizarse en cualquier momento para acceder a la red. y recursos de información. Sin embargo, utilizando un determinado conjunto de herramientas, puede mitigar significativamente la amenaza del rastreo de paquetes. En primer lugar, se trata de medios de autenticación bastante fuertes que son difíciles de eludir, incluso utilizando el "factor humano". Por ejemplo, contraseñas de un solo uso. Esta es una tecnología de autenticación de dos factores que combina lo que tienes con lo que sabes. En este caso, el hardware o software genera aleatoriamente una contraseña única y única. Si un hacker descubre esta contraseña utilizando un rastreador, esta información será inútil porque en ese momento la contraseña ya habrá sido utilizada y retirada. Pero esto sólo se aplica a las contraseñas; por ejemplo, los mensajes de correo electrónico siguen estando desprotegidos. Otra forma de combatir el olfateo es utilizar antiolfatos. Se trata de hardware o software que funciona en Internet y que los rastreadores reconocen. Miden el tiempo de respuesta de los hosts y determinan si los hosts tienen que manejar tráfico "adicional". Este tipo de herramientas no pueden eliminar por completo la amenaza del rastreo, pero son vitales a la hora de crear un sistema de protección integral. Sin embargo, la medida más eficaz, según algunos expertos, sería simplemente privar de sentido al trabajo de los rastreadores. Para ello, basta con proteger los datos transmitidos a través del canal de comunicación utilizando métodos criptográficos modernos. Como resultado, el hacker no interceptará el mensaje, sino el texto cifrado, es decir, una secuencia de bits que le resulta incomprensible. Hoy en día, los protocolos criptográficos más comunes son IPSec de Cisco Corporation, así como los protocolos SSH (Secure Shell) y SSL (Secure Socket Layer).

suplantación de propiedad intelectual

La suplantación de identidad es un tipo de ataque en el que un pirata informático dentro o fuera de una organización se hace pasar por un usuario autorizado. Hay varias formas de hacer esto. Por ejemplo, un pirata informático podría utilizar una dirección IP que esté dentro del rango de direcciones IP autorizadas para su uso dentro de la red de la organización, o una dirección externa autorizada si se le permite acceder a ciertos recursos de la red. Por cierto, la suplantación de IP se utiliza a menudo como parte de un ataque más complejo. Un ejemplo típico es un ataque DDoS, en el que un pirata informático suele alojar un programa en la dirección IP de otra persona para ocultar su verdadera identidad. Sin embargo, la mayoría de las veces la suplantación de IP se utiliza para desactivar un sistema mediante comandos falsos, así como para robar archivos específicos o, por el contrario, insertar información falsa en bases de datos. Es casi imposible eliminar por completo la amenaza de suplantación de identidad, pero se puede mitigar significativamente. Por ejemplo, tiene sentido configurar sistemas de seguridad para rechazar cualquier tráfico proveniente de una red externa con una dirección de origen que en realidad debería estar en la red interna. Sin embargo, esto ayuda a combatir la suplantación de IP sólo cuando sólo se autorizan direcciones internas. Si algunas direcciones externas son así, entonces usar este método deja de tener sentido. También es una buena idea, por si acaso, detener de antemano los intentos de suplantar las redes de otras personas por parte de los usuarios de su red; esta medida puede ayudarlo a evitar toda una serie de problemas si aparece un atacante o simplemente un hooligan informático dentro de la organización. Para hacer esto, debe utilizar cualquier tráfico saliente si su dirección de origen no pertenece al rango interno de direcciones IP de la organización. Si es necesario, este procedimiento también puede realizarlo su proveedor de servicios de Internet. Este tipo de filtrado se conoce como "RFC 2827". Nuevamente, al igual que con el rastreo de paquetes, la mejor defensa es hacer que el ataque sea completamente ineficaz. La suplantación de IP solo se puede implementar si la autenticación del usuario se basa en direcciones IP. Por lo tanto, cifrar la autenticación hace que este tipo de ataque sea inútil. Sin embargo, en lugar de cifrado, también puedes utilizar contraseñas de un solo uso generadas aleatoriamente.

