Soorten computeraanvallen en indringers en hoe ze te detecteren

Zoals we allemaal weten, bevinden we ons in een wereld die wordt omringd door informatie die elke dag een beter beveiligingsniveau vereist Als beheerders en IT-hoofden zijn wij direct verantwoordelijk voor het bieden van beveiliging zodat de gegevens van onze organisatie, of die van ons, veilig zijn.

Misschien is onze informatie niet zo waardevol of zo belangrijk als deze verloren of gestolen is, maar we kunnen zeer speciale informatie hebben, zoals bankrekeningen, rekeningafschriften, persoonlijke informatie, enz., die "veilig" moet blijven in onze systemen en we kunnen dat niet ontkennen dat hacken tegenwoordig heel anders is geworden dan voorheen, zijn er tegenwoordig meer aanvalsmechanismen en verschillende technieken voor dergelijke activiteiten.

Deze keer zullen we het hebben over indringers, we zullen enkele manieren analyseren waarop hackers toegang kunnen krijgen tot informatie door gebruik te maken van mogelijke kwetsbaarheden.

We begrijpen dat ongeoorloofde toegang tot het systeem vormt een ernstig beveiligingsprobleem Aangezien die persoon of software waardevolle informatie uit onze database kan halen en later de organisatie op verschillende manieren kan schaden, kunnen we, als we het hebben over software die zonder autorisatie binnenkomt, denken dat het een worm, een Trojaans paard of, in het algemeen, een virus.

We gaan ons hieronder richten op deze gebieden:

  • 1. Soorten indringers
  • 2. Inbraaktechnieken
  • 3. Indringerdetectie
  • 4. Soorten aanvallen

1. Soorten indringers


We kunnen drie (3) soorten indringers onderscheiden:

frauduleuze gebruikerHet verwijst naar een gebruiker die illegaal toegang heeft tot bronnen van de organisatie of die, met de machtigingen, de beschikbare informatie misbruikt.

imitatorHet is een persoon die niets te maken heeft met legale toegang in de organisatie, maar die erin slaagt het niveau te bereiken van het nemen van de identiteit van een legitieme gebruiker om toegang te krijgen en de schade aan te richten.

clandestiene gebruikerHet is een persoon die de controle over de audit van het systeem van de organisatie kan overnemen.

Gewoonlijk is de imitator een externe persoon, de frauduleuze gebruiker is intern en de clandestiene gebruiker kan extern of intern zijn. Inbraakaanvallen, ongeacht het type, kunnen worden geclassificeerd als ernstig of goedaardig, in de goedaardige hebben ze alleen toegang om te zien wat er op het netwerk staat, terwijl in de ernstige gevallen informatie binnen het netwerk kan worden gestolen en/of gewijzigd.

2. Inbraaktechnieken


Zoals we weten, is de gebruikelijke manier om toegang te krijgen tot een systeem via wachtwoorden en dit is waar de indringer naar streeft, het verkrijgen van wachtwoorden met behulp van verschillende technieken om zijn doel te bereiken om toegang te schenden en informatie te verkrijgen. Het wordt aanbevolen dat ons wachtwoordbestand wordt beveiligd met een van de volgende methoden:

EenrichtingsversleutelingDeze optie slaat alleen een gecodeerde vorm van het wachtwoord van de gebruiker op, dus wanneer de gebruiker zijn wachtwoord invoert, versleutelt het systeem het en vergelijkt het met de waarde die het heeft opgeslagen en, als het identiek is, geeft het toegang, anders weigert het het.

ToegangscontroleMet deze methode is wachtwoordtoegang zeer beperkt, alleen voor een of enkele accounts.

De methoden die vaak worden gebruikt door hackers, volgens sommige analyses zijn ze:

  • Test woordenboekwoorden of lijsten met mogelijke wachtwoorden die beschikbaar zijn op hackerssites
  • Proberen met telefoonnummers of identificatiedocumenten van gebruikers
  • Testen met kentekenplaten
  • Persoonlijke informatie verkrijgen van onder andere gebruikers

3. Indringer detectie


Als beheerders moeten we de mogelijke kwetsbaarheden analyseren die ons systeem heeft om hoofdpijn in de toekomst te voorkomen, we kunnen deze fouten analyseren met de volgende concepten:
  • Als we bestuderen hoe een indringer kan aanvallen, zal deze informatie ons helpen de preventie van inbraak in ons systeem te versterken
  • Als we de opdringerige gebruiker snel detecteren, kunnen we voorkomen dat deze persoon zijn ding doet in ons systeem en zo schade voorkomen.

