Karakteristikat karakteristike të sulmeve në rrjet. Llojet e sulmeve të hakerëve në burimet e internetit

Karakteristikat karakteristike të sulmeve në rrjet. Llojet e sulmeve të hakerëve në burimet e internetit

Sistemet tona kompjuterike janë të cenueshme ndaj llojeve të ndryshme të sulmeve. Për të mbrojtur sistemin nga këto sulme, është e rëndësishme të njihni sulmet e zakonshme kompjuterike Në botën e sotme, është bërë pothuajse një situatë e zakonshme kur dëgjojmë për sulme të sistemeve kompjuterike ose rrjeteve. Në këtë epokë të teknologjisë, ekzistojnë lloje të ndryshme sulmesh kompjuterike nga të cilat ju duhet të mbroni të dhënat, sistemet dhe rrjetet tuaja të çmuara Ndërsa disa sulme thjesht mund të dëmtojnë të dhënat në kompjuter, ka sulme të tjera ku të dhënat nga sistemi kompjuterik mund të jenë të vidhen si dhe sulme të tjera ku mund të mbyllet i gjithë rrjeti.

E thënë thjesht, ekzistojnë dy lloje kryesore të sulmeve, sulmet pasive dhe sulmet aktive janë ato ku të dhënat në një kompjuter monitorohen dhe përdoren më vonë për interesa me qëllim të keq, ndërsa sulmet aktive janë ato ku ka ose ndryshime në të dhëna ose të dhëna. do të fshihen ose rrjetet do të shkatërrohen plotësisht Më poshtë janë disa nga llojet më të zakonshme të sulmeve aktive dhe pasive që mund të prekin kompjuterët.

Llojet aktive të sulmeve kompjuterike

Virus

Sulmet më të famshme kompjuterike dhe viruset kanë ekzistuar për një periudhë të gjatë kohore. Ato janë instaluar në kompjuterë dhe përhapen në skedarë të tjerë në sistem. Ata shpesh shpërndahen përmes hard diskeve të jashtme, ose përmes faqeve të caktuara të internetit ose si bashkëngjitje me email, pasi viruset të lëshohen, ato bëhen të pavarura nga krijuesi dhe qëllimi i tyre është të infektojnë shumë skedarë dhe sisteme të tjera.

Root Kit

Hakerët fitojnë akses në sistem duke përdorur grupin rrënjësor të drejtuesve dhe marrin kontrollin e plotë të kompjuterit Ata janë ndër sulmet më të rrezikshme kompjuterike sepse hakeri mund të fitojë më shumë kontroll mbi sistemin sesa pronari i sistemit. Në disa raste, hakerat gjithashtu mund të ndezin një kamerë në internet dhe të monitorojnë aktivitetet e viktimës, duke ditur gjithçka rreth tij.

Trojan

Në listën e sulmeve kompjuterike, kuajt e Trojës renditen më lart pas viruseve. Ata shpesh janë të ngulitur në një pjesë të softuerit, në ruajtësit e ekranit ose në lojëra që do të funksionojnë normalisht me një virus ose kit rrënjë. Me fjalë të tjera, ata veprojnë si bartës të virusit ose rootkits për të infektuar sistemin.

Krimbi

Krimbat mund të quhen të afërm të viruseve. Dallimi midis viruseve dhe krimbave të internetit është se krimbat infektojnë një sistem pa asnjë ndihmë nga përdoruesi. Hapi i parë është që krimbat skanojnë kompjuterët për dobësi Ata më pas kopjojnë veten në sistem dhe infektojnë sistemin, dhe procesi përsëritet.

Llojet pasive të sulmeve kompjuterike

Përgjimi

Siç sugjeron emri, hakerët do të dëgjojnë fshehurazi bisedat që zhvillohen midis dy kompjuterëve në një rrjet. Kjo mund të ndodhë në një sistem të mbyllur, si dhe në internet. Emra të tjerë me të cilët lidhet janë snooping. Me përgjimin, të dhënat e ndjeshme mund të kalojnë nëpër rrjet dhe mund të aksesohen nga njerëz të tjerë.

Sulmet me fjalëkalim

Një nga llojet më të zakonshme të sulmeve kibernetike janë sulmet me fjalëkalim Këtu, hakerët fitojnë akses në një kompjuter dhe burime të rrjetit duke marrë një fjalëkalim kontrolli. Shpesh shihet se sulmuesi ka ndryshuar konfigurimin e serverit dhe rrjetit fshini të dhënat Për më tepër, të dhënat mund të transmetohen në rrjete të ndryshme.

Çelësi i sulmit i komprometuar

Për të ruajtur të dhënat konfidenciale, mund të përdoret një kod ose numër sekret. Marrja e çelësit është pa dyshim një detyrë e vërtetë e madhe për një haker, dhe është e mundur që pas një kërkimi intensiv, hakeri të jetë në gjendje të vendosë duart mbi çelësat. Kur një çelës është në posedim të një hakeri, ai njihet si një çelës i komprometuar. Hakeri tani do të ketë akses në të dhënat konfidenciale dhe mund të bëjë ndryshime në të dhëna. Sidoqoftë, ekziston gjithashtu mundësia që hakeri të provojë ndërrime dhe kombinime të ndryshme të çelësit për të hyrë në grupe të tjera të dhënash të ndjeshme.

Imitimi i identitetit

Çdo kompjuter ka një adresë IP për shkak të së cilës ai është i vlefshëm dhe i pavarur në rrjet. Një nga sulmet e zakonshme kompjuterike është që të supozohet identiteti i një kompjuteri tjetër. Pasi të arrihet qasja, të dhënat e sistemit mund të fshihen, modifikohen ose ridrejtohen Për më tepër, një haker mund të përdorë këtë adresë IP të komprometuar për të sulmuar sisteme të tjera brenda ose jashtë rrjetit.

Sulmet e shtresës së aplikacionit

Qëllimi i një sulmi në nivel aplikacioni është të shkaktojë një përplasje në sistemin operativ të serverit . Një virus mund të futet në sistem, ose mund të dërgohen kërkesa të shumta në server, gjë që mund të shkaktojë prishjen e tij, ose kontrollet e sigurisë mund të çaktivizohen, duke e bërë të vështirë rikuperimin e serverit.

Këto ishin disa nga llojet e sulmeve që mund t'u nënshtrohen serverëve dhe sistemeve individuale kompjuterike Lista e sulmeve më të fundit kompjuterike vazhdon të rritet çdo ditë, për të cilat hakerat po përdorin metoda të reja hakerimi.

Sulmi i rrjetit në distancë- Ndikimi shkatërrues i informacionit në një sistem informatik të shpërndarë, i kryer në mënyrë programore nëpërmjet kanaleve të komunikimit.

Prezantimi

Për të organizuar komunikime në një mjedis rrjeti heterogjen, përdoren një sërë protokollesh TCP/IP, duke siguruar përputhshmërinë midis kompjuterëve të llojeve të ndryshme. Ky grup protokollesh ka fituar popullaritet për shkak të përputhshmërisë së tij dhe ofrimit të aksesit në burimet e Internetit global dhe është bërë një standard për punën në internet. Megjithatë, prania e kudondodhur e grumbullit të protokollit TCP/IP ka ekspozuar gjithashtu dobësitë e tij. Sidomos për shkak të kësaj, sistemet e shpërndara janë të ndjeshme ndaj sulmeve në distancë, pasi përbërësit e tyre zakonisht përdorin kanale të hapura të transmetimit të të dhënave, dhe një sulmues jo vetëm që mund të përgjojë pasivisht informacionin e transmetuar, por edhe të modifikojë trafikun e transmetuar.

Vështirësia e zbulimit të një sulmi në distancë dhe lehtësia relative e zbatimit (për shkak të funksionalitetit të tepërt të sistemeve moderne) e vendos këtë lloj veprimi të paligjshëm në vend të parë për sa i përket shkallës së rrezikut dhe parandalon një reagim në kohë ndaj kërcënimit, si një rezultat i të cilit sulmuesi rrit shanset për të zbatuar me sukses sulmin.

Klasifikimi i sulmeve

Nga natyra e ndikimit

  • Pasive
  • Aktiv

Ndikimi pasiv në një sistem kompjuterik të shpërndarë (DCS) është një ndikim që nuk ndikon drejtpërdrejt në funksionimin e sistemit, por në të njëjtën kohë mund të shkelë politikën e tij të sigurisë. Mungesa e ndikimit të drejtpërdrejtë në funksionimin e RVS çon pikërisht në faktin se ndikimi pasiv në distancë (RPI) është i vështirë për t'u zbuluar. Një shembull i mundshëm i një PUV tipike në një DCS është dëgjimi i një kanali komunikimi në një rrjet.

Ndikimi aktiv në DCS - një ndikim që ka një ndikim të drejtpërdrejtë në funksionimin e vetë sistemit (dëmtim i funksionalitetit, ndryshim në konfigurimin e DCS, etj.), i cili shkel politikën e sigurisë të miratuar në të. Pothuajse të gjitha llojet e sulmeve në distancë janë ndikime aktive. Kjo për faktin se vetë natyra e efektit dëmtues përfshin një parim aktiv. Dallimi i qartë midis ndikimit aktiv dhe ndikimit pasiv është mundësia themelore e zbulimit të tij, pasi si rezultat i zbatimit të tij ndodhin disa ndryshime në sistem. Me një ndikim pasiv, absolutisht asnjë gjurmë nuk mbetet (për shkak të faktit se sulmuesi shikon mesazhin e dikujt tjetër në sistem, asgjë nuk do të ndryshojë në të njëjtin moment).

Sipas qëllimit të ndikimit

  • ndërprerja e funksionimit të sistemit (qasja në sistem)
  • shkelje e integritetit të burimeve të informacionit (IR)
  • shkelje e konfidencialitetit IR

Kjo veçori, me të cilën bëhet klasifikimi, është në thelb një projeksion i drejtpërdrejtë i tre llojeve bazë të kërcënimeve - mohimi i shërbimit, zbulimi dhe cenimi i integritetit.

Qëllimi kryesor i ndjekur në pothuajse çdo sulm është të fitohet akses i paautorizuar në informacion. Ekzistojnë dy mundësi themelore për marrjen e informacionit: shtrembërimi dhe përgjimi. Opsioni i përgjimit të informacionit nënkupton marrjen e aksesit në të pa mundësinë e ndryshimit të tij. Prandaj, përgjimi i informacionit çon në shkelje të konfidencialitetit të tij. Dëgjimi i një kanali në një rrjet është një shembull i përgjimit të informacionit. Në këtë rast, ka qasje të paligjshme në informacion pa opsione të mundshme për zëvendësimin e tij. Është gjithashtu e qartë se shkelja e konfidencialitetit të informacionit i referohet ndikimeve pasive.

