Karakteristieke kenmerken van netwerkaanvallen. Belangrijkste soorten DDoS-aanvallen en hoe dergelijke aanvallen werken

Soorten aanvallen

Het binnendringen in een computernetwerk vindt plaats in de vorm van aanvallen.

Een aanval is een gebeurtenis waarbij vreemden proberen de netwerken van anderen binnen te dringen. Bij een moderne netwerkaanval wordt vaak misbruik gemaakt van kwetsbaarheden in software. Enkele van de meest voorkomende aanvallen in het begin van de jaren 2000 waren gerichte denial-of-service-aanvallen, DoS (Dental of Service) en gedistribueerde DDoS-aanvallen (Distributed DoS). Een DoS-aanval maakt het aanvalsdoel onbereikbaar voor normaal gebruik door de toegestane grenzen van het functioneren van een dergelijk netwerkapparaat te overschrijden. DoS is een gerichte (geconcentreerde) aanval, omdat deze uit één bron komt. Bij gedistribueerde DDoS wordt de aanval uitgevoerd vanuit meerdere bronnen verspreid in de ruimte, vaak behorend tot verschillende netwerken. Enkele jaren geleden begon de term kwaadaardige programmacode van het militair-industriële complex te worden gebruikt, wat betekent dat virussen, wormen, Trojaanse systemen, tools voor netwerk aanvallen, het verzenden van spam en andere acties die ongewenst zijn voor de gebruiker. Gezien de uiteenlopende aard van de bedreigingen, moderne systemen De beschermingen bestaan ​​uit meerdere niveaus en zijn complex geworden. Netwerkwormen verspreiden hun kopieën via computernetwerken met behulp van e-mail en berichtenuitwisseling. De meest voorkomende Trojaanse programma's zijn tegenwoordig programma's die ongeoorloofde acties uitvoeren: ze vernietigen gegevens en gebruiken computerbronnen voor kwaadaardige doeleinden. Tot de gevaarlijkste Trojaanse programma's behoort spyware. Het verzamelt informatie over alle acties van de gebruiker en verzendt deze informatie vervolgens, onopgemerkt door de gebruiker, naar aanvallers. Het jaar 2007 kan het jaar van de ‘dood’ van niet-commerciële malware worden genoemd. Niemand ontwikkelt deze programma's meer voor zelfexpressie. Opgemerkt kan worden dat in 2007 geen enkel kwaadaardig programma een financieel motief zou hebben gehad. Een van de nieuwe malware wordt beschouwd als de Storm Worm, die in januari 2007 verscheen. Om zich te verspreiden gebruikte de worm zowel traditionele methoden, zoals e-mail, als distributie in de vorm van videobestanden. De techniek om iemands aanwezigheid in het systeem te verbergen (rootkits) kan niet alleen in Trojaanse programma's worden gebruikt, maar ook in bestandsvirussen. Malware probeert nu op het systeem te overleven, zelfs nadat deze is ontdekt.

Een van de gevaarlijke manieren om hun aanwezigheid te verbergen is het gebruik van bootloader-infectietechnologie. harde sector schijf - zogenaamde "bootkits". Zo'n kwaadaardig programma kan de controle overnemen zelfs voordat het grootste deel van het besturingssysteem is geladen.

Het scala aan beveiligingsproblemen beperkt zich niet langer tot de taak van bescherming tegen virussen, waar we ongeveer vijf jaar geleden mee te maken kregen. Het gevaar van interne informatielekken is ernstiger geworden dan externe bedreigingen. Bovendien werd diefstal aan het begin van de 21e eeuw het doel van computercriminaliteit. economische informatie, bankrekeningen, verstoring van de informatiesystemen van concurrenten, massale verzending van advertenties. Niet minder, en soms zelfs een grotere bedreiging voor de IT-systemen van bedrijven wordt gevormd door insiders: bedrijfswerknemers die toegang hebben tot vertrouwelijke informatie en deze voor ongunstige doeleinden gebruiken. Veel experts zijn van mening dat de schade veroorzaakt door insiders niet minder groot is dan die veroorzaakt door malware. Het is kenmerkend dat een aanzienlijk deel van de informatielekken niet het gevolg is van kwaadwillig handelen van werknemers, maar van hun onoplettendheid. De belangrijkste technische middelen om dergelijke factoren te bestrijden zouden middelen voor authenticatie en beheer van toegang tot gegevens moeten zijn. Het aantal incidenten blijft echter groeien (de afgelopen jaren met circa 30% per jaar). Geleidelijk aan beginnen er instrumenten voor lek- en insiderbescherming te worden geïntegreerd gemeenschappelijk systeem informatiebescherming. Concluderend presenteren we een algemene classificatie netwerkbedreigingen(Afb. 11.3)

Het doel van elke aanval is het uitschakelen van een concurrent die klanten wegneemt, of gewoonweg unieke bezoekers. Veel webmasters gebruiken niet altijd alleen ‘witte hoed’-methoden om hun geesteskind te promoten. We kunnen niet zonder ‘zwarten’. Door promotie met behulp van zwarte methoden wordt de eigenaar van een bedrijf of alleen een website gepromoveerd naar de TOP van de zoekresultaten door zijn concurrenten te vernietigen.

Maar het ergste is dat onschuldige sites het slachtoffer kunnen worden van een aanval, misschien zelfs sites die pas onlangs zijn gemaakt. Dit kan gebeuren als de hele server wordt aangevallen; Dit is trouwens precies de reden waarom u een speciaal IP-adres voor uw website moet kopen. En ook al zijn deze aanvallen bij wet strafbaar, dit houdt de meerderheid niet tegen.

Het is onmogelijk om uw website 100% te beschermen. Als aanvallers hiervoor een groot budget hebben en een sterk verlangen, kan vrijwel niets hen tegenhouden.

Doelwitten van aanvallen

Er zijn verschillende hoofddoelen:

— Diefstal van gebruikerswachtwoorden, toegang tot gesloten secties;

— “Vernietiging” van de server. Het doel is om het naar een niet-werkende staat te brengen;

— Krijg onbeperkte toegang tot de server;

— Implantatie van links, verschillende virussen en andere zaken in de code;

— De site downgraden naar zoekresultaten totdat het er helemaal uitvalt.

Naast het bovenstaande zijn aanvallen onderverdeeld in intern en extern. NAAR intern kan verschillende hacks omvatten om toegang te krijgen tot een site of server, en naar extern, laster of spam.

Het is mogelijk om vrij actief te vechten tegen interne soorten aanvallen. Wat externe betreft, alles is veel gecompliceerder. Het punt is dat de servereigenaar de situatie niet onder controle kan krijgen, wat hem erg kwetsbaar maakt.

Soorten aanvallen

Ddos-aanval

Dit is, mijn excuses, de meest walgelijke variant. Het gevolg van een dergelijke aanval zal een volledige stop van de server zijn, en misschien zelfs meerdere servers. Het ergste is dat 100% volledige bescherming er is geen DDoS-bescherming. Als de aanval niet zwak is, zal de server buiten werking zijn totdat de aanval wordt gestopt.

Een ander kenmerkend kenmerk van DDoS-aanvallen is de beschikbaarheid ervan. Om de server van een concurrent te ‘overweldigen’ hoef je geen professionele hacker te zijn. Hiervoor heb je alleen geld of een eigen botnet nodig (Botnet is een netwerk van geïnfecteerde computers). En voor een zwakke DDoS zijn meerdere computers voldoende.

Ddos – de vertaling van deze afkorting klinkt als “gedistribueerde denial of service”. Het punt van de aanval is een gelijktijdige, enorme toegang tot de server, die plaatsvindt vanaf meerdere computers.

Lees ook: Hoe de tijd te zien aan de hand van de zon

Zoals we weten heeft elke server een maximale belastingslimiet, en als deze belasting wordt overschreden, wat een DDoS-aanval doet, ‘sterft’ de server.

Het meest interessante is dat gewone netwerkgebruikers deelnemen aan de aanvallen zonder het te weten. En hoe meer nieuwe gebruikers er op internet zijn, hoe groter het botnetleger, en als gevolg daarvan zal de aanvalsmacht exponentieel groeien. Maar tegenwoordig hebben hackers hun inspanningen verlegd van DDoS-aanvallen naar frauduleuze trucs om direct geld te verdienen.

De kracht van aanvallen wordt gemeten aan de hand van de hoeveelheid verkeer die per seconde naar de server van een concurrent wordt gestuurd. Aanvallen met een verkeersvolume van meer dan enkele GB/sec zijn zeer moeilijk te bestrijden. Dit verkeersvolume is zeer moeilijk te filteren, bijna onmogelijk. Dergelijke krachtige aanvallen duren in de regel niet lang, maar zelfs één dag downtime groot bedrijf kan ernstige schade veroorzaken in de vorm van omzet- en reputatieverlies.

Overigens worden niet alleen individuele servers aangevallen, maar ook nationale netwerken, waardoor het netwerk in hele regio’s wordt afgesloten.

Ter preventie moet u uw sites op servers plaatsen die over een indrukwekkend aanbod aan bronnen beschikken, zodat u tijd heeft om actie te ondernemen.

Als eenvoudige methoden tegen zwakke aanvallen kunnen we aanbevelen:
— geef in plaats van de hoofdpagina van de site (als de aanval daarop is gericht) een pagina met een omleiding. Omdat de omvang veel kleiner is, zal de belasting van de server onvergelijkbaar minder zijn; — als het aantal verbindingen vanaf één IP een bepaald aantal overschrijdt, zet het dan op de zwarte lijst;
— verminder het aantal clients (MaxClients) dat tegelijkertijd met de server is verbonden;
— buitenlands verkeer blokkeren, aangezien aanvallen meestal uit Aziatische landen komen;

U hebt een afzonderlijk, onafhankelijk kanaal naar de server nodig, waardoor u er toegang toe hebt als het hoofdkanaal niet beschikbaar is. Alle serversoftware moet regelmatig worden bijgewerkt en alle aankomende patches moeten worden geïnstalleerd.

Een soort DDoS-aanval kan worden uitgelokt door zoekmachines of andere robots die de site actief indexeren. Als de site-engine niet is geoptimaliseerd, zal een groot aantal paginatreffers in korte tijd te veel veroorzaken hoge belasting naar de server.

Het hacken van de server en het plaatsen van links of virussen

Veel beginnende webmasters ontdekken het verborgen koppelingen alleen op hun sites wanneer deze links er al naartoe hebben geleid negatieve gevolgen– bijvoorbeeld een site wordt geblokkeerd door een host, uit de index van zoekmachines gehaald, een klacht over een domein. Vervolgens wordt ontdekt dat de site is gehackt en worden er links op geplaatst met als doel andere bronnen te promoten of voor de verspreiding van virussen en Trojaanse paarden.

