sâmbătă, 18 mai 2013

Atacurile asupra unui sistem informaţional

Numărul de incidente raportate pe tema securităţii în reţele informatice urmează un trend crescător, un nivel îngrijorător atingând atacurile venite din domeniu public(Internet). Printre cele mai utilizate mijloace de a produce daune atunci când este vizată o reţea sunt atacuri de tip DoS -Denial of Service (o reţea este “inundată” cu un flux de date generate de atacator pentru a împiedica traficul legitim de date să ajungă la destinaţie în acea reţea), atacuri prin e-mail sau accesul neautorizat pe anumite servere ce conţin date confidenţiale sau aplicaţii de tip critic pentru activitatea unei companii.
Pentru o reţea informatică, al doilea nivel de securitate, furnizat din spatele fi rewall-ului este făcut prin sisteme de detecţie a atacurilor (IDS – intrusion detection system). Aceste sisteme detectează atacurile şi declaşeanză răspunsuri la aceste atacuri şi totodată alertează pe diverse căi administratorul de reţea.
Sistemele de Detectarea Intruziunii, sunt echipamente ce înregistreaza încercările de intruziune în sisteme informatice sau în reţele de calculatoare. Definit ca un instrument de identificare, inventariere şi raportare a traficului de reţea neautorizat, un sistem IDS reprezintă o soluţie alternativă (tot din categoria celor de protecţie pasivă) ce permite administratorilor de reţea şi de securitate să identifice în timp optim încercările de atac asupra unui sistem informatic.
Comparativ cu un sistem firewall, care, pe baza politicilor de tip „allow” şi a celor de tip „deny” controlează traficul la perimetrul unei reţele, sistemele IDS analizează traficul de date permis de către un firewall sau router pentru identificarea tentativelor de atac. Tehnicile de detecţie a intruziunilor sunt bazate pe identificarea semnăturilor de atac la nivel de aplicaţie şi a anomaliilor de trafic. Alertarea în cazul unui potenţial atac este un serviciu extrem de util pentru administratori, care pot astfel interveni în timp optim pentru protejarea reţelei. Sistemele IDS au crescut astfel în utilizare şi prezenţă pe piaţă. Sistemele de tip IDS nu blochează atacul ci doar îl inregistreaza pentru o monitorizare ulterioară. Acest tip de sisteme sunt considerate pasive.
Sistemele de tip IDS se pot împărţi în 2 categorii principale:
  • IDS de reţea (Network IDS – NIDS)
  • IDS de staţie(Host IDS – HIDS)
Un astfel de sistem are rolul de a monitoriza şi detecta potenţialele ameninţări, iar în momentul în care sesizează un posibil pericol alertează persoana responsabilă cu securitatea informatică din cadrul firmei.
Sistemele de detectare a intruşilor pot fi instalate ca sonde sau ca agenţi. Sondele sunt mult mai eficiente în ceea ce priveşte detectarea intruziunilor deoarece minimizează impactul asupra sistemelor existente prin ascultarea pasivă şi raportarea către consola centrală, fără întrerupere.
Serviciile de detectare a intruşilor executa la nivel de dispozitiv de reţea următoarele funcţii:
  • inspectează fluxul de date care trece prin reţea, identifică semnăturile activităţilor neautorizate şi activează procedurile de apărare;
  • generează alarme în cazul detectării evenimentelor, notificând personalul de securitate;
  • activează un răspuns automat în cazul anumitor probleme.
Toate IDS-urile cunoscute sunt livrate cu reguli care să detecteze scanările Nmap deoarece acestea preced de obicei un atac. Multe dintre acestea s-au transformat în sisteme de prevenire a intruziunilor (IPS) care blochează în mod activ traficul presupus malefic. Din păcate pentru administratorii de reţea şi vânzătorii IDS-urilor, detectarea în mod corect a relelor intenţii prin analizarea pachetelor este o problemă dificilă. Atacatorii cu răbdare, îndemânare şi ajutor din partea anumitor opţiuni Nmap pot în mod normal să treacă de IDS nedetectaţi. Între timp, administratorii au de a face cu o mulţime de alerte false când trafic inocent este greşit diagnosticat şi se emite o atenţionare sau este chiar blocat.
Conform analizelor şi prognozelor IDC se vede acum un interes crescut în detectarea şi prevenirea intruziunilor ca şi în tehnologii de autentificare, autorizare şi control al accesului.

