Liczba ataków DoS (Denial of Service) wykorzystujących sfałszowane adresy źródłowe znacznie wzrosła na początku sierpnia 2004 r., co można powiązać z datą wprowadzenia pakietu Service Pack 2 do systemu Windows XP.

Warto zaznaczyć, że bardzo niebezpiecznym zjawiskiem powiązanym z fałszowaniem jest oprogramowanie adware lub spyware. Program tego typu potrafi przekierować funkcję wyszukiwania, podmienić domyślny mechanizm wyszukiwarki, czy pobrać niebezpieczny kod. Użytkownik może zostać przekierowany na fałszywą stronę (web spoofing). W ten sposób można oszukać internautę, który bardzo często ujawnia informacje osobiste, hasła, niejawne dane. Wśród najczęściej spotykanych tego typu zagrożeń warto wyróżnić Istbar oraz Shopnay.

Fałszowanie jest podstawą najczęściej występującego zagrożenia ostatnich miesięcy, jakim jest phishing. Pierwszym etapem jest spoofing poczty elektronicznej i wysyłanie wiadomości podszywających się pod legalne źródła. Fałszywa wiadomość najczęściej zawiera linki, które kierują na fałszywe strony banku czy innych instytucji (web spoofing). Obecnie coraz trudniej odróżnić strony lub wiadomości pochodzące z pewnych źródeł od źródeł fałszywych.

Raporty McAfee wskazują jako główne źródła obecnych zagrożeń, wywodzące się ze spoofingu techniki phishing oraz pharming. Pojęcie phishingu zostało objaśnione w paragrafie powyżej. Pharming jest nadużyciem polegającym na skierowaniu użytkownika na fałszywą stronę internetową lub serwer proxy, zazwyczaj poprzez atak fałszowania na serwer DNS, np. przechwytywanie (hijacking) połączeń DNS lub zatruwanie (poisoning) serwera DNS.

W ciągu ostatnich lat liczba ataków phishing rosła w ogromnym tempie. W listopadzie 2004 r. zarejestrowano ok. 400 aktywnych miejsc phishing, natomiast w lutym 2005 r. liczba ta wzrosła do ok. 1000 (dane Anti-Phishing Working Group). Ataki phishing naruszają bezpieczeństwo tysięcy klientów bankowości elektronicznej i użytkowników kart kredytowych obsługujących płatności przez Internet. Według McAfee liczba zgłoszonych ataków o podłożu kryminalnym wzrosła z 6597 w październiku 2004 r. do 14411 w kwietniu 2005 r. (źródło: McAfee Phishing/Pharming). W styczniu 2005 r. zaobserwowano 13 141 unikalnych ataków phishing. Średni miesięczny wzrost liczby podobnych ataków to aż 26%.

Niestety wiele ataków opiera się na błędach w powszechnie używanych przeglądarkach stron www. W roku 2004 wg raportów SANS Institute, w każdej z dostępnych przeglądarek wykryto kilka luk, które umożliwiały przeprowadzenie ataku spoofing. W najbliższej przyszłości bardzo dużym zagrożeniem może stać się standard międzynarodowych nazw domen - IDN (International Domain Name). Błędy w interpretacji IDN przez przeglądarki umożliwiają przeprowadzenie ataków phishing i spoofing.

Spoofing adresu źródłowego umożliwia wysłanie anonimowego pakietu przez sieć. Techniki filtracji ruchu wchodzącego oraz wychodzącego są powszechnie znane, ale administratorów wykorzystujących te mechanizmy jest niewielu. Z przeprowadzonych badań wynika, że ok. 21,5% adresów w sieci umożliwia przeprowadzenie ataku IP spoofing. Także 25,3% systemów AS (Autonomous Systems) jest podatnych na ten atak. Zainteresowanych badaniami oraz przyłączeniem się do projektu badania podatności na IP Spoofing warto odesłać do "Spoofer Project" (http://spoofer.csail.mit.edu/#intro ).

Czy możliwa jest skuteczna obrona?

W ostatnich latach obserwujemy znaczny wzrost zjawisk związanych z fałszowaniem. Spoofing ciągle ewaluuje i przybiera nowe formy. Nadużycia związane z fałszowaniem są zagrożeniem bardzo realnym i dotykającym praktycznie każdej jednostki w sieci rozległej.

Stan rozwojowy protokołu IP nie umożliwia podjęcia skutecznej walki z narastającymi atakami. Warto jednak rozważyć możliwość autoryzacji użytkowników oraz wdrożenia systemów kontroli dostępu. Konieczne jest także wprowadzenie filtracji pakietów na brzegu sieci, wykorzystując zapory ogniowe. Metody powyższe pozwolą zabezpieczyć się przed atakami w niższych warstwach modelu sieciowego OSI/ISO. Wiele problemów rozwiąże z pewnością wdrożenie infrastruktury klucza publicznego.

Trudno jest chronić wyższe warstwy modelu OSI/ISO, ponieważ ataki fałszowania opierają się zazwyczaj na niewiedzy lub błędach użytkowników. Główną rolę odegrają udoskonalenie mechanizmów ochrony i uwierzytelnienia użytkownika oraz rozwijanie zabezpieczeń podstawowych usług sieciowych. Nie należy zapominać o upowszechnianiu wiedzy o zagrożeniach i edukowaniu użytkowników.

