13 najpopularniejszych sieciowych ataków na twój komputer. wykrywanie, usuwanie skutków i zapobieganie helion.pdf

13 najpopularniejszych sieciowych ataków na Twój komputer

Za"%cznik A Nagrywanie obrazu ISO z za"%czonego kr%#ka DVD ......................... 141

Za"%cznik B Podstawy komunikacji sieciowej ................................................... 145

Za"%cznik C Wykaz oprogramowania do"%czonego do ksi%#ki ............................ 197

Skorowidz ....................................................................................................... 199

Rozdzia 3.

Podszywanie si#

i oszustwa: DNS-spoofing,

MITM, phishing i pharming

Szyfrowanie przy u!yciu algorytmów o odpowiedniej z"o!ono#ci zapewnia obecnie bar-

dzo du!$ ochron% poufno#ci transmitowanej informacji. Atakuj$cy zatem, aby mie&

mo!liwo#& przeprowadzenia skutecznego ataku, podejmuj$ próby wykorzystania s"abo-

#ci zwi$zanych z innymi ni! przesy"anie danych elementami procesu transmisji i prze-

twarzania danych. Przede wszystkim s$ to procesy rozwi$zywania adresów symbo-

licznych i zestawiania po"$czenia pomi%dzy stronami dialogu. Je#li uda si% przekona&

zaatakowanego, !eby zamiast z w"a#ciwym serwerem po"$czy" si% z maszyn$ agresora,

uzyskanie poufnych danych b%dzie ju! "atwe. Po nawi$zaniu takiego po"$czenia ataku-

j$cy b%dzie mia" dost%p do wszystkich informacji, które b%d$ próbowa"y dotrze& do w"a-

#ciwego serwera. Mo!na to wykona& albo za pomoc$ ataków na proces rozwi$zywania

nazw, albo przy u!yciu z"o#liwego oprogramowania zainstalowanego na maszynie klienta.

Zwró& uwag%, !e tego typu ataki s$ bardzo niebezpieczne ze wzgl%du na skutki, jakie

mog$ wyst$pi& po ich przeprowadzeniu. Je#li nie zauwa!ysz, !e zamiast z prawdziwym

serwerem po"$czy"e# si% z komputerem atakuj$cego, to mo!esz spodziewa& si% wi%kszych

szkód, np. materialnych ("$cz$c si% z fa"szyw$ stron$ internetow$, mo!esz przekaza&

poufne informacje, dzi%ki którym atakuj$cy b%dzie mia" mo!liwo#& dysponowania Two-

imi pieni%dzmi). To tylko jeden z przyk"adów sytuacji, jakie mog$ Ci si% przytrafi&,

je#li nie b%dziesz mia" odpowiedniej wiedzy, jak zabezpieczy& si% przed niepo!$danym

po"$czeniem.

Du!e znaczenie przy zabezpieczaniu si% przed takimi rodzajami ataków ma odpowied-

nia ochrona serwera DNS, o co powinien zadba& administrator sieci, z której korzystasz.

Przede wszystkim powinien wprowadzi& nast%puj$ce zasady:

ograniczenia liczby hostów, które mog$ przesy"a& zapytania do serwera,

zablokowania wszystkich portów poza mo!liwo#ci$ komunikacji dla zaufanych

komputerów,

13 najpopularniejszych sieciowych ataków na Twój komputer

uniemo!liwienia odpytania serwera o w"a#ciw$ wersj% oprogramowania.

(znajomo#& oprogramowania u"atwia atakuj$cemu znalezienie w nim usterek

oraz b"%dów i ich wykorzystanie w celu przeprowadzenia ataku),

aktualizowania oprogramowania serwera oraz wprowadzanie poprawek

systemowych.

Zapytaj swojego administratora, czy stosuje odpowiednie zabezpieczenia serwera DNS.

Nie wszystkie ataki skierowane s$ na serwer DNS. Cz%sto do przeprowadzenia ataku

wykorzystywany jest komputer zaatakowanego (np. poprzez podmian% odpowiednich

plików odpowiadaj$cych za translacj% adresów domenowych na adresy IP, "$czenie si%

z pozorowan$ stron$ poprzez "$cze z fa"szywej wiadomo#ci e-mail). Szczegó"owy opis

metod zabezpieczania i ochrony dla takich przypadków zosta" przedstawiony w podroz-

dzia"ach 3.1., 3.2, 3.3., 3.4.

3.1. Atak 4: DNS-spoofing

U!ytkownicy w sieci komputerowej najcz%#ciej korzystaj$ z nazw domenowych (np.:

www.onet.pl , www.wp.pl ). S$ one "atwiejsze do zapami%tania i dlatego cz%sto s$ u!ywane

zamiast adresów IP. Przy przegl$daniu stron internetowych, "$czeniu si% z serwerami

w oknie adresu wpisywana jest nazwa domenowa, która jest t"umaczona przez spe-

cjalne serwery DNS (ang. Doman Name System — system nazw domen) na adresy IP.

