Typer af computerangreb og ubudne gæster og hvordan man opdager dem

Som vi alle ved, er vi i en verden omgivet af information, der hver dag kræver et bedre sikkerhedsniveau, vi Som administratorer og it -chefer er vi direkte ansvarlige for at levere sikkerhed, så dataene i vores organisation eller vores er sikre.

Måske er vores oplysninger ikke så værdifulde eller så vigtige, hvis de går tabt eller stjæles, men vi kan have meget særlige oplysninger, f.eks. Bankkonti, kontoudtog, personlige oplysninger osv., Som skal forblive "sikre" i vores systemer, og vi kan ikke benægte, at hacking i dag er blevet meget anderledes, end det var før, i dag er der flere angrebsmekanismer og forskellige teknikker til sådan aktivitet.

Denne gang vil vi tale om ubudne gæster, vi vil analysere nogle af de måder, hvorpå hackere kan få adgang til oplysninger ved at udnytte sårbarheder, der kan eksistere.

Det forstår vi uautoriseret adgang til systemet udgør et alvorligt sikkerhedsproblem Da denne person eller software kan udtrække værdifulde oplysninger fra vores database og senere skade organisationen på forskellige måder, når vi taler om software, der kan komme ind uden tilladelse, kan vi tænke, at det er en orm, en trojan eller generelt, af en virus.

Vi vil fokusere på disse områder herunder:

• 1. Typer af ubudne gæster
• 2. Indtrængningsteknikker
• 3. Detektering af ubudne gæster
• 4. Typer af angreb

1. Typer af ubudne gæster

Vi kan identificere tre (3) typer af ubudne gæster:

Svigagtig brugerDet refererer til en bruger, der ulovligt får adgang til organisationens ressourcer, eller som med tilladelserne misbruger de tilgængelige oplysninger.

EfterlignerDet er en person, der ikke har noget at gøre med juridisk adgang i organisationen, men som formår at nå det niveau, hvor man tager identiteten på en legitim bruger for at få adgang til og gøre skaden.

Clandestine brugerDet er en person, der kan tage kontrol over revisionen af ​​organisationens system.

Normalt er efterligneren en ekstern person, den svigagtige bruger er intern, og den hemmelige bruger kan være ekstern eller intern. Ubudne angreb, uanset type, kan klassificeres som alvorlige eller godartede, i godartede har de kun adgang til at se, hvad der er på netværket, mens i de alvorlige kan informationer blive stjålet og / eller ændret inden for netværket. Selv.

2. Indtrængningsteknikker

Som vi ved, er den almindelige måde at få adgang til et system via adgangskoder, og det er det, som ubudne gæster søger at opnå adgangskoder ved hjælp af forskellige teknikker for at nå sit mål om at krænke adgang og indhente oplysninger. Det anbefales, at vores adgangskodefil er beskyttet med en af ​​følgende metoder:

EnvejskrypteringDenne indstilling gemmer kun en krypteret form for brugerens adgangskode, så når brugeren indtaster sin adgangskode, krypterer systemet den og sammenligner den med den værdi, den har gemt, og hvis den er identisk, giver den adgang, ellers nægter den den.

AdgangskontrolMed denne metode er adgangskodeadgang meget begrænset, kun til en eller et par konti.

Det metoder, der normalt bruges af hackereifølge nogle analyser er de:

• Test ordbogsord eller lister over mulige adgangskoder, der er tilgængelige på hackersider

• Prøv med brugernes telefonnumre eller identifikationsdokumenter

• Test med nummerplade

• Indhent personlige oplysninger fra brugere, blandt andre

3. Indbrudssporing

Som administratorer skal vi analysere de mulige sårbarheder, som vores system har for at undgå hovedpine i fremtiden, vi kan analysere disse fejl med følgende begreber:

• Hvis vi studerer, hvordan en ubuden gæst kan angribe, vil disse oplysninger hjælpe os med at styrke forebyggelsen af ​​indtrængen i vores system

• Hvis vi hurtigt opdager den påtrængende bruger, kan vi forhindre denne person i at gøre sit i vores system og dermed undgå skader.

