Wykrywanie ataków coraz skuteczniejsze

Wraz z rozwojem metod ataków na systemy komputerowe ewoluują również systemy do wykrywania prób ich penetracji. Na rynku pojawiają się produkty charakteryzujące się większą szybkością działania, lepszymi mechanizmami korelacji zdarzeń i możliwościami filtrowania fałszywych alarmów. Są także nowe, hybrydowe rozwiązania, łączące metody działania systemów hostowych i sieciowych.

Wraz z rozwojem metod ataków na systemy komputerowe ewoluują również systemy do wykrywania prób ich penetracji. Na rynku pojawiają się produkty charakteryzujące się większą szybkością działania, lepszymi mechanizmami korelacji zdarzeń i możliwościami filtrowania fałszywych alarmów. Są także nowe, hybrydowe rozwiązania, łączące metody działania systemów hostowych i sieciowych.

Wykrywanie ataków coraz skuteczniejsze

Pakiety IDS

Hakerzy włamują się do systemów z wielu powodów, najczęściej w celu uzyskania poufnych danych, osiągnięcia uznania w kręgu własnej społeczności lub zakłócenia pracy ośrodka webowego technikami DoS (Denial of Service). Przy próbie penetracji systemu haker działa w sposób metodyczny, zazwyczaj metodą kolejnych kroków. Na kroki te składają się: rozpoznanie systemu, wejście do systemu, wykorzystanie słabych punktów systemu, uzyskanie dostępu do zasobów i w końcu opanowanie systemu lub wyprowadzenie z niego interesujących hakera informacji. Metody skanowania sieci i wykrywania luk w systemach opisano szczegółowo w poprzednim numerze "NetWorlda". Techniki ataku, będącego efektem takiego rozpoznania, można podzielić na trzy kategorie: sieciowe, ataki na system operacyjny i na aplikacje.

Ataki sieciowe dotyczą infrastruktury komunikacyjnej, a ich celem mogą być urządzenia sieciowe, takie jak rutery i przełączniki, a także protokoły poziomu sieci na serwerze (warstwa 3). Celem takiego ataku jest zazwyczaj uzyskanie uprawnień pozwalających na manipulowanie ustawieniami konfiguracyjnymi, mającymi wpływ na trasowanie ruchu komunikacyjnego. Ataki w warstwie 3 lub niższej - często są to ataki typu DoS - dotyczą modułów oprogramowania sieciowego na serwerze. W tym przypadku celem jest załamanie serwera lub co najmniej znaczne spowolnienie jego pracy. Nową odmianą DoS jest technika Distributed DoS (DDoS), w której szereg agentów rozproszonych w sieci przypuszcza atak na wybrany serwer. Moduły agentów rozsyłane są przez hakera do opanowanych przez niego komputerów - najczęściej w Internecie - i uaktywniane w odpowiednim czasie dla wykonania skoordynowanego ataku na wybrany cel.

Ataki na system operacyjny wykorzystują błędy i luki w powszechnie stosowanych systemach operacyjnych. Najczęściej wykorzystywana jest koncepcja superużytkownika (Root w systemach Unix czy Administrator w Microsoft Windows). Tak uprzywilejowany użytkownik przechodzi bez przeszkód przez wszystkie środki ochrony wbudowane w system operacyjny - może więc mieć dostęp do wszystkich plików (łącznie z systemowymi) i urządzeń, i nadawać uprawnienia nowym użytkownikom. Większość technik uzyskiwania uprawnień superużytkownika wykorzystuje tzw. efekt przepełnienia bufora. Technika ta pozwala hakerowi na wprowadzenie swojego kodu do innego programu pracującego na komputerze i wykonaniu go w kontekście uprawnień przewidzianych dla tego programu. Zazwyczaj taki podrzucony kod zakłada konto nowego, uprzywilejowanego użytkownika. Umożliwia to potem hakerowi legalne wejście do systemu przez zalogowanie się jako ten nowy użytkownik.

Ataki aplikacyjne. Wraz z rozwojem Internetu pojawiły się powszechnie stosowane aplikacje, takie jak serwery webowe, serwery poczty elektronicznej czy serwery DNS. Takie aplikacje są idealnym celem, ponieważ - z definicji - nastawione są na ciągłe oczekiwanie na komunikację wchodzącą z Internetu, a użytkownicy zewnętrzni mogą uzyskiwać do nich dostęp bez pośrednictwa zapór ogniowych.

Na pierwszy ogień idą przeważnie serwery webowe. Do ataku na nie wykorzystywane są odpowiednio przygotowane zlecenia HTTP, uznawane za legalne z punktu widzenia zapory ogniowej, ale przygotowane do pokonania słabych punktów serwera webowego i uzyskania dostępu do poufnych informacji zgromadzonych w bazach danych lub do wykonania własnego programu na zaatakowanym serwerze webowym.

Inne sposoby ataków związane są z programami CGI (Common Gateway Interface). Programy te są podstawowym środkiem do implementacji aplikacji webowych. Serwer webowy po otrzymaniu zlecenia CGI, wywołuje odpowiedni program CGI przekazując do niego otrzymane parametry. Błędy projektowe, popełniane często na etapie tworzenia takich programów, zwłaszcza w kontroli zakresu danych, stwarzają okazję do ataków.

Innym przypadkiem są serwery DNS, po opanowaniu których można łatwo manipulować bazą adresową Internetu, kierując poufne informacje pod podmienione adresy fizyczne.


TOP 200