Jak zabezpieczyć się przed włamaniem?

Rozwój usług elektronicznych i związane z tym otwarcie systemów komputerowych na świat zewnętrzny, jak również powszechność dostępu do Internetu, to warunki sprzyjające powstawaniu zagrożeń bezpieczeństwa. Pierwszym krokiem w walce z takimi zagrożeniami jest rozpoznanie form, jakie mogą przybierać.

Rozwój usług elektronicznych i związane z tym otwarcie systemów komputerowych na świat zewnętrzny, jak również powszechność dostępu do Internetu, to warunki sprzyjające powstawaniu zagrożeń bezpieczeństwa. Pierwszym krokiem w walce z takimi zagrożeniami jest rozpoznanie form, jakie mogą przybierać.

Nie istnieją co prawda stuprocentowe zabezpieczenia chroniące przed włamaniem, ale zawsze warto pomyśleć o „solidniejszych drzwiach i dodatkowym zamku”. Szczególne baczenie trzeba mieć na podstawowe kategorie ataku, w jakie można ująć tysiące różnych form napaści na system komputerowy. Takie główne kategorie są następujące:

Buffer overflow

Przepełnianie bufora jest najbardziej popularną metodą ataku na hosty w Internecie. Jest ona możliwa w sytuacji, gdy oprogramowanie serwera aplikacji zawiera błędy logiczne wykorzystywane przez hakera do wysyłania łańcuchów danych o rozmiarach przekraczających bufor wejściowy (lub błędnego kodu HTML w przypadku serwera webowego). Hakerzy mogą czasami wykorzystywać to do uzyskiwania uprawnień podstawowych i wykonywania swoich własnych programów na serwerze. Hosty najbardziej podatne na tego typu atak są często wyszukiwane metodą skanowania portów i próbkowania sieci. Działania takie umożliwiają odnajdywanie czułych miejsc usług i zabezpieczeń systemu operacyjnego w celu zawężenia frontu ataku. Większość skutecznych ataków tego typu jest związana z lukami w systemie bezpieczeństwa, dla których przygotowano już odpowiednie łatki programowe, ale administrator jeszcze ich nie zastosował. Według raportu centrum koordynacyjnego CERT główne incydenty związane z Windows NT dotyczyły ODBC w serwerze webowym Microsoftu i zaistniały mimo tego, że fakt ten był znany od ponad półtora roku, a Microsoft opublikował stosowne zalecania w tej sprawie. Ten sam raport przytacza najbardziej powszechne sytuacje narażające Unixa: powodowane przez rcp.cmsd, tooltalk, statd i automound. Wszystkie udokumentowane już od dobrych kilku miesięcy, a mimo tego nadal się pojawiające - z powodu zaniechania stosowania zaleceń lub braku wiedzy o nich!

Wirusy, robaki i konie trojańskie

O ile przepełnienie bufora może powodować szkody w odniesieniu do połączeń z Internetem, o tyle konie trojańskie i temu podobne programy mogą siać spustoszenie w zbiorach danych, wymuszając na zespołach obsługujących systemy komputerowe konieczność zwiększenia zakresu związanych z odtwarzaniem zasobów działań pielęgnacyjnych. Według najświeższych raportów, publikowanych przez dostawcę programów antywirusowych Trend Micro, wśród najbardziej rozpowszechnionych wirusów „naturalnych” są: Happy99.exe, PrettyPark, Melissa i Several Windows. Podobnie jak ataki typu przepełnienia bufora najbardziej rozpowszechnione wirusy są znane od jakiegoś czasu i przekazywane, pomimo dostępności różnorodnych „szczepionek”, co świadczy o zaniechaniu podstawowych działań z zakresu ochrony antywirusowej.

Fałszowanie adresu IP (IP Address Spoofing)

Jest to wyrafinowana technika hakerska, polegająca na podszywaniu się pod wewnętrzne lub zewnętrzne zaufane adresy IP w celu przejścia przez system ochrony opierający się wyłącznie na adresach IP. Większość zapór ogniowych może wykrywać i zapobiegać fałszowaniu adresu.

