Spoofing: sztuka ataku i obrony

Z pojęciem spoofingu DNS mamy do czynienia, gdy serwer DNS akceptuje i używa niepoprawnej informacji otrzymanej od komputera nieautoryzowanego do podania takiej informacji. Spoofing DNS jest najczęściej atakiem typu cache-poisoning, gdzie zmienione dane są umieszczane w pamięci podręcznej serwera nazw. Ataki te mogą stanowić poważny problem bezpieczeństwa. Użytkownik może zostać przekierowany na złą stronę internetową, a e-mail - wysłany do nieautoryzowanego serwera poczty. Atak fałszowania DNS może trwać długi czas, niezauważony przez administratora. Konsekwencją fałszowania DNS jest zazwyczaj utrata reputacji firmy.

Co można zrobić? Na początek warto posiadać bezpiecznie skonfigurowany system DNS. Warto skontaktować się z producentem oprogramowania serwera w celu uzyskania informacji o podatności na fałszowanie. Można także użyć najnowszej wersji oprogramowania DNS Expert do sprawdzenia błędów we wszystkich typach serwerów DNS.

Web spoofing

Jest wiele dróg prowadzących do realizacji spoofingu stron www. Wstępem do takiego działania jest przeważnie kradzież zawartości, przez skopiowanie publicznie dostępnej strony z serwera. Można znaleźć wiele programów umożliwiających stworzenie kopii strony, tak aby użytkownik mógł oglądać stronę w trybie offline bez podłączenia do Internetu.

Podobnie jak inne formy fałszowania, web spoofing przedstawia atakowanemu nieprawdziwe informacje.

Przeglądamy i modyfikujemy strony www w rzeczywistości wysyłane do naszego komputera nie przez autoryzowane serwery, ale atakującego. Serwer fałszujący może wysłać podmienioną stronę, zapytać o prywatne informacje, takie jak nazwa użytkownika, hasło, jego karty kredytowe czy numery bankowe. Jeżeli zostanie to zrobione fachowo, prawdopodobnie nie zauważymy nawet, że zostaliśmy oszukani.

Jak przeprowadza się atak fałszowania stron webowych? Istnieje kilka metod, wykorzystujących:

• atak na serwer DNS, który odwzorowuje adres URL na adres sieciowy;
• modyfikacje strony www, tak aby podawała zły URL;
• błędy w przeglądarce HTTP, zła interpretacja skryptów CGI, JavaScripts itp.

Przeprowadzenie ataku web spoofing najczęściej umożliwiają błędy w przeglądarkach internetowych. Nawet bezpieczne połączenie SSL nie eliminuje całkowicie tego zjawiska. Atak może zostać przeprowadzony przy użyciu JavaScript oraz skryptów serwera. Atak jest inicjowany, gdy ofiara odwiedzi niebezpieczną stronę www lub odbierze niebezpieczny e-mail (w przypadku czytnika wiadomości HTML). Atakujący przekierowuje wszystkie zapytania z przeglądarki użytkownika na własny serwer. Na nim strona jest nadpisywana, ale w taki sposób, że wizualnie nie różni się od oryginału. Każda akcja podjęta przez ofiarę (np. kliknięcie na linku) może być dowolnie wykorzystana przez atakującego.

Zagrożenia poczty elektronicznej

Jeżeli otrzymujemy list tradycyjną pocztą, sprawdzamy zwrotny adres, aby wiedzieć skąd przyszedł. Nadawca może wpisać dowolną nazwę i adres, więc nie mamy pewności, że list pochodzi rzeczywiście od podanej osoby. Podobnie jest z pocztą elektroniczną. Wiadomość zawiera adres e-mail, z którego została wysłana poczta, ale można go podmienić lub usunąć.

Wysyłający robi to z różnych powodów:

• wiadomości to spam i wysyłający nie chce, by została odrzucona przez reguły antyspamowe zabezpieczeń;
• e-mail zawiera wirusa lub konia trojańskiego;
• nadawca próbuje podszyć się pod konkretną osobę w celu uzyskania określonych korzyści.

Spoofing poczty elektronicznej może być stosowany w różnych formach, ale cel jest jeden: użytkownik odbiera list, w którym jest podane zaufane źródło, a w rzeczywistości został on wysłany przez atakującego. Fałszywy e-mail jest więc próbą ukrycia prawdziwej tożsamości nadawcy. Jest to możliwe, ponieważ protokół SMTP nie wymaga uwierzytelnienia, w przeciwieństwie do innych, bardziej bezpiecznych protokołów. Najprostszym sposobem jest podmienienie ustawienia pola "Od". Nadawca może użyć fikcyjnego adresu zwrotnego lub istniejącego, który skieruje odpowiedź do kogoś innego. Jeżeli atakujący użyje naszego adresu jako adresu zwrotnego, może prowadzić do wielu problemów. Obecnie nie można określić na 100%, czy właściwa osoba wysłała nam wiadomość.

Najbardziej znane metody walki z tym zjawiskiem to SPF (Sender Policy Framework) i Microsoft Sender ID. Jedyną drogą do kontrolowania spoofingu e-mail jest uwierzytelnianie lub weryfikacja źródła każdej wiadomości e-mail. SPF jest standardem, który umożliwia właścicielowi domeny identyfikację listów przy użyciu serwera DNS i stwierdzenie, czy wiadomość nie jest fałszowana. Wymaga to jednak od administratorów publikowania rekordów SPF dla ich domen. Aby się zabezpieczyć, warto także stosować prostą autoryzację oraz bezpieczne połączenie SSL do wysyłania poczty.

Skala zjawiska fałszowania

Na podstawie najnowszych raportów firm Symantec i McAfee na temat bezpieczeństwa w Internecie spróbujmy ocenić skalę zagrożeń.

Jak podaje Symantec, w drugim półroczu 2004 r. najczęściej przeprowadzanym atakiem był Microsoft SQL Server Overflow Attack. Wpływ na tak wysoką pozycję tego nadużycia ma niewątpliwie zjawisko fałszowania. Większość ataków wykorzystujących lukę w serwerze Microsoft SQL Server polega na użyciu pakietów UDP, połączonym z fałszowaniem adresów źródłowych IP. Utrudnia to ustalenie źródła ataku oraz ogranicza możliwość reakcji. Warto zaznaczyć, że do 10% ataków było przeprowadzanych przy wykorzystaniu nieistniejących sfałszowanych adresów IP.

Drugie miejsce wśród najczęściej przeprowadzanych ataków zajmuje Generic TCP SYN Flood Denial of Service Attack. Napastnik podejmuje próby połączeń z usługą, wysyłając pakiety SYN, a następnie nie kończy negocjacji połączenia. W tym przypadku atak jest najczęściej dokonywany przy użyciu sfałszowanych źródłowych adresów IP. Serwer odpowiadając na próbę połączenia generuje ruch do fałszywych adresów IP (backscatter).