Spoofing: sztuka ataku i obrony
- Kamil Folga,
- 01.10.2005
Z pojęciem spoofingu DNS mamy do czynienia, gdy serwer DNS akceptuje i używa niepoprawnej informacji otrzymanej od komputera nieautoryzowanego do podania takiej informacji. Spoofing DNS jest najczęściej atakiem typu cache-poisoning, gdzie zmienione dane są umieszczane w pamięci podręcznej serwera nazw. Ataki te mogą stanowić poważny problem bezpieczeństwa. Użytkownik może zostać przekierowany na złą stronę internetową, a e-mail - wysłany do nieautoryzowanego serwera poczty. Atak fałszowania DNS może trwać długi czas, niezauważony przez administratora. Konsekwencją fałszowania DNS jest zazwyczaj utrata reputacji firmy.
Co można zrobić? Na początek warto posiadać bezpiecznie skonfigurowany system DNS. Warto skontaktować się z producentem oprogramowania serwera w celu uzyskania informacji o podatności na fałszowanie. Można także użyć najnowszej wersji oprogramowania DNS Expert do sprawdzenia błędów we wszystkich typach serwerów DNS.
Web spoofing
Web spoofing
Podobnie jak inne formy fałszowania, web spoofing przedstawia atakowanemu nieprawdziwe informacje.
Przeglądamy i modyfikujemy strony www w rzeczywistości wysyłane do naszego komputera nie przez autoryzowane serwery, ale atakującego. Serwer fałszujący może wysłać podmienioną stronę, zapytać o prywatne informacje, takie jak nazwa użytkownika, hasło, jego karty kredytowe czy numery bankowe. Jeżeli zostanie to zrobione fachowo, prawdopodobnie nie zauważymy nawet, że zostaliśmy oszukani.
Jak przeprowadza się atak fałszowania stron webowych? Istnieje kilka metod, wykorzystujących:
- atak na serwer DNS, który odwzorowuje adres URL na adres sieciowy;
- modyfikacje strony www, tak aby podawała zły URL;
- błędy w przeglądarce HTTP, zła interpretacja skryptów CGI, JavaScripts itp.
Zagrożenia poczty elektronicznej
Klasyfikacja podstawowych ataków fałszowania
Wysyłający robi to z różnych powodów:
- wiadomości to spam i wysyłający nie chce, by została odrzucona przez reguły antyspamowe zabezpieczeń;
- e-mail zawiera wirusa lub konia trojańskiego;
- nadawca próbuje podszyć się pod konkretną osobę w celu uzyskania określonych korzyści.
Najbardziej znane metody walki z tym zjawiskiem to SPF (Sender Policy Framework) i Microsoft Sender ID. Jedyną drogą do kontrolowania spoofingu e-mail jest uwierzytelnianie lub weryfikacja źródła każdej wiadomości e-mail. SPF jest standardem, który umożliwia właścicielowi domeny identyfikację listów przy użyciu serwera DNS i stwierdzenie, czy wiadomość nie jest fałszowana. Wymaga to jednak od administratorów publikowania rekordów SPF dla ich domen. Aby się zabezpieczyć, warto także stosować prostą autoryzację oraz bezpieczne połączenie SSL do wysyłania poczty.
Skala zjawiska fałszowania
Spoofing e-mail i wirusy
Jak podaje Symantec, w drugim półroczu 2004 r. najczęściej przeprowadzanym atakiem był Microsoft SQL Server Overflow Attack. Wpływ na tak wysoką pozycję tego nadużycia ma niewątpliwie zjawisko fałszowania. Większość ataków wykorzystujących lukę w serwerze Microsoft SQL Server polega na użyciu pakietów UDP, połączonym z fałszowaniem adresów źródłowych IP. Utrudnia to ustalenie źródła ataku oraz ogranicza możliwość reakcji. Warto zaznaczyć, że do 10% ataków było przeprowadzanych przy wykorzystaniu nieistniejących sfałszowanych adresów IP.
Drugie miejsce wśród najczęściej przeprowadzanych ataków zajmuje Generic TCP SYN Flood Denial of Service Attack. Napastnik podejmuje próby połączeń z usługą, wysyłając pakiety SYN, a następnie nie kończy negocjacji połączenia. W tym przypadku atak jest najczęściej dokonywany przy użyciu sfałszowanych źródłowych adresów IP. Serwer odpowiadając na próbę połączenia generuje ruch do fałszywych adresów IP (backscatter).