Aftësia për të zëvendësuar informacionin duhet të kuptohet ose si kontroll i plotë mbi rrjedhën e informacionit midis objekteve të sistemit, ose aftësi për të transmetuar mesazhe të ndryshme në emër të dikujt tjetër. Prandaj, është e qartë se zëvendësimi i informacionit çon në shkelje të integritetit të tij. Një ndikim i tillë shkatërrues i informacionit është një shembull tipik i ndikimit aktiv. Një shembull i një sulmi në distancë i krijuar për të shkelur integritetin e informacionit është sulmi në distancë "False RVS Object" (RA).

Bazuar në praninë e reagimeve nga objekti i sulmuar

  • me reagime
  • pa reagime (sulm me një drejtim)

Sulmuesi i dërgon disa kërkesa objektit të sulmuar, për të cilat ai pret të marrë një përgjigje. Rrjedhimisht, reagimet shfaqen midis sulmuesit dhe të sulmuarit, duke i lejuar të parët të përgjigjen në mënyrë adekuate ndaj të gjitha llojeve të ndryshimeve në objektin e sulmuar. Ky është thelbi i një sulmi në distancë, i kryer në prani të reagimeve nga objekti sulmues. Sulme të tilla janë më tipike për RVS.

Sulmet me qark të hapur karakterizohen nga fakti se nuk kanë nevojë të reagojnë ndaj ndryshimeve në objektin e sulmuar. Sulme të tilla zakonisht kryhen duke dërguar kërkesa të vetme tek objekti i sulmuar. Sulmuesi nuk ka nevojë për përgjigje për këto kërkesa. Një UA e tillë mund të quhet gjithashtu UA me një drejtim. Një shembull i sulmeve me një drejtim është një sulm tipik DoS.

Sipas gjendjes së fillimit të goditjes

Ndikimi i largët, ashtu si çdo tjetër, mund të fillojë të ndodhë vetëm në kushte të caktuara. Ekzistojnë tre lloje të sulmeve të tilla të kushtëzuara në RVS:

  • sulmi sipas kërkesës nga objekti i sulmuar
  • sulmi pas ndodhjes së një ngjarjeje të pritshme në objektin e sulmuar
  • sulm i pakushtëzuar

Ndikimi nga sulmuesi do të fillojë me kusht që objektivi i mundshëm i sulmit të transmetojë një kërkesë të një lloji të caktuar. Një sulm i tillë mund të quhet sulm me kërkesë të objektit të sulmuar. Ky lloj UA është më tipik për RVS. Një shembull i kërkesave të tilla në internet janë kërkesat DNS dhe ARP, dhe në Novell NetWare - një kërkesë SAP.

Një sulm pas ndodhjes së një ngjarjeje të pritshme në objektin e sulmuar. Sulmuesi monitoron vazhdimisht gjendjen e OS të objektivit të largët të sulmit dhe fillon të ndikojë kur një ngjarje specifike ndodh në këtë sistem. Vetë objekti i sulmuar është iniciatori i sulmit. Një shembull i një ngjarjeje të tillë do të ishte kur sesioni i një përdoruesi me serverin ndërpritet pa lëshuar komandën LOGOUT në Novell NetWare.

Një sulm i pakushtëzuar kryhet menjëherë dhe pavarësisht nga gjendja e sistemit operativ dhe objektit të sulmuar. Prandaj, sulmuesi është iniciatori i sulmit në këtë rast.

Nëse funksionimi normal i sistemit ndërpritet, ndiqen qëllime të tjera dhe sulmuesi nuk pritet të ketë akses të paligjshëm në të dhëna. Qëllimi i tij është të çaktivizojë OS në objektin e sulmuar dhe të bëjë të pamundur që objektet e tjera të sistemit të aksesojnë burimet e këtij objekti. Një shembull i një sulmi të këtij lloji është një sulm DoS.

Sipas vendndodhjes së subjektit të sulmit në lidhje me objektin e sulmuar

  • intrasegmentale
  • ndërsegmentale

Disa përkufizime:

Burimi i sulmit (subjekt i sulmit)- një program (ndoshta një operator) që drejton sulmin dhe kryen ndikim të drejtpërdrejtë.

Mikpritës- një kompjuter që është një element i një rrjeti.

Ruteri- një pajisje që drejton paketat në një rrjet.

Nënrrjetështë një grup hostesh që janë pjesë e një rrjeti global, që ndryshojnë në atë që ruteri cakton të njëjtin numër nënrrjeti për ta. Mund të themi gjithashtu se një nënrrjet është një lidhje logjike e hosteve përmes një ruteri. Hostët brenda të njëjtit nënrrjet mund të komunikojnë drejtpërdrejt me njëri-tjetrin pa përdorur një ruter.

Segmenti i rrjetit- unifikimi i pritësve në nivel fizik.

Nga pikëpamja e një sulmi në distancë, vendndodhja relative e subjektit dhe objektit të sulmit është jashtëzakonisht e rëndësishme, domethënë nëse ato janë në segmente të ndryshme apo identike. Gjatë një sulmi brenda segmentit, subjekti dhe objektivi i sulmit ndodhen në të njëjtin segment. Në rastin e një sulmi intersegment, subjekti dhe objektivi i sulmit janë të vendosura në segmente të ndryshme të rrjetit. Ky tipar klasifikimi bën të mundur gjykimin e të ashtuquajturës "shkalla e largësisë" e sulmit.

Më poshtë do të tregohet se një sulm brenda segmentit është shumë më i lehtë për t'u kryer sesa një sulm ndër-segment. Vëmë re gjithashtu se një sulm i largët ndër-segmentor paraqet një rrezik shumë më të madh sesa ai brenda segmentit. Kjo për faktin se në rastin e një sulmi të ndarë, objektivi dhe sulmuesi mund të vendosen në një distancë prej mijëra kilometrash nga njëri-tjetri, gjë që mund të pengojë ndjeshëm masat për të zmbrapsur sulmin.

Sipas nivelit të modelit të referencës ISO/OSI në të cilin kryhet ndikimi

  • fizike
  • kanal
  • rrjeti
  • transporti
  • sesionale
  • përfaqësues
  • aplikuar

Organizata Ndërkombëtare për Standardizim (ISO) miratoi standardin ISO 7498, i cili përshkruan ndërlidhjen e sistemeve të hapura (OSI), të cilit i përkasin edhe RBC-të. Çdo protokoll komunikimi në rrjet, si dhe çdo program rrjeti, mund të projektohet në një mënyrë ose në një tjetër në modelin e referencës 7-shtresore OSI. Ky projeksion me shumë nivele bën të mundur përshkrimin e funksioneve të përdorura në një protokoll rrjeti ose program në termat e modelit OSI. UA është një program rrjeti dhe është logjike ta konsiderojmë atë nga pikëpamja e projeksionit në modelin e referencës ISO/OSI.

Përshkrim i shkurtër i disa sulmeve në rrjet

Fragmentimi i të dhënave

Kur një paketë e të dhënave IP transmetohet përmes një rrjeti, paketa mund të ndahet në disa fragmente. Më pas, kur arrin në destinacion, paketa rindërtohet nga këto fragmente. Një sulmues mund të fillojë dërgimin e një numri të madh fragmentesh, gjë që çon në një tejmbushje të buferave të softuerit në anën marrëse dhe, në disa raste, në një përplasje të sistemit.

Ping sulm përmbytjesh

Ky sulm kërkon që sulmuesi të ketë akses në kanalet e internetit të shpejtë.

Programi ping dërgon një paketë ICMP të llojit ECHO REQUEST, duke vendosur kohën dhe identifikuesin e saj në të. Kerneli i makinës marrëse i përgjigjet një kërkese të tillë me një paketë ICMP ECHO REPLY. Pas marrjes së tij, ping tregon shpejtësinë e paketës.

Në modalitetin standard të funksionimit, paketat dërgohen në intervale të rregullta, praktikisht pa ngarkesë në rrjet. Por në modalitetin "agresiv", një përmbytje e paketave të kërkesës/përgjigjes me jehonë ICMP mund të shkaktojë mbingarkesë në një linjë të vogël, duke e penguar atë të transmetojë informacione të dobishme.

Protokollet jo standarde të kapsuluara në IP

Paketa IP përmban një fushë që specifikon protokollin e paketës së kapsuluar (TCP, UDP, ICMP). Sulmuesit mund të përdorin një vlerë jo standarde të kësaj fushe për të transmetuar të dhëna që nuk do të regjistrohen nga mjetet standarde të kontrollit të rrjedhës së informacionit.

Sulmi Smurf

Sulmi smurf përfshin dërgimin e kërkesave të transmetimit të ICMP në rrjet në emër të kompjuterit të viktimës.

Si rezultat, kompjuterët që kanë marrë pako të tilla transmetimi i përgjigjen kompjuterit viktimë, gjë që çon në një reduktim të ndjeshëm të xhiros së kanalit të komunikimit dhe, në disa raste, në izolimin e plotë të rrjetit të sulmuar. Sulmi smurf është jashtëzakonisht efektiv dhe i përhapur.

Kundërveprimi: për të njohur këtë sulm, është e nevojshme të analizohet ngarkesa e kanalit dhe të përcaktohen arsyet e uljes së xhiros.

Sulmi i mashtrimit DNS

Rezultati i këtij sulmi është futja e një korrespondence të detyruar midis një adrese IP dhe një emri domaini në cache të serverit DNS. Si rezultat i një sulmi të suksesshëm, të gjithë përdoruesit e serverit DNS do të marrin informacion të pasaktë në lidhje me emrat e domeneve dhe adresat IP. Ky sulm karakterizohet nga një numër i madh i paketave DNS me të njëjtin emër domain. Kjo është për shkak të nevojës për të zgjedhur disa parametra të shkëmbimit të DNS.

Kundërveprimi: për të zbuluar një sulm të tillë, është e nevojshme të analizoni përmbajtjen e trafikut DNS ose të përdorni DNSSEC.

Sulmi i mashtrimit të IP

Një numër i madh sulmesh në internet shoqërohen me mashtrimin e adresës IP të burimit. Sulme të tilla përfshijnë gjithashtu mashtrimin e syslogut, i cili përfshin dërgimin e një mesazhi te kompjuteri viktimë në emër të një kompjuteri tjetër në rrjetin e brendshëm. Meqenëse protokolli syslog përdoret për të mbajtur regjistrat e sistemit, duke dërguar mesazhe të rreme te kompjuteri i viktimës, është e mundur të nxisni informacion ose të mbuloni gjurmët e aksesit të paautorizuar.

Kundërmasat: zbulimi i sulmeve në lidhje me mashtrimin e adresës IP është i mundur duke monitoruar marrjen në një nga ndërfaqet e një pakete me adresën burimore të së njëjtës ndërfaqe ose duke monitoruar marrjen e paketave me adresat IP të rrjetit të brendshëm në ndërfaqen e jashtme. .

