Typer av datorattacker och inkräktare och hur man upptäcker dem

Som vi alla vet befinner vi oss i en värld omgiven av information som varje dag kräver bättre säkerhetsnivåer, vi Som administratörer och IT -chefer är vi direkt ansvariga för att tillhandahålla säkerhet så att data från vår organisation eller vår är säkra.

Kanske är vår information inte så värdefull eller så viktig om den går förlorad eller stulen, men vi kan ha mycket speciell information, till exempel bankkonton, kontoutdrag, personlig information, etc., som måste vara "säkra" i våra system och vi kan inte förneka att hacking idag har blivit väldigt annorlunda än det var tidigare, idag finns det fler attackmekanismer och olika tekniker för sådan aktivitet.

Den här gången kommer vi att prata om inkräktare, vi kommer att analysera några av de sätt hackare kan komma åt information genom att dra fördel av sårbarheter som kan finnas.

Vi förstår det obehörig åtkomst till systemet utgör ett allvarligt säkerhetsproblem Eftersom den personen eller programvaran kan extrahera värdefull information från vår databas och senare skada organisationen på olika sätt, när vi pratar om programvara som kan komma in utan tillstånd kan vi tro att det är en mask, en trojan eller i allmänhet av en virus.

Vi kommer att fokusera på dessa områden nedan:

  • 1. Typer av inkräktare
  • 2. Inbrottstekniker
  • 3. Detektering av inkräktare
  • 4. Typer av attacker

1. Typer av inkräktare


Vi kan identifiera tre (3) typer av inkräktare:

Bedräglig användareDet hänvisar till en användare som olagligt får tillgång till organisationens resurser eller som med behörigheter missbrukar tillgänglig information.

ImitatörDet är en person som inte har någonting att göra med juridisk åtkomst i organisationen men som lyckas nå nivån för att ta en legitim användares identitet för att komma åt och göra skadan.

Clandestine användareDet är en person som kan ta kontroll över granskningen av organisationens system.

Vanligtvis är imitatören en extern person, den bedrägliga användaren är intern och den hemliga användaren kan vara extern eller intern. Inbrottsangrepp, oavsett typ, kan klassificeras som allvarliga eller godartade, i de godartade har de bara åtkomst för att se vad som finns på nätverket medan i de allvarliga kan informationen bli stulen och / eller modifierad inom nätverket själv.

2. Inbrottstekniker


Som vi vet är det vanliga sättet att komma åt ett system genom lösenord och detta är vad inkräktaren siktar på, att skaffa lösenord med olika tekniker för att uppnå sitt mål att kränka åtkomst och få information. Det rekommenderas att vår lösenordsfil skyddas med någon av följande metoder:

Envägs krypteringDetta alternativ lagrar bara en krypterad form av användarens lösenord, så när användaren anger sitt lösenord krypterar systemet det och jämför det med det värde som det har lagrat och, om det är identiskt, möjliggör det åtkomst, annars nekar det det.

ÅtkomstkontrollMed denna metod är åtkomst till lösenord mycket begränsad, bara till ett eller några få konton.

De metoder som vanligen används av hackareenligt vissa analyser är de:

  • Testa ordböcker eller listor över möjliga lösenord som finns tillgängliga på hackersajter
  • Försöker med användarnas telefonnummer eller identifieringsdokument
  • Testar med registreringsnummer
  • Skaffa personlig information från bland annat användare

3. Inträngningsdetektering


Som administratörer måste vi analysera de möjliga sårbarheter som vårt system har för att undvika huvudvärk i framtiden, vi kan analysera dessa misslyckanden med följande begrepp:
  • Om vi ​​studerar hur en inkräktare kan attackera, hjälper denna information oss att stärka förebyggandet av intrång i vårt system
  • Om vi ​​snabbt upptäcker den påträngande användaren kan vi förhindra att den här personen gör sitt i vårt system och därmed undvika skador.

Som administratörer kan vi analysera beteendet hos användare inom vår organisation och med mycket analys upptäcka om de presenterar något konstigt beteende, till exempel åtkomst via intranätet till datorer eller mappar som inte ska nås, modifiering av filer etc. Ett av verktygen som kommer att hjälpa oss mycket i analysen av inkräktare är granskningsloggen eftersom den tillåter oss att hålla reda på de aktiviteter som utförs av användare.

Vi kan använda två (2) typer av revisionsplaner:

Specifika granskningsloggar för upptäcktVi kan implementera sådana loggar så att det bara visar oss den information som krävs av intrångsdetekteringssystemet.

Ursprungliga revisionsloggarDet är verktyget som kommer som standard i operativsystem och lagrar all användaraktivitet, till exempel Microsoft Windows -händelsevisaren.

Vi kan upptäcka avvikelser baserade på profiler, det vill säga på användarnas beteende, för detta kan vi använda följande variabler:

  • Disken: Det är ett värde som kan ökas men inte minskas förrän det initieras av någon åtgärd
  • Kaliber: Det är ett tal som kan öka eller minska och mäter det aktuella värdet för en enhet
  • Tidsintervall: Avser tiden mellan två händelser
  • Användning av resurser: Det innebär den mängd resurser som förbrukas under en viss tid

Det finns en annan typ av detektering och det är den som är baserad på regler, dessa upptäcker intrång baserat på händelserna som inträffar i systemet och tillämpar en rad definierade regler för att identifiera om aktiviteten är misstänkt eller inte.