Als beheerders kunnen we het gedrag van gebruikers binnen onze organisatie analyseren en met veel analyse detecteren of ze vreemd gedrag vertonen, zoals toegang via het intranet tot computers of mappen die niet mogen worden geopend, wijziging van bestanden, enz. Een van de tools die ons veel zal helpen bij de analyse van indringers, is het auditlogboek, omdat het ons in staat stelt om de activiteiten van gebruikers bij te houden.

We kunnen twee (2) soorten gebruiken auditplannen:

Specifieke auditlogboeken voor detectieWe kunnen dergelijke logboeken zo implementeren dat het ons alleen de informatie toont die nodig is voor het inbraakdetectiesysteem.

Systeemeigen controlelogboekenHet is de tool die standaard in besturingssystemen wordt geleverd en alle gebruikersactiviteiten opslaat, bijvoorbeeld de Microsoft Windows-gebeurtenisviewer.

We kunnen anomalieën detecteren op basis van profielen, dat wil zeggen op het gedrag van gebruikers, hiervoor kunnen we de volgende variabelen gebruiken:

  • Balie: Het is een waarde die kan worden verhoogd, maar niet kan worden verlaagd totdat deze wordt geïnitieerd door een actie
  • Kaliber: Het is een getal dat kan toenemen of afnemen, en meet de huidige waarde van een entiteit
  • Tijdsinterval: verwijst naar de tijdsperiode tussen twee gebeurtenissen
  • Gebruik van middelen: Het impliceert de hoeveelheid middelen die in een bepaalde tijd worden verbruikt

Er is een ander type detectie en het is degene die is gebaseerd op regels, deze detecteren de inbraak op basis van de gebeurtenissen die zich in het systeem voordoen en passen een reeks gedefinieerde regels toe om te bepalen of de activiteit verdacht is of niet.

Enkele voorbeelden van deze regels zijn:

Een van de interessante technieken om de aandacht van indringers te trekken, is het gebruik van honeypots, die eenvoudigweg beveiligingshulpmiddelen zijn waarbij systemen worden gemaakt die kwetsbaar of zwak lijken en waarin valse informatie staat, maar met een aangename uitstraling voor de indringer, heeft een honeypot uiteraard geen toegang tot een legitieme gebruiker van de organisatie.

Wat beveiligingsmaatregel om aanvallen van indringers te voorkomen Zonder twijfel is er het juiste beheer van wachtwoorden, we weten dat een wachtwoord het volgende mogelijk maakt:

  • Geef een gebruiker al dan niet toegang tot het systeem
  • Geef de privileges die zijn toegewezen aan de gebruiker
  • Beveiligingsbeleid aanbieden in het bedrijf

In een studie uitgevoerd door een organisatie in de Verenigde Staten, op basis van drie (3) miljoen accounts, werd geconcludeerd dat gebruikers regelmatig de volgende parameters gebruiken voor hun wachtwoorden (die helemaal niet veilig zijn):

  • Accountnaam
  • Identificatienummers
  • Veelvoorkomende namen
  • Plaatsnamen
  • Woordenboek
  • Machinenamen

Het is belangrijk dat we in onze rol als beheerders, coördinatoren of hoofden IT de gebruikers van onze organisatie opleiden zodat ze weten hoe stel je een sterk wachtwoord in, kunnen we de volgende methoden gebruiken:

  • Reactieve wachtwoordcontrole
  • Proactieve wachtwoordcontrole
  • Educatie van onze gebruikers
  • Computer gegenereerde wachtwoorden

Zoals we kunnen zien, kunnen we tussen ons allemaal (beheerders en gebruikers) omgaan met elke activiteit van indringers.