Ataque de denegación de servicio

Hoy en día, una de las formas más comunes de ataques de piratas informáticos en el mundo es el ataque de denegación de servicio (DoS). Mientras tanto, esta es una de las tecnologías más jóvenes: su implementación solo fue posible en relación con la difusión verdaderamente generalizada de Internet. No es casualidad que los ataques DoS se hayan debatido ampliamente sólo después de que en diciembre de 1999, con la ayuda de esta tecnología, se “inundaran” los sitios web de corporaciones tan conocidas como Amazon, Yahoo, CNN, eBay y E-Trade. Aunque los primeros informes de algo similar aparecieron en 1996, hasta la “sorpresa navideña” de 1999 los ataques DoS no se percibían como una amenaza seria para la seguridad de Internet. Sin embargo, un año más tarde, en diciembre de 2000, todo volvió a suceder: los sitios web de las corporaciones más grandes fueron atacados con tecnología DoS y sus administradores de sistemas nuevamente no pudieron hacer nada para contrarrestar a los atacantes. Bueno, en 2001, los ataques DoS se convirtieron en algo común. En rigor, los ataques DoS no se llevan a cabo para robar información ni manipularla. Su principal objetivo es paralizar el funcionamiento del sitio web atacado. En esencia, esto es sólo terrorismo en línea. No es casualidad que los servicios de inteligencia estadounidenses sospechen que los famosos antiglobalistas están detrás de muchos ataques DoS a los servidores de grandes corporaciones. De hecho, una cosa es tirar un ladrillo a la ventana de un McDonald's en algún lugar de Madrid o Praga, y otra muy distinta bloquear el sitio web de esta supercorporación, que durante mucho tiempo se ha convertido en una especie de símbolo de la globalización de la economía mundial. Los ataques DoS también son peligrosos porque para implementarlos, los ciberterroristas no necesitan tener conocimientos ni habilidades especiales: todo el software necesario, junto con las descripciones de la tecnología en sí, están disponibles de forma totalmente gratuita en Internet. Además, es muy difícil defenderse de este tipo de ataques. En general, la tecnología de ataque DoS tiene el siguiente aspecto: un sitio web elegido como objetivo es bombardeado con una avalancha de solicitudes falsas desde muchos ordenadores de todo el mundo. Como resultado, los servidores que atienden al nodo quedan paralizados y no pueden atender las solicitudes de los usuarios normales. Al mismo tiempo, los usuarios de ordenadores desde los que se envían solicitudes falsas ni siquiera sospechan que su ordenador está siendo utilizado en secreto por atacantes. Esta distribución de la “carga de trabajo” no sólo aumenta el efecto destructivo del ataque, sino que también complica enormemente las medidas para repelerlo, haciendo imposible identificar la verdadera dirección del coordinador del ataque. Hoy en día, los tipos de ataques DoS más utilizados son:

Pitufo: solicitudes de ping ICMP (Protocolo de mensajes de control de Internet) a una dirección de transmisión dirigida. La dirección de origen falsa utilizada en los paquetes de esta solicitud termina siendo el objetivo de un ataque. Los sistemas que reciben una solicitud de ping de transmisión dirigida responden a ella e "inundan" la red en la que se encuentra el servidor de destino.

  • La inundación ICMP es un ataque similar a Smurf, pero sin la amplificación creada por las solicitudes a una dirección de transmisión dirigida.
  • Inundación UDP: envío de muchos paquetes UDP (Protocolo de datagramas de usuario) a la dirección del sistema de destino, lo que conduce a la "vinculación" de los recursos de la red.
  • Inundación de TCP: envío de muchos paquetes TCP a la dirección del sistema de destino, lo que también conduce a la "inmovilización" de los recursos de la red.
  • Inundación TCP SYN: durante este tipo de ataque, se emite una gran cantidad de solicitudes para inicializar las conexiones TCP con el host de destino, lo que, como resultado, tiene que gastar todos sus recursos rastreando estas conexiones parcialmente abiertas.

En caso de un ataque, el tráfico destinado a saturar la red atacada debe "cortarse" en el proveedor de servicios de Internet, porque en la entrada de la red ya no será posible hacerlo: se ocupará todo el ancho de banda. Cuando este tipo de ataque se lleva a cabo simultáneamente en varios dispositivos, se denomina ataque de denegación de servicio distribuido (DDoS). La amenaza de ataques DoS se puede mitigar de varias formas. Primero, debe configurar correctamente las funciones anti-spoofing en sus enrutadores y firewalls. Estas características deben incluir, como mínimo, el filtrado RFC 2827. Si un hacker no puede ocultar su verdadera identidad, es poco probable que lleve a cabo un ataque. En segundo lugar, debe habilitar y configurar correctamente las funciones anti-DoS en enrutadores y firewalls. Estas características limitan la cantidad de canales medio abiertos, evitando la sobrecarga del sistema. También se recomienda, si existe amenaza de ataque DoS, limitar el volumen de tráfico no crítico que pasa por la Red. Debe negociar esto con su proveedor de Internet. Normalmente, esto limita la cantidad de tráfico ICMP, ya que se utiliza únicamente con fines de diagnóstico.

