Rodzaje i klasyfikacja włamań oraz ataków internetowych
Napisał: Patryk Krawaczyński, Damian Zelek
20/02/2010 w Ataki Internetowe Brak komentarzy. (artykuł nr 227, ilość słów: 1537)
N
iniejsza publikacja opisuje teoretyczne aspekty bezpieczeństwa komputerowego (włamania, ataki oraz techniki; odpowiednio posortowane oraz przydzielone do odpowiednich im sekcji); w żadnym wypadku publikacja ta nie jest tutorialem, czy przewodnikiem i nie powinna być w taki sposób postrzegana. Autorzy skupili się na możliwie jak najwierniejszym przedstawieniu poszczególnych i konkretnych technik ataków oraz ich klasyfikacji (swoista hierarchia). Niektóre z prezentowanych tu technik w warunkach “normalnych” i “przyjaznych” służą jako przydatne narzędzia dla administratorów czy też chociażby funkcje implementowane w celu zwiększenia funkcjonalności dla potencjalnych użytkowników, jednak w rękach włamywaczy mogą one stanowić (i stanowią) potencjalną broń – publikacja ta również w swoim zamierzeniu poświęca miejsce takim aspektom.
Włamanie jest typem ataku, który obejmuje kradzież prywatnych lub poufnych informacji, dowolną zmianę lub usunięcie danych i zmianę ustawień konfiguracyjnych. Podczas ataku tego typu może również zostać zablokowane konfigurowanie zabezpieczeń lub ich wyłączenie, czy zamiana plików konfiguracyjnych, w celu ułatwienia następnych włamań…
Wraz z rozwojem komunikacji sieciowej rozwijają się także ataki ukazujące słabości nowo powstałych rozwiązań. Możliwe jest, że podział ataków utrzyma się taki sam, lecz ich rodzaj oraz klasyfikacja zmienia się poprzez mieszanie poszczególnych ich anatomii. Coraz nowsze ataki łączą w sobie wiele rodzajów lub są udoskonaleniem swoich poprzedników. Niektóre z ataków już nie pozwalają na przyporządkowanie siebie do istniejących grup, co zmusza do tworzenia nowych klasyfikacji, które wraz z upływem czasu będą się stawać coraz większe. Niżej wymienione rodzaje ataków są tylko nielicznymi przykładami z jakimi możemy się spotkać użytkując komputery, a co za tym idzie Internet. Poza nimi istnieje jeszcze wiele innych ataków, które posiadają własne rozwiązania w stosunku do stosowanych technik sieciowych oraz ich zabezpieczeń.
Celem takich ataków są poszczególne komputery bądź serwer główny (ew. węzły nadzorujące). Konsekwencjami są zwykle przerwy w pracy sieci lokalnej, uszkodzenie poszczególnych (bądź wszystkich) końcówek serwera, a co za tym idzie – całej sieci, co powoduje wielogodzinne przerwy w pracy. Skutki mogą być niewinne i skończyć się na zawieszeniu poszczególnych komputerów czy nawet całej sieci, ale może to także prowadzić do fizycznego uszkodzenia sprzętu (albo co gorsza wyciek lub utraty ważnych i często poufnych danych).
Ataki możemy podzielić ze względu na:
- Źródło:
a) Zewnętrzne (zdalne) – ataki przeprowadzane są z systemów znajdujących się poza atakowaną siecią, na przykład atak na sieć firmy NFsec.Inc odbywa się z sieci firmy Agresory.Inc.