Som administratorer kan vi analysere brugernes adfærd i vores organisation og med en masse analyse opdage, om de præsenterer nogen mærkelig adfærd, såsom adgang via intranettet til computere eller mapper, der ikke skal tilgås, ændring af filer osv. Et af de værktøjer, der vil hjælpe os meget i analysen af ​​ubudne gæster, er revisionsloggen, da den giver os mulighed for at holde styr på de aktiviteter, der udføres af brugerne.

Vi kan bruge to (2) typer af revisionsplaner:

Specifikke revisionslogs til opdagelseVi kan implementere sådanne logfiler, så det kun viser os de oplysninger, der kræves af indtrængningsdetekteringssystemet.

Indfødte revisionslogfilerDet er det værktøj, der kommer som standard i operativsystemer og gemmer al brugeraktivitet, f.eks. Microsoft Windows event viewer.

Vi kan registrere anomalier baseret på profiler, det vil sige på brugernes adfærd, til dette kan vi bruge følgende variabler:

• Tæller: Det er en værdi, der kan øges, men ikke reduceres, før den initieres af en handling

• Kaliber: Det er et tal, der kan øge eller reducere, og måler den aktuelle værdi af en enhed

• Tids interval: Henviser til tidsrummet mellem to begivenheder

• Brug af ressourcer: Det indebærer mængden af ​​ressourcer, der forbruges på en bestemt tid

Der er en anden type detektion, og det er den, der er baseret på regler, disse registrerer indtrængen baseret på de hændelser, der opstår i systemet og anvender en række definerede regler for at identificere, om aktiviteten er mistænkelig eller ej.

Nogle af eksemplerne på disse regler er:

En af de interessante teknikker til at få ubudnejernes opmærksomhed er at bruge honningkrukke, som simpelthen er sikkerhedsværktøjer, hvor der skabes systemer, der ser ud til at være sårbare eller svage, og hvor der er falske oplysninger, men med et behageligt udseende for ubudne gæster, har en honningkrukke naturligvis ikke eller vil ikke have adgang til en legitim bruger af organisationen.

Hvad sikkerhedsforanstaltning for at forhindre ubudne angreb Uden tvivl er der den korrekte håndtering af adgangskoder, vi ved, at en adgangskode tillader:

• Giv en bruger adgang til systemet eller ej

• Giv de rettigheder, der er tildelt brugeren

• Tilbyd sikkerhedspolitikker i virksomheden

I en undersøgelse foretaget af en organisation i USA baseret på tre (3) millioner konti blev det konkluderet, at brugere regelmæssigt bruger følgende parametre til deres adgangskoder (som slet ikke er sikre):

• Kontonavn

• Identifikationsnumre

• Almindelige navne

• Stedsnavne

• Ordbog

• Maskinnavne

Det er vigtigt, at vi i vores rolle som administratorer, koordinatorer eller it -chefer uddanner brugerne af vores organisation, så de ved hvordan man indstiller en stærk adgangskode, kan vi bruge følgende metoder:

• Kontrol af reaktiv adgangskode

• Proaktiv adgangskodekontrol

• Uddannelse af vores brugere

• Computergenererede adgangskoder

Som vi kan se, kan vi imellem os alle (administratorer og brugere) håndtere enhver aktivitet fra ubudne gæster.

4. Typer af angreb

Dernæst vil vi gennemgå nogle af de typer angreb, der kan udføres i de forskellige systemer, vi vil udføre denne analyse med en etisk hacker -tilgang.