Imponimi i paketës

Sulmuesi dërgon pako me një adresë të rreme kthimi në rrjet. Me këtë sulm, një sulmues mund të kalojë lidhjet e krijuara midis kompjuterëve të tjerë në kompjuterin e tij. Në këtë rast, të drejtat e aksesit të sulmuesit bëhen të barabarta me të drejtat e përdoruesit, lidhja e të cilit me serverin u kalua në kompjuterin e sulmuesit.

nuhatje - dëgjimi i një kanali

E mundur vetëm në segmentin e rrjetit lokal.

Pothuajse të gjitha kartat e rrjetit mbështesin aftësinë për të përgjuar paketat e transmetuara përmes një kanali të përbashkët të rrjetit lokal. Në këtë rast, stacioni i punës mund të marrë pako të adresuara në kompjuterë të tjerë në të njëjtin segment të rrjetit. Kështu, i gjithë shkëmbimi i informacionit në segmentin e rrjetit bëhet i disponueshëm për sulmuesin. Për të zbatuar me sukses këtë sulm, kompjuteri i sulmuesit duhet të jetë i vendosur në të njëjtin segment të rrjetit lokal si kompjuteri i sulmuar.

Përgjimi i paketave në ruter

Softueri i rrjetit të ruterit ka akses në të gjitha paketat e rrjetit të dërguara përmes ruterit, duke lejuar përgjimin e paketave. Për të kryer këtë sulm, sulmuesi duhet të ketë akses të privilegjuar në të paktën një ruter në rrjet. Meqenëse kaq shumë paketa zakonisht transmetohen përmes një ruteri, përgjimi total i tyre është pothuajse i pamundur. Megjithatë, paketat individuale mund të përgjohen dhe ruhen për analiza të mëvonshme nga një sulmues. Përgjimi më efektiv i paketave FTP që përmbajnë fjalëkalime të përdoruesit, si dhe email.

Detyrimi i një rruge false në një host duke përdorur ICMP

Në internet ekziston një protokoll i veçantë ICMP (Internet Control Message Protocol), një nga funksionet e të cilit është të informojë hostet për ndryshimin e ruterit aktual. Ky mesazh kontrolli quhet ridrejtim. Është e mundur të dërgoni një mesazh të rremë të ridrejtimit nga çdo host në segmentin e rrjetit në emër të ruterit te hosti i sulmuar. Si rezultat, tabela aktuale e rrugëtimit të hostit ndryshon dhe, në të ardhmen, i gjithë trafiku i rrjetit të këtij hosti do të kalojë, për shembull, përmes hostit që dërgoi mesazhin e ridrejtimit të rremë. Në këtë mënyrë, është e mundur që në mënyrë aktive të imponohet një rrugë false brenda një segmenti të internetit.

Së bashku me të dhënat e rregullta të dërguara përmes një lidhjeje TCP, standardi parashikon gjithashtu transmetimin e të dhënave urgjente (Out Of Band). Në nivelin e formateve të paketave TCP, kjo shprehet si një tregues urgjent jo zero. Shumica e kompjuterëve me Windows të instaluar kanë protokollin e rrjetit NetBIOS, i cili përdor tre porte IP për nevojat e tij: 137, 138, 139. Nëse lidheni me një makinë Windows nëpërmjet portit 139 dhe dërgoni atje disa bajt të dhënash OutOfBand, atëherë zbatimi i NetBIOS do duke mos ditur se çfarë të bëjë me këto të dhëna, ai thjesht varet ose rindiz makinën. Për Windows 95, kjo zakonisht duket si një ekran me tekst blu që tregon një gabim në drejtuesin TCP/IP dhe pamundësinë për të punuar me rrjetin derisa OS të rindizet. NT 4.0 pa paketat e shërbimit riniset, NT 4.0 me paketën ServicePack 2 rrëzohet në një ekran blu. Duke gjykuar nga informacioni nga rrjeti, si Windows NT 3.51 ashtu edhe Windows 3.11 për grupet e punës janë të ndjeshëm ndaj një sulmi të tillë.

Dërgimi i të dhënave në portin 139 çon në një rindezje të NT 4.0, ose një "ekran blu i vdekjes" me Service Pack 2 të instaluar Një dërgim i ngjashëm i të dhënave në 135 dhe disa porte të tjera çon në një ngarkesë të konsiderueshme në procesin RPCSS.EXE. Në Windows NT WorkStation kjo çon në një ngadalësim të konsiderueshëm të Windows NT Server.

Mashtrim i besuar i hostit

Zbatimi i suksesshëm i sulmeve në distancë të këtij lloji do t'i lejojë sulmuesit të kryejë një seancë me serverin në emër të një hosti të besuar. (Host i besuar - një stacion që lidhet ligjërisht me serverin). Zbatimi i këtij lloji sulmi zakonisht konsiston në dërgimin e paketave të shkëmbimit nga stacioni i sulmuesit në emër të një stacioni të besuar nën kontrollin e tij.

Teknologjitë e zbulimit të sulmeve
Rrjeti dhe teknologjitë e informacionit po ndryshojnë aq shpejt sa mekanizmat mbrojtës statik, të cilët përfshijnë sistemet e kontrollit të aksesit, muret e zjarrit dhe sistemet e vërtetimit, në shumë raste nuk mund të ofrojnë mbrojtje efektive. Prandaj, kërkohen metoda dinamike për të zbuluar dhe parandaluar shpejt shkeljet e sigurisë. Një teknologji që mund të zbulojë shkelje që nuk mund të identifikohen duke përdorur modelet tradicionale të kontrollit të aksesit është teknologjia e zbulimit të ndërhyrjeve.

Në thelb, procesi i zbulimit të sulmit është procesi i vlerësimit të aktiviteteve të dyshimta që ndodhin në një rrjet të korporatës. Me fjalë të tjera, zbulimi i ndërhyrjes është procesi i identifikimit dhe reagimit ndaj aktivitetit të dyshimtë të drejtuar në burimet kompjuterike ose të rrjetit.

Metodat për analizimin e informacionit të rrjetit

Efektiviteti i një sistemi të zbulimit të sulmit varet kryesisht nga metodat e përdorura për të analizuar informacionin e marrë. Sistemet e para të zbulimit të ndërhyrjeve, të zhvilluara në fillim të viteve 1980, përdorën metoda statistikore për të zbuluar sulmet. Aktualisht, një sërë teknikash të reja i janë shtuar analizës statistikore, duke filluar me sistemet eksperte dhe logjikën fuzzy dhe duke përfunduar me përdorimin e rrjeteve nervore.

Metoda statistikore

Përparësitë kryesore të qasjes statistikore janë përdorimi i një aparati tashmë të zhvilluar dhe të provuar të statistikave matematikore dhe përshtatja me sjelljen e subjektit.

Së pari, përcaktohen profilet për të gjitha lëndët e sistemit të analizuar. Çdo devijim i profilit të përdorur nga ai referues konsiderohet aktivitet i paautorizuar. Metodat statistikore janë universale sepse analiza nuk kërkon njohuri për sulmet e mundshme dhe dobësitë që ato shfrytëzojnë. Sidoqoftë, kur përdorni këto teknika, lindin probleme:

  • Sistemet “statistikore” nuk janë të ndjeshme ndaj renditjes së ngjarjeve; në disa raste, të njëjtat ngjarje, në varësi të renditjes në të cilën ndodhin, mund të karakterizojnë aktivitet jonormal ose normal;
  • është e vështirë të vendosësh vlerat kufitare (pragu) të karakteristikave të monitoruara nga sistemi i zbulimit të sulmit në mënyrë që të identifikohet në mënyrë adekuate aktiviteti anormal;
  • Sistemet "statistikore" mund të "trajnohen" nga sulmuesit me kalimin e kohës në mënyrë që veprimet e sulmit të shihen si normale.

Duhet gjithashtu të merret parasysh se metodat statistikore nuk janë të zbatueshme në rastet kur nuk ka model të sjelljes tipike për përdoruesin ose kur veprimet e paautorizuara janë tipike për përdoruesin.

Sistemet eksperte

Sistemet e ekspertëve përbëhen nga një grup rregullash që kapin njohuritë e një eksperti njerëzor. Përdorimi i sistemeve të ekspertëve është një metodë e zakonshme e zbulimit të sulmit në të cilën informacioni i sulmit formulohet në formën e rregullave. Këto rregulla mund të shkruhen, për shembull, si një sekuencë veprimesh ose si një nënshkrim. Kur përmbushet ndonjë nga këto rregulla, merret një vendim për praninë e aktivitetit të paautorizuar. Një avantazh i rëndësishëm i kësaj qasjeje është mungesa pothuajse e plotë e alarmeve false.

Baza e të dhënave të sistemit të ekspertëve duhet të përmbajë skriptet për shumicën e sulmeve të njohura aktualisht. Për të qëndruar vazhdimisht të përditësuar, sistemet e ekspertëve kërkojnë përditësim të vazhdueshëm të bazës së të dhënave. Megjithëse sistemet e ekspertëve ofrojnë shikueshmëri të mirë në të dhënat e regjistrit, përditësimet e kërkuara mund të injorohen ose të kryhen manualisht nga administratori. Në minimum, kjo rezulton në një sistem ekspert me aftësi të dobësuara. Në rastin më të keq, mungesa e mirëmbajtjes së duhur zvogëlon sigurinë e të gjithë rrjetit, duke mashtruar përdoruesit e tij për nivelin aktual të sigurisë.

Disavantazhi kryesor është pamundësia për të zmbrapsur sulmet e panjohura. Për më tepër, edhe një ndryshim i vogël në një sulm tashmë të njohur mund të bëhet një pengesë serioze për funksionimin e sistemit të zbulimit të sulmit.

Rrjetet nervore

Shumica e metodave moderne të zbulimit të sulmeve përdorin një formë të analizës së hapësirës së kontrolluar, qoftë e bazuar në rregulla ose qasje statistikore. Hapësira e kontrolluar mund të jetë regjistrat ose trafiku i rrjetit. Analiza bazohet në një grup rregullash të paracaktuara që krijohen nga administratori ose vetë sistemi i zbulimit të ndërhyrjeve.

Çdo ndarje e një sulmi me kalimin e kohës ose midis sulmuesve të shumtë është e vështirë të zbulohet duke përdorur sisteme ekspertësh. Për shkak të shumëllojshmërisë së gjerë të sulmeve dhe hakerëve, madje edhe ad hoc, përditësimet e vazhdueshme në bazën e të dhënave të rregullave të sistemit të ekspertëve nuk do të garantojnë kurrë identifikimin e saktë të gamës së plotë të sulmeve.

Përdorimi i rrjeteve nervore është një nga mënyrat për të kapërcyer këto probleme të sistemeve eksperte. Ndryshe nga sistemet e ekspertëve, të cilët mund t'i japin përdoruesit një përgjigje të caktuar në lidhje me përputhshmërinë e karakteristikave në shqyrtim me rregullat e ngulitura në bazën e të dhënave, një rrjet nervor analizon informacionin dhe ofron mundësinë për të vlerësuar nëse të dhënat janë në përputhje me karakteristikat që janë. të trajnuar për të njohur. Ndërsa shkalla e korrespondencës së një përfaqësimi të rrjetit nervor mund të arrijë 100%, besueshmëria e zgjedhjes varet tërësisht nga cilësia e sistemit në analizimin e shembujve të detyrës.