4. Soorten aanvallen


Vervolgens zullen we enkele van de soorten aanvallen bekijken die in de verschillende systemen kunnen worden gepleegd, we gaan deze analyse uitvoeren met een ethische hackerbenadering.

kapen
Dit type aanval bestaat uit het nemen van een deel van een apparaat om te communiceren met een ander apparaat. Er zijn twee (2) soorten kaping:

  • Actief: Het is wanneer een deel van de host wordt ingenomen en gebruikt om het doelwit te compromitteren
  • passief: Gebeurt wanneer een deel van het apparaat in beslag wordt genomen en al het verkeer tussen de twee apparaten wordt geregistreerd

Wij hebben tools voor kaping van pagina's als:

  • IP-Watcher

¿Hoe we onszelf kunnen beschermen tegen kaping?? Afhankelijk van het protocol of de functie kunnen we bijvoorbeeld een van de volgende methoden gebruiken:

  • FTP: laten we sFTP gebruiken
  • Externe verbinding: laten we VPN gebruiken
  • HTTP: laten we HTTPS gebruiken
  • Telnet of rlogin: laten we OpenSSH of SSH gebruiken
  • IP: laten we IPsec gebruiken

Aanval op een webserver
De meest voorkomende servers om webservices te implementeren hebben we Apache en IIS. Indringers of hackers die deze servers willen aanvallen, moeten kennis hebben van minimaal drie (3) programmeertalen zoals Html, ASP en PHP. Tot zorg voor onze webservers we kunnen tools gebruiken, genaamd Brute Force Attack, zoals de volgende:

  • Brutus voor Windows
  • Hydra voor Linux
  • NIX voor Linux

De meest voorkomende aanvallen die we vinden op webserverniveau zijn als volgt:

  • ScriptAttack
  • Wachtwoorden in dezelfde code
  • Kwetsbaarheden in webapplicaties
  • Gebruikersnaam validatie

Als beheerders kunnen we implementeer de volgende praktijken::

  • Installeer en/of update de antivirus
  • Gebruik complexe wachtwoorden
  • Standaardaccounts wijzigen
  • Testcodes verwijderen
  • Systeem en servicepack bijwerken
  • Beheer en controleer voortdurend systeemlogboeken

We kunnen de Acunetix-tool gebruiken waarmee we kunnen controleren of onze website kwetsbaar is voor aanvallen, we kunnen deze downloaden via de link.

Achterdeuren en Trojaanse paarden
Veel van de Trojaanse paarden worden in de testmodus uitgevoerd om de reactie van de organisatie op een mogelijke aanval te verifiëren, maar niet 100% is afkomstig uit interne tests, maar in andere gevallen zijn ze met kwaadaardige bedoelingen van een indringer.

Sommige van de meest voorkomende trojans zijn:

  • Netbus
  • pro rata
  • paradijs
  • Duckfix
  • Netcat

Tot Trojaanse aanvallen voorkomen Het is belangrijk dat we als beheerders enkele taken uitvoeren zoals:

  • Installeer en update een antivirusprogramma
  • Voer en activeer de firewall
  • Gebruik een Trojaanse scanner
  • Systeempatches bijwerken

Aanval op draadloze netwerken
Onze draadloze netwerken kunnen vatbaar zijn voor aanvallen door een indringer, we weten dat moderne technologieën van draadloze netwerken 802.11a, 802.11b, 802.11n en 802.11g zijn, deze zijn gebaseerd op hun frequentie.

Tot aanvallen op onze draadloze netwerken voorkomen wij kunnen de volgende taken uitvoeren:

  • Vermijd het gebruik van lege SSID
  • Vermijd het gebruik van de standaard SSID
  • Gebruik IPsec om de beveiliging in onze IPS . te verbeteren
  • Voer MAC-filters uit om onnodige adressen te vermijden

Sommige tools die worden gebruikt om draadloos te hacken zijn:

  • Kismet
  • GPS-kaart
  • NetStumbler
  • AirSnort
  • DStumbler

Hoewel we in ons bedrijf niet continu draadloze netwerken gebruiken, is het goed om te implementeren beveiligingsbeleid om aanvallen te voorkomen voor hen zou het ideaal zijn om het volgende te doen (in het geval van alleen draadloos):

  • DHCP uitschakelen
  • Firmware bijwerken
  • Gebruik WPA2 en hogere beveiliging
  • Gebruik VPN in het geval van een externe verbinding

Denial of service (DoS)-aanvallen
Het belangrijkste doel van dit type aanval is om alle services van ons systeem te beïnvloeden, hetzij door ze te stoppen, te verzadigen, te elimineren, enz.

Wij kunnen een DoS-aanval voorkomen met behulp van de volgende activiteiten:

  • Gebruik de diensten die we echt nodig hebben
  • ICMP-reactie op firewall uitschakelen
  • Het besturingssysteem bijwerken
  • Update onze firewall met de DoS-aanvalsoptie

Sommige tools die we in het netwerk kunnen vinden voor DoS-aanvallen zijn:

  • FSM FSMax
  • Wat problemen
  • Schok 2
  • Ontploffing20
  • Panter2
  • Gekke Pinger, enz.

