Глава 2. Система управления информационной безопасностью Типовая модель нападения
В данной главе будет рассмотрен процесс хакерской атаки. Перед тем, как приступить к описанию данного процесса стоит выделить некую классификацию атак. Данную классификацию можно разделить на три типа:
Локальная атака;
Удаленная атака;
Атака на поток данных.
Под локальной атакой можно понимать некую физическую атаку, то есть, когда злоумышленник оказался рядом с компьютером жертвы.
Удаленная атака – это тип атаки, когда злоумышленник не видит ту рабочую станцию, с которой он производит хакерскую атаку. Более того компьютер жертвы в этот момент не проявляет никакой активности.
Атака на поток данных – это случай, при котором компьютер жертвы участвует в атаке на определенных сетевой сегмент, передовая информацию между собой.
Первое, о чем должен задуматься хакер — об отсутствии обратной связи. Другими словами, злоумышленник должен обеспечить себе условия, при которых жертва (или тот, кто будет действовать в его интересах) не сможет опознать или идентифицировать хакера, который произвел атаку на компьютер. Не умелые хакеры используют динамических IP –адрес, однако существуют утилиты, которые способны отследить как минимум провайдер злоумышленника. Проанализировав регистрационный журнал, можно незамедлительно найти хакера.
Необходимы другие методы. Стоит выделить несколько таковых:
Физический метод подразумевает под собой постоянное изменение физического места атаки. Однако, этот метод приемлем только для краткосрочной работы (несколько дней, а иногда и часов). Используя данный метод, хакер, рискует быть быстро определённым по городу или стране, а далее за поиск возьмутся соответствующие службы. Более того, переезд из одного города в другой довольно дорогостоящий.
Логический метод – наиболее распространен среди злоумышленников. Он подразумевает отсутствие переездов, а использование серверов в интернете, которые предоставляют свои адреса для анонимной работы в Интернете. При работе с таким сервисом, достаточно знать адрес атакуемого компьютера. Хакер указывает специальным образом адрес жертвы вместе с адресом прокси-сервера.
Анонимайзер скроет настоящий адрес хакера, заменив его в случае поиска его специальными службами. Это приведет к тому, что в атакуемой системе можно будет увидеть только адрес прокси-службы, который в большинстве находится далеко от злоумышленника. Прописывая атакующий запрос, используя несколько аномайзеров, хакерам довольно легко спрятать свой реальный адрес. Однако использование анонимайзеров поддерживается не всеми сетевыми протоколами.
Специалист по безопасности все – таки может узнать адрес прокси – службы, так как хакер узнал его. Если вносить такие сервера в «черный» список межсетевого экрана, это может привести к блокированию атаки с данного адреса.
Стоит отметить что, правоохранительные органы и государственные службы имеют возможность отследить использование анонимайзеров и других удаленных сервисов кардинально другим способом. Все зависит от опасности, причиненной хакером.
Несмотря на многообразие самостоятельных провайдеров, топология сети Интернет представляет собой паутину только относительно нескольких центральных узлов. Все периферийное виртуальное пространство представлено в виде структуры, которая расползается от центра. Необходимо поставить оборудование мониторинга в нескольких узлах и организациям будет предоставлен полный доступ к объему трафика сети.
Объем такого трафика принимает огромные значения, что довольно сильно затрудняет процесс фильтрования трафика.
Однако поддержка журналов, состоящих только из IP-адресов/номеров портов источника и получателя трафика, времени установки и завершения сессии, вполне реальна. NetFlow является одним из сетевых стандартов для таких журналов. Проектирование было разработано таким образом, что их возникновение отнимает малую часть вычислительных ресурсов маршрутизатора. Приведем пример.
Пусть известно, что компания A была взломана с адреса B с использованием средства C. Предположим, что есть доступ к электронным журналам, чтобы узнать:
кто за последние дни (недели) интересовался сайтом;
кто скачивал (или использовал) средство С;
кто использовал прокси-сервис А.
Сравнив результаты, можно существенно снизить область поиска.
Допустим хакер не готов для атаки. Что еще ему нужно для начала? Адрес веб-сервера или шлюза организации? Быть может, пойти немного другим путем?
В таком случае необходимо узнать несколько телефонов организации. Получив данную информацию можно узнать не подключен ли кто-нибудь из них к модему. War – Dialer: программа, которая будет обзванивать номера до тех пор, пока не отметит все телефоны, которые подключены к модему.
Стоит отметить, что, именно модемам служба обеспечения безопасности уделяет недостаточно внимания, оставляя их включенными во внерабочее время, что в дальнейшем приводит к взлому информационной системы предприятия.
Перед тем как произвести атаку необходимо узнать топологию атакуемой сети. Программы трассировки сетевых маршрутов и генерации фальшивых пакетов помогут хакеру выяснить расположение маршрутизаторов, межсетевых экранов. Более того данные программы предоставляют возможность проходить через межсетевые экраны при их неправильной конфигурации.
Следующим шагом исследований злоумышленника, скорее всего, станет сканирование портов. Обычно оно применимо к сетям, работающим на основе TCP/IP. Для сканирования портов существует специальное программное обеспечение, которое работает без участия человека (например, ночью) и может быть легко загружено с известных хакерских сайтов.
|