Së pari, rrjeti nervor është trajnuar për të identifikuar saktë duke përdorur një mostër të parazgjedhur të shembujve të domenit. Përgjigja e rrjetit nervor analizohet dhe sistemi rregullohet në mënyrë të tillë që të arrihen rezultate të kënaqshme. Përveç periudhës fillestare të trajnimit, rrjeti nervor fiton përvojë me kalimin e kohës ndërsa analizon të dhënat specifike të domenit.

Një avantazh i rëndësishëm i rrjeteve nervore në zbulimin e abuzimit është aftësia e tyre për të "mësuar" karakteristikat e sulmeve të qëllimshme dhe për të identifikuar elementë që janë të ndryshëm nga ata të vëzhguar më parë në rrjet.

Secila prej metodave të përshkruara ka një numër avantazhesh dhe disavantazhesh, kështu që tani është pothuajse e vështirë të gjesh një sistem që zbaton vetëm një nga metodat e përshkruara. Si rregull, këto metoda përdoren në kombinim.

Mbikalimet e buferit janë pjesë e shumë llojeve të sulmeve me qëllim të keq. Sulmet e tejmbushjes kanë, nga ana tjetër, shumë varietete. Një nga më të rrezikshmet përfshin futjen në një kuti dialogu, përveç tekstit, kodin e ekzekutueshëm të bashkangjitur në të. Një hyrje e tillë mund të rezultojë që ky kod të shkruhet në krye të programit ekzekutues, gjë që herët a vonë do të bëjë që ai të ekzekutohet. Pasojat nuk janë të vështira të imagjinohen.

Sulmet "pasive" duke përdorur, për shembull, sniffer janë veçanërisht të rrezikshme sepse, së pari, ato janë praktikisht të pazbulueshme, dhe së dyti, ato lëshohen nga rrjeti lokal (Firewall i jashtëm është i pafuqishëm).

Viruset- programe me qëllim të keq të aftë për vetë-kopjim dhe vetë-shpërndarje. Në dhjetor 1994, mora një paralajmërim për përhapjen e viruseve të rrjetit (kohë të mira dhe xxx-1) në internet:

Orë, ditë, javë dhe nganjëherë muaj kalojnë nga momenti i krijimit të virusit deri në momentin e zbulimit të virusit. Varet nga sa shpejt shfaqen efektet e infeksionit. Sa më e gjatë kjo kohë, aq më i madh është numri i kompjuterëve që janë të infektuar. Pas identifikimit të faktit të infeksionit dhe përhapjes së një versioni të ri të virusit, duhen nga disa orë (për shembull, për Email_Worm.Win32.Bagle.bj) deri në tre javë (W32.Netsky.N@mm) për të identifikoni nënshkrimin, krijoni një antidot dhe përfshini nënshkrimin e tij në programin antiviral të bazës së të dhënave. E përkohshme diagrami i ciklit jetësor virusi është paraqitur në Fig. 12.1 ("Siguria e Rrjetit", v.2005, Botimi 6, Qershor 2005, f. 16-18). Vetëm në vitin 2004, u regjistruan 10,000 nënshkrime të reja të virusit. Krimbi Blaster infektoi 90% të makinave në 10 minuta. Gjatë kësaj kohe, ekipi antivirus duhet të zbulojë objektin, ta kualifikojë atë dhe të zhvillojë një kundërmasë. Është e qartë se kjo është joreale. Pra, një program antivirus nuk është aq një kundërmasë sa qetësues. Të njëjtat konsiderata vlejnë për të gjitha llojet e tjera të sulmeve. Pasi nënshkrimi i një sulmi bëhet i njohur, vetë sulmi zakonisht nuk është i rrezikshëm, pasi kundërmasat janë zhvilluar tashmë dhe cenueshmëria është mbuluar. Është për këtë arsye që një vëmendje e tillë i kushtohet sistemit të menaxhimit të përditësimit të softuerit (patch).

Disa viruse dhe krimba kanë programe të integruara SMTP të krijuara për t'i dërguar ato dhe hapen për të depërtuar lehtësisht në makinën e infektuar. Versionet më të reja janë të pajisura me mjete për të shtypur aktivitetin e viruseve ose krimbave të tjerë. Në këtë mënyrë, mund të krijohen rrjete të tëra makinash të infektuara (BotNet), të gatshme për të nisur, për shembull, një sulm DDoS në komandë. Një protokoll mund të përdoret për të kontrolluar makina të tilla zombie IRC(Tagrami i transmetimit të internetit). Ky sistem mesazhesh mbështetet nga një numër i madh serverësh dhe për këtë arsye një kanal i tillë zakonisht është i vështirë për t'u gjurmuar dhe regjistruar. Kjo lehtësohet edhe nga fakti se shumica e sistemeve monitorojnë trafikun hyrës më nga afër se trafikun dalës. Duhet të kihet parasysh se një makinë e infektuar mund të shërbejë, përveç sulmeve DoS, për të skanuar kompjuterë të tjerë dhe për të dërguar SPAM, për të ruajtur produkte të paligjshme softuerike, për të kontrolluar vetë makinën dhe për të vjedhur dokumentet e ruajtura atje, për të identifikuar fjalëkalimet dhe çelësat e përdorur. nga pronari. Dëmi nga virusi Blaster vlerësohet në 475,000 dollarë.

Fatkeqësisht, nuk ka mjete të besueshme për të zbuluar të reja viruset (nënshkrimi i të cilit nuk dihet).


Oriz.

12.1.

Programet e robotëve nuk janë gjithmonë të rrezikshëm, disa nga varietetet e tyre përdoren për të mbledhur të dhëna, veçanërisht për preferencat e klientëve, dhe në motorin e kërkimit Google ata punojnë për të mbledhur dhe indeksuar dokumente. Por në duart e një hakeri, këto programe kthehen në armë të rrezikshme. Sulmi më i famshëm u nis në vitin 2005, megjithëse përgatitjet dhe "eksperimentet e para" filluan në shtator 2004. Programi kërkoi makina me dobësi specifike, në veçanti, LSASS (Shërbimi i Nënsistemit të Autoritetit Lokal të Sigurisë, Windows). Nënsistemi LSASS, i projektuar për të ndihmuar në sigurimin e sigurisë, ishte në vetvete i cenueshëm ndaj sulmeve të tilla si tejmbushjet e tamponëve. Megjithëse dobësia tashmë është rregulluar, numri i makinave me një version të pa përditësuar mbetet i konsiderueshëm. Pas një ndërhyrjeje, hakeri zakonisht përdor IRC për të kryer operacionet që i nevojiten (hapja e një porti specifik, dërgimi i SPAM, nisja e skanimeve për viktima të tjera të mundshme). Një veçori e re e programeve të tilla është se ato janë të ngulitura në sistemin operativ në atë mënyrë (rootkit) që nuk mund të zbulohen, pasi ato ndodhen në zonën e kernelit OS. Nëse një program antivirus përpiqet të hyjë në një zonë specifike të memories për të identifikuar kodin me qëllim të keq, rootkit përgjon një kërkesë të tillë dhe i dërgon një njoftim programit të testimit se gjithçka është në rregull. Për t'i bërë gjërat edhe më keq, programet bot mund të modifikojnë përmbajtjen

Me një grabitje të armatosur bankare, humbja mesatare është 19 mijë dollarë, dhe me një krim kompjuterik - tashmë 560 mijë. Sipas ekspertëve amerikanë, dëmi nga krimet kompjuterike është rritur çdo vit me një mesatare prej 35% gjatë dhjetë viteve të fundit. Në këtë rast, mesatarisht zbulohet 1% e krimeve kompjuterike dhe probabiliteti që një kriminel të shkojë në burg për mashtrim kompjuterik të zbuluar nuk është më shumë se 10%.

Sigurisht, përdorimi i synuar i kontrolleve tradicionale të sigurisë si softueri antivirus, muret e zjarrit, kriptografia, etj., ndihmon në parandalimin e aksesit të paautorizuar në informacion. Megjithatë, në këtë rast hyn në lojë faktori njerëzor. Personi, përdoruesi përfundimtar, rezulton të jetë lidhja më e dobët në sistemin e sigurisë së informacionit, dhe hakerët, duke e ditur këtë, përdorin me mjeshtëri metodat e inxhinierisë sociale. Çfarëdo sistemesh identifikimi me shumë nivele që ekzistojnë, ato nuk kanë asnjë efekt nëse përdoruesit, për shembull, përdorin fjalëkalime që janë të lehta për t'u thyer. Me një qasje profesionale ndaj çështjeve të sigurisë, kompanitë zgjidhin probleme të tilla duke lëshuar në mënyrë qendrore fjalëkalime unike dhe komplekse ose duke vendosur rregulla strikte të korporatës për punonjësit dhe ndëshkime adekuate për mospërputhje. Sidoqoftë, situata ndërlikohet nga fakti se kohët e fundit roli i kriminelëve kompjuterikë po luhet gjithnjë e më shumë jo nga hakerat "të jashtëm", ​​por nga vetë përdoruesit përfundimtarë. Sipas një specialisti amerikan të sigurisë së informacionit, "Krimineli tipik kompjuterik sot është një punonjës që ka akses në një sistem, përdorues i të cilit nuk është teknik". Në Shtetet e Bashkuara, krimet kompjuterike të kryera nga punëtorët me jakë të bardhë përbëjnë 70-80% të humbjeve vjetore që lidhen me teknologjinë moderne. Për më tepër, vetëm 3% e mashtrimeve dhe 8% e abuzimeve përfshinin shkatërrim të veçantë të pajisjeve, programeve ose të dhënave. Në raste të tjera, sulmuesit vetëm manipuluan informacionin - ata e vodhën atë, e modifikuan ose krijuan një të re, false. Këto ditë, përdorimi gjithnjë e më i përhapur i internetit i lejon hakerët të shkëmbejnë informacione në shkallë globale. Një lloj "ndërkombëtar i hakerëve" është formuar prej kohësh - në fund të fundit, Interneti, si asnjë mjet tjetër teknik, fshin kufijtë midis shteteve dhe madje edhe kontinenteve të tëra. Shtojini kësaj anarkinë pothuajse të plotë të internetit. Çdokush sot mund të gjejë udhëzime për hakerimin e kompjuterit dhe të gjitha mjetet e nevojshme softuerike duke kërkuar thjesht fjalë kyçe si "hacker", "hacking", "hack", "crack" ose "phreak". Një faktor tjetër që rrit ndjeshëm cenueshmërinë e sistemeve kompjuterike është përdorimi i gjerë i sistemeve operative të standardizuara dhe të lehta për t'u përdorur dhe mjediseve të zhvillimit. Kjo u lejon hakerëve të krijojnë mjete universale për hakerim, dhe një sulmues potencial nuk ka më nevojë, si më parë, të ketë aftësi të mira programimi - mjafton të dish adresën IP të faqes që sulmohet dhe mjafton të kryesh një sulm. për të nisur një program që gjendet në internet. Përplasja e përjetshme mes armaturës dhe predhës vazhdon. Specialistët e sigurisë së informacionit tashmë e kanë kuptuar se është e pakuptimtë të kapeni gjithmonë me teknologjitë e hakerëve, sulmuesit kompjuterikë janë gjithmonë një hap përpara. Prandaj, teknikat e reja bazohen gjithnjë e më shumë në zbulimin parandalues ​​të shkeljeve në sistemet e informacionit. Megjithatë, me kalimin e kohës, lindin probleme të reja, të lidhura kryesisht me zhvillimin e komunikimeve pa tel. Prandaj, kompanitë e specializuara në sigurinë e informacionit duhet t'i kushtojnë gjithnjë e më shumë vëmendje mbrojtjes së të dhënave të transmetuara duke përdorur standarde të reja wireless.

