Securitatea informatiei , tehnici de penetrare a securitatii – partea a II-a

Aceasta este continuarea primei parti din seria de doua, privind securitatea informatiei si tehnici de penetrare a securitatii. In prima parte a acestui articol am inceput prin initierea cititorilor in domeniul securitatii , dupa care am prezentat cateva stastici si evolutii ale atacurilor web. Am continuat prin prezentarea diferitelor tipuri de malware precum si metode de a scapa de acestia.

In continuare vom trece la tehnici putin mai avansate de penetrare a securitatii , majoritatea avand ca tinta WEB-ul. Dupa cum majoritatatea stim, problema principala si o tinta nelipsita a hackerilor sunt site-urile populare.

Atacurile DDOS , SynFlood , DNS DOS si BotNets.

Un atac de tip DDos(Distributed Denial of Service) este o incercare a unor persoane rau intentionate de a supra solicita resursele unui server(in general web), incetandu-i functiile de baza. Tintele vizate in general sunt site-urile cu profil puternic : retele sociale,banci, root-urile unor nameservere etc. ce au foarte mari sanse sa fie observate la nivel global si sa aiba un impact destul de mare asupra diferitelor surse de venit.
Exista mai multe tipuri de atacuri DDOS, fiecare avand un impact mai mult sau mai putin clar, unele fiind mai usor de realizat decat altele.

• ICMP flood (cunoscut si sub denumirile Smurf attack, Ping flood, sau Ping of death)
• Teardrop Attacks
• Peer to peer attacks
• Permanent denial of service attacks
• Distributed attack
• Unintentional denial of service
• Denial-of-Service Level II
• SynFlood
• DNS DOS

Dintre acestea cele mai periculoase sunt atacurile de tip DDOS , Permanent Denial Of Service, P2P Attacks si in unele cazuri SynFlood.
Primele trei tipuri de atac folosesc in general un numar mare de clienti(boti) care se conecteaza la aceeasi tinta intr-un timp foarte scurt si simultan, trimitand un numar foarte mare de pachete. Aceste tipuri de atacuri sunt cele mai periculoase, majoritatea website-urile ramanand fara aparare la un astfel de atac.

• Primul gen de atac foloseste ca si clienti de conectare computerele infectate de malware in general, sau prin descarcarea de aplicatii de pe site-uri infectate. Aceste computere infectate se numesc in general Computere Zombie sau retele de Boti(Botnets).
• Permanent Denial Of Service este o tehnica destul de apropiata de prima cu exceptia faptului ca afecteaza atat de mult componentele hardware incat nu vor putea fi restaurate sistemele decat in cazul reinlocuirii acestora.
• P2P Attacks sunt o tehnica similara primeia, cu exceptia faptului ca abuzeaza de anumite vulnerabilitati ale aplicatiilor de sharing in general , ce ofera controlul clientilor conectati pe serverele respective. Aceste vulnerabilitati se gasesc in aplicatiile ce tin serverele huburilor, a aplicatiilor de tip torrent etc. Acestea sunt la fel de eficiente ca atacurile cu retele de zombie, dar au un avantaj prin faptul ca oricand va fi la dispozitie o retea de computere „infectate” spre deosebire de primul tip de atac ce are nevoie de construirea acesteia.
• SynFlood este o tehnica ceva mai diferita de celelalte trei prezentate. Aceasta vizeaza aplicatiile ce deschid porturi si incearca supraincarcarea memoriilor acestora prin deschiderea unor nenumarate conexiuni si neinchizandu-le. In general aceste atacuri duc la „explozia” aplicatiilor si a blocarii sistemului respectiv, printr-o vulnerabilitate a aplicatiilor denumita stiintific „buffer overflow”.

Cum ne putem proteja impotriva atacurile Distributed Denial Of Service?

Firewall – Un firewall bun si bine configurat poate ajuta enorm in respingerea traficului nedorit, insa in acelasi timp poate considera si faptul ca un spike pe un site este un atac. Este necesara o configurare ideala.

Switchurile – Acestea au diverse sisteme pentru a „intarzia” primirea pachetelor. Acest lucru poate fi folosit impotriva atacurilor de tipul TCP SynFlood.

Aplicatii Front End Hardware – Este un sistem hardware ce este pus inaintea serverului in retea si folosit in paralel cu Switchurile si Routerele poate stabili foarte eficient prioritatea pachetelor primite si reduce riscul incarcarii serverului cu material nefolositor(pachete trimise de computerele zombie).

Folosirea platformelor de simulare a atacurilor DDOS gen Mu Dynamics’ Service Analyzer pentru a verifica „rezistenta” websiteurilor tale.

Serverele Fantoma – Este tehnica folosita de majoritatea serverelor companiilor mari : Google,Yahoo,Microsoft etc. Aceasta consta in redirectionarea traficului in servere de pe intreg globul cu scopul rarefierii traficului. Acestea sunt metode de ultim moment, ce trimite pachetele catre o retea internationala de servere, rarefiind serverul supus atacurilor. Aceasta tehnica nu imi este foarte cunoscuta, mai mult de atat nu pot sa spun.

Ce sunt atacurile Web?

Atacurile Web sunt tehnici ce vizeaza diverse vulnerabilitati ale website-urile pentru crearea unor exploituri ce pot infecta diverse victime in cazul viermilor XSS, sau extrage bazele de date , sterge si incarca fisiere pe serverele exploatate etc.