Ataques de intermediario

Este tipo de ataque es muy típico del espionaje industrial. En un ataque Man-in-the-Middle, el pirata informático debe obtener acceso a los paquetes transmitidos a través de la Red y, por lo tanto, el papel de los atacantes en este caso suele ser el de los propios empleados de la empresa o, por ejemplo, un empleado del proveedor. compañía. Los ataques Man-in-the-Middle suelen utilizar rastreadores de paquetes, protocolos de transporte y protocolos de enrutamiento. El objetivo de dicho ataque es, respectivamente, robar o falsificar la información transmitida o acceder a los recursos de la red. Es extremadamente difícil protegerse contra este tipo de ataques, ya que normalmente son ataques de un topo dentro de la propia organización. Por lo tanto, en términos puramente técnicos, sólo puede protegerse cifrando los datos transmitidos. Luego, el hacker, en lugar de los datos que necesita, recibirá una mezcla de símbolos que es simplemente imposible de entender sin tener una supercomputadora a mano. Sin embargo, si el atacante tiene suerte y logra interceptar información sobre la sesión criptográfica, el cifrado de datos perderá automáticamente todo significado. Entonces, en este caso, “al frente” de la lucha no deberían estar los “técnicos”, sino el departamento de personal y el servicio de seguridad de la empresa.

Uso de "agujeros" y "errores" en el software

Un tipo muy, muy común de ataques de piratas informáticos es el uso de vulnerabilidades (la mayoría de las veces fallas banales) en software ampliamente utilizado, principalmente para servidores. Particularmente "famoso" por la falta de confiabilidad y la débil seguridad del software de Microsoft. Normalmente, la situación se desarrolla de la siguiente manera: alguien descubre un "hueco" o un "error" en el software del servidor y publica esta información en Internet en el foro correspondiente. El fabricante de este software lanza un parche (“parche”) que elimina este problema y lo publica en su servidor web. El problema es que no todos los administradores, por simple pereza, monitorean constantemente la detección y aparición de parches, y además pasa algún tiempo entre el descubrimiento de un "agujero" y la redacción de un "parche": los piratas informáticos también leen conferencias temáticas y Debemos darles lo que les corresponde; ellos aplican muy hábilmente la información recibida en la práctica. No es casualidad que la mayoría de los principales expertos en seguridad de la información del mundo sean antiguos piratas informáticos.

El objetivo principal de un ataque de este tipo es obtener acceso al servidor en nombre del usuario que ejecuta la aplicación, normalmente con derechos de administrador del sistema y el nivel de acceso adecuado. Es bastante difícil protegerse contra este tipo de ataque. Una de las razones, además del software de baja calidad, es que, al realizar este tipo de ataques, los atacantes suelen utilizar puertos que pueden atravesar el firewall y que no pueden cerrarse por motivos puramente tecnológicos. Por tanto, la mejor defensa en este caso es un administrador de sistemas competente y concienzudo.

¿Habrá todavía...?

Junto con la expansión de los cultivos de cualquier cultivo agrícola, siempre aumenta el número de plagas de insectos de este mismo cultivo. Asimismo, con el desarrollo de las tecnologías de la información y su penetración en todas las esferas de la vida moderna, está creciendo el número de atacantes que utilizan activamente estas tecnologías. Por lo tanto, en el futuro previsible, la cuestión de la protección de las redes informáticas será cada vez más relevante. Además, la defensa se llevará a cabo en dos áreas principales: tecnológica y de consultoría. En cuanto a las principales tendencias en el desarrollo de la industria de la seguridad de la información, según expertos de la reconocida empresa The Yankee Group, en los próximos años serán las siguientes:

1. El énfasis en la construcción de sistemas de protección irá cambiando gradualmente: de contrarrestar los ataques de piratas informáticos "externos" a proteger contra los ataques "desde dentro".

2. Se desarrollará y mejorará la protección del hardware contra ataques de piratas informáticos. Aparecerá en el mercado una nueva clase de equipos de red: los "interruptores de servicio de protección". Podrán proporcionar una protección integral a las redes informáticas, mientras que los dispositivos modernos suelen realizar un conjunto bastante limitado de funciones específicas y la carga principal sigue recayendo en el software especializado.

