www.eprace.edu.pl » cisco-ids-pix » Analiza zagrożeń dla sieci komputerowej » Ataki dostępu

Ataki dostępu

Spyware

Jest programem komputerowym służącym do szpiegowania działań użytkownika. Programy te gromadzą informacje o użytkowniku, a później wysyłają je na określony serwer najczęściej bez wiedzy i zgody użytkownika. Do takich informacji należeć mogą:

Oto niektóre z popularniejszych programów tego typu: Alexa, Aureate, Cydoor, Gator, Promulgate, SaveNow.

Programami specjalizującymi się w pobieraniu informacji o naciśniętych klawiszach oraz aktualnie w tym momencie aktywnymi aplikacjami jest jedna z pod kategorii spyware, a mianowicie są to keyloggery. Keyloggery mogą być programami przechwytującymi dane z klawiatury i zapisujące je do specjalnego pliku, oczywiście proces za to odpowiedzialny jest jak najbardziej zaszyty w systemie, aby nie można go było rozpoznać. Istnieją także keyloggery sprzętowe, najczęściej są to specjalne przejściówki wpinane między port klawiatury, a wtyczkę klawiatury zapisują one wszelkie znaki wysyłane z klawiatury do swojej pamięci. Informacje te następnie albo są od razu wysyłane drogą radiową albo czekają na odczytanie z tego keyloggera przez specjalny program.

Hijacking

Polega na przechwytywaniu transmisji odbywającej się między dwoma systemami. Dzięki temu wszystkie pakiety obu maszyn muszą przejść przez maszynę hakera, co stanowi poważne zagrożenie dla poufności przesyłanych danych. Ale jest to metoda specjalistyczna i stosowana tylko przez najlepszych.

Aktywne rozsynchronizowanie

Jej głównym zadaniem jest zerwanie połączenia TCP między dwoma systemami w efekcie czego komputery nie mogą wymieniać pakietów przez protokół połączeniowy TCP. Następnie intruz korzystając z trzeciego komputera podłączonego fizycznie do tej sieci odbiera pakiety od obu systemów tworząc odpowiednie zamienniki tak, aby połączenie TCP między nimi doszło do skutku z tym, że oczywiście wszystkie pakiety są przesyłane przez komputer hakera. Bezpośrednie połączenie klienta z serwerem jest zerwane, ale ta sesja TCP trwa dalej tyle, że pakiety przepływają przez 3 komputer, który sprytnie zmienia numery sekwencyjne i potwierdzeń, aby pasowały klientowi oraz serwerowi. Tak iż użytkownik nie ma najczęściej pojęcia, że jego sesja została przerwana, bowiem otrzymuje dane o które prosił. Oczywiście poprzez modyfikację pakietów można nie tylko przesyłać żądania klienta, ale także dopisać własne np. z prośbą o wylistowanie zawartości danego katalogu lub inne.

Rysunek 1.2 Zapytanie użytkownika do serwera z ingerencją hakera4

Z pakietów pochodzących od serwera otrzymane dane dodatkowe nie są przepisywane do pakietu odpowiedzi do klienta, ale tylko te, o które klient prosił.

Rysunek 1.3 Odpowiedź serwera wraz z informacjami dla hakera5

Atak tego rodzaju charakteryzuje się również tym, że wysyłana jest nawałnica potwierdzeń TCP, czyli bardzo dużo pakietów TCP z ustawionymi flagami ACK. Jeśli bowiem komputer nie może zaakceptować pakietu, np. w wyniku błędnego numeru sekwencyjnego to wysyła potwierdzenie z powrotem do nadawcy prosząc o poprawny numer sekwencyjny segmentu danych. Natłok tego rodzaju pakietów jest spowodowany tym, iż między komputerem klienta oraz serwera nastąpiło rozsynchronizowanie dla sesji TCP. Dlatego numery sekwencyjne oraz potwierdzeń nie zgadzają się i wysyłając ciągle prośby o ponowienie transmisji dla tego segmentu danych. Natomiast poprzez komputer hakera następuje poprawna wymiana pakietów, bowiem haker odpowiednio je modyfikuje.

Innym typem takiego ataku jest atak przez wczesne rozsynchronizowanie połączenia TCP. Otóż w tym wypadku rozsynchronizowanie następuje już na etapie uzgadniania trójetapowego sesji TCP.

Ataki korzystające z autoryzowanego dostępu

Opierają się na dostępie hakera do systemu przez konto użytkownika. Np. przez zdobycie hasła dla danego konta, bądź też wykorzystując nieuwagę pracownika, bądź w inny sposób. Tego rodzaju dostęp jest bardzo niebezpieczny szczególnie, gdy użytkownik ten posiada duże uprawnienia np. możliwość wejścia na inne serwery bez podawania hasła lub gdy jest administratorem.

Korzystanie z haseł to najchętniej wykorzystywana metoda dostępu do konta użytkownika wykorzystywana przez hakerów. Bardzo często do tego celu są wykorzystywane programy z gotowymi popularnymi hasłami (ze specjalnego słownika), które są sprawdzane w pierwszej kolejności dopiero później wykonywane jest ewentualne przeszukiwanie wszystkich możliwości (to tzw. atak brutalny – brute force attack).

Ataki wykorzystujące współdzielone biblioteki

Pliki bibliotek to funkcje oraz procedury używane przez różne programy razem z nimi ładowane do pamięci RAM. Odpowiednio spreparowany plik biblioteczny ze zmienioną zawartością niektórych funkcji może umożliwiać dostęp do sieci dla danego intruza.

Aby się przed takimi plikami obronić należy sprawdzać spójność bibliotek.

Ataki z wykorzystaniem promieniowania ujawniającego

Wykorzystują efekt występujący przy okazji przesyłania informacji w postaci wycieku jej poprzez falę elektromagnetyczną lub akustyczną. Przechwytywanie fali akustycznej realizuje się dla urządzeń wydających dźwięki np. dla drukarek igłowych, fala elektromagnetyczna występuje wszędzie tam gdzie przepływa zmienny prąd elektryczny. Formy ucieczki informacji poza kanał jej przesyłania są następujące:

Jest to bardzo poważne zagrożenie świadczyć o tym może fakt, iż wiele krajów pracuje nad tymi zagadnieniem. Np. USA od ponad pięćdziesięciu lat prowadzi niejawne badania nad tego typu wyciekiem informacji (program ten ma kryptonim TEMPEST).



komentarze

Copyright © 2008-2010 EPrace oraz autorzy prac.