Lees ook: Hoe hacking op een sociaal netwerk te herkennen

Het is mogelijk dat de hostingserver zelf is gehackt. Maar in de meeste gevallen komen dergelijke vervelende dingen op sites terecht via gaten in de motoren van de site of als gevolg van de nalatigheid van de webmaster bij het opslaan van wachtwoorden.

Verborgen links zijn een van de populaire redenen voor sancties voor zoekmachines; er kan sprake zijn van aanzienlijke pessimisatie (een daling van alle posities met enkele honderden punten), waaraan uiterst moeilijk te ontkomen is. Als er niet alleen links worden ingevoegd, maar ook viruscode, kan de host de site eenvoudig zonder waarschuwing verwijderen. De bron en het bijbehorende IP-adres kunnen ook op de zwarte lijst worden gezet door het dubieuze (zo niet frauduleuze) bedrijf Spamhouse, wat het einde betekent, aangezien het bijna onmogelijk is om daar weg te komen.

Preventie is eenvoudig: controleer motorupdates, installeer alle nieuwe versies en regelmatige toevoegingen die verschijnen. En u kunt eenvoudigweg geen wachtwoorden in gewone tekst op uw computer opslaan. Hetzelfde geldt voor alle serversoftware.

Voorspelbare namen van servicemappen en -bestanden vormen een zeker gevaar. (Voorspelbare locatie van bronnen). Door simpelweg te zoeken, zal de hacker hun locatie bepalen - en hij zal een voordeel hebben. Hier is het de moeite waard om gemak op te offeren voor veiligheid.

SQL-injectie

Uitvoering van een SQL-query door een aanvaller op de server van iemand anders, met behulp van kwetsbaarheden in de engine, imperfectie programmacode. De essentie van het beveiligingslek is dat een willekeurige SQL-query kan worden doorgegeven in de GET-parameter. Daarom alles tekenreeksparameters moet worden geëscaped (mysql_real_escape_string) en omgeven door aanhalingstekens.

Met behulp van injectie kan een hacker vrijwel elke actie met de database uitvoeren: deze verwijderen, toegang krijgen tot gebruikersgegevens en wachtwoorden, enz.

De essentie van een XSS-aanval is het injecteren van willekeurige code in een pagina die door een script wordt gegenereerd. Dit werkt als de variabele die in het paginaadres wordt doorgegeven, niet wordt gecontroleerd op de aanwezigheid van tekens zoals aanhalingstekens.

Het grootste gevaar is de diefstal van cookies en daarmee het verkrijgen van toegang tot gebruikersaccounts. Een hacker kan ook informatie verkrijgen over het systeem van de bezoeker, de geschiedenis van bezochte sites, enz. Het is ook mogelijk om niet alleen een javascript te injecteren, maar ook een link naar een php-script dat wordt gehost op een server van een derde partij, wat veel gevaarlijker.

Ooit werd deze methode gebruikt in “black hat” SEO om gratis links te krijgen. Dit heeft site-eigenaren niet bijzonder geschaad.

Spam met websiteadres en details

De methode is over het algemeen ongevaarlijk, maar ook hier komt het eerder genoemde Spamhouse om de hoek kijken. Met slechts één klacht kunnen de site en het bijbehorende IP-adres op de zwarte lijst worden gezet en wordt de host gedwongen service te weigeren. En het versturen van enkele honderdduizenden brieven met het adres van welke site dan ook kost een cent. Forums, commentaren, enz. kunnen ook spammen, en het zal uiterst moeilijk zijn om te bewijzen dat concurrenten dit deden.

Classificatie van netwerkaanvallen

Netwerkaanvallen zijn net zo gevarieerd als de systemen waarop ze zich richten. Sommige aanvallen zijn erg moeilijk. Anderen kunnen worden uitgevoerd door een gewone operator die zich niet eens kan voorstellen welke gevolgen zijn activiteiten kunnen hebben. Om de soorten aanvallen te kunnen beoordelen, moet u enkele inherente beperkingen van het TPC/IP-protocol kennen. Het internet is gemaakt voor communicatie tussen overheidsinstanties en universiteiten om het onderwijsproces en wetenschappelijk onderzoek te ondersteunen. De makers van dit netwerk hadden geen idee hoe breed het zich zou verspreiden. Als gevolg hiervan ontbraken de specificaties van vroege versies van het Internet Protocol (IP) aan beveiligingsvereisten. Dit is de reden waarom veel IP-implementaties inherent kwetsbaar zijn. Na vele jaren, nadat we veel klachten hadden ontvangen (RFC - Request for Comments), zijn we eindelijk begonnen met het implementeren van beveiligingsmaatregelen voor IP. Vanwege het feit dat beveiligingsmaatregelen aanvankelijk niet voor het IP-protocol waren ontwikkeld, werden alle implementaties ervan echter aangevuld met een verscheidenheid aan netwerkprocedures, diensten en producten die de risico's die inherent zijn aan dit protocol verminderen. Vervolgens bespreken we kort de soorten aanvallen die vaak tegen IP-netwerken worden gebruikt en geven we manieren op om deze te bestrijden.


Pakkettensnuffelaars
Een pakketsniffer is een toepassingsprogramma dat gebruikmaakt van een netwerkkaart die in de promiscue modus werkt (in deze modus verzendt de netwerkadapter alle ontvangen pakketten via fysieke kanalen naar de toepassing voor verwerking). In dit geval onderschept de sniffer alle netwerkpakketten die via een specifiek domein worden verzonden. Momenteel werken sniffers in netwerken op volle capaciteit. legaal. Ze worden gebruikt voor foutdiagnose en verkeersanalyse. Omdat sommige netwerktoepassingen echter gegevens in tekstformaat verzenden (telnet, FTP, SMTP, POP3, enz.), kunt u met behulp van een sniffer nuttige en soms vertrouwelijke informatie(bijvoorbeeld gebruikersnamen en wachtwoorden).

Het onderscheppen van inloggegevens en wachtwoorden vormt een grote bedreiging omdat gebruikers vaak dezelfde gebruikersnaam en wachtwoord gebruiken voor meerdere applicaties en systemen. Veel gebruikers hebben over het algemeen één wachtwoord om toegang te krijgen tot alle bronnen en applicaties. Als de applicatie in client/server-modus draait en de authenticatiegegevens in een leesbaar tekstformaat over het netwerk worden verzonden, kan deze informatie waarschijnlijk worden gebruikt om toegang te krijgen tot andere bedrijfs- of externe bronnen. Hackers kennen onze menselijke zwakheden maar al te goed en exploiteren deze (aanvalsmethoden zijn vaak gebaseerd op social engineering-methoden). Ze weten heel goed dat we hetzelfde wachtwoord gebruiken om toegang te krijgen tot veel bronnen, en daarom slagen ze er vaak in toegang te krijgen tot belangrijke informatie door ons wachtwoord te leren. In het ergste geval krijgt een hacker toegang op systeemniveau tot een gebruikersbron en gebruikt deze om een ​​nieuwe gebruiker aan te maken die op elk moment kan worden gebruikt om toegang te krijgen tot het netwerk en de bronnen ervan.

U kunt de dreiging van packet sniffing beperken door de volgende hulpmiddelen te gebruiken:
Authenticatie - Sterke authenticatie is de eerste verdediging tegen packet sniffing. Met ‘sterk’ bedoelen we een authenticatiemethode die moeilijk te omzeilen is. Een voorbeeld van een dergelijke authenticatie zijn eenmalige wachtwoorden (OTP - One-Time Passwords). OTR is technologie tweefactorauthenticatie, waarin er een combinatie is van wat je hebt met wat je weet. Een typisch voorbeeld van tweefactorauthenticatie is de werking van een reguliere geldautomaat, waarbij u in de eerste plaats wordt geïdentificeerd aan de hand van uw plastic kaart en in de tweede plaats aan de hand van de pincode die u invoert. Voor authenticatie in het OTP-systeem zijn tevens een pincode en uw persoonlijke kaart nodig. Onder een “kaart” (token) wordt verstaan ​​een hardware- of softwareapparaat dat (door willekeurig principe) uniek eenmalig wachtwoord. Als een hacker dit wachtwoord ontdekt met behulp van een sniffer, is deze informatie nutteloos omdat het wachtwoord op dat moment al is gebruikt en buiten gebruik is gesteld. Houd er rekening mee dat deze methode om sniffing tegen te gaan alleen effectief is tegen het onderscheppen van wachtwoorden. Sniffers die andere informatie onderscheppen (zoals e-mailberichten) blijven effectief.
Geschakelde infrastructuur - Een andere manier om packet sniffing in uw netwerkomgeving tegen te gaan, is het creëren van een geschakelde infrastructuur. Als de hele organisatie bijvoorbeeld gebruik maakt van dial-up Ethernet, hebben hackers alleen toegang tot het verkeer dat binnenkomt via de poort waarmee ze zijn verbonden. Geschakelde infrastructuur elimineert de dreiging van snuffelen niet, maar vermindert de ernst ervan aanzienlijk.
Anti-sniffers - De derde manier om sniffing tegen te gaan is het installeren van hardware of software die de sniffers herkent die op uw netwerk draaien. Deze tools kunnen de dreiging niet volledig elimineren, maar zijn, net als veel andere netwerkbeveiligingstools, opgenomen in het algemene beveiligingssysteem. Zogenaamde "anti-sniffers" meten de responstijden van de host en bepalen of hosts "extra" verkeer moeten verwerken. Een dergelijk product, geleverd door LOpht Heavy Industries, heet AntiSniff(. Meer gedetailleerde informatie kunt u verkrijgen op de website


Cryptografie - de meeste effectieve manier Anti-packet sniffing voorkomt onderschepping niet en herkent het werk van sniffers niet, maar maakt dit werk nutteloos. Als het communicatiekanaal cryptografisch beveiligd is, betekent dit dat de hacker niet het bericht onderschept, maar de cijfertekst (dat wil zeggen een onbegrijpelijke reeks bits). Cisco-netwerklaagcryptografie is gebaseerd op het IPSec-protocol. IPSec is een standaardmethode voor veilige communicatie tussen apparaten die gebruik maken van het IP-protocol. Naar andere cryptografische protocollen netwerkbeheer erbij betrekken SSH-protocollen(Secure Shell) en SSL (Secure Socket Layer).


IP-spoofing
IP-spoofing vindt plaats wanneer een hacker, binnen of buiten een bedrijf, zich voordoet als een geautoriseerde gebruiker. Dit kan op twee manieren worden gedaan. Ten eerste kan een hacker een IP-adres gebruiken dat binnen het bereik van geautoriseerde IP-adressen ligt, of een geautoriseerd extern adres dat toegang heeft tot bepaalde netwerkbronnen. IP-spoofing-aanvallen zijn vaak het startpunt voor andere aanvallen. Een klassiek voorbeeld is een DoS-aanval, die begint vanaf het adres van iemand anders en de ware identiteit van de hacker verbergt.

Doorgaans beperkt IP-spoofing zich tot het invoegen van valse informatie of kwaadaardige opdrachten in de normale gegevensstroom die wordt verzonden tussen een client- en serverapplicatie of via een communicatiekanaal tussen peer-apparaten. Voor tweerichtingscommunicatie moet de hacker alle routeringstabellen wijzigen om verkeer naar het valse IP-adres te leiden. Sommige hackers proberen echter niet eens een reactie van de applicaties te krijgen. Als hoofdtaak is om een ​​belangrijk bestand van het systeem te ontvangen, de reacties op de toepassing doen er niet toe.

Als een hacker erin slaagt de routeringstabellen te wijzigen en verkeer naar een vals IP-adres te leiden, ontvangt de hacker alle pakketten en kan hij hierop reageren alsof hij een geautoriseerde gebruiker is.

De dreiging van spoofing kan worden beperkt (maar niet geëlimineerd) door gebruik te maken van volgende maatregelen:
Toegangscontrole - De eenvoudigste manier om IP-spoofing te voorkomen is door de toegangscontrole correct te configureren. Om de effectiviteit van IP-spoofing te verminderen, configureert u de toegangscontrole zo dat al het verkeer dat afkomstig is van een extern netwerk met een bronadres dat zich binnen uw netwerk zou moeten bevinden, wordt geweigerd. Houd er rekening mee dat dit helpt bij het bestrijden van IP-spoofing, waarbij alleen interne adressen zijn geautoriseerd. Als sommige externe netwerkadressen ook zijn geautoriseerd, heeft deze methode geen effect.
RFC 2827-filtering - U kunt voorkomen dat gebruikers in uw netwerk de netwerken van anderen spoofen (en zo een goede "online burger" worden). Om dit te doen, moet u uitgaand verkeer weigeren waarvan het bronadres niet een van de IP-adressen van uw organisatie is. Dit type filtering, bekend als "RFC 2827", kan ook worden uitgevoerd door uw internetprovider (ISP). Als gevolg hiervan wordt al het verkeer afgewezen dat geen bronadres heeft dat op een bepaalde interface wordt verwacht. Als een ISP bijvoorbeeld een verbinding biedt met het IP-adres 15.1.1.0/24, kan deze een filter zo configureren dat alleen verkeer afkomstig van 15.1.1.0/24 van die interface naar de router van de ISP wordt toegestaan. Houd er rekening mee dat totdat alle providers dit type filtering implementeren, de effectiviteit ervan veel lager zal zijn dan mogelijk is. Bovendien geldt dat hoe verder u verwijderd bent van de apparaten die worden gefilterd, hoe moeilijker het is om nauwkeurige filtratie uit te voeren. RFC 2827-filtering op het niveau van de toegangsrouter vereist bijvoorbeeld dat al het verkeer van het hoofdnetwerkadres (10.0.0.0/8) wordt doorgegeven, terwijl het op distributieniveau (in deze architectuur) mogelijk is om het verkeer nauwkeuriger te beperken (adres - 10.1 .5,0/24).

De meest effectieve methode om IP-spoofing tegen te gaan is dezelfde als bij packet sniffing: je moet de aanval volledig ineffectief maken. IP-spoofing kan alleen werken als authenticatie is gebaseerd op IP-adressen. Implementatie dus aanvullende methoden authenticatie maakt dit soort aanvallen nutteloos. Het beste uitzicht aanvullende authenticatie is cryptografisch. Als het niet mogelijk is, goede resultaten kan tweefactorauthenticatie bieden met behulp van eenmalige wachtwoorden.


Denial-of-Service (DoS)
DoS is zonder enige twijfel de meest bekende vorm van hackeraanvallen. Bovendien zijn dit soort aanvallen het moeilijkst om 100% bescherming tegen te creëren. Zelfs onder hackers worden DoS-aanvallen als triviaal beschouwd, en het gebruik ervan veroorzaakt minachtende grijns DoS-organisaties minimaal vereiste kennis en vaardigheden. Het is echter juist het gemak van de implementatie en de enorme schade die wordt aangericht waardoor DoS de aandacht trekt van beheerders die verantwoordelijk zijn voor netwerkbeveiliging. Als u meer wilt weten over DoS-aanvallen, moet u rekening houden met de meest bekende typen, namelijk:


TCP SYN-overstroming
Ping van de dood
Tribe Flood Network (TFN) en Tribe Flood Network 2000 (TFN2K)
Trinco
Stacheldracht
Drie-eenheid

DoS-aanvallen verschillen van andere soorten aanvallen. Ze zijn niet bedoeld om toegang te krijgen tot uw netwerk of om enige informatie uit dat netwerk te verkrijgen. Een DoS-aanval maakt uw netwerk onbereikbaar normaal gebruik door de toegestane limieten van het netwerk, het besturingssysteem of de applicatie te overschrijden.

Als je er een paar gebruikt servertoepassingen(zoals een webserver of FTP-server) DoS-aanvallen kunnen zo eenvoudig zijn als het overnemen van alle beschikbare verbindingen voor die applicaties en het bezet houden ervan, waardoor wordt voorkomen dat normale gebruikers worden bediend. DoS-aanvallen kunnen gebruikmaken van gangbare internetprotocollen zoals TCP en ICMP (Internet Control Message Protocol). De meeste DoS-aanvallen zijn niet afhankelijk van softwarefouten of beveiligingslekken, maar van algemene zwakheden in de systeemarchitectuur. Sommige aanvallen verlammen de netwerkprestaties door deze te overspoelen met ongewenste en onnodige pakketten of misleidende informatie over de huidige staat van netwerkbronnen. Dit type aanval is moeilijk te voorkomen omdat er coördinatie met de ISP nodig is. Als het verkeer dat bedoeld is om uw netwerk te overweldigen niet bij de provider kan worden tegengehouden, dan kunt u dit bij de ingang van het netwerk niet meer doen, omdat alle bandbreedte dan in beslag wordt genomen. Wanneer dit soort aanvallen gelijktijdig via meerdere apparaten wordt uitgevoerd, spreken we van een gedistribueerde aanval. DoS-aanval(DDoS - gedistribueerde DoS).

De dreiging van DoS-aanvallen kan op drie manieren worden beperkt:
Anti-spoofing-functies - Het correct configureren van anti-spoofing-functies op uw routers en firewalls helpt het risico op DoS te verminderen. Deze functies moeten op zijn minst RFC 2827-filtering omvatten. Als een hacker zijn ware identiteit niet kan verbergen, is het onwaarschijnlijk dat hij een aanval zal uitvoeren.
Anti-DoS-functies - Een juiste configuratie van anti-DoS-functies op routers en firewalls kan de effectiviteit van aanvallen beperken. Deze functies beperken vaak het aantal halfopen kanalen op een bepaald moment.
Beperking van de verkeerssnelheid - een organisatie kan de ISP vragen om de hoeveelheid verkeer te beperken. Met dit type filtering kunt u de hoeveelheid niet-kritiek verkeer beperken dat door uw netwerk gaat. Een veelvoorkomend voorbeeld is het beperken van de hoeveelheid ICMP-verkeer dat alleen voor diagnostische doeleinden wordt gebruikt. (D)DoS-aanvallen maken vaak gebruik van ICMP.


Wachtwoordaanvallen
Hackers kunnen wachtwoordaanvallen uitvoeren met behulp van verschillende methoden, zoals brute force-aanvallen, Trojaanse paarden, IP-spoofing en packet sniffing. Hoewel login en wachtwoord vaak kunnen worden verkregen via IP-spoofing en packet sniffing, proberen hackers vaak het wachtwoord te raden en in te loggen via meerdere toegangspogingen. Deze aanpak wordt een eenvoudige brute force-aanval genoemd. Vaak wordt bij een dergelijke aanval gebruik gemaakt van een speciaal programma dat probeert toegang te krijgen tot de bron. openbaar gebruik(bijvoorbeeld naar de server). Als de hacker hierdoor toegang krijgt tot bronnen, krijgt hij toegang tot de rechten van een gewone gebruiker wiens wachtwoord is geraden. Als deze gebruiker aanzienlijke toegangsrechten heeft, kan de hacker een "pas" maken voor toekomstige toegang die van kracht blijft, zelfs als de gebruiker zijn wachtwoord en login wijzigt.

Een ander probleem doet zich voor wanneer gebruikers hetzelfde (zelfs zeer goede) wachtwoord gebruiken om toegang te krijgen tot veel systemen: bedrijfs-, persoonlijke en internetsystemen. Omdat een wachtwoord slechts zo sterk is als de zwakste host, krijgt een hacker die het wachtwoord via die host leert, toegang tot alle andere systemen die hetzelfde wachtwoord gebruiken.

Ten eerste kunnen wachtwoordaanvallen worden vermeden door wachtwoorden niet in tekstvorm te gebruiken. Eenmalige wachtwoorden en/of cryptografische authenticatie kunnen de dreiging van dergelijke aanvallen vrijwel elimineren. Helaas ondersteunen niet alle applicaties, hosts en apparaten de bovenstaande authenticatiemethoden.

Als u gewone wachtwoorden gebruikt, probeer dan een wachtwoord te bedenken dat moeilijk te raden is. De minimale wachtwoordlengte moet minimaal acht tekens bedragen. Het wachtwoord moet de tekens bevatten hoofdletter, cijfers en speciale tekens (#, %, $, etc.). Beste wachtwoorden moeilijk te raden en moeilijk te onthouden, waardoor gebruikers gedwongen worden wachtwoorden op papier te schrijven. Om dit te voorkomen kunnen gebruikers en beheerders profiteren van een aantal recente technologische ontwikkelingen. Er zijn bijvoorbeeld applicatieprogramma's die een lijst met wachtwoorden coderen waarin deze kunnen worden opgeslagen zakcomputer. Hierdoor hoeft de gebruiker slechts één complex wachtwoord te onthouden, terwijl alle andere wachtwoorden betrouwbaar worden beschermd door de applicatie. Vanuit het oogpunt van een beheerder zijn er verschillende methoden om het raden van wachtwoorden tegen te gaan. Eén daarvan is het gebruik van de tool L0phtCrack, die vaak door hackers wordt gebruikt om wachtwoorden te raden in de Windows NT-omgeving. Deze tool laat je snel zien of het door de gebruiker gekozen wachtwoord gemakkelijk te raden is. Aanvullende informatie kunt u verkrijgen op


Man-in-the-Middle-aanvallen

Voor een Man-in-the-Middle-aanval heeft een hacker toegang nodig tot pakketten die via het netwerk worden verzonden. Dergelijke toegang tot alle pakketten die van een provider naar een ander netwerk worden verzonden, kan bijvoorbeeld worden verkregen door een medewerker van deze provider. Voor dit soort aanvallen worden vaak pakketsniffers, transportprotocollen en routeringsprotocollen gebruikt. Aanvallen worden uitgevoerd met als doel het stelen van informatie, het onderscheppen van de huidige sessie en het verkrijgen van toegang tot particuliere netwerkbronnen, het analyseren van verkeer en het verkrijgen van informatie over het netwerk en zijn gebruikers, het uitvoeren van DoS-aanvallen, het vervormen van verzonden gegevens en het invoeren van ongeoorloofde informatie in netwerksessies.

Man-in-the-Middle-aanvallen kunnen alleen effectief worden bestreden met behulp van cryptografie. Als een hacker gegevens uit een gecodeerde sessie onderschept, verschijnt niet het onderschepte bericht op zijn scherm, maar een betekenisloze reeks tekens. Houd er rekening mee dat als een hacker informatie verkrijgt over een cryptografische sessie (bijvoorbeeld een sessiesleutel), dit een Man-in-the-Middle-aanval mogelijk kan maken, zelfs in een gecodeerde omgeving.


Aanvallen op applicatieniveau
Aanvallen op applicatieniveau kunnen op verschillende manieren worden uitgevoerd. De meest voorkomende is het misbruiken van bekende zwakheden in serversoftware (sendmail, HTTP, FTP). Door deze zwakke punten te misbruiken, kunnen hackers toegang krijgen tot een computer als de gebruiker die de applicatie uitvoert (meestal geen gewone gebruiker, maar een bevoorrechte beheerder met systeemtoegangsrechten). Informatie over aanvallen op applicatieniveau wordt op grote schaal gepubliceerd, zodat beheerders het probleem kunnen corrigeren met behulp van corrigerende modules (patches). Helaas hebben veel hackers ook toegang tot deze informatie, waardoor ze kunnen leren.

Het grootste probleem met aanvallen op applicatieniveau is dat ze vaak poorten gebruiken waar ze doorheen kunnen firewall. Een hacker die misbruik maakt van een bekende zwakte in een webserver, zal bijvoorbeeld vaak poort 80 gebruiken bij een TCP-aanval. Omdat de webserver webpagina's aan gebruikers levert, moet de firewall toegang tot deze poort toestaan. Vanuit het oogpunt van de firewall wordt de aanval behandeld als standaardverkeer op poort 80.

Er zijn twee complementaire IDS-technologieën:
Network IDS System (NIDS) controleert alle pakketten die door een specifiek domein gaan. Wanneer het NIDS-systeem een ​​pakket of een reeks pakketten ziet die overeenkomen met de signatuur van een bekende of waarschijnlijke aanval, genereert het een alarm en/of beëindigt het de sessie;
Host IDS System (HIDS) beschermt de host ermee software agenten. Dit systeem bestrijdt slechts aanvallen tegen één enkele host;
In hun werk gebruiken IDS-systemen aanvalssignaturen, dit zijn profielen van specifieke aanvallen of soorten aanvallen. Handtekeningen definiëren de voorwaarden waaronder verkeer als hacker wordt beschouwd. Analogen van IDS in de fysieke wereld kunnen worden beschouwd als een waarschuwingssysteem of bewakingscamera. Het meest groot nadeel IDS is het vermogen om alarmen af ​​te geven en te genereren. Om het aantal valse alarmen te minimaliseren en een correcte werking van het IDS-systeem in het netwerk te garanderen, is een zorgvuldige configuratie van het systeem noodzakelijk.


Netwerk intelligentie
Netwerkintelligentie verwijst naar het verzamelen van informatie over een netwerk met behulp van openbaar beschikbare gegevens en applicaties. Bij het voorbereiden van een aanval op een netwerk probeert een hacker daar doorgaans zoveel mogelijk informatie over te krijgen. meer informatie. Netwerkverkenning wordt uitgevoerd in de vorm van DNS-query's, ping-sweeps en poortscans. Met DNS-query's krijgt u inzicht in wie de eigenaar is van een bepaald domein en welke adressen aan dat domein zijn toegewezen. Ping-sweeping-adressen die worden onthuld met behulp van DNS, stellen u in staat te zien welke hosts daadwerkelijk in een bepaalde omgeving draaien. Nadat de hacker een lijst met hosts heeft ontvangen, gebruikt hij poortscantools om te compileren volledige lijst services die door deze hosts worden ondersteund. Ten slotte analyseert de hacker de kenmerken van de applicaties die op de hosts draaien. Hierdoor wordt informatie verkregen die gebruikt kan worden voor hacking.

Het is onmogelijk om volledig van netwerkintelligentie af te komen. Als u bijvoorbeeld ICMP-echo en echo-antwoord op edge-routers uitschakelt, hoeft u geen ping-tests meer uit te voeren, maar raakt u de gegevens kwijt die nodig zijn om netwerkstoringen te diagnosticeren. Bovendien kunt u poorten scannen zonder voorafgaande ping-tests. Deze duurt alleen langer, omdat u niet-bestaande IP-adressen moet scannen. IDS-systemen op netwerk- en hostniveau zijn doorgaans goed in het informeren van beheerders over lopende netwerkverkenningen, waardoor ze zich beter kunnen voorbereiden op een aanstaande aanval en de ISP kunnen waarschuwen op wiens netwerk een systeem overdreven nieuwsgierig is.


Schending van vertrouwen
Strikt genomen is dit soort actie geen ‘aanval’ of ‘aanval’. Het vertegenwoordigt de kwaadwillige exploitatie van vertrouwensrelaties die in een netwerk bestaan. Een klassiek voorbeeld van dergelijk misbruik is de situatie in het perifere deel bedrijfsnetwerk. Dit segment bevat vaak DNS-, SMTP- en HTTP-servers. Omdat ze allemaal tot hetzelfde segment behoren, leidt het hacken van één ervan tot het hacken van alle andere, omdat deze servers andere systemen op hun netwerk vertrouwen. Een ander voorbeeld is een systeem dat aan de buitenkant van een firewall is geïnstalleerd en dat een vertrouwensrelatie heeft met een systeem dat aan de binnenkant van de firewall is geïnstalleerd. In geval van hacken extern systeem, kan een hacker vertrouwensrelaties gebruiken om een ​​systeem binnen te dringen dat wordt beschermd door een firewall.

Het risico op vertrouwensbreuk kan worden verminderd door de mate van vertrouwen binnen uw netwerk strenger te controleren. Systemen die zich buiten de firewall bevinden, mogen nooit het absolute vertrouwen hebben van systemen die door de firewall worden beschermd. Vertrouwensrelaties moeten beperkt blijven tot specifieke protocollen en, indien mogelijk, geauthenticeerd worden door andere parameters dan IP-adressen.


Poort doorsturen
Port forwarding is een vorm van vertrouwensmisbruik waarbij een gecompromitteerde host wordt gebruikt om verkeer door een firewall te leiden dat anders zou worden afgewezen. Laten we ons een firewall voorstellen met drie interfaces, die elk zijn verbonden met een specifieke host. Externe host kan verbinding maken met host publieke toegang(DMZ), maar niet naar de host die aan de binnenkant van de firewall is geïnstalleerd. Een gedeelde host kan verbinding maken met zowel een interne als een externe host. Als een hacker een publieke host overneemt, kan hij daar software op installeren die verkeer van de externe host rechtstreeks naar de interne host leidt. Hoewel hiermee geen enkele regel op het scherm wordt overtreden, krijgt de externe host door de omleiding direct toegang tot de beschermde host. Een voorbeeld van een applicatie die dergelijke toegang kan bieden is netcat. Meer gedetailleerde informatie vindt u op de website

De belangrijkste manier om port forwarding tegen te gaan is het gebruik van sterke vertrouwensmodellen (zie vorige paragraaf). Bovendien kan een host IDS-systeem (HIDS) voorkomen dat een hacker zijn software op een host installeert.


Ongeautoriseerde toegang

Ongeautoriseerde toegang kan niet in aanmerking worden genomen aparte soort aanvallen. De meeste netwerkaanvallen worden uitgevoerd om ongeautoriseerde toegang te verkrijgen. Om een ​​telnet-login te raden, moet een hacker eerst een telnet-prompt op zijn systeem krijgen. Na verbinding te hebben gemaakt met telnet-poort Op het scherm verschijnt de melding “autorisatie vereist om deze bron te gebruiken” (autorisatie is vereist om deze bron te gebruiken). Als de hacker hierna blijft proberen toegang te krijgen, wordt deze als 'ongeautoriseerd' beschouwd. De bron van dergelijke aanvallen kan zowel binnen als buiten het netwerk liggen.

Manieren om te bestrijden ongeoorloofde toegang vrij eenvoudig. Het belangrijkste hier is het verminderen of volledig elimineren van het vermogen van de hacker om toegang te krijgen tot het systeem met behulp van een ongeautoriseerd protocol. Overweeg bijvoorbeeld om te voorkomen dat hackers toegang krijgen tot de telnet-poort op een server die webservices levert externe gebruikers. Zonder toegang tot deze poort kan een hacker deze niet aanvallen. Wat de firewall betreft, de belangrijkste taak ervan is het voorkomen van de eenvoudigste pogingen tot ongeautoriseerde toegang.


Virussen en Trojaanse paarden-applicaties
Werkstations van eindgebruikers zijn zeer kwetsbaar voor virussen en Trojaanse paarden. Ze worden virussen genoemd malware, die zijn ingebed in andere programma's om een ​​specifieke ongewenste functie uit te voeren op het werkstation van de eindgebruiker. Een voorbeeld is een virus dat in het command.com-bestand (de belangrijkste tolk van Windows-systemen) is geschreven en andere bestanden wist, en ook alle andere gevonden versies van command.com infecteert. Het Trojaanse paard is geen programma-insert, maar een echt programma dat er zo uitziet nuttige toepassing, maar vervult in feite een schadelijke rol. Een voorbeeld van een typisch Trojaans paard is een programma dat eruitziet als een eenvoudig spel op het werkstation van de gebruiker. Terwijl de gebruiker het spel speelt, stuurt het programma echter een kopie van zichzelf per e-mail naar elke abonnee in het adresboek van die gebruiker. Alle abonnees ontvangen het spel per post, waardoor het verder wordt verspreid.