Klasifikimi

Sulmet e rrjetit janë po aq të ndryshme sa edhe sistemet që synojnë. Thjesht teknologjikisht, shumica e sulmeve të rrjetit përdorin një numër kufizimesh të qenësishme në protokollin TCP/IP. Në fund të fundit, në një kohë interneti u krijua për komunikim midis agjencive qeveritare dhe universiteteve për të mbështetur procesin arsimor dhe kërkimin shkencor. Në atë kohë, krijuesit e Rrjetit nuk e kishin idenë se sa gjerësisht do të përhapej. Për shkak të kësaj, specifikimeve të versioneve të hershme të Protokollit të Internetit (IP) u mungonin kërkesat e sigurisë, dhe për këtë arsye shumë implementime IP janë në thelb të cenueshme. Vetëm shumë vite më vonë, kur filloi zhvillimi i shpejtë i e-commerce dhe ndodhën një sërë incidentesh serioze me hakerat, mjetet e sigurisë së Protokollit të Internetit më në fund filluan të zbatohen gjerësisht. Megjithatë, meqenëse siguria IP nuk ishte zhvilluar fillimisht, zbatimet e saj filluan të plotësohen me procedura të ndryshme rrjeti, shërbime dhe produkte të dizajnuara për të zvogëluar rreziqet e qenësishme të këtij protokolli.

Bombardimi postar

Bombardimi me email (i ashtuquajturi mailbombing) është një nga llojet më të vjetra dhe më primitive të sulmeve në internet. Do të ishte më e saktë ta quajmë edhe vandalizëm kompjuterik (ose thjesht huliganizëm, në varësi të ashpërsisë së pasojave). Thelbi i bombardimit me postë është të bllokoni kutinë postare me korrespondencën "junk" ose madje të çaktivizoni serverin e postës së ofruesit të Internetit. Për këtë qëllim përdoren programe speciale - mailbombers. Ata thjesht bombardojnë kutinë postare të treguar si objektiv me një numër të madh shkronjash, ndërsa tregojnë informacion të rremë të dërguesit - deri në adresën IP. Gjithçka që i nevojitet një agresori që përdor një program të tillë është të tregojë e-mailin e objektivit të sulmit, numrin e mesazheve, të shkruajë tekstin e letrës (zakonisht diçka fyese), të tregojë të dhëna të rreme të dërguesit nëse programi nuk e bën këtë. vetë, dhe shtypni butonin "start". Megjithatë, shumica e ofruesve të internetit kanë sistemet e tyre për të mbrojtur klientët nga bombardimet me postë. Kur numri i shkronjave identike nga i njëjti burim fillon të tejkalojë disa kufij të arsyeshëm, e gjithë korrespondenca hyrëse e këtij lloji thjesht shkatërrohet. Pra sot nuk ka më frikë serioze nga bombardimet postare.

Sulmet me hamendësimin e fjalëkalimeve

Një haker që sulmon një sistem shpesh i fillon veprimet e tij duke u përpjekur të marrë fjalëkalimin e një administratori ose një prej përdoruesve. Për të gjetur fjalëkalimin, ekzistojnë shumë metoda të ndryshme. Këtu janë ato kryesore: mashtrimi i IP-së dhe nuhatja e paketave - do t'i shohim më poshtë. Futja e një "kalë trojan" në një sistem është një nga teknikat më të zakonshme në praktikën e hakerëve, ne gjithashtu do të flasim për të më në detaje më vonë. Sulm me forcë brutale. Ka shumë programe që kryejnë kërkime të thjeshta për fjalëkalime në internet ose direkt në kompjuterin e sulmuar. Disa programe kërkojnë fjalëkalime duke përdorur një fjalor specifik, të tjerët thjesht gjenerojnë rastësisht sekuenca të ndryshme karakteresh. Kërkimi logjik i opsioneve të fjalëkalimit. Një sulmues që përdor këtë metodë thjesht provon kombinime të mundshme të karaktereve që mund të përdoren nga përdoruesi si fjalëkalim. Kjo qasje zakonisht rezulton të jetë çuditërisht efektive. Ekspertët e sigurisë kompjuterike nuk pushojnë së habituri se sa shpesh përdoruesit përdorin kombinime të tilla "misterioze" si fjalëkalime, të tilla si 1234, qwerty ose emri i tyre i shkruar mbrapsht. Hakerat seriozë, kur zgjedhin një fjalëkalim të çmuar, mund të studiojnë plotësisht personin që përdor këtë fjalëkalim. Emrat e anëtarëve të familjes dhe të afërmve të tjerë, qeni/macja e preferuar; çfarë skuadrash dhe sportesh mbështet "objekti"; çfarë librash dhe filmash i pëlqejnë; çfarë gazete lexon në mëngjes - të gjitha këto të dhëna dhe kombinimet e tyre hyjnë në veprim. Ju mund të shpëtoni nga sulme të tilla vetëm duke përdorur një kombinim të rastësishëm të shkronjave dhe numrave si fjalëkalim, mundësisht të gjeneruar nga një program i veçantë. Dhe, natyrisht, është e nevojshme të ndryshoni rregullisht fjalëkalimin - administratori i sistemit është përgjegjës për monitorimin e kësaj. Inxhinieri sociale. Ky është përdorimi i teknikave psikologjike nga hakeri për të "punuar" me përdoruesin. Një shembull tipik (dhe më i thjeshtë) është një telefonatë nga një "administrator i sistemit" të supozuar me një deklaratë si "Kemi pasur një dështim të sistemit këtu dhe informacioni i përdoruesit është humbur, ju lutemi mund të jepni përsëri emrin e përdoruesit dhe fjalëkalimin?" Pra, vetë viktima ia jep fjalëkalimin në duart e hakerit. Përveç vigjilencës së rregullt, një sistem i "fjalëkalimeve një herë" ndihmon në mbrojtjen kundër sulmeve të tilla. Sidoqoftë, për shkak të kompleksitetit të tij, ai ende nuk ka marrë shpërndarje të gjerë.

Viruset, krimbat e postës elektronike dhe kuajt e Trojës

Këto plagë nuk prekin kryesisht ofruesit apo komunikimet e korporatave, por kompjuterët e përdoruesve fundorë. Shkalla e disfatës është thjesht mbresëlënëse - epidemitë globale kompjuterike që po shpërthejnë gjithnjë e më shpesh po shkaktojnë humbje shumë miliarda dollarësh. Autorët e programeve "me qëllim të keq" po bëhen gjithnjë e më të sofistikuar, duke mishëruar softuerin më të avancuar dhe teknologjitë psikologjike në viruset moderne. Viruset dhe kuajt e Trojës janë klasa të ndryshme të kodit të programit "armiqësor". Viruset futen në programe të tjera për të kryer funksionin e tyre keqdashës në stacionin e punës të përdoruesit fundor. Kjo mund të jetë, për shembull, shkatërrimi i të gjithë ose vetëm skedarëve të caktuar në hard disk (më shpesh), dëmtimi i pajisjeve (ekzotike tani për tani) ose operacione të tjera. Viruset shpesh programohen për t'u aktivizuar në një datë specifike (një shembull tipik është WinChih i famshëm, i njohur ndryshe si "Chernobyl"), dhe gjithashtu për të dërguar kopje të tyre me email në të gjitha adresat që gjenden në librin e adresave të përdoruesit. Një kal trojan, ndryshe nga një virus, është një program i pavarur, më së shpeshti jo i fokusuar në shkatërrimin bruto të informacionit karakteristik të viruseve. Në mënyrë tipike, qëllimi i prezantimit të një kali trojan është të fitojë telekomandë të fshehur mbi një kompjuter në mënyrë që të manipulojë informacionin që gjendet në të. "Kuajt e Trojës" maskohen me sukses si lojëra të ndryshme ose programe të dobishme, shumë prej të cilave shpërndahen pa pagesë në internet. Për më tepër, hakerët ndonjëherë futin kuajt e Trojës në programe krejtësisht "të pafajshme" dhe me reputacion. Pasi të jetë në një kompjuter, kali i Trojës zakonisht nuk reklamon praninë e tij, duke kryer funksionet e tij sa më fshehtas të jetë e mundur. Një program i tillë, për shembull, mund t'i dërgojë në heshtje pronarit të tij haker një fjalëkalim dhe hyrje për të hyrë në internet nga ky kompjuter i veçantë; krijoni dhe dërgoni skedarë të caktuar në adresën e ngulitur në të; gjurmoni gjithçka që futet nga tastiera, etj. Versione më të sofistikuara të kuajve të Trojës, të përshtatura për të sulmuar kompjuterë të veçantë të përdoruesve të caktuar, mund të zëvendësojnë të dhëna të caktuara me të tjera të përgatitura paraprakisht, sipas drejtimit të pronarit, ose të modifikojnë të dhënat e ruajtura në skedarë, duke mashtruar kështu pronarin e kompjuterit. Nga rruga, kjo është një teknikë mjaft e zakonshme nga arsenali i spiunazhit industrial dhe provokimeve. Lufta kundër viruseve dhe kuajve të Trojës kryhet duke përdorur softuer të specializuar, dhe mbrojtja e ndërtuar mirë siguron kontroll të dyfishtë: në nivelin e një kompjuteri specifik dhe në nivelin e rrjetit lokal. Mjetet moderne për të luftuar kodin me qëllim të keq janë mjaft efektive, dhe praktika tregon se përhapja e rregullt e epidemive globale të viruseve kompjuterike ndodh kryesisht për shkak të "faktorit njerëzor" - shumica e përdoruesve dhe shumë administratorë të sistemit (!) janë thjesht shumë dembelë për të përditësuar rregullisht programin antivirus. bazat e të dhënave dhe kontrolloni për viruse emailet hyrëse përpara se ta lexoni atë (edhe pse kjo tani bëhet gjithnjë e më shumë nga vetë ofruesit e shërbimeve të internetit).