3. El rápido desarrollo está garantizado por el mercado de servicios para la entrega segura de contenidos digitales y la protección del propio contenido contra copias ilegales y usos no autorizados. Paralelamente al desarrollo del mercado de entrega segura, también se desarrollarán las tecnologías correspondientes. Los expertos del Yankee Group estiman el volumen de este mercado en 200 millones de dólares basándose en los resultados del año 2001 y predicen un crecimiento de hasta 2 mil millones de dólares en 2005.

4. Los sistemas de autenticación biométrica (retina, huellas dactilares, voz, etc.), incluidos los complejos, se utilizarán mucho más. Gran parte de lo que ahora sólo puede verse en películas llenas de acción se incorporará a la vida corporativa cotidiana.

5. En 2005, los proveedores de Internet proporcionarán la mayor parte de los servicios de seguridad a sus clientes. Además, sus principales clientes serán empresas cuyo negocio se basa específicamente en tecnologías de Internet, es decir, consumidores activos de servicios de alojamiento web, sistemas de comercio electrónico, etc.

6. Se espera que el mercado de servicios de seguridad de redes inteligentes crezca rápidamente. Esto se debe al hecho de que los nuevos conceptos para proteger los sistemas de TI de los piratas informáticos se centran no tanto en responder a eventos/ataques que ya han ocurrido, sino en predecirlos, prevenirlos y tomar medidas proactivas y preventivas.

7. La demanda de sistemas comerciales de cifrado criptográfico para los datos transmitidos aumentará significativamente, incluidos desarrollos "personalizados" para empresas específicas, teniendo en cuenta sus áreas de actividad.

8. En el mercado de soluciones de seguridad de TI, habrá un alejamiento gradual de los "sistemas estándar" y, por lo tanto, habrá un aumento en la demanda de servicios de consultoría para el desarrollo de conceptos de seguridad de la información y la construcción de sistemas de gestión de seguridad de la información. para clientes específicos.

El mercado de sistemas y servicios de seguridad de la información también se está desarrollando en el “espacio postsoviético”, aunque no al mismo ritmo ni en la misma escala que en Occidente. Como informó el periódico Kommersant, en Rusia las organizaciones gastan del 1% (metalurgia) al 30% (sector financiero) de sus presupuestos en el desarrollo de infraestructuras de información de diversos tipos. Al mismo tiempo, los costes de defensa representan hasta el momento sólo alrededor del 0,1-0,2% de la parte de costes de los presupuestos. Así, los expertos estiman el volumen total del mercado de sistemas de seguridad de la información en Rusia en 2001 entre 40 y 80 millones de dólares. En 2002, según los datos incluidos en el proyecto de presupuesto estatal, deberían ascender a entre 60 y 120 millones de dólares. A modo de comparación: como lo demuestra una reciente investigación de IDC, se espera que sólo el tamaño del mercado europeo de productos de seguridad de la información (software y hardware) aumente de 1.800 millones de dólares en 2000 a 6.200 millones de dólares en 2005.

Kaspersky Internet Security protege su computadora de ataques a la red.

Ataque de red es una intrusión en el sistema operativo de una computadora remota. Los atacantes lanzan ataques a la red para tomar el control de un sistema operativo, provocar una denegación de servicio u obtener acceso a información protegida.

Los ataques a la red son acciones maliciosas realizadas por los propios atacantes (como escaneo de puertos, adivinación de contraseñas), así como acciones realizadas por programas maliciosos instalados en la computadora atacada (como transferir información protegida al atacante). El malware involucrado en ataques de red incluye algunos caballos de Troya, herramientas de ataque DoS, scripts maliciosos y gusanos de red.

Los ataques a la red se pueden dividir en los siguientes tipos:

  • Escaneo de puertos. Este tipo de ataque a la red suele ser una etapa preparatoria para un ataque a la red más peligroso. El atacante escanea los puertos UDP y TCP utilizados por los servicios de red en la computadora atacada y determina el nivel de vulnerabilidad de la computadora atacada a tipos de ataques de red más peligrosos. El escaneo de puertos también permite a un atacante determinar el sistema operativo en la computadora objetivo y seleccionar ataques de red adecuados para él.
  • Ataques DoS, o ataques a la red que causan denegación de servicio. Se trata de ataques a la red, como resultado de los cuales el sistema operativo atacado se vuelve inestable o completamente inoperable.

    Existen los siguientes tipos principales de ataques DoS:

    • Enviar paquetes de red especialmente diseñados a una computadora remota que esta computadora no espera, lo que provoca que el sistema operativo no funcione correctamente o se detenga.
    • Enviar una gran cantidad de paquetes de red a una computadora remota en un corto período de tiempo. Todos los recursos de la computadora atacada se utilizan para procesar los paquetes de red enviados por el atacante, razón por la cual la computadora deja de realizar sus funciones.
  • Ataques-intrusiones en la red. Se trata de ataques a la red cuyo objetivo es “secuestrar” el sistema operativo del ordenador atacado. Este es el tipo de ataque a la red más peligroso, ya que si tiene éxito, el sistema operativo queda completamente bajo el control del atacante.