Kapring
Denne type angreb består i at tage en sektion af en enhed for at kommunikere med en anden enhed, der er to (2) typer kapring:

• Aktiv: Det er når en sektion af værten tages og bruges til at kompromittere målet

• passiv: Sker, når en sektion af enheden beslaglægges, og al trafik mellem de to enheder registreres

Vi har redskaber til kapring fra sider som:

• IP-Watcher

¿Hvordan vi kan beskytte os mod kapring? Vi kan bruge en af ​​følgende metoder afhængigt af protokollen eller funktionen, for eksempel:

• FTP: Lad os bruge sFTP

• Fjernforbindelse: Lad os bruge VPN

• HTTP: Lad os bruge HTTPS

• Telnet eller rlogin: lad os bruge OpenSSH eller SSH

• IP: Lad os bruge IPsec

Angreb på en webserver
De mest almindelige servere til implementering af webtjenester har vi Apache og IIS. Ubudne gæster eller hackere, der har til hensigt at angribe disse servere, skal have kendskab til mindst tre (3) programmeringssprog som f.eks. Html, ASP og PHP. Til pas på vores webservere, vi kan bruge værktøjer, kaldet Brute Force Attack, såsom følgende:

• Brutus til Windows

• Hydra til Linux

• NIX til Linux

Det mest almindelige angreb finder vi på webserverniveau er som følgende:

• ScriptAttack

• Adgangskoder i samme kode

• Sårbarheder i webapplikationer

• Brugernavn validering

Som administratorer kan vi implementere følgende fremgangsmåder:

• Installer og / eller opdater antivirusprogrammet

• Brug komplekse adgangskoder

• Skift standardkonti

• Slet testkoder

• Opdater system og service pack

• Konstant administrere og overvåge systemlogfiler

Vi kan bruge Acunetix -værktøjet, som giver os mulighed for at kontrollere, om vores websted er sårbart over for angreb, vi kan downloade det fra linket.

Bagdøre og trojanske heste
Mange af trojanerne køres i testtilstand for at kontrollere organisationens lydhørhed over for et muligt angreb, men ikke 100% er fra interne tests, men ved andre lejligheder er de med ondsindet hensigt fra en ubuden gæst.

Nogle af mest almindelige trojanere er:

• Netbus

• Prorat

• Paradis

• Duckfix

• Netcat

Til forhindre trojanske angreb Det er vigtigt, at vi som administratorer udfører nogle opgaver som:

• Installer og opdater et antivirusprogram

• Kør og aktiver Firewall

• Brug en trojansk scanner

• Opdater systemrettelser

Angreb på trådløse netværk
Vores trådløse netværk kan være tilbøjelige til at angribe af en ubuden gæst, vi ved, at moderne teknologier for trådløse netværk er 802.11a, 802.11b, 802.11n og 802.11g, disse er baseret på deres frekvens.

Til forhindre angreb på vores trådløse netværk vi kan udføre følgende opgaver:

• Undgå at bruge tomt SSID

• Undgå at bruge standard SSID

• Brug IPsec til at forbedre sikkerheden i vores IPS

• Udfør MAC -filtre for at undgå unødvendige adresser

Nogle værktøjer, der bruges til at udføre trådløs hacking er:

• skæbne

• GPSMap

• NetStumbler

• AirSnort

• DStumbler

Selvom vi i vores virksomhed ikke bruger trådløse netværk kontinuerligt, er det godt at implementere sikkerhedspolitik for at forhindre angreb for dem ville det være ideelt at gøre følgende (i tilfælde af kun at bruge trådløs):

• Deaktiver DHCP

• Opdater firmware

• Brug WPA2 og højere sikkerhed

• I tilfælde af fjernforbindelse skal du bruge VPN

Denial of service (DoS) angreb
Hovedformålet med denne type angreb er at påvirke alle tjenester i vores system, enten ved at stoppe dem, mætte dem, eliminere dem osv.

Vi kan forhindre et DoS -angreb ved hjælp af følgende aktiviteter:

• Brug de tjenester, vi virkelig har brug for

• Deaktiver ICMP -svar på firewall

• Opdater operativsystemet

• Opdater vores firewall med DoS -angrebsmulighed

Nogle værktøjer, som vi kan finde i netværket til DoS -angreb er:

• FSM FSMax

• Nogle problemer

• Rystelse 2

• Sprængning20

• Panther2

• Crazy Pinger osv.