Hulpprogramma's voor het kraken van wachtwoorden
Een andere veelvoorkomende aanval die we in onze organisaties kunnen ondergaan, is de aanval op wachtwoorden, zoals we al zeiden, soms zijn de gevestigde wachtwoorden niet sterk genoeg, daarom zijn we vatbaar voor een indringer die ons wachtwoord steelt en toegang krijgt tot ons systeem. We weten dat de beveiliging van onze wachtwoorden is gebaseerd op:

  • authenticatie: Autoriseert toegang tot het systeem of bedrijfsapplicaties
  • autorisatie: Als het ingevoerde wachtwoord correct is, zal het systeem het valideren en de invoer autoriseren

de soorten meest voorkomende aanvallen die we vinden om onze wachtwoorden te stelen zijn:

Woordenboek aanvallenHet zijn lijsten met gevestigde woorden die worden gesynchroniseerd en het wordt gevalideerd als ons wachtwoord daar is opgenomen.

Brute aanvalHet is een van de meest effectieve aanvallen omdat het letters, cijfers en speciale tekens bevat en ze combinaties vormen totdat ze de juiste sleutel vinden

Hybride aanvallenHet is een combinatie van de twee (2) hierboven.

Sommige tools voor het hacken van wachtwoorden zijn:

  • Pwdump3
  • John de ripper
  • Boson GetPass
  • Elcomsoft

Onthoud dat als ons wachtwoord of dat van een gebruiker in de organisatie wordt ontdekt door een indringer we ernstige problemen kunnen hebben, dus het is belangrijk onthoud dat de meeste de volgende voorwaarden voor onze wachtwoorden bevatten::

  • Kleine letters
  • Hoofdletters
  • Speciale tekens
  • Cijfers
  • Complexe woorden

We raden aan deze tutorial te lezen om volledig sterke wachtwoorden te hebben.

Wij kunnen detecteren of we het slachtoffer zijn van het kraken van wachtwoorden systeemlogboeken controleren, het netwerkverkeer voortdurend controleren, enz. Op de sectools-pagina kunnen we verschillende tools vinden die ons zullen helpen bij ons werk om het netwerk en zijn mogelijke aanvallen te monitoren, de uitnodiging is om het te kennen en tests uit te voeren.

Een andere pagina die we kunnen bezoeken is Foundstone van McAffe en bevat een interessante groep handige tools.

spoofing
In dit type zal de aanvaller zich voordoen als een andere entiteit, hiervoor vervalst hij de gegevens die in de communicatie worden verzonden. Dit type aanval kan plaatsvinden in verschillende protocollen, we hebben IP-spoofing, ARP-spoofing, DNS-spoofing, DHCP-spoofing, enz.

Hier zijn een paar veel voorkomende aanvallen:

  • Niet-blinde spoofing
  • Blinde spoofing
  • Man in het midden
  • Denial-of-service (DOS)
  • Poort stelen

Sommige tegenmaatregelen die we kunnen nemen:

  • Versleuteling en authenticatie gebruiken
  • Pas invoer- en uitvoerfiltering toe op de router

Code-injectie
Het is gebaseerd op het misbruiken van een fout die is veroorzaakt door de verwerking van ongeldige gegevens. Het wordt door een aanvaller gebruikt om code in een kwetsbaar computerprogramma in te voegen of te injecteren en het verloop van de uitvoering te veranderen. Een succesvolle injectie kan desastreuze gevolgen hebben.

Sommige plaatsen waar we een injectie-aanval kunnen samenstellen:

  • SQL
  • LDAP
  • XPath
  • NoSQL-query's
  • HTML
  • Schelp

Sommige maatregelen die we kunnen nemen bij de planning:

  • Filter de vermeldingen
  • SQL-instructies parametriseren
  • Escape-variabelen

Zoals we kunnen zien, hebben we veel alternatieven om mogelijke aanvallen op onze organisatie door indringers tegen te gaan, het is aan onze taak om (als dat het geval is) een gedetailleerde analyse te maken en actie te ondernemen op deze kwesties.

Zoals we eerder vermeldden, zal er gelukkig niet altijd een hacker of indringer zijn die geïnteresseerd is in het binnendringen van ons systeem en het stelen van informatie, maar we weten in de toekomst nooit waar onze organisatie of onszelf zal zijn.

wave wave wave wave wave