    Este tipo de ataque de red se utiliza en los casos en que un atacante necesita obtener datos confidenciales de una computadora remota (por ejemplo, números de tarjetas bancarias o contraseñas) o usar la computadora remota para sus propios fines (por ejemplo, para atacar a otras computadoras desde este computadora) sin el conocimiento del usuario.

  1. En la pestaña Protección en el bloque Protección contra ataques a la red desmarque la casilla.

También puede habilitar la Protección contra ataques de red en el Centro de protección. Deshabilitar la protección o los componentes de protección de su computadora aumenta significativamente el riesgo de que su computadora se infecte, razón por la cual se muestra información sobre cómo deshabilitar la protección en el Centro de protección.

Importante: Si desactivó la Protección contra ataques de red, luego de reiniciar Kaspersky Internet Security o reiniciar el sistema operativo, no se activará automáticamente y deberá activarla manualmente.

Cuando se detecta actividad peligrosa en la red, Kaspersky Internet Security agrega automáticamente la dirección IP de la computadora atacante a la lista de computadoras bloqueadas si esta computadora no se agrega a la lista de computadoras confiables.

  1. En la barra de menú, haga clic en el icono del programa.
  2. En el menú que se abre, seleccione Configuración.

    Se abrirá la ventana de configuración del programa.

  3. En la pestaña Protección en el bloque Protección contra ataques a la red marcar la casilla Habilitar la protección contra ataques de red.
  4. Haga clic en el botón Excepciones.

    Se abrirá una ventana con una lista de computadoras confiables y una lista de computadoras bloqueadas.

  5. Abrir un marcador Computadoras bloqueadas.
  6. Si está seguro de que la computadora bloqueada no representa una amenaza, seleccione su dirección IP en la lista y haga clic en el botón Desbloquear.

    Se abrirá una ventana de confirmación.

  7. En la ventana de confirmación, haga una de las siguientes cosas:
    • Si desea desbloquear su computadora, haga clic en el botón Desbloquear.

      Kaspersky Internet Security desbloquea la dirección IP.

    • Si desea que Kaspersky Internet Security nunca bloquee la dirección IP seleccionada, haga clic en el botón Desbloquear y agregar excepciones.

      Kaspersky Internet Security desbloqueará la dirección IP y la agregará a la lista de computadoras confiables.

  8. Haga clic en el botón Guardar para guardar sus cambios.

Puede crear una lista de computadoras confiables. Kaspersky Internet Security no bloquea automáticamente las direcciones IP de estas computadoras cuando detecta actividad de red peligrosa que se origina en ellas.

Cuando se detecta un ataque a la red, Kaspersky Internet Security guarda información al respecto en un informe.

  1. Abra el menú Protección.
  2. Seleccione Informes.

    Se abrirá la ventana de informes de Kaspersky Internet Security.

  3. Abrir un marcador Protección contra ataques a la red.

Nota: Si el componente Network Attack Protection ha completado un error, puede ver el informe e intentar reiniciar el componente. Si no puede resolver el problema, comuníquese con el Soporte técnico.



Popular en la categoría:
Cómo fusionar capas en Photoshop en una o combinarlas en un grupo Cómo combinar varias capas en Photoshop
Cómo fusionar capas en Photoshop en una o combinarlas en un grupo...
leer
Transferir contactos a un nuevo teléfono Android
Transferir contactos a un nuevo teléfono Android
leer
Samsung Galaxy se reinicia solo - Soluciones Galaxy note 4 se reinicia solo
Samsung Galaxy se reinicia solo - Soluciones Galaxy Note...
leer
Características clave de Kaspersky Rescue Disk
Características clave de Kaspersky Rescue Disk
leer

Últimos artículos
MacBook no se conecta a wifi MacBook no ve...
leer
Cómo ganar dinero con WebMoney
leer
Tableta "Supra": opiniones de clientes
leer
Ubicaciones de barcos en tiempo real
leer
Los mejores programas para Android Grabar llamadas desde...
leer
Eliminar a los no seguidores en Twitter
leer
Conexión a Internet en una computadora portátil: todo lo posible...
leer
Samsung Galaxy S IV es el nuevo buque insignia...
leer
Arriba