b) Wewnętrzne (lokalne) – ataki przeprowadzane są z systemów znajdujących się w atakowanej sieci, na przykład atak na główny serwer firmy NFsec.Inc odbywa się z serwera działu zaopatrzenia tej samej firmy przez sfrustrowanego pracownika. Atakiem wewnętrznym można również uznać atak użytkownika serwera w celu zdobycia
c) Pośrednie – ataki przeprowadzane są za pomocą systemów i urządzeń pośredniczących w celu ukrycia oryginalnego źródła ataku. Najczęściej do tego celu wykorzystywane są systemu typu open proxy i open relay lub inne systemy umożliwiające dalsze przekazywanie łączności sieciowej bez odpowiedniego filtrowania. Ataki pośrednie są również pierwszym etapem wykorzystania luk w zabezpieczeniach zaufanych środowisk, takich jak popularne witryny instytucji finansowych oraz społeczności internetowych. Po złamaniu zabezpieczeń zaufanego serwisu WWW, przestępcy mogą wykorzystać go jako źródło rozpowszechniania destrukcyjnych programów używanych następnie do włamywania się do wybranych komputerów.
d) Bezpośrednie – ataki przeprowadzane bezpośrednio na atakowanych systemach (zdalnie lub lokalnie) bez wykorzystania żadnych systemów i urządzeń pośredniczących. Bazują one na bezpośrednim wykorzystywaniu wykrytych luk, których specyfikacja uniemożliwia wykorzystania pośredników do przekazania strumienia ataku. Ataki bezpośrednie bardzo często przeprowadzane są z wcześniej przejętych systemów. W ten sposób atakujący posiada możliwość przeprowadzenia bezpośredniego ataku, a poprzez pełną kontrolę nad przejętym systemem “atrapą” zatarcia śladów oryginalnego źródła ataku.
- Zamiar:
a) Zamierzony – atakujący zdaje sobie sprawę z tego, co robi i jakie konsekwencje mogą z tego wyniknąć. Na przykład atak w celu uzyskania konkretnie wytyczonych informacji czy unieruchomienia serwera (DoS).
b) Niezamierzony – atakujący przypadkowo i nieświadomie dokonuje ataku, na przykład jeden z użytkowników serwera przez błąd programu obchodzi system autoryzacji uzyskując prawa administratora lub wpisując w formularzu losowy ciąg znaków wykonuje atak XSS.
- Skutek:
a) Udany – rozpoczęty atak przez atakującego kończy się osiągnięciem zamierzonego celu, na przykład poprzez przeskanowanie sieci wykrywa lukę w zabezpieczeniu, którą wykorzystuje do ataku, który okazuje się trafny i kończy się powodzeniem, zaciera za sobą ślady i opuszcza atakowany cel. Udany skutek ataku możemy podzielić na:
– Aktywny – w wyniku ataku system komputerowy traci integralność, na przykład atak włamywacza, który usuwa pewną ilość ważnych danych oraz powoduje zmianę działania programów. Atakiem aktywnym może być także modyfikowanie strumienia danych lub tworzenie danych fałszywych.
– Pasywny – atak ten polega na wejściu do systemu bez dokonywania w nim żadnych zmian, na przykład atak włamywacza, który kopiuje pewną ilość ważnych danych nie powodując zmian w działaniu programów. Atakiem pasywnym może być także podsłuchiwanie lub monitorowanie przesyłanych danych. W tym przypadku celem osoby atakującej jest odkrycie zawartości komunikatu. Typowym atakiem pasywnym może być analiza przesyłu danych (ang. traffic analysis). Ataki pasywne są bardzo trudne do wykrycia, ponieważ nie wiążą się z modyfikacjami jakichkolwiek danych.
b) Nieudany – rozpoczęty atak przez atakującego kończy się nie osiągnięciem zamierzonego celu, na przykład poprzez przeskanowanie sieci wykrywa lukę w zabezpieczeniu, którą wykorzystuje do ataku, który okazuje się nietrafny i kończy się niepowodzeniem, brak możliwości zatarcia śladów powoduje ryzyko wykrycia ataku jak i samego atakującego.
- Przepływ informacji:
a) Przerwanie (ang. interruption) – jest atakiem na dyspozycyjność polegający na częściowym zniszczeniu systemu lub spowodowaniu jego niedostępności (niezdolności do normalnego użytkowania). Przykładem tutaj może być fizyczne zniszczenie fragmentu komputera lub sieci, np. uszkodzenie dysku, przecięcie linii łączności między komputerem a drugim obiektem, lub uniemożliwienie działania systemu zarządzania plikami.
[##] ----------x---------> [##] [##] | [##] | | | Użytkownik Agresor Serwer
b) Przechwycenie (ang. interception) – jest atakiem opierającym się na poufności i występuje wtedy, gdy ktoś niepowołany uzyskuje dostęp do zasobów naszego systemu komputerowego. Przykładem tutaj może być podsłuch pakietów w celu przechwycenia danych w sieci i nielegalne kopiowanie plików lub programów.
[##] ----------|---------> [##] [##] | [##] | \ / | Użytkownik Agresor Serwer
c) Modyfikacja (ang. modification) – jest atakiem opierającym się na nienaruszalności polegający na zdobyciu dostępu do zasobów przez niepowołaną osobę, która wprowadza do nich jakieś zmiany w celu uzyskania wyższych praw lub utrzymaniu dostępu do danego systemu. Przykładem tutaj może być zmiana wartości w pliku z danymi, wprowadzenie zmiany w programie w celu wywołania innego sposobu jego działania lub modyfikacja komunikatów przesyłanych w sieci.
[##] ---------\ /--------> [##] [##] | [##] | | | Użytkownik Agresor Serwer
d) Podrobienie (ang. fabrication) – podrobienie jest atakiem opierającym się na autentyczności, podczas przesyłania danych z jednego do drugiego komputera trzeci komputer blokuję uniemożliwiając mu dalszy przesył, a sam wprowadza do systemu drugiego komputera fałszywe obiekty. Przykładem tutaj może być
wprowadzenie nieautentycznych komunikatów do sieci lub dodanie danych do pliku.[##] -------x-> /--------> [##] [##] | [##] | | | Użytkownik Agresor Serwer
- Dostęp do informacji:
a) Odczytanie (ang. read) – odczytanie informacji, do której nie jest się uprawnionym.
b) Przekopiowanie (ang. copy) – przekopiowanie zastrzeżonych informacji w celu ich swobodnego wykorzystania.
c) Modyfikacja (ang. modify) – modyfikacja zawartości i charakterystyki informacji w celu dalszej kompromitacji.
d) Usunięcie (ang. delete) – destrukcyjne działanie mające na celu bezpowrotne usunięcie wybranej informacji.
Warto także wspomnieć, iż bardzo często używanym kryterium miejsca przeprowadzania ataków jest także podawanie Warstwy OSI, na której atak / włamanie przebiega, ew. postronnie dotyczy. I tak przykładowo zgodnie z warstwami OSI, ataki na niższych warstwach (np. warstwa druga łącza danych L2 bądź też warstwa trzecia sieciowa L3) dotyczyć będą głównie routingu (ustalanie tras pakietów) czy też samego już “pakowania” danych w odpowiednie ramki. A więc ataki tutaj przynależne to m. in. ataki w sieciach DHCP oparte o sam przesył danych, ataki na MAC, ARP, wysyłanie niepoprawnych pakietów do routera w celu jego zablokowania, podszycia się, itp. Możliwości jest rzeczywiście bardzo wiele nawet w pierwszej warstwie L1 – fizycznej, która może już rozróżniać ataki na sieci przewodowe i bezprzewodowe. Z kolei ataki na warstwach wyższych dotyczyć już będą głównie błędów w samych aplikacjach, ich złych konfiguracjach, błędnego działania mechanizmów zabezpieczających typu firewall, NIDS, HIPS, wstrzykiwanie danych, itp.
Więcej informacji: Bezpieczeństwo teleinformatyczne, Ataki opisane w dziale “Ataki Internetowe”
Brak starszych postów Następny wpis