<hr size=1 noshade>Jak duże zagrożenie stwarza SPOOFING?

Atak fałszowania jest jednym z częściej stosowanych ataków. Od tego, co jest fałszowane, zależy stopień zagrożenia. Jeśli fałszowane są adresy MAC kart sieciowych w sieci lokalnej, to atakujący może podszywać się pod inną maszynę, może przechwytywać ruch sieciowy kierowany do innych stacji. Dzięki tej technice podsłuchiwanie ruchu sieciowego w sieciach przełączanych jest możliwe i efektywne. Podsłuchanie sesji innych użytkowników daje możliwość poznania haseł czy przechwycenia niezaszyfrowanych danych.

Dzięki spoofingowi można przeprowadzić także atak typu man-in-the-middle, przechwytując sesje innych użytkowników. Nawet te szyfrowane. Jeśli dane nie będą dodatkowo zabezpieczone przed ich wysłaniem, staną się dostępne dla atakującego.

Podszywanie się pod inną maszynę pozwala także na obejście systemów kontroli do sieci. Często adres MAC karty sieciowej decyduje o przyznanym adresie IP, dostępie do podsieci (reguły na zaporze, przydzielony VLAN).

Oszukanie takich zabezpieczeń daje dostęp do wydzielonych podsieci czy maszyn przechowujących cenne dane. Pozwala także na zakłócenie pracy sieci komputerowych. Atakujący może rozgłaszać fałszywe dane (np. o routingu).

Atak polegający na podszywaniu się pod inną stację można zaklasyfikować jako atak bezpośredni bądź aktywny. Atakujący wpływa na zachowanie atakowanej stacji czy podsieci. Podobnie można zaklasyfikować ataki zniekształcające dane w usługach DNS (np. DNS cache poisoning). Atak ma na celu skierowanie ofiary pod fałszywy adres IP, na którym atakujący umieszcza spreparowany przez siebie serwis. Jeśli jest to strona www, to może ona udając inny ośrodek, wykradać informacje o maszynie czy wyłudzać informacje od użytkowników (np. numer i PIN kart kredytowych, dane teleadresowe, dane do uwierzytelniania). Strony takie mogą zawierać kod aktywny, czy też obrazki pozwalające na wykonanie dowolnego programu na przeglądającej je maszynie. Luki w przeglądarkach internetowych pozwalają na zdalne przejęcie kontroli nad zaatakowaną maszyną.

Podszywanie się pod nadawców wiadomości pocztowych pozwala na wykorzystanie zaufania do różnych instytucji. Nieostrożny odbiorca takiej wiadomości jest często proszony o odwiedzenie strony (adres często fałszywy) i wypełnienie formularza z informacjami o swoim koncie (np. w banku czy na stronie internetowej). W chwili obecnej jest to często stosowana metoda na wyłudzanie informacji o użytkowniku. Atakujący nie musi włamywać się na dobrze zabezpieczone serwery. Jeśli znajdzie naiwnych użytkowników i będzie mógł wykorzystać ich konta do dostania się do systemu, osiągnie zamierzony cel dużo łatwiej i szybciej.

Należy także pamiętać, iż w Internecie ruch może być transmitowany wieloma drogami. Atakujący posiadający wpływ na pracę urządzeń szkieletowych ma duże pole do popisu. Może on przekierować ruch przez wybrane przez siebie węzły lub do wybranych przez siebie serwerów. Udany atak tego typu pozwala na przechwycenie ruchu sieciowego, jego podsłuchanie lub podstawienie fałszywych serwerów bez konieczności stosowania innych metod.

Pamiętać też należy o konieczności zamykania sesji. Każde niezamknięte połączenie stanowi furtkę, przez którą atakujący może dostać się do systemu. Podszywając się pod klienta, atakujący może podłączyć się do istniejącej sesji.

Tendencje w zabezpieczeniach sieci przed fałszowaniem

Aby uchronić się przed fałszowaniem, można wykorzystać wiele technik. Ich zastosowanie ma na celu jednoznaczną identyfikację obu stron połączenia lub uniemożliwienie atakującemu odczytania przechwyconych danych czy też powtórnego ich wykorzystania.

Zastosowanie rozbudowanej kontroli dostępu pozwala na uniemożliwienie podłączania obcych stacji do chronionej sieci. Metody tego typu pozwalają na wykrycie atakującego sieć jeszcze zanim atak się rozpocznie.

Jeśli ruch odbywa się poza obszarem, który możemy kontrolować, chcemy mieć pewność, że komunikujemy się rzeczywiście z zadaną maszyną. W tym celu możemy wykorzystać infrastrukturę klucza publicznego. Pozwala ona na identyfikację komunikujących się maszyn. Pozwala także na zaszyfrowanie przesyłanych danych. Przechwycone dane są wówczas nieczytelne dla podsłuchującego transmisje.

Inną metodą przeciwko podszywaniu się pod usługi jest stosowanie haseł jednorazowych. Nawet jeśli atakujący wykradnie informacje o nazwie użytkownika i jego haśle, podczas kolejnej próby połączenia będzie proszony o inne, nowe hasło.