Rodzaje i klasyfikacja włamań oraz ataków internetowych.txt

Rodzaje i klasyfikacja włamań oraz ataków internetowych 


Niniejsza publikacja opisuje teoretyczne aspekty bezpieczeństwa komputerowego (włamania, ataki oraz techniki; odpowiednio posortowane oraz przydzielone do odpowiednich im sekcji); w żadnym wypadku publikacja ta nie jest tutorialem i nie powinna być w taki sposób postrzegana. Autorzy skupili się na możliwie jak najwierniejszym przedstawieniu poszczególnych i konkretnych technik ataków oraz ich klasyfikacji (swoista hierarchia).



Niektóre z prezentowanych tu technik w warunkach "normalnych" i "przyjaznych" służą jako przydatne narzędzia dla administratorów czy też chociażby funkcje implementowane w celu zwiększenia funkcjonalności dla potencjalnych użytkowników, jednak w rękach włamywaczy mogą one stanowić (i stanowią) potencjalną broń - publikacja ta również w swoim zamierzeniu poświęca miejsce takim aspektom.


Włamanie jest typem ataku, który obejmuje kradzież prywatnych lub poufnych informacji, dowolną zmianę lub usunięcie danych i zmianę ustawień konfiguracyjnych. Podczas ataku tego typu może również zostać zablokowane konfigurowanie zabezpieczeń, na przykład zamiana programów konfiguracyjnych, w celu ułatwienia następnych włamań...


Wraz z rozwojem komunikacji sieciowej rozwijają się także ataki ukazujące słabości tych nowo powstałych rozwiązań. Możliwe jest, że podział ataków utrzyma się taki sam, lecz ich rodzaj oraz klasyfikacja zmienia się poprzez mieszanie poszczególnych ich anatomii. Coraz nowsze ataki łączą w sobie wiele rodzajów lub są udoskonaleniem swoich poprzedników. Niektóre z ataków już nie pozwalają na przyporządkowanie siebie do istniejących grup, co zmusza do tworzenia nowych klasyfikacji, które wraz z upływem czasu będą się stawać coraz większe. Niżej wymienione rodzaje ataków są tylko nielicznymi przykładami z jakimi możemy się spotkać użytkując komputery, a co za tym idzie Internet. Poza nimi istnieje jeszcze wiele innych ataków, które posiadają własne rozwiązania w stosunku do stosowanych technik sieciowych oraz ich zabezpieczeń.

I. Ataki możemy podzielić ze względu na:

1. Miejsce ich przeprowadzania:

a) Zewnętrzne (zdalne) - ataki przeprowadzane są z systemów znajdujących się poza atakowaną siecią, na przykład atak na sieć firmy NARF.Inc odbywa się z sieci firmy Agresory.Inc.

b) Wewnętrzne (lokalne) - ataki przeprowadzane są z systemów znajdujących się w atakowanej sieci, na przykład atak na główny serwer firmy NARF.Inc odbywa się z serwera działu zaopatrzenia tej samej firmy.

Celem takich ataków są poszczególne komputery bądź serwer główny (ew. węzły nadzorujące). Konsekwencjami są zwykle przerwy w pracy sieci lokalnej, uszkodzenie poszczególnych (bądź wszystkich) końcówek serwera, a co za tym idzie - całej sieci, co powoduje wielogodzinne przerwy w pracy. Skutki mogą być niewinne i skończyć się na zawieszeniu poszczególnych komputerów czy nawet całej sieci, ale może to także prowadzić do fizycznego uszkodzenia sprzętu (albo co gorsza, utraty ważnych i często poufnych danych).

Warto także wspomnieć, iż ostatnimi czasy bardzo często używanym kryterium miejsca przeprowadzania ataków jest także podawanie warstwy OSI, na której atak / włamanie przebiega, ew. postronnie dotyczy. I tak przykładowo zgodnie z warstwami OSI, ataki na niższych warstwach (np. warstwa druga łącza danych L2 bądź też warstwa trzecia sieciowa L3) dotyczyć będą głównie routingu (ustalanie tras pakietów) czy też samego już "pakowania" danych w odpowiednie ramki. A więc ataki tutaj przynależne to m. in. ataki w sieciach DHCP oparte o sam przesył danych, ataki na MAC, ARP, wysyłanie niepoprawnych pakietów do routera w celu jego zablokowania, etc. Możliwości jest rzeczywiście bardzo wiele. Z kolei ataki na warstwach wyższych dotyczyć już będą głównie błędów w samych aplikacjach, ich złych konfiguracjach, błędnego działania mechanizmów zabezpieczających typu firewall, NIDS, HIPS, wstrzykiwanie danych, etc.

2. Zamiar:

a) Zamierzony - atakujący zdaje sobie sprawę z tego, co robi i jakie konsekwencje mogą z tego wyniknąć, na przykład atak w celu uzyskania konkretnie wytyczonych informacji.

b) Niezamierzony - atakujący przypadkowo i nieświadomie dokonuje ataku, na przykład jeden z użytkowników serwera przez błąd programu obchodzi system autoryzacji uzyskując prawa administratora.

3. Skutek:

a) Udany - rozpoczęty atak przez atakującego kończy się osiągnięciem zamierzonego celu, na przykład poprzez przeskanowanie sieci wykrywa lukę w zabezpieczeniu, którą wykorzystuje do ataku, który okazuje się trafny i kończy się powodzeniem, zaciera za sobą ślady i opuszcza atakowany cel. Udany skutek ataku możemy podzielić na:

- Aktywny - w wyniku ataku system komputerowy traci integralność, na przykład atak włamywacza, który usuwa pewną ilość ważnych danych oraz powoduje zmianę działania programów. Atakiem aktywnym może być także modyfikowanie strumienia danych lub tworzenie danych fałszywych.