Password Cracking Tools
Et andet af de almindelige angreb, som vi kan lide i vores organisationer, er angrebet på adgangskoder, som vi allerede nævnte, nogle gange er de etablerede adgangskoder ikke stærke nok, hvorfor vi er tilbøjelige til at en ubuden gæst stjæler vores adgangskode og har adgang til vores system. Vi ved, at sikkerheden for vores adgangskoder er baseret på:

• Godkendelse: Tillader adgang til systemet eller virksomhedens applikationer

• Bemyndigelse: Hvis den indtastede adgangskode er korrekt, validerer systemet den og godkender indtastningen

Typerne af mest almindelige angreb finder vi for at stjæle vores adgangskoder er:

Ordbog angrebDe er lister over etablerede ord, der er synkroniseret, og det valideres, hvis vores adgangskode er inkluderet der.

Brute force angrebDet er et af de mest effektive angreb, da det indeholder bogstaver, tal og specialtegn, og de danner kombinationer, indtil de finder den korrekte nøgle

HybridangrebDet er en kombination af de to (2) ovenfor.

Nogle password hacking værktøjer er:

• Pwdump3

• John Ripper

• Boson GetPass

• Elcomsoft

Husk, at hvis vores adgangskode eller en bruger i organisationen bliver opdaget af en ubuden gæst, kan vi få alvorlige problemer, så det er vigtigt husk, at de fleste omfatter følgende betingelser for vores adgangskoder:

• Små bogstaver

• Store bogstaver

• Særlige tegn

• Tal

• Komplekse ord

Vi anbefaler at gennemgå denne vejledning for at have helt stærke adgangskoder.

Vi kan opdage, om vi er ofre for password -revner kontrol af systemlogfiler, konstant overvågning af netværkstrafik osv. På sektionsværktøjssiden kan vi finde forskellige værktøjer, der hjælper os med vores arbejde med at overvåge netværket og dets mulige angreb, invitationen er at kende det og udføre tests.

En anden side, vi kan besøge, er foundstone, der tilhører McAffe og indeholder en interessant gruppe nyttige værktøjer.

Forfalskning
I denne type vil angriberen efterligne en anden enhed, for dette vil han forfalske de data, der sendes i kommunikationen. Denne type angreb kan forekomme i forskellige protokoller, vi har IP -spoofing, ARP -spoofing, DNS -spoofing, DHCP -spoofing osv.

Her er nogle almindelige angreb:

• Ikke - blind spoofing

• Blind spoofing

• Mand i midten

• Denial of Service (DOS)

• Portstjæling

Nogle modforanstaltninger, vi kan tage:

• Brug kryptering og godkendelse

• Anvend input- og outputfiltrering på routeren

Kodeinjektion
Den er baseret på udnyttelse af en fejl forårsaget af behandling af ugyldige data. Det bruges af en angriber til at indsætte eller injicere kode i et sårbart computerprogram og ændre udførelsesforløbet. En vellykket injektion kan have katastrofale konsekvenser.

Nogle steder hvor vi kan sammensætte et injektionsangreb:

• SQL

• LDAP

• XPath

• NoSQL -forespørgsler

• HTML

• Skal

Nogle foranstaltninger, vi kan tage, når vi planlægger:

• Filtrer posterne

• Parameteriser SQL -sætninger

• Escape -variabler

Som vi kan se, har vi mange alternativer til at modvirke mulige angreb på vores organisation af ubudne gæster, det er op til vores opgave (hvis det er tilfældet) at foretage en detaljeret analyse og tage handling på disse spørgsmål.

Som vi nævnte før, og heldigvis vil der ikke altid være en hacker eller ubuden gæst interesseret i at trænge ind i vores system og stjæle information, men vi ved aldrig i fremtiden, hvor vores organisation eller os selv vil være.