Wykorzystywanie nazw domenowych niesie ze sob$ niebezpiecze+stwo powa!nego

ataku — DNS-spoofingu .

DNS-spoofing polega najcz%#ciej na fa"szowaniu odpowiedzi serwera DNS. Wyko-

rzystuje luk% w protokole polegaj$c$ na braku autoryzacji /ród"a odpowiedzi. Je#li po-

s"ugujesz si% nazwami domenowymi, jeste# nara!ony na ten typ ataków. Nazwa serwe-

ra, z którym chcesz si% po"$czy&, mo!e zosta& odwzorowana na niew"a#ciwy adres IP.

Taka sytuacja spowoduje, !e zamiast do serwera dane b%d$ trafia& do komputera ata-

kuj$cego. Do przeprowadzenia ataku wykorzystuje si% fa"szywy serwer DNS, który na-

s"uchuje zapyta+ o odwzorowania nazw domenowych. W odpowiedzi wysy"a on fa"-

szywe adresy IP. Klient wi$!e nazw% domenow$ z przes"anym przez fa"szywy serwer

adresem IP. Inn$ metod$, znacznie trudniejsz$, jest w"amanie do serwera DNS i pod-

miana tablicy odwzorowa+.

Zabezpieczenia

Statyczne odwzorowanie adresów IP na nazwy domenowe jest jednym z zabezpie-

cze+ przed atakiem DNS-spoofing. W momencie nawi$zywania po"$czenia poszu-

kiwane odwzorowania b%d$ rozwi$zywane lokalnie. W systemie Windows w katalogu

C:\WINDOWS\system32\drivers\etc w pliku hosts wpisz odwzorowanie, dodaj$c

wiersz, np.:

10.0.0.1 www.mojbank.com.pl

Rozdzia" 3. Podszywanie si! i oszustwa: DNS-spoofing, MITM, phishing i pharming

W systemie Linux wpisów nale!y dokona& w katalogu /etc i maj$ one nast%puj$c$

sk"adni%:

adres_IP nazwa_domenowa alias_nazwy

np.

10.0.0.1 www.mojbank.com.pl mojbank

Alias nazwy jest skrótem, którego mo!esz u!y&, by nie wprowadza& pe"nej nazwy do-

menowej.

Ustaw uprawnienia tylko do odczytu do pliku hosts dla aplikacji systemowych. B8-

dziesz mia pewnoF;, (e nie zostanie on zmodyfikowany przez z oFliwe aplikacje.

Innym sposobem zabezpieczenia przed po"$czeniem z fa"szyw$ stron$ jest zapisanie

w zak"adce ulubione bezpo#rednio adresu IP strony internetowej np. jak na rysunku 3.1.

Rysunek 3.1.

Dodawanie ulubionych

stron internetowych

Przy takim zapisie b%dzie pojawia& si% komunikat weryfikuj$cy certyfikat. B%dziesz

musia" weryfikowa& informacje, które pojawi$ si% w alercie.

W sytuacjach, w których bezpieczeHstwo odgrywa wa(n= rol8, najlepiej zrezygnuj

z wykorzystywania protoko u DNS.

3.2. Atak 5: Man In The Middle (MITM)

Polega na tym, !e próba po"$czenia si% klienta z serwerem jest kierowana do fa"szy-

wego serwera lub te! przechodzi przez komputer atakuj$cego. Aby istnia"a mo!liwo#&

przekierowania takich zapyta+, dokonuje si% ataku DNS-spoofing, który polega na fa"-

szowaniu odpowiedzi z serwera lub ataku ARP-spoofing.

W przypadku ataku MITM atakuj$cy jest osob$ znajduj$c$ si% pomi%dzy klientem a ser-

werem. Okre#lany jest jako „cz"owiek w #rodku” (ang. man in the middle ) (zobacz ry-

sunek 3.2). Poprzez przekierowanie zapytania klienta do w"asnego komputera i przed-

stawienie mu fa"szywego certyfikatu lub klucza publicznego atakuj$cy uzyskuje dost%p

do zaszyfrowanego po"$czenia. Nast%pnie nawi$zuje po"$czenie z rzeczywistym ser-

werem, udaj$c w"a#ciwego klienta. Ca"y ruch mi%dzy klientem a serwerem przechodzi

przez komputer atakuj$cego, a za pomoc$ wygenerowanych przez siebie kluczy ata-

kuj$cy ma mo!liwo#& odszyfrowania przesy"anych danych.

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: