Metody ataków na informacje przesyłane za pomocą sieci

Przesył danych za pośrednictwem sieci internetowej jest powszechny i obejmuje swym zasięgiem coraz więcej różnych rodzajów informacji. Wśród nich znajduje się wiele danych wrażliwych klasyfikowanych jako poufne czy niejawne. Mogą być one szczególnie narażone na ataki ze strony cyberprzestępców. Poniżej przedstawiamy popularne metody ataków związane nie tylko z przechwytywaniem informacji przesyłanych za pomocą sieci, ale także z odmową usługi (Denial Of Service), uniemożliwiające korzystanie z zasobów przez uprawnionych użytkowników.

Sniffing

Metoda polega na ustawieniu karty sieciowej w tryb promiscuous (nasłuchiwania), przez co użytkownik bez uprawnień może monitorować pakiety w sieci, które nie są kierowane do niego. Tryb taki jest w opcjach sniffera, narzędzia do analizowania danych przepływających w sieciach Ethernet, służącego zwłaszcza administratorom do rozwiązywania technicznych problemów z siecią. Używanie snifferów do monitorowania prywatnych komputerów jest oczywiście nielegalne i przede wszystkim nieetyczne. Sniffing najczęściej występuje w lokalnych sieciach LAN, w których komputery łączą się z routerem poprzez switch albo hub. W przypadku sieci wykorzystujących hub (coraz mniej popularne) nadawane przez komputer pakiety danych mogą być wykorzystywane przez wszystkie komputery w sieci LAN. Uruchomienie programu sniffującego jest wystarczające do umożliwienia przechwytywania tych informacji. W sieciach wykorzystujących switche (przełączniki) przesył danych między komputerami polega na przesyłaniu pakietów między klientem a serwerem z pominięciem innych hostów, co powoduje utrudnienie w przechwytywaniu informacji. Metodami zabezpieczającymi komputery przed sniffingiem jest zaszyfrowanie transmisji danych za pomocą protokołów SSL lub SSH, a także przeszukiwania sieci w celu wykrycia sniffujacego komputera za pomocą specjalnych programów (antysnifferów).

Spoofing

Jest to sfałszowanie źródłowego adresu IP (pakietów zaufanego hosta) i podszycie się pod inny element systemu informatycznego w celu kradzieży danych, zainstalowania złośliwego oprogramowania lub ominięcia systemów kontroli dostępu. Spoofing realizowany jest poprzez umieszczanie w sieci preparowanych pakietów danych lub niepoprawne używanie protokołów. Efektem jest ukrycie tożsamości nadawcy. Omawiany termin obejmuje spoofing adresu IP (podszywanie się pod zaufane źródło), spoofing maila (podrabianie nagłówków mailowych, aby sprawiały wrażenie adresów zaufanych) i spoofing DNS (przekierowania ruchu na inny adres IP poprzez modyfikację serwera DNS).

Cyberprzestępcy mogą zatem wysyłać maile, które wyglądają na zaufane aby w ten sposób wyłudzić wrażliwe dane. Mogą też wykorzystać spoofing IP lub DNS, oszukując sieć, aby przekierowywała użytkowników na podrobione strony, z których może nastąpić właściwy atak na komputer użytkownika. Spoofing nie jest związany ze ściśle określoną warstwą OSI i może zostać zrealizowany praktycznie w każdej warstwie.

Zapory przeciwogniowe (firewall) starszego typu nie zabezpieczają przed spoofingiem, ale nowe, które są wyposażone w mechanizmy analizujące pakiety, począwszy od warstwy łącza danych, po najwyższą warstwę aplikacji modelu OSI, umożliwiają już zabezpieczenie. Najlepszym zabezpieczeniem jest tu jednak zdrowy rozsądek: nie odpowiadać na podejrzane maile próbujące wyłudzić wrażliwe dane, sprawdzać poprawność adresu nadawcy, zachować czujność związaną z każdym drobiazgiem różniącym stronę od jej formy znanej i zaufanej.

SYN-flooding

SYN-flooding to atak, którego celem jest zablokowanie usług konkretnego serwera (DoS). Technicznie polega on na wysyłaniu do serwera ciągu pakietów z ustawioną flagą synchronizacji (SYN) informującej o próbie połączenia i często ze sfałszowanym adresem IP nadawcy (IP spoofing). W odpowiedzi serwer odsyła do komputera nawiązującego połączenie pakiety z flagą synchronizacji i potwierdzenia (zgodnie z zasadami protokołu TCP) oraz przechodzi w stan oczekiwania na odpowiedź komputera. Brak odpowiedzi zmusza serwer do zapisania informacji o próbie nawiązania połączenia. Fizycznym miejscem zapisu jest pamięć RAM (tablice stanu), której pojemność jest ograniczona. Wysłanie przez przypuszczający atak komputer wielu pakietów SYN prowadzi do wyczerpania rezerw sprzętowych serwera i zablokowania możliwości udzielania odpowiedzi innym użytkownikom sieci (zawieszenie systemu). Skuteczną obroną jest w przypadku takiego ataku stosowanie zapory firewall.

ICMP flooding (PING flooding)

Jest to kolejny atak z serii „przepełnienia bufora”. Polega na zmasowanym atakowaniu portów niepożądanymi pakietami ICMP, które generowane są np. przez program ping. Przeprowadza się go za pomocą komputera z łączem o przepustowości większej od przepustowość łącza atakowanej maszyny, lub też z wykorzystaniem wielu niezależnych komputerów. Atakowany serwer zostaje zalany bardzo dużą ilością zapytań ping ICMP Echo Request (pakiet danych do hosta z żądaniem ich odesłania jako ICMP Echo Reply). Odpowiadając na każde żądanie za pomocą ICMP Echo Reply, doprowadza do przeciążenia łącza i w konsekwencji zablokowania dostępności oferowanych usług. Zapora sieciowa jest tutaj dobrym sposobem obrony.

Smurf attack

To odmiana ataku sieciowego ping flooding (ICMP flooding). W wypadku ataku ping flooding atakujący wykorzystuje swoją przewagę w przepustowości posiadanego łącza - smurf attack umożliwia przeprowadzenie akcji z wykorzystaniem łącza o słabszych parametrach niż atakowanego systemu. Atak związany jest z fałszowaniem zapytań ICMP Echo Request za pomocą zmiany adresu źródła zapytań na adres atakowanego serwera. Tak spreparowane pakiety zostają rozesłane do aktywnych systemów sieci, co z kolei skutkuje wysłaniem przez nie ICMP Echo Reply na sfałszowany adres źródłowy. Mały strumień pakietów może tutaj spowodować ich zwielokrotnioną liczbę. Przy rozległej sieci może to skutkować wzmożonym ruchem i spadkiem wydajności, a także zablokowaniem łącza komputera ofiary ataku. Atak ten ma największe szanse powodzenia w niewielkich sieciach lokalnych. Może być on przeprowadzony także za pośrednictwem pakietów UDP – nosi wtedy nazwę „fraggle”.

Skanowanie portów

Skanowanie portów wykorzystywane jest przez atakującego do odnalezienia luk w zabezpieczeniach komputerów. Za pomocą skanera portów rozesłane zostają pakiety TCP do komputerów w celu uzyskania informacji dotyczących otwartych portów, działających systemów i oferowanych przez systemy usług. Pusty pakiet z ustawioną flagą SYN zostaje wysłany do badanego serwera. W potwierdzeniu napływa pakiet zwrotny z ustawionymi flagami SYN/ACK. W pakiecie tym zawarte są dane, służące do identyfikacji systemu i udostępnionych na nim serwisów.

Należy dawać sobie sprawę z faktu, iż kradzież informacji następuje często w sposób ciągły i niewidoczny. Bardzo ważna jest zatem świadomość występujących zagrożeń – często w ataki uwikłani są niezorientowani użytkownicy sieci. Istotne są oczywiście także odpowiednie zabezpieczenia przeciwdziałające tego typu niebezpieczeństwom.

O metodach zabezpieczeń piszemy tutaj.

Pavel Kroupka