Łatwe hasła

Programy do łamania haseł są zdolne do wypróbowywania tysięcy kombinacji haseł w ciągu minuty i mogą wykorzystywać fakt niewłaściwie wybranego hasła. Aby zabezpieczyć się przed łatwym rozszyfrowaniem hasła, należy wymuszać częstą zmianę i stosowanie haseł w postaci fraz, a nie pojedynczych wyrazów (kilka wyrazów oddzielonych dodatkowo przypadkowymi znakami spoza alfabetu jest znacznie trudniejsze do odgadnięcia). Nie należy też zapominać o hasłach dla routerów, przełączników i innego wyposażenia infrastruktury sieciowej. Dysponując narzędziem do łamania haseł (np. L0phtrack) można wykonać audyt własnych haseł.

Denial of Service

Jest to sposób blokowania działania systemu metodą wysyłania pakietów IP - w dużej liczbie lub nieprawidłowych - co powoduje zapchanie „jałową robotą” zaatakowanego systemu. Atakowany system ma wtedy dwa wyjścia: albo zamknąć się, albo przeznaczyć znaczną cześć swojej mocy obliczeniowej na przetwarzanie takich pakietów bez względu na ich bezużyteczność. Szczególnie niebezpieczną odmianą tej formy ataku jest odmiana pasożytnicza Distributed Denial of Service (DDOS), wykorzystująca Internet do rozsyłania i instalowania na serwerach usługodawców internetowych „modułów zombie”. W określonym czasie wykonują one skoordynowany atak na wybrany ośrodek webowy, zalewając go potokiem fałszywych zleceń. Do generowania takich modułów są używane m.in. programy Tribal Flood Network, Trin00 i Stacheldraht. Na stroniehttp://www.nipc.gov można znaleźć narzędzia umożliwiające wykrycie tych programów.

Uprowadzenie sesji (Session Hijacking)

Odgadując numer sekwencyjny IP, haker przejmuje istniejące połączenie pomiędzy dwoma komputerami i grając rolę jednej strony takiego połączenia. Legalny użytkownik lub host zostanie rozłączony, a haker "dziedziczy" możliwość dostępu w aktualnej sesji. Przyczyną tego jest niewłaściwa implementacja randomizacji numerów sekwencyjnych w stosie TCP/IP systemu operacyjnego.

Namierzanie sieci (Network Snooping)

Haker może podejmować próby użycia analizatora protokołów lub innych narzędzi do odczytywania ruchu sieciowego i uzyskiwania w ten sposób istotnych danych. Działanie takie może być przygotowaniem do przeprowadzenia innych ataków - takich jak uprowadzenie sesji lub przechwytywanie nazw użytkowników i haseł przesyłanych czystym tekstem z tradycyjnych aplikacji, takich jak telnet.

Konta gościnne

Wiele systemów opartych na Windows zawiera tzw. konta gościnne, pozwalające na nieograniczony dostęp „z całego świata”. Takie konto powinno być wyłączone.

Mimo tego, że czasami można czuć się bezsilnym wobec niektórych typów ataku, to nie można zaniechać rutynowych czynności prowadzących do uszczelnienia sytemu. Skrócenie czasu wprowadzania łatek dostarczanych przez dostawców oprogramowania do dni lub nawet tygodni od momentu ich pojawienia w znacznym stopniu zmniejsza niebezpieczeństwo wykorzystania istniejących luk oprogramowania. Chociaż duże paczki poprawek, takie jak service packs, mogą być nieporęczne, a nawet ryzykowne do wprowadzenia, to łatki ukierunkowane - dotyczące pojedynczych spraw - są na ogół bezpieczne. Niezależnie od długofalowego planowania nastawianie się na stosowanie szybko reagujących środków zaradczych jest niezbędną składową codziennych działań z zakresu ochrony.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200