Några av exemplen på dessa regler är:

En av de intressanta teknikerna för att få uppmärksamhet från inkräktare är att använda honeypots, som helt enkelt är säkerhetsverktyg där system skapas som verkar vara sårbara eller svaga och där det finns falsk information, men med ett trevligt utseende för inkräktaren, uppenbarligen har en honungsgryta inte eller kommer inte att ha tillgång till en legitim användare av organisationen.

Vad säkerhetsåtgärd för att förhindra inkräktarangrepp Utan tvekan finns det korrekt hantering av lösenord, vi vet att ett lösenord tillåter:

  • Ge eller få åtkomst till en användare till systemet
  • Ange de privilegier som har tilldelats användaren
  • Erbjud säkerhetspolicyer i företaget

I en studie utförd av en organisation i USA, baserad på tre (3) miljoner konton, drogs slutsatsen att användare regelbundet använder följande parametrar för sina lösenord (som inte alls är säkra):

  • Kontonamn
  • Identifikationsnummer
  • Vanliga namn
  • Ortnamn
  • Ordbok
  • Maskinnamn

Det är viktigt att vi i vår roll som administratörer, koordinatorer eller IT -chefer utbildar användare av vår organisation så att de vet hur man ställer in ett starkt lösenord, kan vi använda följande metoder:

  • Reaktiv lösenordskontroll
  • Proaktiv lösenordskontroll
  • Utbildning av våra användare
  • Datorgenererade lösenord

Som vi kan se mellan oss alla (administratörer och användare) kan vi hantera all aktivitet från inkräktare.

4. Typer av attacker


Därefter kommer vi att granska några av de typer av attacker som kan utföras i de olika systemen, vi kommer att genomföra denna analys med ett etiskt hackar -tillvägagångssätt.

Kapning
Denna typ av attack består av att ta en sektion av en enhet för att kommunicera med en annan enhet, det finns två (2) typer av kapning:

  • Aktiva: Det är när en del av värden tas och används för att äventyra målet
  • passiv: Händer när en sektion av enheten beslagtas och all trafik mellan de två enheterna registreras

Vi har verktyg för kapning från sidor som:

  • IP-Watcher

¿Hur vi kan skydda oss från kapning? Vi kan använda någon av följande metoder beroende på protokollet eller funktionen, till exempel:

  • FTP: Låt oss använda sFTP
  • Fjärranslutning: Låt oss använda VPN
  • HTTP: Låt oss använda HTTPS
  • Telnet eller rlogin: låt oss använda OpenSSH eller SSH
  • IP: Låt oss använda IPsec

Attack mot en webbserver
De vanligaste servrarna för att implementera webbtjänster har vi Apache och IIS. Inkräktare eller hackare som tänker attackera dessa servrar måste ha kunskap om minst tre (3) programmeringsspråk som HTML, ASP och PHP. Till ta hand om våra webbservrar vi kan använda verktyg, kallad Brute Force Attack, till exempel följande:

  • Brutus för Windows
  • Hydra för Linux
  • NIX för Linux

De de vanligaste attackerna hittar vi på webbservernivå är följande:

  • ScriptAttack
  • Lösenord i samma kod
  • Sårbarheter i webbapplikationer
  • Validering av användarnamn

Som administratörer kan vi implementera följande metoder:

  • Installera och / eller uppdatera antivirusprogrammet
  • Använd komplexa lösenord
  • Ändra standardkonton
  • Ta bort testkoder
  • Uppdatera system och service pack
  • Ständigt hantera och övervaka systemloggar

Vi kan använda Acunetix -verktyget som gör att vi kan verifiera om vår webbplats är sårbar för attacker, vi kan ladda ner den från länken.

Bakdörrar och trojaner
Många av trojanerna körs i testläge för att verifiera organisationens lyhördhet för en eventuell attack, men inte 100% är från interna tester men vid andra tillfällen är de med onda avsikter från en inkräktare.

Några av vanligaste trojaner är:

  • Netbus
  • Prorat
  • Paradis
  • Duckfix
  • Netcat

Till förhindra trojanska attacker Det är viktigt att vi som administratörer utför vissa uppgif.webpter som:

  • Installera och uppdatera ett antivirusprogram
  • Kör och aktivera brandväggen
  • Använd en trojansk skanner
  • Uppdatera systemkorrigeringar

Attack på trådlösa nätverk
Våra trådlösa nätverk kan vara benägna att attackera av en inkräktare, vi vet att modern teknik för trådlösa nätverk är 802.11a, 802.11b, 802.11n och 802.11g, dessa är baserade på deras frekvens.