De strijd tegen virussen en Trojaanse paarden wordt gevoerd met behulp van effectieve antivirussoftware die werkt op gebruikersniveau en eventueel op netwerkniveau. Antivirusproducten detecteren de meeste virussen en Trojaanse paarden en stoppen de verspreiding ervan. Als u over de nieuwste informatie over virussen beschikt, kunt u deze effectiever bestrijden. Wanneer er nieuwe virussen en Trojaanse paarden verschijnen, moet het bedrijf nieuwe versies installeren antivirus middelen en toepassingen.

Bij een gewapende bankoverval bedraagt ​​het gemiddelde verlies 19 duizend dollar, bij een computercriminaliteit al 560 duizend. Volgens Amerikaanse experts is de schade door computercriminaliteit de afgelopen tien jaar jaarlijks met gemiddeld 35% toegenomen. In dit geval wordt gemiddeld 1% van de computercriminaliteit opgespoord en is de kans dat een crimineel de gevangenis in gaat voor gedetecteerde computerfraude niet meer dan 10%.

Natuurlijk helpt het gerichte gebruik van traditionele beveiligingsmaatregelen zoals antivirussoftware, firewalls, cryptografie, enzovoort, ongeautoriseerde toegang tot informatie te voorkomen. In dit geval speelt echter de menselijke factor een rol. De persoon, de eindgebruiker, blijkt de zwakste schakel in het informatiebeveiligingssysteem te zijn, en hackers die dit weten, maken vakkundig gebruik van social engineering-methoden. Wat dan ook systemen met meerdere niveaus identificatie hebben ze geen effect als gebruikers bijvoorbeeld wachtwoorden gebruiken die gemakkelijk te kraken zijn. Met een professionele aanpak van beveiligingsvraagstukken soortgelijke problemen in bedrijven beslissen ze door middel van gecentraliseerde uitgifte van unieke en complexe wachtwoorden of het vaststellen van strikte bedrijfsregels voor werknemers en adequate straffen voor niet-naleving. De situatie wordt echter gecompliceerd door het feit dat de rol van computercriminelen de laatste tijd steeds meer niet door ‘externe’ hackers wordt gespeeld, maar door de eindgebruikers zelf. Volgens een Amerikaanse "is de typische computercrimineel tegenwoordig een werknemer die toegang heeft tot een systeem waarvan hij een niet-technische gebruiker is." In de Verenigde Staten zijn computercriminaliteit gepleegd door bedienden verantwoordelijk voor 70 tot 80% van de jaarlijkse verliezen die met moderne technologie gepaard gaan. Bovendien ging bij slechts 3% van de fraudes en bij 8% van de misbruiken sprake van bijzondere vernietiging van apparatuur, programma's of gegevens. In andere gevallen manipuleerden de aanvallers alleen de informatie: ze stalen deze, wijzigden deze of creëerden een nieuwe, valse informatie. Tegenwoordig stelt het steeds wijdverbreidere gebruik van internet hackers in staat om op mondiale schaal informatie uit te wisselen. Er bestaat al lang een soort ‘hacker international’ – internet is tenslotte als geen ander technische middelen wist grenzen tussen staten en zelfs hele continenten uit. Voeg daarbij de bijna volledige anarchie van internet. Iedereen kan tegenwoordig instructies voor het hacken van computers en alle benodigde softwaretools vinden door eenvoudigweg te zoeken naar trefwoorden als ‘hacker’, ‘hacking’, ‘hack’, ‘crack’ of ‘phreak’. Een andere factor die de kwetsbaarheid van computersystemen aanzienlijk vergroot, is het wijdverbreide gebruik van gestandaardiseerde, gebruiksvriendelijke besturingssystemen en ontwikkelomgevingen. Hierdoor kunnen hackers creëren universeel gereedschap voor hacken, en een potentiële aanvaller hoeft niet langer zoals voorheen over goede programmeervaardigheden te beschikken - het is voldoende om het IP-adres te kennen van de site die wordt aangevallen, en om een ​​aanval uit te voeren is het voldoende om een ​​programma te starten dat op de site is gevonden. Internet. De eeuwige confrontatie tussen pantser en projectiel gaat door. Specialisten op het gebied van informatiebeveiliging hebben zich al gerealiseerd dat het zinloos is om hackertechnologieën altijd bij te houden; computeraanvallers zijn ze altijd een stap voor. Nieuwe technieken zijn daarom steeds meer gebaseerd op het preventief opsporen van overtredingen in informatiesystemen. Na verloop van tijd ontstaan ​​​​er echter nieuwe problemen, voornamelijk gerelateerd aan de ontwikkeling draadloze communicatie. Daarom moeten bedrijven die gespecialiseerd zijn in informatiebeveiliging steeds meer aandacht besteden aan het beschermen van gegevens die worden verzonden met behulp van nieuwe draadloze standaarden.

Classificatie

Netwerkaanvallen zijn net zo gevarieerd als de systemen waarop ze zich richten. Puur technologisch gezien maken de meeste netwerkaanvallen gebruik van een aantal beperkingen die inherent zijn aan het TCP/IP-protocol. Het internet is immers ooit gecreëerd om de communicatie tussen overheidsinstanties en universiteiten te ondersteunen onderwijskundig proces en wetenschappelijk onderzoek. Destijds hadden de makers van het netwerk geen idee hoe wijdverspreid het zich zou verspreiden. Hierdoor ontbraken de specificaties van vroege versies van het Internet Protocol (IP) aan beveiligingsvereisten, en daarom zijn veel IP-implementaties inherent kwetsbaar. Pas vele jaren later, toen de snelle ontwikkeling begon e-commerce en er een aantal ernstige incidenten met hackers plaatsvonden, begonnen beveiligingsinstrumenten voor internetprotocollen eindelijk op grote schaal te worden geïmplementeerd. Omdat IP-beveiliging echter oorspronkelijk niet was ontwikkeld, werden de implementaties ervan aangevuld met verschillende netwerkprocedures, diensten en producten die waren ontworpen om de inherente risico's van dit protocol te verminderen.

Postbombardementen

E-mailbombardementen (zogenaamde mailbombing) zijn een van de oudste en meest primitieve vormen van internetaanvallen. Het zou juister zijn om het zelfs computervandalisme te noemen (of simpelweg hooliganisme, afhankelijk van de ernst van de gevolgen). De essentie van mailbombing is om de mailbox te verstoppen met “rommel”-correspondentie of zelfs de mailserver van de internetprovider uit te schakelen. Voor dit doel worden speciale programma's gebruikt: mailbombers. Ze vallen gewoon in slaap, aangegeven als doelwit postbus een groot aantal brieven, terwijl valse afzendergegevens worden aangegeven - tot aan het IP-adres toe. Het enige wat een agressor die een dergelijk programma gebruikt, hoeft het e-mailadres van het doelwit van de aanval aan te geven, het aantal berichten, de tekst van de brief te schrijven (meestal iets aanstootgevends), valse afzenderinformatie aan te geven als het programma dit niet doet zelf en druk op de “start”-knop. De meeste internetproviders hebben dit echter wel eigen systemen klanten beschermen tegen mailbombardementen. Wanneer het aantal identieke brieven uit dezelfde bron bepaalde redelijke grenzen begint te overschrijden, wordt alle inkomende correspondentie van dit soort eenvoudigweg vernietigd. Tegenwoordig bestaat er dus geen ernstige angst meer voor postbombardementen.

Wachtwoord raden aanvallen

Een hacker die een systeem aanvalt, begint zijn acties vaak door te proberen het wachtwoord van een beheerder of een van de gebruikers te achterhalen. Om het wachtwoord te achterhalen, zijn er heel veel verschillende methoden. Dit zijn de belangrijkste: IP-spoofing en packet sniffing - we zullen ze hieronder bekijken. Het introduceren van een “Trojaans paard” in een systeem is een van de meest voorkomende technieken in de hackerpraktijk; we zullen er later ook meer in detail over praten. Brute force-aanval brute kracht"). Er zijn veel programma's die eenvoudig naar wachtwoordopties zoeken via internet of rechtstreeks op de aangevallen computer. Sommige programma's zoeken naar wachtwoorden met behulp van een specifiek woordenboek, andere genereren eenvoudigweg willekeurig verschillende reeksen tekens. Logisch zoeken naar wachtwoordopties. Een aanvaller die deze methode gebruikt, doorzoekt eenvoudigweg de mogelijke combinaties van tekens die door de gebruiker als wachtwoord kunnen worden gebruikt. Deze aanpak blijkt meestal verrassend effectief. Computerbeveiligingsspecialisten blijven zich verbazen over hoe vaak gebruikers dergelijke 'cryptische' gebruiken. combinaties als wachtwoorden, zoals 1234, qwerty of hun eigen naam achterstevoren geschreven. Serieuze hackers kunnen bij het selecteren van een dierbaar wachtwoord de persoon die dit wachtwoord gebruikt grondig bestuderen. De namen van familieleden en andere familieleden, welke teams en welke sporten het “object” is fan van; welke krant hij 's ochtends leest - al deze gegevens en hun combinaties komen in actie. Je kunt aan dergelijke aanvallen alleen ontsnappen door een willekeurige combinatie van letters en cijfers als wachtwoord te gebruiken, bij voorkeur gegenereerd door een speciaal programma. En natuurlijk is het noodzakelijk om het wachtwoord regelmatig te wijzigen - de systeembeheerder is verantwoordelijk voor het toezicht hierop. Sociale techniek. Dit is het gebruik door de hacker van psychologische technieken om met de gebruiker te ‘werken’. Een typisch (en eenvoudigste) voorbeeld is een telefoontje van een zogenaamde “systeembeheerder” met een verklaring als “We hebben hier een systeemfout gehad en de gebruikersinformatie is verloren gegaan. Kunt u alstublieft uw gebruikersnaam en wachtwoord opnieuw opgeven?” Het slachtoffer geeft het wachtwoord dus zelf in handen van de hacker. Naast regelmatige waakzaamheid helpt een systeem van ‘eenmalige wachtwoorden’ bescherming te bieden tegen dergelijke aanvallen. Vanwege de complexiteit ervan is het echter nog niet op grote schaal verspreid.