Exista mai multe tipuri de atacuri web, care necesita cunostinte diferite de la Javascript si Html pana la Sql, Linux si chiar PHP :

• XSS – Atacurile de tip Cross Side Scripting sunt atacuri in general ce permit inserarea codului Javascript. In cazul in care aceste atacuri sunt permanente(nu sunt doar pe clientul ce pune codul malitios) acestea pot duce la crearea unor viermi de tipul XSS ce pot afecta retelele sociale spre exemplu. Daca acestea sunt temporare, furarea cookiurilor este tehnica vizata de acestea.
• CSRF – Cross Side Remote Forgery sunt mini-vulnerabilitati ce permit delogarea, modificarea printr-un link a unor informatii. Aceastea impreuna cu un XSS permanent creaza un atac de raspandire extrem de periculos in cadrul unor retele sociale.
• LFI/RFI Local/Remote File Inclusion sunt doua tehnici diferite ce au ca scop obtinerea informatiilor de pe serverele pe care sunt hostate site-urile si in acelasi timp de incarcare a unor fisiere (neautorizat) (shelluri) pentru a obtine controlul total asupra serverelor respective.
• SQL Injection Atacurile de tip SQL Injection vizeaza parametri nesatenizati ai paginilor web cu ajutorul carora se fac interogari SQL. Atacatorul incearca sa altereze acesti parametri pentru a modifica interogarea, generand una noua ce ii extrage informatii confidentiale din baza de date, de la conturi si parole pana la carti de credite etc. Acest gen de atac poate duce si la incarcarea unor fisiere neautorizate pe serverul respectiv.
• Atacurile WEB 2.0 – sunt probabil cea mai noua tehnica de atacuri ce urmareste extensiile ce le folosesc aplicatiile WEB 2.0 pentru a comunica prin intermediul API-urilor. Acestea incearca sa exploateze extensiile pentru a ajunge la aplicatiile sociale spre exemplu, ce sunt un bun exemplu si in acest caz. Sunt extrem de periculoase mai ales in cazul in care extensiile respective sunt foarte populare, un exemplu recent s-a intamplat la Facebook, unde primele extensii din top dupa numarul de utilizatori erau vulnerabile la XSS si SQL Injection.

Acestea sunt atacurile principale si cele mai populare in acelasi timp. Numarul acestora este mult mai mare, insa sunt mai putin folosite si nu au un impact la fel de mare ca acestea.

Ce este spamul?!

Spamming (sau spam) este procesul de expediere a mesajelor electronice nesolicitate, de cele mai multe ori cu caracter comercial, de publicitate pentru produse si servicii dubioase, practicata in industria e-marketingului si de proprietarii de situri pornografice.

• Ce este Phisingul?

In domeniul de securitate al calculatoarelor, phishing, reprezinta o forma de activitate criminala care consta in obtinerea unor date confidentiale, cum ar fi date de acces pentru aplicatii de tip bancar, aplicatii de trading (De exemplu: eBay, PayPal) sau informatii referitoare la carduri de credit, folosind tehnici de manipulare a datelor identitatii unei persoane sau a unei institutii.

Un atac de tip phishing consta, in mod normal, in trimiterea de catre atacator a unui mesaj electronic(spam), folosind programe de mesagerie instanta sau telefon, in care utilizatorul este sfatuit sa-si dea datele confidentiale pentru a castiga anumite premii, sau este informat ca acestea sunt necesare datorita unor erori tehnice care au dus la pierderea datelor originale. In mesajul electronic este indicata de obicei si o adresa de web care contine o clona a site-ului web al institutiei financiare sau de trading.

• Ce este Crimeware?

Crimeware este un program periculos care este instalat in secret pe un PC. Majoritatea programelor crimeware sunt de fapt Troieni. Sunt mai multe tipuri de Troieni creaÈ›i pentru a face diferite lucruri. De exemplu, unii sunt folosiÈ›i pentru a inregistra fiecare tasta pe care o apesi (keylogger), alÈ›ii realizeaza capturi de ecran atunci cand accesezi site-ul web al unei banci, alÈ›ii descarca pe PC-ul tau coduri periculoase, iar alÈ›ii permit unui hacker sa acceseze de la distanÈ›a PC-ul tau. ToÈ›i acesti Troieni au in comun abilitatea de a fura datele personale – cum ar fi parolele sau PIN-urile – si de a le trimite infractorilor. Avand aceste informaÈ›ii la dispoziÈ›ie, un infractor cibernetic iÈ›i poate accesa contul bancar si fura banii.

• Ce este Scareware?

Scareware reprezinta o clasa de aplicatii false, care in general nu aduc nici un beneficiu. Tinta acestora este de a infecta utilizatorii si a crea sintomele unor virusi in general, oferindu-le „solutii” de aplicatii impotriva acestora. In toate situatiile aceste aplicatii sunt fictive, iar multe persoane sunt speriate de „virusii ce ii au in computer” si cumpara produsele oferite de ei.

Cam atat am avut de spus. In aceste doua parti ale acestui articol am incercat sa abordez toata tema securitatii web si a infectarii utilizatorilor in general la suprafata. In cazul in care veti dori lamuriri suplimentare despre unul sau mai multe puncte prezentate aici va rog sa nu ezitati. 😀