Inteligjenca e rrjetit

Në mënyrë të rreptë, zbulimi i rrjetit nuk mund të quhet një sulm ndaj një sistemi kompjuterik - në fund të fundit, hakeri nuk kryen ndonjë veprim "me qëllim të keq". Sidoqoftë, zbulimi i rrjetit gjithmonë i paraprin vetë sulmit, pasi gjatë përgatitjes së tij, sulmuesit duhet të mbledhin të gjithë informacionin e disponueshëm në lidhje me sistemin. Në të njëjtën kohë, informacioni mblidhet duke përdorur një grup të madh të dhënash dhe aplikacionesh të disponueshme publikisht - sepse hakeri po përpiqet të marrë sa më shumë informacion të dobishëm. Kjo përfshin skanimin e porteve, pyetjet DNS, pingimin e adresave të zbuluara duke përdorur DNS, etj. Kjo bën të mundur, në veçanti, të zbuloni se kush e zotëron këtë ose atë domen dhe cilat adresa i janë caktuar këtij domeni. Ping-ja e adresave të zbuluara nga DNS ju lejon të shihni se cilët host po funksionojnë në të vërtetë në një rrjet të caktuar dhe mjetet e skanimit të porteve ju lejojnë të krijoni një listë të plotë të shërbimeve të mbështetura nga këta host. Gjatë kryerjes së zbulimit të rrjetit, analizohen gjithashtu karakteristikat e aplikacioneve që funksionojnë në host - me pak fjalë, merren informacione që më pas mund të përdoren në hakimin ose kryerjen e një sulmi DoS. Është e pamundur të heqësh qafe plotësisht zbulimin e rrjetit, kryesisht sepse nuk kryhen veprime formalisht armiqësore. Nëse, për shembull, çaktivizoni ICMP echo dhe echo reply në ruterat periferikë, mund të shpëtoni nga testimi i ping-ut, por do të humbni të dhënat që nevojiten për të diagnostikuar dështimet e rrjetit. Përveç kësaj, sulmuesit mund të skanojnë portet pa testuar paraprakisht ping. Sistemet e sigurisë dhe monitorimit në nivelet e rrjetit dhe të hostit zakonisht bëjnë një punë të mirë për të njoftuar administratorin e sistemit për zbulimin e vazhdueshëm të rrjetit. Nëse administratori është i ndërgjegjshëm për përgjegjësitë e tij, kjo i lejon atij të përgatitet më mirë për një sulm të ardhshëm dhe madje të marrë masa proaktive, për shembull, duke njoftuar ofruesin nga rrjeti i të cilit dikush po tregon kuriozitet të tepruar.

Nuhatja e paketave

Një sniffer i paketave është një program aplikacioni që përdor një kartë rrjeti që funksionon në modalitetin "promiscuous" (në këtë mënyrë, përshtatësi i rrjetit dërgon të gjitha paketat e marra përmes kanaleve fizike në aplikacion për përpunim). Në këtë rast, sniffer ("sniffer") përgjon të gjitha paketat e rrjetit që transmetohen përmes domenit të sulmuar. E veçanta e situatës në këtë rast është se tani, në shumë raste, sniferët punojnë në rrjete mbi një bazë plotësisht ligjore - ato përdoren për të diagnostikuar gabimet dhe për të analizuar trafikun. Prandaj, nuk është gjithmonë e mundur të përcaktohet me besueshmëri nëse një program specifik sniffer përdoret ose jo nga sulmuesit, dhe nëse programi thjesht është zëvendësuar me një të ngjashëm, por me funksione "të avancuara". Duke përdorur një sniffer, sulmuesit mund të zbulojnë informacione të ndryshme konfidenciale, si emrat e përdoruesve dhe fjalëkalimet. Kjo për faktin se një numër i aplikacioneve të rrjetit të përdorur gjerësisht transmetojnë të dhëna në format teksti (telnet, FTP, SMTP, POP3, etj.). Meqenëse përdoruesit shpesh përdorin të njëjtin hyrje dhe fjalëkalim për aplikacione dhe sisteme të shumta, edhe një përgjim një herë i këtij informacioni përbën një kërcënim serioz për sigurinë e informacionit të një ndërmarrje. Pasi të ketë marrë hyrjen dhe fjalëkalimin e një punonjësi të caktuar, një haker dinak mund të fitojë akses në një burim përdoruesi në nivel sistemi dhe, me ndihmën e tij, të krijojë një përdorues të ri, të rremë, i cili mund të përdoret në çdo kohë për të hyrë në Rrjet. dhe burimet e informacionit. Sidoqoftë, duke përdorur një grup të caktuar mjetesh, ju mund të zbusni ndjeshëm kërcënimin e nuhatjes së paketave. Së pari, këto janë mjete vërtetimi mjaft të forta që janë të vështira për t'u anashkaluar, madje edhe duke përdorur "faktorin njerëzor". Për shembull, Fjalëkalimet një herë. Kjo është një teknologji vërtetimi me dy faktorë që kombinon atë që keni me atë që dini. Në këtë rast, hardueri ose softueri gjeneron në mënyrë të rastësishme një fjalëkalim unik një herë. Nëse një haker e zbulon këtë fjalëkalim duke përdorur një sniffer, ky informacion do të jetë i padobishëm sepse në atë moment fjalëkalimi do të jetë përdorur tashmë dhe do të jetë hequr. Por kjo vlen vetëm për fjalëkalimet - për shembull, mesazhet me email mbeten ende të pambrojtura. Një mënyrë tjetër për të luftuar nuhatjen është përdorimi i anti-sniffers. Këto janë harduer ose softuer që operojnë në internet që sniffers i njohin. Ata matin kohën e përgjigjes së hostit dhe përcaktojnë nëse hostet duhet të trajtojnë trafikun "ekstra". Këto lloj mjetesh nuk mund të eliminojnë plotësisht kërcënimin e nuhatjes, por janë jetike kur ndërtohet një sistem mbrojtjeje gjithëpërfshirëse. Megjithatë, masa më efektive, sipas disa ekspertëve, do të ishte thjesht të pakuptohej puna e nuhatësve. Për ta bërë këtë, mjafton të mbroni të dhënat e transmetuara përmes kanalit të komunikimit duke përdorur metoda moderne të kriptografisë. Si rezultat, hakeri nuk do të përgjojë mesazhin, por tekstin e koduar, domethënë një sekuencë bitësh që është e pakuptueshme për të. Në ditët e sotme, protokollet kriptografike më të zakonshme janë IPSec nga Cisco, si dhe protokollet SSH (Secure Shell) dhe SSL (Secure Socket Layer).

Mashtrimi i IP-së

Mashtrimi është një lloj sulmi në të cilin një haker brenda ose jashtë një organizate imiton një përdorues të autorizuar. Ka mënyra të ndryshme për ta bërë këtë. Për shembull, një haker mund të përdorë një adresë IP që është brenda gamës së adresave IP të autorizuara për përdorim brenda Rrjetit të organizatës, ose një adresë të jashtme të autorizuar nëse i lejohet aksesi në burime të caktuara të rrjetit. Nga rruga, mashtrimi IP shpesh përdoret si pjesë e një sulmi më kompleks dhe kompleks. Një shembull tipik është një sulm DDoS, në të cilin një haker zakonisht pret një program në adresën IP të dikujt tjetër për të fshehur identitetin e tyre të vërtetë. Sidoqoftë, më shpesh mashtrimi IP përdoret për të çaktivizuar një sistem duke përdorur komanda të rreme, si dhe për të vjedhur skedarë specifikë ose, anasjelltas, për të futur informacion të rremë në bazat e të dhënave. Është pothuajse e pamundur të eliminohet plotësisht kërcënimi i mashtrimit, por ai mund të zbutet ndjeshëm. Për shembull, ka kuptim të konfiguroni sistemet e sigurisë për të refuzuar çdo trafik që vjen nga një rrjet i jashtëm me një adresë burimi që duhet të jetë në të vërtetë në rrjetin e brendshëm. Megjithatë, kjo ndihmon në luftimin e mashtrimit të IP-së vetëm kur autorizohen vetëm adresat e brendshme. Nëse disa adresa të jashtme janë të tilla, atëherë përdorimi i kësaj metode bëhet i pakuptimtë. Është gjithashtu një ide e mirë, për çdo rast, të ndaloni paraprakisht përpjekjet për të mashtruar rrjetet e njerëzve të tjerë nga përdoruesit e rrjetit tuaj - kjo masë mund t'ju ndihmojë të shmangni një sërë problemesh nëse një sulmues ose thjesht një huligan kompjuterik shfaqet brenda organizatës. Për ta bërë këtë, duhet të përdorni çdo trafik në dalje nëse adresa e tij burimore nuk i përket gamës së brendshme të adresave IP të organizatës. Nëse është e nevojshme, kjo procedurë mund të kryhet edhe nga ofruesi juaj i shërbimit të internetit. Ky lloj filtrimi njihet si "RFC 2827". Përsëri, si me nuhatjen e paketave, mbrojtja më e mirë është ta bësh sulmin plotësisht joefektiv. Mashtrimi i IP-së mund të zbatohet vetëm nëse vërtetimi i përdoruesit bazohet në adresat IP. Prandaj, autentikimi i enkriptimit e bën këtë lloj sulmi të padobishëm. Sidoqoftë, në vend të kriptimit, mund të përdorni po aq mirë fjalëkalime të krijuara rastësisht një herë.

Sulmi i mohimit të shërbimit

Sot, një nga format më të zakonshme të sulmeve të hakerëve në botë është sulmi i mohimit të shërbimit (DoS). Ndërkohë, kjo është një nga teknologjitë më të reja - zbatimi i saj u bë i mundur vetëm në lidhje me përhapjen me të vërtetë të përhapur të internetit. Nuk është rastësi që sulmet DoS u diskutuan gjerësisht vetëm pasi në dhjetor 1999, me ndihmën e kësaj teknologjie, faqet e internetit të korporatave të tilla të njohura si Amazon, Yahoo, CNN, eBay dhe E-Trade u "përmbytën". Megjithëse raportet e para për diçka të ngjashme u shfaqën në vitin 1996, deri në "surprizën e Krishtlindjeve" të vitit 1999, sulmet e DoS nuk u perceptuan si një kërcënim serioz për sigurinë e internetit. Megjithatë, një vit më vonë, në dhjetor 2000, gjithçka ndodhi përsëri: faqet e internetit të korporatave më të mëdha u sulmuan duke përdorur teknologjinë DoS dhe administratorët e sistemit të tyre përsëri nuk ishin në gjendje të bënin asgjë për t'iu kundërvënë sulmuesve. Epo, në vitin 2001, sulmet DoS u bënë të zakonshme. Në mënyrë të rreptë, sulmet DoS nuk kryhen për të vjedhur informacionin ose për ta manipuluar atë. Qëllimi i tyre kryesor është të paralizojnë punën e sajtit të sulmuar. Në thelb, ky është vetëm terrorizëm në internet. Nuk është rastësi që agjencitë amerikane të inteligjencës dyshojnë se anti-globalistët famëkeq qëndrojnë pas shumë sulmeve DoS në serverët e korporatave të mëdha. Në të vërtetë, është një gjë të hedhësh një tullë në dritaren e një McDonald's diku në Madrid apo Pragë dhe krejt tjetër të rrëzosh faqen e kësaj super korporate, e cila prej kohësh është kthyer në një lloj simboli të globalizimit të ekonomisë botërore. Sulmet DoS janë gjithashtu të rrezikshme sepse për t'i vendosur ato, terroristët kibernetikë nuk kanë nevojë të kenë ndonjë njohuri dhe aftësi të veçanta - i gjithë softueri i nevojshëm, së bashku me përshkrimet e vetë teknologjisë, janë plotësisht të disponueshëm në internet. Përveç kësaj, është shumë e vështirë të mbrohesh nga ky lloj sulmi. Në përgjithësi, teknologjia e sulmit DoS duket kështu: një faqe interneti e zgjedhur si objektiv bombardohet me një breshëri kërkesash false nga shumë kompjuterë në mbarë botën. Si rezultat, serverët që i shërbejnë nyjes janë të paralizuar dhe nuk mund t'u shërbejnë kërkesave të përdoruesve të zakonshëm. Në të njëjtën kohë, përdoruesit e kompjuterëve nga të cilët dërgohen kërkesa të rreme as që dyshojnë se kompjuteri i tyre po përdoret fshehurazi nga sulmuesit. Kjo shpërndarje e "ngarkesës së punës" jo vetëm që rrit efektin shkatërrues të sulmit, por gjithashtu ndërlikon shumë masat për ta zmbrapsur atë, duke e bërë të pamundur identifikimin e adresës së vërtetë të koordinatorit të sulmit. Sot, llojet më të përdorura të sulmeve DoS janë:

Smurf - ping kërkon ICMP (Internet Control Message Protocol) në një adresë transmetimi të drejtuar. Adresa e burimit të rremë e përdorur në paketat e kësaj kërkese përfundon të jetë objektivi i një sulmi. Sistemet që marrin një kërkesë ping të transmetimit të drejtuar i përgjigjen asaj dhe "përmbytin" rrjetin në të cilin ndodhet serveri i synuar.

  • ICMP flood është një sulm i ngjashëm me Smurf, por pa amplifikimin e krijuar nga kërkesat në një adresë transmetimi të drejtuar.
  • Përmbytja e UDP - dërgimi i shumë paketave UDP (Protokolli i të dhënave të përdoruesit) në adresën e sistemit të synuar, gjë që çon në "lidhjen" e burimeve të rrjetit.
  • TCP përmbytje - dërgimi i shumë paketave TCP në adresën e sistemit të synuar, i cili gjithashtu çon në "lidhjen" e burimeve të rrjetit.
  • TCP SYN flood - gjatë kryerjes së këtij lloji të sulmit, lëshohen një numër i madh kërkesash për të inicializuar lidhjet TCP me hostin e synuar, i cili, si rezultat, duhet të shpenzojë të gjitha burimet e tij për të gjurmuar këto lidhje pjesërisht të hapura.

Në rast të një sulmi, trafiku që synon të kapërcejë rrjetin e sulmuar duhet të "ndërpritet" nga ofruesi i shërbimit të Internetit, sepse në hyrje të Rrjetit nuk do të jetë më e mundur ta bëni këtë - i gjithë gjerësia e brezit do të jetë e zënë. Kur ky lloj sulmi kryhet njëkohësisht nëpër pajisje të shumta, ai quhet sulm i Mohimit të Shërbimit të Shpërndarë (DDoS). Kërcënimi i sulmeve DoS mund të zbutet në disa mënyra. Së pari, duhet të konfiguroni siç duhet veçoritë kundër mashtrimit në ruterat dhe muret e zjarrit. Këto veçori duhet të përfshijnë, të paktën, filtrimin RFC 2827 Nëse një haker nuk është në gjendje të maskojë identitetin e tij të vërtetë, ai nuk ka gjasa të kryejë një sulm. Së dyti, duhet të aktivizoni dhe konfiguroni siç duhet veçoritë anti-DoS në ruterat dhe muret e zjarrit. Këto veçori kufizojnë numrin e kanaleve gjysmë të hapura, duke parandaluar mbingarkimin e sistemit. Rekomandohet gjithashtu, nëse ekziston një kërcënim për një sulm DoS, të kufizohet vëllimi i trafikut jo kritik që kalon përmes Rrjetit. Ju duhet ta negocioni këtë me ofruesin tuaj të internetit. Kjo zakonisht kufizon sasinë e trafikut ICMP, pasi përdoret thjesht për qëllime diagnostikuese.

Sulmet Man-in-the-Middle

Ky lloj sulmi është shumë tipik për spiunazhin industrial. Në një sulm Man-in-the-Middle, hakeri duhet të ketë akses në paketat e transmetuara përmes Rrjetit, dhe për këtë arsye roli i sulmuesve në këtë rast është shpesh vetë punonjësit e ndërmarrjes ose, për shembull, një punonjës i ofruesit. kompania. Sulmet Man-in-the-Middle shpesh përdorin sniffer të paketave, protokollet e transportit dhe protokollet e rrugëtimit. Qëllimi i një sulmi të tillë, përkatësisht, është vjedhja ose falsifikimi i informacionit të transmetuar ose fitimi i aksesit në burimet e rrjetit. Është jashtëzakonisht e vështirë të mbrohesh nga sulme të tilla, pasi ato janë zakonisht sulme nga një "nishan" brenda vetë organizatës. Prandaj, në terma thjesht teknikë, ju mund të mbroni veten vetëm duke enkriptuar të dhënat e transmetuara. Atëherë hakeri, në vend të të dhënave që i nevojiten, do të marrë një grumbull simbolesh, gjë që është thjesht e pamundur të kuptohet pa pasur një superkompjuter në dorë. Megjithatë, nëse sulmuesi është me fat dhe është në gjendje të përgjojë informacionin rreth seancës kriptografike, enkriptimi i të dhënave automatikisht do të humbasë çdo kuptim. Pra, në këtë rast, "në ballë" të luftës nuk duhet të jenë "teknikët", por departamenti i personelit dhe shërbimi i sigurisë së ndërmarrjes.

Përdorimi i "vrimave" dhe "bugs" në softuer

Një lloj shumë, shumë i zakonshëm i sulmeve të hakerëve është përdorimi i dobësive (më shpesh të metat banale) në softuerët e përdorur gjerësisht, kryesisht për serverët. Softueri i Microsoft-it është veçanërisht "i famshëm" për mosbesueshmërinë dhe sigurinë e dobët. Në mënyrë tipike, situata zhvillohet si më poshtë: dikush zbulon një "vrimë" ose "bug" në softuerin e serverit dhe e publikon këtë informacion në internet në forumin e duhur. Prodhuesi i këtij softueri lëshon një patch (“patch”) që eliminon këtë problem dhe e publikon atë në serverin e tij të internetit. Problemi është se jo të gjithë administratorët, për shkak të përtacisë së thjeshtë, monitorojnë vazhdimisht zbulimin dhe shfaqjen e arnimeve, dhe gjithashtu kalon një kohë midis zbulimit të një "vrime" dhe shkrimit të një "patch": Hakerët gjithashtu lexojnë konferenca tematike dhe , Ne duhet t'u japim atyre detyrimin e tyre, ata me shumë mjeshtëri e zbatojnë informacionin e marrë në praktikë. Nuk është rastësi që shumica e ekspertëve kryesorë të sigurisë së informacionit në botë janë ish-hakerë.

Qëllimi kryesor i një sulmi të tillë është të fitojë akses në server në emër të përdoruesit që drejton aplikacionin, zakonisht me të drejtat e administratorit të sistemit dhe nivelin e duhur të aksesit. Është mjaft e vështirë të mbrohesh nga ky lloj sulmi. Një nga arsyet, përveç softuerit me cilësi të ulët, është se gjatë kryerjes së sulmeve të tilla, sulmuesit shpesh përdorin porte që lejohen të kalojnë përmes murit të zjarrit dhe të cilat nuk mund të mbyllen për arsye thjesht teknologjike. Pra, mbrojtja më e mirë në këtë rast është një administrator i sistemit kompetent dhe i ndërgjegjshëm.

Është vetëm fillimi…

Së bashku me zgjerimin e të korrave të çdo kulture bujqësore, numri i dëmtuesve të insekteve të kësaj kulture gjithmonë rritet. Po kështu, me zhvillimin e teknologjive të informacionit dhe depërtimin e tyre në të gjitha sferat e jetës moderne, numri i sulmuesve që përdorin në mënyrë aktive këto teknologji po rritet. Prandaj, në të ardhmen e parashikueshme, çështjet e mbrojtjes së rrjeteve kompjuterike do të bëhen gjithnjë e më të rëndësishme. Për më tepër, mbrojtja do të kryhet në dy fusha kryesore: teknologjike dhe konsulente. Sa i përket tendencave kryesore në zhvillimin e industrisë së sigurisë së informacionit, sipas ekspertëve të kompanisë së njohur The Yankee Group, në vitet e ardhshme ato do të jenë si më poshtë:

1. Theksi gjatë ndërtimit të sistemeve mbrojtëse do të lëvizë gradualisht - nga kundërvënia ndaj sulmeve të hakerëve "të jashtëm" në mbrojtjen kundër sulmeve "nga brenda".

2. Mbrojtja e harduerit kundër sulmeve të hakerëve do të zhvillohet dhe përmirësohet. Një klasë e re e pajisjeve të rrjetit do të shfaqet në treg - "çelsat e shërbimit mbrojtës". Ata do të jenë në gjendje të ofrojnë mbrojtje gjithëpërfshirëse për rrjetet kompjuterike, ndërsa pajisjet moderne zakonisht kryejnë një grup mjaft të kufizuar funksionesh specifike, dhe barra kryesore ende bie mbi softuerin e specializuar.

3. Zhvillimi i shpejtë sigurohet nga tregu i shërbimeve për ofrimin e sigurt të përmbajtjes dixhitale dhe mbrojtjen e vetë përmbajtjes nga kopjimi i paligjshëm dhe përdorimi i paautorizuar. Paralelisht me zhvillimin e tregut të sigurt të dërgesave, do të zhvillohen edhe teknologjitë përkatëse. Ekspertët nga The Yankee Group vlerësojnë vëllimin e këtij tregu në 200 milion dollarë bazuar në rezultatet e 2001 dhe parashikojnë rritje në 2 miliardë dollarë deri në 2005.

4. Sistemet e vërtetimit biometrik (retina, gjurmët e gishtërinjve, zëri, etj.), përfshirë ato komplekse, do të përdoren shumë më gjerësisht. Pjesa më e madhe e asaj që tani mund të shihet vetëm në filmat e mbushur me aksion do të përfshihet në jetën e përditshme të korporatës.

5. Deri në vitin 2005, ofruesit e internetit do të ofrojnë pjesën e luanit të shërbimeve të sigurisë për klientët e tyre. Për më tepër, klientët e tyre kryesorë do të jenë kompanitë, biznesi i të cilave është ndërtuar posaçërisht në teknologjitë e internetit, domethënë konsumatorë aktivë të shërbimeve të mbajtjes në internet, sistemeve të tregtisë elektronike, etj.

6. Tregu për shërbimet inteligjente të sigurisë së rrjetit pritet të rritet me shpejtësi. Kjo për faktin se konceptet e reja për mbrojtjen e sistemeve të TI-së nga hakerat fokusohen jo aq shumë në reagimin ndaj ngjarjeve/sulmeve që tashmë kanë ndodhur, por në parashikimin e tyre, parandalimin e tyre dhe marrjen e masave proaktive dhe parandaluese.

7. Kërkesa për sisteme komerciale të enkriptimit kriptografik për të dhënat e transmetuara do të rritet ndjeshëm, duke përfshirë zhvillimet “doganore” për kompani të veçanta, duke marrë parasysh fushat e tyre të veprimtarisë.

8. Në tregun e zgjidhjeve të sigurisë së TI-së do të ketë një zhvendosje graduale nga “sistemet standarde” dhe për rrjedhojë do të ketë një rritje të kërkesës për shërbime konsulence për zhvillimin e koncepteve të sigurisë së informacionit dhe ndërtimin e sistemeve të menaxhimit të sigurisë së informacionit. për klientë të veçantë.

Tregu i sistemeve dhe shërbimeve të sigurisë së informacionit po zhvillohet gjithashtu në "hapësirën post-sovjetike" - megjithëse jo me të njëjtin ritëm dhe jo në të njëjtën shkallë si në Perëndim. Siç raportoi gazeta Kommersant, në Rusi organizatat shpenzojnë nga 1% (metalurgji) deri në 30% (sektori financiar) të buxheteve të tyre për zhvillimin e infrastrukturës së informacionit të llojeve të ndryshme. Në të njëjtën kohë, kostot e mbrojtjes deri tani përbëjnë vetëm rreth 0.1-0.2% të pjesës së kostos së buxheteve. Kështu, vëllimi i përgjithshëm i tregut të sistemeve të sigurisë së informacionit në Rusi në 2001 vlerësohet nga ekspertët në 40-80 milion dollarë. Në vitin 2002, sipas të dhënave të përfshira në projektbuxhetin e shtetit, ato duhet të arrijnë në 60-120 milionë dollarë. Për krahasim: siç tregohet nga kërkimet e fundit të IDC, madhësia e tregut evropian vetëm për produktet e sigurisë së informacionit (softuer dhe harduer) pritet të rritet nga 1.8 miliardë dollarë në 2000 në 6.2 miliardë dollarë në 2005.

Kaspersky Internet Security mbron kompjuterin tuaj nga sulmet e rrjetit.

Sulmi në rrjetështë një ndërhyrje në sistemin operativ të një kompjuteri të largët. Sulmuesit nisin sulme në rrjet për të marrë kontrollin e një sistemi operativ, për të shkaktuar një mohim të shërbimit ose për të fituar akses në informacionin e mbrojtur.

Sulmet e rrjetit janë veprime me qëllim të keq të kryera nga vetë sulmuesit (siç është skanimi i portit, hamendja e fjalëkalimit), si dhe veprime të kryera nga programe me qëllim të keq të instaluar në kompjuterin e sulmuar (siç është transferimi i informacionit të mbrojtur te sulmuesi). Malware i përfshirë në sulmet e rrjetit përfshin disa kuaj trojanë, mjete sulmi DoS, skriptet me qëllim të keq dhe krimbat e rrjetit.

Sulmet e rrjetit mund të ndahen në llojet e mëposhtme:

  • Skanimi i portit. Ky lloj sulmi në rrjet është zakonisht një fazë përgatitore për një sulm më të rrezikshëm në rrjet. Sulmuesi skanon portat UDP dhe TCP të përdorura nga shërbimet e rrjetit në kompjuterin e sulmuar dhe përcakton nivelin e cenueshmërisë së kompjuterit të sulmuar ndaj llojeve më të rrezikshme të sulmeve të rrjetit. Skanimi i portit gjithashtu lejon një sulmues të përcaktojë sistemin operativ në kompjuterin e synuar dhe të zgjedhë sulmet e rrjetit të përshtatshme për të.
  • Sulmet DoS, ose sulme në rrjet që shkaktojnë mohim të shërbimit. Këto janë sulme në rrjet, si rezultat i të cilave sistemi operativ i sulmuar bëhet i paqëndrueshëm ose plotësisht i pafunksionueshëm.

    Ekzistojnë llojet kryesore të mëposhtme të sulmeve DoS:

    • Dërgimi i paketave të rrjetit të krijuara posaçërisht në një kompjuter të largët që nuk priten nga ky kompjuter, duke shkaktuar keqfunksionimin ose ndalimin e sistemit operativ.
    • Dërgimi i një numri të madh të paketave të rrjetit në një kompjuter të largët në një periudhë të shkurtër kohe. Të gjitha burimet e kompjuterit të sulmuar përdoren për të përpunuar paketat e rrjetit të dërguara nga sulmuesi, kjo është arsyeja pse kompjuteri ndalon së kryeri funksionet e tij.
  • Sulmet-ndërhyrjet në rrjet. Këto janë sulme në rrjet, qëllimi i të cilëve është të "rrëmbejnë" sistemin operativ të kompjuterit të sulmuar. Ky është lloji më i rrezikshëm i sulmit në rrjet, pasi nëse është i suksesshëm, sistemi operativ bie plotësisht nën kontrollin e sulmuesit.

    Ky lloj sulmi në rrjet përdoret në rastet kur një sulmues duhet të marrë të dhëna konfidenciale nga një kompjuter i largët (për shembull, numrat e kartave bankare ose fjalëkalimet) ose të përdorë kompjuterin në distancë për qëllimet e tij (për shembull, për të sulmuar kompjuterë të tjerë nga ky kompjuter) pa dijeninë e përdoruesit.

  1. Në skedën Mbrojtja në bllok Mbrojtje kundër sulmeve të rrjetit zgjidh kutinë.

Mund të aktivizoni gjithashtu mbrojtjen nga sulmi në rrjet në Qendrën e Mbrojtjes. Çaktivizimi i komponentëve të mbrojtjes ose mbrojtjes së kompjuterit tuaj rrit ndjeshëm rrezikun që kompjuteri juaj të infektohet, prandaj informacioni rreth çaktivizimit të mbrojtjes shfaqet në Qendrën e Mbrojtjes.

E rëndësishme: Nëse e keni çaktivizuar Network Attack Protection, atëherë pasi të rindizni Kaspersky Internet Security ose të rindizni sistemin operativ, ai nuk do të ndizet automatikisht dhe do t'ju duhet ta ndizni manualisht.

Kur zbulohet një aktivitet i rrezikshëm i rrjetit, Kaspersky Internet Security shton automatikisht adresën IP të kompjuterit sulmues në listën e kompjuterëve të bllokuar nëse ky kompjuter nuk shtohet në listën e kompjuterëve të besuar.

  1. Në shiritin e menusë, klikoni në ikonën e programit.
  2. Në menynë që hapet, zgjidhni Cilësimet.

    Dritarja e cilësimeve të programit do të hapet.

  3. Në skedën Mbrojtja në bllok Mbrojtje kundër sulmeve të rrjetit kontrolloni kutinë Aktivizo mbrojtjen nga sulmi në rrjet.
  4. Klikoni në butonin Exceptions.

    Do të hapet një dritare me një listë të kompjuterëve të besuar dhe një listë të kompjuterëve të bllokuar.

  5. Hap një faqeshënues Kompjuterë të kyçur.
  6. Nëse jeni të sigurt se kompjuteri i bllokuar nuk përbën kërcënim, zgjidhni adresën e tij IP në listë dhe klikoni butonin Zhblloko.

    Do të hapet një dritare konfirmimi.

  7. Në dritaren e konfirmimit, bëni një nga sa vijon:
    • Nëse dëshironi të zhbllokoni kompjuterin tuaj, klikoni në butonin Zhbllokoni.

      Kaspersky Internet Security zhbllokon adresën IP.

    • Nëse dëshironi që Kaspersky Internet Security të mos bllokojë kurrë adresën IP të zgjedhur, klikoni butonin Zhblloko dhe shto te përjashtimet.

      Kaspersky Internet Security do të zhbllokojë adresën IP dhe do ta shtojë atë në listën e kompjuterëve të besuar.

  8. Klikoni në butonin Ruaj për të ruajtur ndryshimet tuaja.

Ju mund të krijoni një listë të kompjuterëve të besuar. Kaspersky Internet Security nuk bllokon automatikisht adresat IP të këtyre kompjuterëve kur zbulon aktivitet të rrezikshëm të rrjetit që buron prej tyre.

Kur zbulohet një sulm në rrjet, Kaspersky Internet Security ruan informacionin rreth tij në një raport.

  1. Hapni menunë e Mbrojtjes.
  2. Zgjidhni Raportet.

    Dritarja e raporteve të Kaspersky Internet Security do të hapet.

  3. Hap një faqeshënues Mbrojtje kundër sulmeve të rrjetit.

Shënim: Nëse komponenti i mbrojtjes nga sulmi në rrjet ka përfunduar një gabim, mund të shikoni raportin dhe të provoni ta rinisni komponentin. Nëse nuk jeni në gjendje ta zgjidhni problemin, ju lutemi kontaktoni Mbështetjen Teknike.



Të njohura në kategorinë:
Si të kombinoni shtresat në Photoshop në një ose t'i kombinoni ato në një grup Si të kombinoni disa shtresa në Photoshop
Si të bashkoni shtresat në Photoshop në një ose t'i kombinoni ato në një grup ...
lexoni
Transferimi i kontakteve në një telefon të ri android
Transferimi i kontakteve në një telefon të ri android
lexoni
Samsung Galaxy rindizet vetë - Zgjidhje Galaxy note 4 rindizet vetë
Samsung Galaxy rindizet vetë - Zgjidhjet e Galaxy Note...
lexoni
Karakteristikat kryesore të Kaspersky Rescue Disk
Karakteristikat kryesore të Kaspersky Rescue Disk
lexoni

Artikujt e fundit
MacBook nuk do të lidhet me wifi MacBook nuk do të shohë...
lexoni
Si të fitoni para në WebMoney
lexoni
Tableti "Supra": vlerësimet e klientëve
lexoni
Vendndodhjet e anijeve në kohë reale
lexoni
Programet më të mira për Android Regjistroni thirrjet nga...
lexoni
Heqja e jo-ndjekësve në Twitter
lexoni
Lidhja e internetit në një laptop: të gjitha të mundshme...
lexoni
Samsung Galaxy S IV është flamuri i ri...
lexoni
Top