Virussen, e-mailwormen en Trojaanse paarden

Deze plagen treffen in de eerste plaats niet de providers of bedrijfscommunicatie, maar de computers van eindgebruikers. De omvang van de nederlaag is ronduit indrukwekkend: mondiale computerepidemieën die steeds vaker uitbreken, veroorzaken verliezen van meerdere miljarden dollars. De auteurs van ‘kwaadaardige’ programma’s worden steeds geavanceerder en belichamen de meest geavanceerde software en psychologische technologieën in moderne virussen. Virussen en Trojaanse paarden zijn verschillende klassen van “vijandige” programmacode. Virussen worden in andere programma's ingebed om hun kwaadaardige functie op het werkstation van de eindgebruiker uit te voeren. Dit kan bijvoorbeeld de vernietiging zijn van alle of slechts bepaalde bestanden op de harde schijf (meestal), schade aan apparatuur (voorlopig exotisch) of andere handelingen. Virussen zijn vaak geprogrammeerd om op een specifieke datum te activeren (een typisch voorbeeld is de beroemde WinChih, ook wel “Tsjernobyl” genoemd), en ook om kopieën van zichzelf via e-mail te sturen naar alle adressen in het adresboek van de gebruiker. Een Trojaans paard is, in tegenstelling tot een virus, een onafhankelijk programma, dat zich meestal niet richt op de grove vernietiging van informatie die kenmerkend is voor virussen. Meestal is het doel van het introduceren van een Trojaans paard het verkrijgen van een verborgen afstandsbediening via een computer om de informatie die erop staat te manipuleren. "Trojaanse paarden" vermommen zichzelf met succes als verschillende spellen of nuttige programma's, waarvan een groot deel gratis op internet wordt verspreid. Bovendien integreren hackers soms Trojaanse paarden in volledig ‘onschuldige’ en gerenommeerde programma’s. Eenmaal op een computer maakt het Trojaanse paard meestal geen reclame voor zijn aanwezigheid, maar voert het zijn functies zo geheim mogelijk uit. Zo'n programma kan de hacker-eigenaar bijvoorbeeld stilletjes een wachtwoord en login sturen voor toegang tot internet vanaf deze specifieke computer; bepaalde bestanden maken en verzenden naar het daarin ingebedde adres; houd alles bij wat via het toetsenbord wordt ingevoerd, enz. Meer geavanceerde versies van Trojaanse paarden, aangepast om specifieke computers aan te vallen specifieke gebruikers, kan op aanwijzing van de eigenaar bepaalde gegevens vervangen door andere die vooraf zijn voorbereid, of de gegevens die in bestanden zijn opgeslagen wijzigen, waardoor de computereigenaar wordt misleid. Dit is overigens een vrij gebruikelijke techniek uit het arsenaal aan industriële spionage en provocaties. De strijd tegen virussen en Trojaanse paarden wordt gevoerd met behulp van gespecialiseerde software en een goedgebouwde bescherming zorgt voor dubbele controle: op het niveau van een specifieke computer en op het niveau van het lokale netwerk. Moderne middelen om kwaadaardige code te bestrijden zijn behoorlijk effectief, en de praktijk leert dat er regelmatig mondiale epidemieën uitbreken computervirussen komen grotendeels voort uit de “menselijke factor” - de meeste gebruikers en veel systeembeheerders (!) zijn simpelweg te lui om databases regelmatig bij te werken antivirusprogramma's en controleer inkomende e-mail op virussen voordat u deze leest (hoewel dit nu steeds vaker door internetproviders zelf wordt gedaan).

Netwerk intelligentie

Strikt genomen kan netwerkverkenning geen aanval op een computersysteem worden genoemd - de hacker voert immers geen "kwaadaardige" acties uit. Netwerkverkenning gaat echter altijd aan de aanval zelf vooraf, omdat aanvallers bij de voorbereiding ervan alle beschikbare informatie over het systeem moeten verzamelen. In dit geval wordt informatie verzameld met behulp van een groot aantal openbaar beschikbare gegevens en applicaties, omdat de hacker zoveel mogelijk nuttige informatie probeert te bemachtigen. Dit omvat het scannen van poorten, DNS-query's, het pingen van adressen die worden onthuld met behulp van DNS, enz. Hierdoor is het met name mogelijk om te achterhalen wie de eigenaar is van dit of dat domein en welke adressen aan dit domein zijn toegewezen. Door DNS-ontdekte adressen te pingen, kunt u zien welke hosts daadwerkelijk op een bepaald netwerk draaien, en met poortscantools kunt u een volledige lijst maken van services die door deze hosts worden ondersteund. Bij het uitvoeren van netwerkverkenningen worden ook de kenmerken van applicaties die op hosts draaien geanalyseerd - kortom er wordt informatie verkregen die vervolgens kan worden gebruikt bij het hacken of uitvoeren van een DoS-aanval. Het is onmogelijk om volledig van netwerkverkenning af te komen, vooral omdat formeel vijandige acties niet worden uitgevoerd. Als u bijvoorbeeld ICMP-echo en echo-antwoord op randrouters uitschakelt, kunt u de ping-tests achterwege laten, maar verliest u gegevens die nodig zijn om netwerkstoringen te diagnosticeren. Bovendien kunnen aanvallers poorten scannen zonder voorafgaande ping-tests. Beveiligings- en monitoringsystemen op netwerk- en hostniveau zijn doorgaans goed in het informeren van de systeembeheerder over lopende netwerkverkenningen. Als de beheerder gewetensvol omgaat met zijn verantwoordelijkheden, kan hij zich beter voorbereiden op een aanstaande aanval en zelfs proactieve maatregelen nemen, bijvoorbeeld door de provider uit wiens netwerk iemand overmatige nieuwsgierigheid toont, op de hoogte te stellen.

Pakketten snuiven

Een pakketsniffer is een toepassingsprogramma dat gebruikmaakt van een netwerkkaart die in de promiscue modus werkt (in deze modus verzendt de netwerkadapter alle ontvangen pakketten via fysieke kanalen naar de toepassing voor verwerking). In dit geval onderschept de sniffer ("sniffer") alle netwerkpakketten die via het aangevallen domein worden verzonden. Het bijzondere van de situatie in dit geval is dat sniffers nu in veel gevallen op volledig legale basis in netwerken werken: ze worden gebruikt om fouten te diagnosticeren en verkeer te analyseren. Daarom is het niet altijd mogelijk om op betrouwbare wijze te bepalen of een specifiek snifferprogramma al dan niet door aanvallers wordt gebruikt, en of het programma eenvoudigweg is vervangen door een soortgelijk programma, maar met “geavanceerde” functies. Met behulp van een sniffer kunnen aanvallers verschillende vertrouwelijke informatie achterhalen, zoals gebruikersnamen en wachtwoorden. Dit komt door het feit dat een aantal veelgebruikte netwerktoepassingen gegevens in tekstformaat verzenden (telnet, FTP, SMTP, POP3, enz.). Omdat gebruikers vaak dezelfde login en hetzelfde wachtwoord gebruiken voor meerdere applicaties en systemen, vormt zelfs een eenmalige onderschepping van deze informatie een ernstige bedreiging voor de informatiebeveiliging van een onderneming. Nadat een sluwe hacker eenmaal de login en het wachtwoord van een specifieke medewerker heeft verkregen, kan hij toegang krijgen tot een gebruikersbron op systeemniveau en met zijn hulp een nieuwe, nepgebruiker creëren, die op elk moment kan worden gebruikt om toegang te krijgen tot het netwerk en informatiebronnen. Met behulp van een bepaalde set hulpmiddelen kunt u de dreiging van packet sniffing echter aanzienlijk verminderen. Ten eerste zijn dit vrij sterke authenticatiemiddelen die moeilijk te omzeilen zijn, zelfs met gebruikmaking van de ‘menselijke factor’. Bijvoorbeeld eenmalige wachtwoorden. Dit is een twdie combineert wat je hebt met wat je weet. In dit geval genereert de hardware of software willekeurig een uniek eenmalig wachtwoord. Als een hacker dit wachtwoord ontdekt met behulp van een sniffer, is deze informatie nutteloos omdat het wachtwoord op dat moment al is gebruikt en buiten gebruik is gesteld. Maar dit geldt alleen voor wachtwoorden; e-mailberichten blijven bijvoorbeeld nog steeds onbeschermd. Een andere manier om snuiven tegen te gaan is het gebruik van anti-sniffers. Dit zijn hardware of software die op internet draait en die snuffelaars herkennen. Ze meten de responstijden van de host en bepalen of hosts "extra" verkeer moeten verwerken. Dit soort tools kunnen de dreiging van snuffelen niet volledig elimineren, maar zijn van cruciaal belang bij het bouwen van een uitgebreid beveiligingssysteem. Volgens sommige deskundigen zou de meest effectieve maatregel echter zijn om het werk van snuffelaars eenvoudigweg zinloos te maken. Om dit te doen, volstaat het om de gegevens die via het communicatiekanaal worden verzonden te beschermen met behulp van moderne cryptografiemethoden. Hierdoor onderschept de hacker niet het bericht, maar de versleutelde tekst, dat wil zeggen een reeks bits die voor hem onbegrijpelijk is. Tegenwoordig zijn de meest voorkomende cryptografische protocollen IPSec van Cisco, evenals SSH (Secure Shell) en SSL (Secure Socket Layer) protocollen.