- Pasywny - atak ten polega na wejściu do systemu bez dokonywania żadnych zmian, na przykład atak włamywacza, który kopiuje pewną ilość ważnych danych nie powodując zmian w działaniu programów. Atakiem pasywnym może być także podsłuchiwanie lub monitorowanie przesyłanych danych. W tym przypadku celem osoby atakującej jest odkrycie zawartości komunikatu. Typowym atakiem pasywnym może być analiza przesyłu danych (traffic analysis). Ataki pasywne są bardzo trudne do wykrycia, ponieważ nie wiążą się z modyfikacjami jakichkolwiek danych.

b) Nieudany - rozpoczęty atak przez atakującego kończy się nie osiągnięciem zamierzonego celu, na przykład poprzez przeskanowanie sieci wykrywa lukę w zabezpieczeniu, którą wykorzystuje do ataku, który okazuje się nietrafny i kończy się niepowodzeniem, brak możliwości zatarcia śladów powoduje ryzyko wykrycia ataku jak i samego atakującego.

4. Przepływ informacji:

a) Przerwanie (interruption) - jest atakiem na dyspozycyjność polegający na częściowym zniszczeniu systemu lub spowodowaniu jego niedostępności (niezdolności do normalnego użytkowania). Przykładem tutaj może być fizyczne zniszczenie fragmentu komputera lub sieci, np. uszkodzenie dysku, przecięcie linii łączności między komputerem a drugim obiektem, lub uniemożliwienie działania systemu zarządzania plikami. 
[##] ----------x---------> [##]
[##] | [##]
| | |
Użytkownik Agresor Serwer
b) Przechwycenie (interception) - jest atakiem opierającym się na poufności i występuje wtedy, gdy ktoś niepowołany uzyskuje dostęp do zasobów naszego systemu komputerowego. Przykładem tutaj może być podsłuch pakietów w celu przechwycenia danych w sieci i nielegalne kopiowanie plików lub programów. 
[##] ----------|---------> [##]
[##] | [##]
| \ / |
Użytkownik Agresor Serwer
c) Modyfikacja (modification) - jest atakiem opierającym się na nienaruszalności polegający na zdobyciu dostępu do zasobów przez niepowołaną osobę, która wprowadza do nich jakieś zmiany w celu uzyskania wyższych praw lub utrzymaniu dostępu do danego systemu. Przykładem tutaj może być zmiana wartości w pliku z danymi, wprowadzenie zmiany w programie w celu wywołania innego sposobu jego działania lub modyfikacja komunikatów przesyłanych w sieci. 
[##] ---------\ /--------> [##]
[##] | [##]
| | |
Użytkownik Agresor Serwer
d) Podrobienie (fabrication) - podrobienie jest atakiem opierającym się na autentyczności, podczas przesyłania danych z jednego do drugiego komputera trzeci komputer blokuję uniemożliwiając mu dalszy przesył, a sam wprowadza do systemu drugiego komputera fałszywe obiekty. Przykładem tutaj może być wprowadzenie nieautentycznych komunikatów do sieci lub dodanie danych do pliku. 
[##] -------x-> /--------> [##]
[##] | [##]
| | |
Użytkownik Agresor Serwer
II. Ze względu na wyżej wymieniony podział rozróżniamy następujące rodzaje ataków:

1. Network snooping - ten rodzaj ataku jest przez wielu uważany za najbardziej wyrafinowaną metodę ataku. Do jej przeprowadzenia wykorzystuje się różnego rodzaju analizatory sieci, dzięki którym potencjalny włamywacz wybiera taką metodę ataku, która w danym przypadku będzie najbardziej efektywna. Bardzo często Network snooping sprowadza się do analizowania protokołów czy śledzenia ruchu sieciowego - włamywacz szuka najsłabszego punktu danej sieci czy danego serwera, aby następnie wykorzystać ów słaby punkt za pośrednictwem określonej techniki włamaniowej, np. sniffing (wykryte czynne połączenie przez telnet). Tak więc Network snooping jest bronią, która przygotowuje do przeprowadzenia inneg skutecznego ataku.

a) Firewalking (spacer po zaporze ogniowej) - dokładna analiza sieci od strony intruza pozwala ocenić stan jej odporności i pokazać słabości. Każdy audyt bezpieczeństwa dotyczy testów penetracyjnych. Idea opiera się na symulacji działań potencjalnego intruza. Testy penetracyjne przeprowadza się przy założeniu, że nie są znane struktura oraz usługi badanej sieci. Interesującą techniką umożliwiającą wykonanie takiej analizy sieci jest firewalking. Firewalking to technika umożliwiająca skanowanie sieci chronionej zaporą ogniową (firewall) oraz badanie konfiguracji samej zapory ogniowej. Technika ta jest zbliżona do metody traceroute umożliwiającej badanie trasy pakietów w sieci. Pozwala sprawdzić, jakie rodzaje pakietów są przepuszczane przez firewall chroniący daną sieć - nie tylko porty źródłowe i docelowe, ale także różne opcje ustawiane w pakietach. Wykorzystując firewalking można również odkryć szczegółową topologię chronionej sieci (wszystkie podsieci, routery i inne urządzenia). Firewalk, podobnie jak traceroute, wysyła pakiety ze zmniejszonym odpowiednio polem TTL. Wartość pola jest zmniejszana na każdym urządzeniu pośredniczącym w transmisji. W momencie gdy osiągnie wartość 0, host gubi pakiet i zwraca pakiet ICMP host unreachable informujący o t...