Bilgisayar saldırısı ve davetsiz misafir türleri ve bunların nasıl tespit edileceği

Hepimizin bildiği gibi, her gün daha iyi güvenlik seviyeleri gerektiren bilgilerle çevrili bir dünyadayız. Yöneticiler ve BT yöneticileri olarak, kuruluşumuzun veya bizimkinin verilerinin güvende olması için güvenliği sağlamaktan doğrudan sorumluyuz..

Kaybolduğunda veya çalındığında bilgilerimiz belki o kadar değerli veya çok önemli olmayabilir ancak banka hesapları, hesap özetleri, kişisel bilgiler vb. gibi sistemlerimizde "güvenli" kalması gereken çok özel bilgilere sahip olabiliriz ve bunu yapamayız. Bugün bilgisayar korsanlığının eskisinden çok farklı hale geldiğini inkar edin, bugün bu tür faaliyetler için daha fazla saldırı mekanizması ve farklı teknikler var.

Bu sefer davetsiz misafirlerden bahsedeceğiz, bilgisayar korsanlarının var olabilecek güvenlik açıklarından yararlanarak bilgilere erişme yollarından bazılarını analiz edeceğiz.

bunu anlıyoruz sisteme yetkisiz erişim ciddi bir güvenlik sorunu teşkil ediyor O kişi veya yazılım veri tabanımızdan değerli bilgileri çekip daha sonra farklı şekillerde kuruluşa zarar verebileceğinden, yetkisiz girebilen yazılımlardan bahsettiğimizde bunun bir solucan, bir Truva atı veya genel olarak bir virüs olduğunu düşünebiliriz. virüs.

Aşağıda bu alanlara odaklanacağız:

  • 1. Davetsiz misafir türleri
  • 2. İzinsiz giriş teknikleri
  • 3. Davetsiz misafir algılama
  • 4. Saldırı türleri

1. Davetsiz misafir türleri


Üç (3) tür davetsiz misafir tanımlayabiliriz:

dolandırıcı kullanıcıKuruluşun kaynaklarına yasa dışı olarak erişen veya izinlere sahip olarak mevcut bilgileri kötüye kullanan bir kullanıcıyı ifade eder.

TaklitçiKuruluşta yasal erişimle hiçbir ilgisi olmayan, ancak yasal bir kullanıcının kimliğini alarak erişim sağlama ve zarar verme düzeyine ulaşmayı başaran kişidir.

gizli kullanıcıKuruluşun sisteminin denetiminin kontrolünü alabilen kişidir.

Taklitçi genellikle harici bir kişidir, hileli kullanıcı dahilidir ve gizli kullanıcı harici veya dahili olabilir. Saldırgan saldırıları, türü ne olursa olsun, ciddi veya iyi huylu olarak sınıflandırılabilir, iyi huyluda sadece ağda ne olduğunu görmek için erişirlerken, ciddi saldırılarda bilgiler ağ içinde çalınabilir ve/veya değiştirilebilir.

2. izinsiz giriş teknikleri


Bildiğimiz gibi, bir sisteme erişmenin yaygın yolu şifrelerdir ve saldırganın amacı, erişimleri ihlal etme ve bilgi edinme hedefine ulaşmak için farklı teknikler kullanarak şifreler elde etmektir. Parola dosyamızın aşağıdaki yöntemlerden biri ile korunması önerilir:

Tek yönlü şifrelemeBu seçenek, kullanıcı parolasının yalnızca şifrelenmiş bir biçimini saklar, bu nedenle kullanıcı parolasını girdiğinde, sistem onu ​​şifreler ve depoladığı değerle karşılaştırır ve aynıysa erişimi sağlar, aksi takdirde reddeder.

Giriş kontroluBu yöntemle parola erişimi çok sınırlıdır, yalnızca bir veya birkaç hesapla sınırlıdır.

NS bilgisayar korsanları tarafından yaygın olarak kullanılan yöntemler, bazı analizlere göre bunlar:

  • Bilgisayar korsanı sitelerinde bulunan sözlük sözcüklerini veya olası parola listelerini test edin
  • Kullanıcıların telefon numaraları veya kimlik belgeleriyle deneme
  • Plaka numaralarıyla test
  • Diğerlerinin yanı sıra kullanıcılardan kişisel bilgiler alın

3. davetsiz misafir algılama


Yöneticiler olarak, sistemimizin gelecekte baş ağrısı yaşamaması için sahip olması gereken olası zafiyetleri analiz etmemiz gerekir, bu arızaları aşağıdaki kavramlarla analiz edebiliriz:
  • Bir davetsiz misafirin nasıl saldırabileceğini incelersek, bu bilgi sistemimize izinsiz girişin önlenmesini güçlendirmemize yardımcı olacaktır.
  • Müdahaleci kullanıcıyı hızlı bir şekilde tespit edersek, bu kişinin sistemimizde işini yapmasını engelleyebilir ve böylece zarar görmesini engelleyebiliriz.

Yöneticiler olarak, kurumumuzdaki kullanıcıların davranışlarını analiz edebilir ve intranet aracılığıyla erişilmemesi gereken bilgisayarlara veya klasörlere erişim, dosyaların değiştirilmesi vb. gibi garip davranışlar sergileyip sergilemediklerini birçok analizle tespit edebiliriz. Saldırganların analizinde bize çok yardımcı olacak araçlardan biri de, kullanıcılar tarafından gerçekleştirilen faaliyetleri takip etmemizi sağladığı için denetim günlüğüdür.

İki (2) tür kullanabiliriz denetim planları:

Keşif için Özel Denetim GünlükleriBu tür günlükleri, yalnızca saldırı tespit sisteminin gerektirdiği bilgileri bize gösterecek şekilde uygulayabiliriz.

Yerel denetim günlükleriİşletim sistemlerinde varsayılan olarak gelen ve tüm kullanıcı etkinliklerini, örneğin Microsoft Windows olay görüntüleyicisini depolayan araçtır.

Profillere, yani kullanıcıların davranışlarına dayalı anormallikleri tespit edebiliriz, bunun için aşağıdaki değişkenleri kullanabiliriz:

  • Tezgah: Bir eylemle başlatılıncaya kadar artırılabilen ancak azaltılamayan bir değerdir.
  • kalibre: Artan veya azalan bir sayıdır ve bir varlığın cari değerini ölçer.
  • Zaman aralığı: İki olay arasındaki süreyi ifade eder
  • Kaynakların kullanımı: Belirli bir zamanda tüketilen kaynak miktarını ifade eder.

Başka bir algılama türü daha vardır ve kurallara dayalıdır, bunlar sistemde meydana gelen olaylara dayalı olarak izinsiz girişi tespit eder ve etkinliğin şüpheli olup olmadığını belirlemek için bir dizi tanımlanmış kural uygular.

Bu kurallara bazı örnekler:

Davetsiz misafirlerin dikkatini çekmek için ilginç tekniklerden biri bal küpleri kullanmaktır.Savunmasız veya zayıf görünen ve yanlış bilgiler içeren ancak davetsiz misafir için hoş bir görünüme sahip sistemlerin oluşturulduğu güvenlik araçları olan, açıkçası bir bal küpünün meşru bir kullanıcıya erişimi yoktur veya olmayacaktır. organizasyon.

Ne davetsiz misafir saldırılarını önlemek için güvenlik önlemi Şüphesiz, parolaların doğru yönetimi vardır, bir parolanın şunları sağladığını biliyoruz:

  • Bir kullanıcıya sisteme erişim sağlama veya erişim sağlama
  • Kullanıcıya atanan ayrıcalıkları sağlayın
  • Şirkette güvenlik politikaları sunun

Amerika Birleşik Devletleri'ndeki bir kuruluş tarafından üç (3) milyon hesaba dayalı olarak yapılan bir çalışmada, kullanıcıların şifreleri için düzenli olarak aşağıdaki parametreleri (hiç güvenli olmayan) kullandıkları sonucuna varılmıştır:

  • Hesap adı
  • Kimlik Numaraları
  • Ortak isimler
  • Yer adları
  • Sözlük
  • Makine adları

Yöneticiler, koordinatörler veya BT başkanları olarak görevimiz gereği, kuruluşumuzun kullanıcılarını bilmeleri için eğitmemiz önemlidir. güçlü bir şifre nasıl ayarlanır, aşağıdaki yöntemleri kullanabiliriz:

  • Reaktif şifre kontrolü
  • Proaktif şifre kontrolü
  • Kullanıcılarımızın eğitimi
  • Bilgisayar tarafından oluşturulan şifreler

Gördüğümüz gibi, hepimiz (Yöneticiler ve kullanıcılar) arasında, davetsiz misafirlerden gelen herhangi bir etkinlikle başa çıkabiliriz.

4. Saldırı türleri


Ardından, farklı sistemlerde gerçekleştirilebilecek bazı saldırı türlerini inceleyeceğiz, bu analizi etik bir hacker yaklaşımıyla gerçekleştireceğiz.

kaçırma
Bu saldırı türü, başka bir cihazla iletişim kurmak için bir cihazın bir bölümünün alınmasından oluşur, iki (2) tür kaçırma vardır:

  • Aktif: Ana bilgisayarın bir bölümünün alındığı ve hedefi tehlikeye atmak için kullanıldığı zamandır.
  • pasif: Cihazın bir bölümü ele geçirildiğinde ve iki cihaz arasındaki tüm trafik kaydedildiğinde gerçekleşir.

Sahibiz kaçırma araçları gibi sayfalardan:

  • IP İzleyici

¿Kendimizi korsanlardan nasıl koruyabiliriz?? Protokole veya işleve bağlı olarak aşağıdaki yöntemlerden herhangi birini kullanabiliriz, örneğin:

  • FTP: sFTP kullanalım
  • Uzak bağlantı: VPN kullanalım
  • HTTP: HTTPS kullanalım
  • Telnet veya rlogin: hadi OpenSSH veya SSH kullanalım
  • IP: IPsec kullanalım

Bir Web Sunucusuna Saldırı
Web hizmetlerini uygulamak için en yaygın sunucular Apache ve IIS'ye sahibiz. Bu sunuculara saldırmak isteyen saldırganlar veya bilgisayar korsanları, Html, ASP ve PHP gibi en az üç (3) programlama dili bilgisine sahip olmalıdır. NS web sunucularımıza dikkat edin, araçları kullanabiliriz, aşağıdakiler gibi Brute Force Attack olarak adlandırılır:

  • Windows için Brutus
  • Linux için Hydra
  • Linux için NIX

NS web sunucusu düzeyinde bulduğumuz en yaygın saldırılar aşağıdaki gibidir:

  • Komut Dosyası Saldırısı
  • Aynı koddaki şifreler
  • Web uygulamalarındaki güvenlik açıkları
  • Kullanıcı adı doğrulama

Yöneticiler olarak yapabiliriz aşağıdaki uygulamaları uygulayın:

  • Virüsten koruma yazılımını yükleyin ve / veya güncelleyin
  • Karmaşık şifreler kullanın
  • Varsayılan hesapları değiştir
  • Test kodlarını sil
  • Sistemi ve hizmet paketini güncelleyin
  • Sistem günlüklerini sürekli olarak yönetin ve izleyin

Web sitemizin saldırılara açık olup olmadığını doğrulamamızı sağlayan Acunetix aracını kullanabilir, bağlantıdan indirebiliriz.

Arka Kapılar ve Truva Atları
Truva atlarının çoğu, kuruluşun olası bir saldırıya yanıt verdiğini doğrulamak için test modunda çalıştırılır, ancak %100'ü dahili testlerden değildir, ancak diğer durumlarda bir davetsiz misafir tarafından kötü niyetlidir.

Bazıları en yaygın truva atları NS:

  • ağ otobüsü
  • orantı
  • cennet
  • ördek otu
  • ağ kedisi

NS Truva saldırılarını önlemek Yöneticiler olarak aşağıdaki gibi bazı görevleri yerine getirmemiz önemlidir:

  • Bir antivirüs yükleyin ve güncelleyin
  • Güvenlik Duvarını çalıştırın ve etkinleştirin
  • Truva atı tarayıcısı kullanın
  • Sistem yamalarını güncelle

Kablosuz ağlara saldırı
Kablosuz ağlarımız bir davetsiz misafir tarafından saldırıya meyilli olabilir, Kablosuz ağların modern teknolojilerinin 802.11a, 802.11b, 802.11n ve 802.11g olduğunu biliyoruz, bunlar frekanslarına dayanmaktadır.

NS kablosuz ağlarımıza yönelik saldırıları önlemek aşağıdaki görevleri gerçekleştirebiliriz:

  • Boş SSID kullanmaktan kaçının
  • Varsayılan SSID'yi kullanmaktan kaçının
  • IPS'mizde güvenliği artırmak için IPsec kullanın
  • Gereksiz adreslerden kaçınmak için MAC filtreleri gerçekleştirin

Biraz Kablosuz bilgisayar korsanlığı yapmak için kullanılan araçlar NS:

  • Kısmet
  • GPSHarita
  • NetStumbler
  • Hava Snort
  • DStumbler

Şirketimizde kablosuz ağları sürekli kullanmasak da uygulamakta fayda var. saldırıları önlemek için güvenlik politikaları onlar için aşağıdakileri yapmak ideal olacaktır (yalnızca Kablosuz kullanılması durumunda):

  • DHCP'yi devre dışı bırak
  • Bellenimi Güncelle
  • WPA2 ve daha yüksek güvenlik kullanın
  • Uzak bağlantı durumunda VPN kullanın

Hizmet reddi (DoS) saldırıları
Bu tür bir saldırının temel amacı, sistemimizin tüm hizmetlerini durdurarak, doyurarak, ortadan kaldırarak vb.

Yapabiliriz DoS saldırısını önlemek aşağıdaki aktiviteleri kullanarak:

  • Gerçekten ihtiyacımız olan hizmetleri kullanın
  • Güvenlik Duvarında ICMP Yanıtını Devre Dışı Bırak
  • İşletim sistemini güncelleyin
  • Güvenlik Duvarımızı DoS saldırısı seçeneğiyle güncelleyin

Biraz DoS saldırıları için ağda bulabileceğimiz araçlar NS:

  • FSM FSMaks
  • Bazı sorunlar
  • sarsıntı 2
  • patlama20
  • panter2
  • Çılgın Pinger, vb.

Şifre Kırma Araçları
Kuruluşlarımızda maruz kalabileceğimiz yaygın saldırılardan bir diğeri de şifrelere yönelik saldırılardır, daha önce de belirttiğimiz gibi, bazen kurulan şifreler yeterince güçlü değildir, bu yüzden bir davetsiz misafirin şifremizi çalmasına ve erişebilmemize eğilimliyiz. bizim sistemimiz. Parolalarımızın güvenliğinin aşağıdakilere dayandığını biliyoruz:

  • kimlik doğrulama: Sisteme veya şirket uygulamalarına erişim yetkisi verir
  • yetki: Girilen şifre doğruysa, sistem şifreyi doğrular ve girişe izin verir.

türleri şifrelerimizi çalmak için bulduğumuz en yaygın saldırılar NS:

Sözlük saldırılarıBunlar, senkronize edilmiş yerleşik kelimelerin listeleridir ve şifremizin orada olup olmadığı doğrulanır.

kaba kuvvet saldırısıHarfler, sayılar ve özel karakterler içerdiği ve doğru anahtarı bulana kadar kombinasyonlar oluşturduğu için en etkili saldırılardan biridir.

Hibrit SaldırılarYukarıdaki ikisinin (2) birleşimidir.

Biraz şifre kırma araçları NS:

  • Pwdump3
  • yırtıcı John
  • Bozon Geçidi
  • Elcomsoft

Parolamızın veya kuruluştaki bir kullanıcının parolasının bir davetsiz misafir tarafından keşfedilmesi durumunda ciddi sorunlar yaşayabileceğimizi unutmayın, bu nedenle bu önemlidir. Çoğunun şifrelerimiz için aşağıdaki koşulları içerdiğini unutmayın:

  • Küçük harfler
  • Büyük harfler
  • Özel karakterler
  • Sayılar
  • Karmaşık kelimeler

Tamamen güçlü parolalara sahip olmak için bu öğreticiyi incelemenizi öneririz.

Yapabiliriz şifre kırma kurbanı olup olmadığımızı tespit edin sistem günlüklerini kontrol etme, ağ trafiğini sürekli izleme vb. Sectools sayfasında, ağı ve olası saldırılarını izleme çalışmalarımızda bize yardımcı olacak farklı araçlar bulabiliriz, davetiye onu tanımak ve testler yapmaktır.

Ziyaret edebileceğimiz bir diğer sayfa ise McAffe'ye ait olan ve ilginç bir grup faydalı araç içeren Foundstone'dur.

yanıltma
Bu tipte, saldırgan başka bir varlığı taklit eder, bunun için iletişimde gönderilen verileri tahrif eder. Bu tür saldırılar farklı protokollerde gerçekleşebilir, IP sahtekarlığı, ARP sahtekarlığı, DNS sahtekarlığı, DHCP sahtekarlığı vb.

İşte bazıları ortak saldırılar:

  • Kör Olmayan Sahtekarlık
  • Kör Kimlik Sahtekarlığı
  • Ortadaki adam
  • Hizmet reddi (DOS)
  • liman hırsızlığı

Biraz alabileceğimiz karşı önlemler:

  • Şifreleme ve kimlik doğrulama kullanın
  • Yönlendiricide giriş ve çıkış filtrelemesi uygulayın

Kod enjeksiyonu
Geçersiz verilerin işlenmesinden kaynaklanan bir hatanın kullanılmasına dayanır. Saldırgan tarafından, güvenlik açığı bulunan bir bilgisayar programına kod eklemek veya enjekte etmek ve yürütme sürecini değiştirmek için kullanılır. Başarılı bir enjeksiyon feci sonuçlara yol açabilir.

Bazı yerler bir enjeksiyon saldırısını bir araya getirebileceğimiz yer:

  • SQL
  • LDAP
  • XPath
  • NoSQL sorguları
  • HTML
  • Kabuk

Biraz planlarken alabileceğimiz önlemler:

  • Girişleri filtrele
  • SQL deyimlerini parametrelendirin
  • kaçış değişkenleri

Görüldüğü gibi, davetsiz misafirlerin organizasyonumuza yönelik olası saldırılarına karşı birçok alternatifimiz var, bu konularda detaylı bir analiz yapmak ve aksiyon almak (eğer varsa) bize düşüyor.

Daha önce de belirttiğimiz gibi ve neyse ki, sistemimize sızmak ve bilgi çalmakla ilgilenen bir bilgisayar korsanı veya davetsiz misafir her zaman olmayacaktır, ancak gelecekte kuruluşumuzun veya kendimizin nerede olacağını asla bilemeyiz.

wave wave wave wave wave