IP-spoofing

Spoofing is een type aanval waarbij een hacker binnen of buiten een organisatie zich voordoet als een geautoriseerde gebruiker. Er zijn verschillende manieren om dit te doen. Een hacker kan bijvoorbeeld een IP-adres gebruiken dat binnen het bereik ligt van IP-adressen die zijn geautoriseerd voor gebruik binnen het netwerk van de organisatie, of een geautoriseerd extern adres als hij toegang krijgt tot bepaalde netwerkbronnen. IP-spoofing wordt overigens vaak gebruikt als onderdeel van een complexere aanval. Een typisch voorbeeld is een DDoS-aanval, waarbij een hacker doorgaans een programma host op het IP-adres van iemand anders om zijn ware identiteit te verbergen. Meestal wordt IP-spoofing echter gebruikt om een ​​systeem uit te schakelen met behulp van valse commando's, maar ook om specifieke bestanden te stelen of, omgekeerd, valse informatie in databases in te voegen. Het is bijna onmogelijk om de dreiging van spoofing volledig uit te sluiten, maar deze kan aanzienlijk worden beperkt. Het is bijvoorbeeld zinvol om beveiligingssystemen te configureren om al het verkeer te weigeren dat afkomstig is van een extern netwerk met een bronadres dat zich eigenlijk op het interne netwerk zou moeten bevinden. Dit helpt echter alleen bij het bestrijden van IP-spoofing als alleen interne adressen zijn geautoriseerd. Als sommige externe adressen dat zijn, wordt het gebruik van deze methode zinloos. Het is ook een goed idee om, voor het geval dat, pogingen om de netwerken van anderen te spoofen door gebruikers van uw netwerk vooraf te stoppen. Deze maatregel kan u helpen een hele reeks problemen te voorkomen als er een aanvaller of gewoon een computerhooligan binnen de organisatie verschijnt. Om dit te doen, moet u uitgaand verkeer gebruiken als het bronadres ervan niet tot het interne bereik van IP-adressen van de organisatie behoort. Indien nodig deze werkwijze Dit kan ook door uw internetprovider worden gedaan. Dit type filtering staat bekend als "RFC 2827". Nogmaals, net als bij packet sniffing is de beste verdediging het volledig ineffectief maken van de aanval. IP-spoofing kan alleen worden geïmplementeerd als gebruikersauthenticatie is gebaseerd op IP-adressen. Daarom maakt het coderen van authenticatie dit type aanval nutteloos. In plaats van encryptie kunt u echter net zo goed willekeurig gegenereerde eenmalige wachtwoorden gebruiken.

Denial of service-aanval

Tegenwoordig is een van de meest voorkomende vormen van hackeraanvallen ter wereld een Denial of Service (DoS)-aanval. Ondertussen is dit een van de jongste technologieën - de implementatie ervan werd alleen mogelijk in verband met de werkelijk wijdverspreide verspreiding van internet. Het is geen toeval dat DoS-aanvallen pas breed besproken werden nadat in december 1999 met behulp van deze technologie de websites van bekende bedrijven als Amazon, Yahoo, CNN, eBay en E-Trade ‘overspoeld’ werden. Hoewel de eerste berichten over iets soortgelijks al in 1996 verschenen, werden DoS-aanvallen tot de “Kerstverrassing” van 1999 niet gezien als een ernstige bedreiging voor de internetveiligheid. Een jaar later, in december 2000, gebeurde alles echter opnieuw: de websites van de grootste bedrijven werden aangevallen met behulp van DoS-technologie, en hun systeembeheerders konden opnieuw niets doen om de aanvallers tegen te gaan. In 2001 werden DoS-aanvallen gemeengoed. Strikt genomen worden DoS-aanvallen niet uitgevoerd om informatie te stelen of te manipuleren. Hun belangrijkste doel is om het werk van de aangevallen website lam te leggen. In essentie is dit gewoon online terrorisme. Het is geen toeval dat Amerikaanse inlichtingendiensten vermoeden dat de beruchte anti-globalisten achter veel DoS-aanvallen op de servers van grote bedrijven zitten. Het is één ding om ergens in Madrid of Praag een steen naar een McDonald's-raam te gooien, maar iets heel anders om de website van dit superbedrijf, dat lange tijd een soort symbool is geworden van de mondialisering van de wereldeconomie, te laten crashen. DoS-aanvallen zijn ook gevaarlijk omdat cyberterroristen om ze in te zetten geen speciale kennis en vaardigheden nodig hebben: alle benodigde software, samen met beschrijvingen van de technologie zelf, is volledig gratis beschikbaar op internet. Bovendien is het erg moeilijk om je tegen dit soort aanvallen te verdedigen. Over het algemeen ziet de DoS-aanvalstechnologie er als volgt uit: een website die als doelwit is gekozen, wordt gebombardeerd met een spervuur ​​van valse verzoeken van veel computers over de hele wereld. Als gevolg hiervan zijn de servers die het knooppunt bedienen verlamd en kunnen ze niet voldoen aan de verzoeken van gewone gebruikers. Tegelijkertijd vermoeden gebruikers van computers waarvandaan valse verzoeken worden verzonden niet eens dat hun machine in het geheim door aanvallers wordt gebruikt. Deze verdeling van de ‘werklast’ vergroot niet alleen het destructieve effect van de aanval, maar bemoeilijkt ook de maatregelen om deze af te weren aanzienlijk, waardoor het onmogelijk wordt om het ware adres van de aanvalscoördinator te identificeren. Tegenwoordig zijn de meest gebruikte typen DoS-aanvallen:

Smurf - ICMP (Internet Control Message Protocol) ping-verzoeken naar een gericht broadcast-adres. Het valse bronadres dat in de pakketten van dit verzoek wordt gebruikt, wordt uiteindelijk het doelwit van een aanval. Systemen die een gericht broadcast-pingverzoek ontvangen, reageren hierop en ‘overstromen’ het netwerk waarin de doelserver zich bevindt.

  • ICMP flood is een aanval die lijkt op Smurf, maar zonder de versterking die wordt veroorzaakt door verzoeken aan een gericht uitzendadres.
  • UDP flood - het verzenden van veel UDP-pakketten (User Datagram Protocol) naar het adres van het doelsysteem, wat leidt tot het "binden" van netwerkbronnen.
  • TCP flood - het verzenden van veel TCP-pakketten naar het adres van het doelsysteem, wat ook leidt tot het "vastzetten" van netwerkbronnen.
  • TCP SYN flood - bij het uitvoeren van dit type aanval wordt een groot aantal verzoeken uitgegeven om TCP-verbindingen met de doelhost te initialiseren, die als gevolg daarvan al zijn middelen moet besteden aan het opsporen van deze gedeeltelijk open verbindingen.

In het geval van een aanval moet het verkeer dat bedoeld is om het aangevallen netwerk te overweldigen, worden “afgesneden” bij de internetprovider, omdat dit bij de ingang van het netwerk niet langer mogelijk zal zijn - de volledige bandbreedte zal in beslag worden genomen. Wanneer dit type aanval tegelijkertijd op meerdere apparaten wordt uitgevoerd, wordt dit een Distributed Denial of Service (DDoS)-aanval genoemd. De dreiging van DoS-aanvallen kan op verschillende manieren worden beperkt. Eerst moet u de anti-spoofing-functies op uw routers en firewalls correct configureren. Deze functies moeten minimaal RFC 2827-filtering omvatten. Als een hacker zijn ware identiteit niet kan verbergen, is het onwaarschijnlijk dat hij een aanval zal uitvoeren. Ten tweede moet u anti-DoS-functies op routers en firewalls inschakelen en correct configureren. Deze functies beperken het aantal halfopen kanalen, waardoor overbelasting van het systeem wordt voorkomen. Als er een dreiging van een DoS-aanval bestaat, wordt ook aanbevolen om de hoeveelheid niet-kritiek verkeer dat door het netwerk gaat te beperken. U dient hierover met uw internetprovider te onderhandelen. Normaal gesproken beperkt dit de hoeveelheid ICMP-verkeer, omdat dit puur voor diagnostische doeleinden wordt gebruikt.

Man-in-the-Middle-aanvallen

Dit type aanval is heel typerend voor industriële spionage. Bij een Man-in-the-Middle-aanval moet de hacker toegang krijgen tot pakketten die via het netwerk worden verzonden, en daarom is de rol van de aanvallers in dit geval vaak de medewerkers van de onderneming zelf of bijvoorbeeld een medewerker van de provider. bedrijf. Voor Man-in-the-Middle-aanvallen Er wordt vaak gebruik gemaakt van pakketsniffers, transportprotocollen en routeringsprotocollen. Het doel van een dergelijke aanval is respectievelijk diefstal of vervalsing doorgegeven informatie of toegang verkrijgen tot netwerkbronnen. Het is buitengewoon moeilijk om je tegen dergelijke aanvallen te beschermen, omdat het meestal aanvallen zijn van een ‘mol’ binnen de organisatie zelf. Daarom puur technisch U kunt uzelf alleen beschermen door de verzonden gegevens te coderen. Dan krijgt de hacker, in plaats van de gegevens die hij nodig heeft, een wirwar aan symbolen, die simpelweg onmogelijk te begrijpen zijn zonder een supercomputer bij de hand te hebben. Als de aanvaller echter geluk heeft en informatie over de cryptografische sessie kan onderscheppen, verliest de gegevensversleuteling automatisch alle betekenis. Dus in dit geval zouden “in de voorhoede” van de strijd niet de “technici” moeten zijn, maar de personeelsafdeling en de veiligheidsdienst van de onderneming.

Het gebruik van "gaten" en "bugs" in software

Een zeer veel voorkomende vorm van hackeraanvallen is het gebruik van kwetsbaarheden (meestal banale fouten) in veelgebruikte software, voornamelijk voor servers. Microsoft-software is vooral “beroemd” vanwege zijn onbetrouwbaarheid en zwakke beveiliging. Meestal ontwikkelt de situatie zich als volgt: iemand ontdekt een “gat” of “bug” in de serversoftware en publiceert deze informatie op internet in het juiste forum. De fabrikant van deze software brengt een patch (“patch”) uit die dit probleem elimineert en publiceert deze op zijn webserver. Het probleem is dat niet alle beheerders, vanwege simpele luiheid, voortdurend toezicht houden op de detectie en het verschijnen van patches, en dat er ook enige tijd verstrijkt tussen de ontdekking van een ‘gat’ en het schrijven van een ‘patch’: hackers lezen ook thematische conferenties en We moeten ze het nodige geven, ze passen de ontvangen informatie zeer vakkundig in de praktijk toe; Het is geen toeval dat de meeste vooraanstaande experts op het gebied van informatiebeveiliging ter wereld voormalige hackers zijn.

Het belangrijkste doel van een dergelijke aanval is het verkrijgen van toegang tot de server namens de gebruiker die de applicatie uitvoert, meestal met systeembeheerdersrechten en het juiste toegangsniveau. Het is vrij moeilijk om je tegen dit soort aanvallen te beschermen. Eén van de redenen, naast software van lage kwaliteit, is dat aanvallers bij het uitvoeren van dergelijke aanvallen vaak poorten gebruiken die door de firewall mogen en die om puur technologische redenen niet kunnen worden gesloten. Dus beste bescherming in dit geval een competente en gewetensvolle systeembeheerder.

Zal er nog...