Till förhindra attacker mot våra trådlösa nätverk vi kan utföra följande uppgif.webpter:

  • Undvik att använda tomt SSID
  • Undvik att använda standard -SSID
  • Använd IPsec för att förbättra säkerheten i vår IPS
  • Utför MAC -filter för att undvika onödiga adresser

Några verktyg som används för att utföra trådlös hackning är:

  • Kismet
  • GPSMap
  • NetStumbler
  • AirSnort
  • DStumbler

Även om vi i vårt företag inte använder trådlösa nätverk kontinuerligt, är det bra att implementera säkerhetspolicy för att förhindra attacker för dem skulle det vara idealiskt att göra följande (om du bara använder trådlöst):

  • Inaktivera DHCP
  • Uppdatera firmware
  • Använd WPA2 och högre säkerhet
  • Vid fjärranslutning använder du VPN

Denial of service (DoS) -attacker
Huvudsyftet med denna typ av attack är att påverka alla systemets tjänster, antingen genom att stoppa dem, mätta dem, eliminera dem, etc.

Vi kan förhindra en DoS -attack med följande aktiviteter:

  • Använd de tjänster vi verkligen behöver
  • Inaktivera ICMP -svar på brandväggen
  • Uppdatera operativsystemet
  • Uppdatera vår brandvägg med DoS -attackalternativet

Några verktyg som vi kan hitta i nätverket för DoS -attacker är:

  • FSM FSMax
  • Lite problem
  • Stöt 2
  • Blast20
  • Panther2
  • Crazy Pinger, etc.

Lösenordsprickningsverktyg
En annan av de vanliga attackerna som vi kan drabbas av i våra organisationer är attacken mot lösenord, som vi redan nämnt, ibland är de etablerade lösenorden inte tillräckligt starka, varför vi är benägna att en inkräktare stjäl vårt lösenord och kan komma åt vårt system. Vi vet att säkerheten för våra lösenord är baserad på:

  • Autentisering: Tillåter åtkomst till systemet eller företagets applikationer
  • Tillstånd: Om det inmatade lösenordet är korrekt, validerar systemet det och godkänner inmatningen

Typerna av de vanligaste attackerna vi finner för att stjäla våra lösenord är:

Ordbok attackerDe är listor över etablerade ord som synkroniseras och det valideras om vårt lösenord finns där.

Brute force attackDet är en av de mest effektiva attackerna eftersom den innehåller bokstäver, siffror och specialtecken och de bildar kombinationer tills de hittar rätt nyckel

HybridattackerDet är en kombination av de två (2) ovan.

Några verktyg för hackning av lösenord är:

  • Pwdump3
  • John Ripper
  • Boson GetPass
  • Elcomsoft

Kom ihåg att om vårt lösenord eller för en användare i organisationen upptäcks av en inkräktare kan vi få allvarliga problem, så det är viktigt kom ihåg att de flesta inkluderar följande villkor för våra lösenord:

  • Gemener
  • Stora bokstäver
  • Speciella karaktärer
  • Tal
  • Komplexa ord

Vi rekommenderar att du granskar denna handledning för att ha helt starka lösenord.

Vi kan upptäcka om vi utsätts för lösenordsprickor kontrollera systemloggar, ständigt övervaka nätverkstrafik etc. På sektionsverktygssidan kan vi hitta olika verktyg som hjälper oss med vårt arbete med att övervaka nätverket och dess möjliga attacker, inbjudan är att känna till det och utföra tester.

En annan sida vi kan besöka är foundstone som tillhör McAffe och innehåller en intressant grupp användbara verktyg.

Spoofing
I denna typ kommer angriparen att efterlikna en annan enhet, för detta kommer han att förfalska data som skickas i kommunikationen. Denna typ av attack kan förekomma i olika protokoll, vi har IP -spoofing, ARP -spoofing, DNS -spoofing, DHCP -spoofing, etc.

Här är några vanliga attacker:

  • Icke -blind spoofing
  • Blind spoofing
  • Mannen i mitten
  • Denial of service (DOS)
  • Portstöld

Några motåtgärder vi kan vidta:

  • Använd kryptering och autentisering
  • Tillämpa in- och utfiltrering på routern

Kodinjektion
Det är baserat på utnyttjandet av ett fel som orsakas av behandlingen av ogiltiga data. Den används av en angripare för att infoga eller injicera kod i ett sårbart datorprogram och ändra körningens gång. En lyckad injektion kan få katastrofala konsekvenser.

Vissa platser där vi kan sätta ihop en injektionsattack:

  • SQL
  • LDAP
  • XPath
  • NoSQL -frågor
  • HTML
  • Skal

Några åtgärder vi kan vidta vid schemaläggning:

  • Filtrera posterna
  • Parametera SQL -satser
  • Escape -variabler

Som vi kan se har vi många alternativ för att motverka möjliga attacker mot vår organisation av inkräktare, det är upp till vår uppgif.webpt (om så är fallet) att göra en detaljerad analys och vidta åtgärder i dessa frågor.

Som vi nämnde tidigare, och lyckligtvis kommer det inte alltid att finnas en hackare eller inkräktare som är intresserad av att tränga in i vårt system och stjäla information, men vi vet aldrig i framtiden var vår organisation eller oss själva kommer att vara.

wave wave wave wave wave