Опубликован: 16.10.2006 | Уровень: специалист | Доступ: платный
Лекция 1:

Угрозы безопасности в интернете

Методы направленных атак

В отличие от универсальной атаки направленная атака (targeted attack) нацелена на конкретную организацию. С ее помощью хакер осуществляет ряд подготовительных действий и исследований перед нанесением основного удара. Взломщик, целью которого является ваша сеть, использует различные инструменты универсальных атак, но в этом случае атака планируется и производится в несколько этапов, с особой осторожностью, не обнаруживая разведывательных действий, направленных на сбор информации, которая поможет реализовать атаку.

Сбор базовых сведений

Хакеры называют процесс сбора информации о сети-жертве сбором базовых сведений (футпринтингом, от англ. footprinting). Этот процесс начинается с таких тривиальных вещей, как копание в мусорных корзинах, в которые выбрасываются ненужные документы, или с попыток социального инжиниринга, направленных на выяснение архитектуры сети организации. Здесь годятся любые методы, с помощью которых хакер обеспечит себе хорошую базу, от которой оттолкнется при планировании атаки. Если взломщиком является пользователь рассматриваемой сети-жертвы, то у него, возможно, уже имеется необходимая информация.

Если внешний хакер руководствуется конструктивным подходом, он систематически добывает информацию, которая поможет ему получить нужные сведения. Такой метод является асимптотическим. Взломщик использует тесты и инструменты для сбора информации и раскрывает столько неизвестных параметров (например, сетевых адресов), сколько нужно для перехода к следующему этапу атаки.

Составление перечня параметров

На этапе выяснения структуры сети хакер получает информацию о домене и сетевых адресах, контролируемых организацией-жертвой, выполняя запросы баз данных домена верхнего уровня Internet Whois или Domain Name Service (DNS). Эти структуры позволяют находить серверы сети-жертвы с помощью веб-браузеров и почтовых клиентов. Таким образом, хакер получит ссылки на любой открытый IP-адрес, используемый компанией для серверов интернета или электронной почты. С помощью бесплатных или платных программ хакер сможет выяснить адреса и диапазоны IP-адресов, доступных в организации, а также провести довольно сложные исследования по определению адресов других узлов в сети-жертве.

Зондирование

Имея на руках определенный набор IP-адресов, хакер проводит зондирование целевого объекта, сканируя его для получения дополнительной информации. Взломщики обычно используют инструмент для выдачи тестовых ping-запросов (чтобы выяснить, какие системы находятся в рабочем состоянии), инструмент для определения используемых операционных систем, а также средство сканирования портов для выявления служб, работающих на узле. В качестве альтернативы используется комплексное автоматизированное средство, такое как Nmap, однако взломщик, соблюдающий осторожность, предпочтет остаться незамеченным, используя более деликатный подход.

Эксплоиты

После успешного исследования целевых узлов хакер инициирует атаку с помощью специальной программы-эксплоита (exploit). Если целью атаки является отказ в обслуживании, то результат, скорее всего, не заставит себя долго ждать. В противном случае хакер запустит программу крекинга или переполнения буфера, которая позволит ему проникнуть в систему. Иногда хакер использует веб-сайт в качестве отправной точки для проникновения в другую систему. Интернет-атака, направленная на базу данных, является примером такой атаки.

Хорошо спланированная направленная атака более сложна, нежели среднестатистическая универсальная атака. Нередко первое проникновение хакера в систему является лишь этапом сложного плана по длительному нахождению в системе-жертве. По этой причине среди хакеров распространено размещение в системе программы типа "троянский конь" или "черный ход" для захвата данных и упрощения повторного проникновения в систему.

Методы скрытия

Опытные хакеры, особенно те, кто осуществляет атаки с целью финансовой выгоды, стараются скрыть свое присутствие и "замести следы". Они выполняют сканирование, ускользая от внимания сетевых администраторов и систем обнаружения вторжений (IDS). После успешного завершения нужных действий взломщики скрывают следы своего присутствия, удаляя записи в журналах и редактируя протокол аудита. Нужно ли говорить о том, насколько трудно защищаться от атак, когда вы даже не подозреваете о них?

Перечень угроз

Можно ли уберечь себя от атаки хакера? Возможно, что нет. Если организация добилась успеха в своей сфере деятельности, и ее корпоративная сеть подключена к интернету, то она является "лакомым кусочком" для взломщиков. Однако можно усложнить задачу хакеров. О том, как это сделать, рассказывается далее.

Ниже приведен перечень угроз, о которых шла речь в данной лекции.

  • Категории атак:
    • отказ в обслуживании;
    • хакерство (несанкционированное проникновение в систему);
    • взлом защиты (крекинг).
  • Цели атак:
    • вывести из строя или проникнуть в инфраструктуру сети;
    • захватить управление серверами;
    • получить доступ к конфиденциальной информации или уничтожить содержимое;
    • похитить ресурсы или средства, отменить транзакции.
  • Методология хакерства:
    • случайный поиск или разведка для определения жертв;
    • сбор базовых сведений;
    • создание перечня параметров;
    • зондирование;
    • выполнение эксплоита;
    • сокрытие действий.
Антон Ворожейкин
Антон Ворожейкин
Россия, с. Новоселье
Дмитрий Клочков
Дмитрий Клочков
Россия, Рубцовск