Samen met de uitbreiding van de gewassen van welk landbouwgewas dan ook, neemt het aantal insectenplagen van dit gewas altijd toe. Zo is het ook met de ontwikkeling van informatietechnologieën en de penetratie ervan op alle terreinen moderne leven Het aantal aanvallers dat deze technologieën actief gebruikt, groeit. Daarom zullen kwesties rond de bescherming van computernetwerken in de nabije toekomst steeds relevanter worden. Bovendien zal de verdediging plaatsvinden op twee hoofdgebieden: technologie en advies. Wat betreft de belangrijkste trends in de ontwikkeling van de informatiebeveiligingsindustrie, aldus experts beroemd bedrijf De Yankee Group zal er de komende jaren als volgt uitzien:

1. Nadruk op constructie beschermende systemen zal soepel verlopen – van het tegengaan van ‘externe’ hackeraanvallen tot het beschermen tegen aanvallen ‘van binnenuit’.

2. Hardwarebescherming tegen hackeraanvallen zal worden ontwikkeld en verbeterd. Zal op de markt verschijnen nieuwe klasse netwerkapparatuur - "beschermende serviceschakelaars". Zij zullen kunnen voorzien uitgebreide bescherming computernetwerken, terwijl moderne apparaten voeren meestal een vrij beperkte reeks specifieke functies uit, en de grootste last ligt nog steeds bij gespecialiseerde software.

3. De snelle ontwikkeling wordt verzekerd door de markt voor veilige bezorgdiensten digitale inhoud en het beschermen van de inhoud zelf tegen illegaal kopiëren en ongeoorloofd gebruik. Parallel met de ontwikkeling van de markt voor veilige bezorging zullen zich ook overeenkomstige technologieën ontwikkelen. Deskundigen van The Yankee Group schatten het volume van deze markt op 200 miljoen dollar, gebaseerd op de resultaten van 2001, en voorspellen een groei tot 2 miljard dollar in 2005.

4. Biometrische authenticatiesystemen (retina, vingerafdrukken, stem, enz.), ook complexe, zullen op veel grotere schaal worden gebruikt. Veel van wat nu alleen in actiefilms te zien is, zal worden opgenomen in het dagelijkse zakenleven.

5. In 2005 zullen internetproviders het leeuwendeel van de beveiligingsdiensten aan hun klanten leveren. Bovendien zullen hun belangrijkste klanten bedrijven zijn waarvan de activiteiten specifiek op internettechnologieën zijn gebaseerd, dat wil zeggen actieve consumenten van webhostingdiensten, e-commercesystemen, enz.

6. De verwachting is dat de markt voor intelligente netwerkbeveiligingsdiensten snel zal groeien. Dit komt door het feit dat nieuwe concepten voor het beschermen van IT-systemen tegen hackers zich niet zozeer richten op het reageren op gebeurtenissen/aanvallen die al hebben plaatsgevonden, maar op het voorspellen ervan, het voorkomen ervan en het nemen van proactieve en preventieve maatregelen.

7. De vraag naar commerciële cryptografische encryptiesystemen voor verzonden gegevens zal aanzienlijk toenemen, inclusief ontwikkelingen op maat voor specifieke bedrijven, rekening houdend met hun werkterreinen.

8. Op de markt voor IT-beveiligingsoplossingen zal er een geleidelijke verschuiving plaatsvinden van “standaardsystemen”, en daarom zal er een toename zijn in de vraag naar adviesdiensten voor de ontwikkeling van informatiebeveiligingsconcepten en de constructie van infovoor specifieke klanten.

De markt voor informatiebeveiligingssystemen en -diensten ontwikkelt zich ook in de ‘post-Sovjetruimte’ – zij het niet in hetzelfde tempo en niet op dezelfde schaal als in het Westen. Zoals de krant Kommersant meldde, besteden organisaties in Rusland 1% (metallurgie) tot 30% (financiële sector) van hun budget aan de ontwikkeling van verschillende soorten informatie-infrastructuur. Tegelijkertijd bedragen de defensiekosten tot nu toe slechts ongeveer 0,1-0,2% van het kostengedeelte van de begrotingen. Zo wordt het totale volume van de markt voor informatiebeveiligingssystemen in Rusland in 2001 door deskundigen geschat op 40 tot 80 miljoen dollar. In 2002, in overeenstemming met de gegevens in het project Staatsbegroting, ze zouden 60-120 miljoen dollar moeten bedragen. Ter vergelijking: zoals blijkt uit recent IDC-onderzoek zal de omvang van de Europese markt voor informatiebeveiligingsproducten (software en hardware) alleen al naar verwachting toenemen van 1,8 miljard dollar in 2000 naar 6,2 miljard dollar in 2005.

Onze computersystemen zijn kwetsbaar voor verschillende soorten aanvallen. Om het systeem tegen deze aanvallen te beschermen, is het belangrijk om de veel voorkomende computeraanvallen te kennen. In de wereld van vandaag is het bijna een veel voorkomende situatie geworden wanneer we horen dat personal computersystemen of netwerken worden aangevallen. In ons technologietijdperk zijn die er wel verschillende soorten computeraanvallen, waartegen u uw kostbare gegevens, systemen en netwerken moet beschermen Hoewel sommige aanvallen eenvoudigweg de gegevens op een computer kunnen beschadigen, zijn er andere aanvallen waarbij gegevens van een computersysteem kunnen worden gestolen, evenals andere aanvallen waarbij het hele net wordt gestolen. .

Simpel gezegd zijn er twee hoofdtypen aanvallen: passieve aanvallen en actieve aanvallen. Passieve aanvallen zijn aanvallen waarbij gegevens op een computer worden gecontroleerd en later worden gebruikt voor kwaadaardige doeleinden, terwijl actieve aanvallen aanvallen zijn waarbij er wijzigingen in de gegevens of gegevens plaatsvinden. worden verwijderd of netwerken worden volledig vernietigd. Hieronder vindt u enkele van de meest voorkomende typen actieve en passieve aanvallen die computers kunnen treffen.

Actieve soorten computeraanvallen

Virus

De bekendste computeraanvallen en virussen bestaan ​​al een hele tijd. Ze worden op computers geïnstalleerd en verspreiden zich naar andere bestanden op het systeem. Ze worden vaak verspreid externe harde schijven, of via bepaalde internetsites of als e-mailbijlagen. Zodra virussen worden gelanceerd, worden ze onafhankelijk van de maker en hebben ze tot doel veel bestanden en andere systemen te infecteren.

Rootkit

Hackers krijgen toegang tot het systeem met behulp van de rootset van stuurprogramma's en nemen de volledige controle over de computer. Ze behoren tot de gevaarlijkste computeraanvallen omdat de hacker meer controle over het systeem kan krijgen dan de eigenaar van het systeem. In sommige gevallen kunnen hackers ook een webcam inschakelen en de activiteiten van het slachtoffer volgen, waarbij ze alles over hem weten.

Trojaans paard

Op de lijst met computeraanvallen staan ​​Trojaanse paarden na virussen bovenaan. Ze zijn vaak ingebed in software, in schermbeveiligingen of in games die normaal werken. Zodra ze echter naar het systeem worden gekopieerd, infecteren ze de computer met een virus of rootkit. Met andere woorden, ze fungeren als virusdragers of rootkits om het systeem te infecteren.

Worm

Wormen kunnen familieleden van virussen worden genoemd. Het verschil tussen virussen en internetwormen is dat wormen een systeem infecteren zonder enige hulp van de gebruiker. De eerste stap is dat de wormen computers scannen op kwetsbaarheden. Vervolgens kopiëren ze zichzelf naar het systeem en infecteren het systeem, waarna het proces zich herhaalt.

Passieve soorten computeraanvallen

Afluisteren

Zoals de naam al doet vermoeden, kunnen hackers heimelijk gesprekken horen die plaatsvinden tussen twee computers in een netwerk. Dit kan gebeuren in een gesloten systeem, maar ook via internet. Andere namen waarmee het wordt geassocieerd zijn rondsnuffelen. Door afluisteren kunnen gevoelige gegevens hun weg vinden over het netwerk en toegankelijk zijn voor andere mensen.

Wachtwoordaanvallen

Een van de meest voorkomende soorten cyberaanvallen zijn wachtwoordaanvallen. Hierbij krijgen hackers toegang tot een computer en netwerkbronnen door een controlewachtwoord te verkrijgen. Vaak wordt gezien dat de aanvaller de server- en netwerkconfiguratie heeft gewijzigd en in sommige gevallen zelfs gegevens verwijderen. Bovendien kunnen de gegevens naar verschillende netwerken worden verzonden.

Gecompromitteerde aanvalssleutel

Kan worden gebruikt om vertrouwelijke gegevens op te slaan geheime code Het verkrijgen van de sleutel is zonder twijfel een enorme opgave voor een hacker, en het is mogelijk dat de hacker na intensief onderzoek daadwerkelijk de sleutels in handen kan krijgen. Wanneer een sleutel in het bezit is van een hacker, wordt er gesproken van een gecompromitteerde sleutel. De hacker krijgt nu toegang tot vertrouwelijke gegevens en kan wijzigingen in de gegevens aanbrengen. Er bestaat echter ook de mogelijkheid dat de hacker verschillende permutaties en combinaties van de sleutel zal proberen om toegang te krijgen tot andere sets gevoelige gegevens.

Identiteit imitatie

Elke computer heeft een IP-adres waardoor deze geldig en onafhankelijk is op het netwerk. Een van de meest voorkomende computeraanvallen is het aannemen van de identiteit van een andere computer. Hier kunnen IP-pakketten worden verzonden vanaf geldige adressen en toegang krijgen tot een specifiek IP-adres. Zodra toegang is verkregen, kunnen systeemgegevens worden verwijderd, gewijzigd of omgeleid. Bovendien kan een hacker dit gecompromitteerde IP-adres gebruiken om andere systemen binnen of buiten het netwerk aan te vallen.

Aanvallen op de applicatielaag

Het doel van een aanval op applicatieniveau is het veroorzaken van een crash in het besturingssysteem van de server. Zodra er een bug in het besturingssysteem is gemaakt, kan de hacker toegang krijgen tot serverbeheer. Dit leidt op zijn beurt tot wijziging van gegevens op verschillende manieren. Er kan een virus in het systeem worden geïntroduceerd, of er kunnen meerdere verzoeken naar de server worden verzonden, waardoor deze kan crashen, of de beveiligingscontroles kunnen worden uitgeschakeld, waardoor het moeilijk wordt om de server te herstellen.

Dit waren enkele van de soorten aanvallen waaraan servers en individuele computersystemen kunnen worden blootgesteld. De lijst met de nieuwste computeraanvallen wordt elke dag groter, waarvoor hackers nieuwe hackmethoden gebruiken.



GERELATEERDE ARTIKELEN