Securitatea rețelelor

Securitatea rețelelor de calculatoare este în acest moment parte integrantă a domeniuluirețelelor de calculatoare și ea implică protocoale, tehnologii, sisteme, instrumente și tehnici pentru a securiza și opri atacurile rău intenționate.
Fiind un domeniu complex, au fost create domenii de diviziune pentru a putea face administrarea mai facilă. Acesta împărțire permite profesionistilor o abordare mai precisă în privința instruirii, cercetării și diviziuni muncii în acest domeniu. Sunt 12 domenii ale securității rețelelor specificate de International Organization for Standardization (ISO)/International Electrotechnical Commission(IEC):
  1. Evaluarea Riscului e primul pas în administrarea riscului și determină valoarea cantitativă și calitativă a riscului legat de o situație specifică sau o amnințare cunoscută;
  2. Politica de Securitate este un document care tratează măsurile coercitive și comportamentul membrilor unei organizații și specifică cum vor fi accesate datele, ce date sunt accesibile și cui;
  3. Organizarea Securității Informației e un model de guvernare elaborat de o organizatie pentru securitatea informației
  4. Administrarea Bunurilor reprezintă un inventar potrivit unei scheme clasificate pentru bunurile informaționale
  5. Securitatea Resurselor Umane defineste procedurile de securitate privind angajarea, detașarea și părăsirea de către un angajat a organizației din care va face, face sau a făcut parte
  6. Securitatea Fizica și a Mediului descrie măsurile de protectie pentru centrele de date din cadrul unei organizații
  7. Administrarea Comunicațiilor și Operațiunilor descrie controalele de securitate pentru rețele și sisteme
  8. Controlul Accesului priveste restricțiile aplicate accesului direct la rețea, sisteme, aplicații și date
  9. Achiziția, Dezvoltarea și Păstrarea Sistemelor Informatice definește aplicarea măsurilor de securitate în aplicații
  10. Administrarea Incidentelor de Securitate a Informației tratează cum anticipează și răspunde sistemul la breșele de securitate
  11. Administrarea Continuității Afacerii descrie mîsurile de protecție, întreținere și recuperare a proceselor critice pentru afacere și sisteme
  12. Conformitatea descrie procesul de asigurare a conformității cu politicile de securitate a informației, standarde și reguli
Aceste 12 domenii au fost create pentru a servi ca bază comună pentru dezvoltarea de standarde și practici de securitate eficiente și pentru a da încredere activităților desfășurate între organizații.
Tot pe criterii de eficiență în abordare și usurință în învațare, atacurile de securitate la adresa rețelelor sunt împartite cu carater general în: recunoaștere, acces și de imposibilitate onorări cererii(DoS).

Atacuri interne 

Multe atacuri privind securitatea rețelei provin din interiorul ei. La atacurile interne se referă furt de parole (care pot fi utlizate sau vândute), spionaj industrial, angajați nemulțumiți care tind de a cauza daune angajatorului, sau simpla utilizare necorespunzătoare. Majoritatea acestor încălcări pot fi soluționate cu ajutorul ofițerului de securitate a companiei, care monitorizează activitatea utilizatorilor rețelei.

Puncte de acces nesecurizate 

Aceste puncte de acces nesecurizate fără fir sunt foarte slabe împotriva atacurilor din exterior. Ele des sunt prezentate pe comunitățile locale ale hakerilor. Punctul slab este că orice persoană poate conecta un ruter fără fir ceea ce ar putea da acces neautorizat la o rețea protejată.

Back Doors 

Comenzi rapide administrative, erori de configurare, parole ușor descifrabile pot fi utilizate de către hackeri pentru a avea acces. Cu ajutorul căutătorilor computerizați (bots), hackerii pot găsi punctul slab al rețelei.

Denial of Service (DoS și DDoS) 

Hackers, Crackers, Script Kiddies Un atac cibernetic de tip DoS (Denial of Service) sau DDoS (Distributed Denial of service) este o încercare de a face ca resursele unui calculator să devină indisponibile utilizatorilor. Deși mijloacele și obiectivele de a efectua acest atac sunt variabile, în general el constă în eforturile concentrate ale unei, sau ale mai multor persoane de a împiedica un sit sau serviciu Internet să funcționeze eficient, temporar sau nelimitat. Inițiatorii acestor atacuri țintesc de obicei la situri sau servicii găzduite pe servere de nivel înalt, cum ar fi băncile, gateway-uri pentru plăți prin carduri de credite, și chiar servere întregi.
Penetrarea unei reţele de calculatore
Hackerii Cuvântul hacker în sine are o mulțime de interpretări. Pentru mulți, ei reprezintă programatori și utilizatori cu cunoștinte avansate de calculator care încearcă prin diferite mijloace să obțină controlul sistemelor din internet, fie ele simple PC-uri sau servere. Se referă de asemeni la persoanele care ruleaza diferite programe pentru a bloca sau încetini accesul unui mare număr de utilizatori, distrug sau șterg datele de pe servere. Hacker are și o interpretare pozitivă, descriind profesionistul in rețele de calculatoare care-și utilizează aptitudinile în programarea calculatoarelor pentru a descoperi rețele vulnerabile la atacuri de securitate. Actiunea in sine, aceea de hacking e privită ca cea care impulsionează cercetarea în acest domeniu.

Crackerii sunt niște persoane care au un hobby de a sparge parole și de a dezvolta programe și virusuri de tip calul troian (en:Trojan Horse), numite Warez. De obicei ei folosesc programele pentru uz propriu sau pentru a le relizeaza pentru profit.
Script kiddies sunt persoane care nu au cunoștințe sau aptitudini despre penetrarea unui sistem ei doar descarcă programe de tip Warez pe care apoi le lansează cu scopul de a produce pagube imense. Aceste persoane sunt angajați nemulțumiți, teroriști, cooperativele politice.

Viruși și viermi 

Virușii și viermii reprezintă programe care au proprietatea de a se automultiplica sau fragmente de cod care se atașează de alte programe (viruși) sau calculatoare (viermii). Virușii de obicei stau în calculatoarele gazdă, pe când viermii tind să se multiplice și să se extindă prin intermediul rețelei.

Trojan Horse 

Acest virus este principala cauză a tuturor atacuri a sistemelor informaționale. Calul Troian se atașează de alte programe. Când se descarcă un fișier care este infectat cu acest virus el la urma sa infectează sistemul, unde oferă hakerilor acces de la distanță unde ei pot manipula cu sistemul.

Botnets 

Îndată ce un calculator (sau probabil mai multe calculatoare) au fost compromise de un Troian, hackerul are acces la aceste calculatoare infectate, unde de aici el poate lansa atacuri cum ar fi DDoS (Distribuited Denial of Service).

Grupa de calculatoare care sunt sub controlul hakerului se numesc botnets. Cuvântul botnet provine de la robot, aceasta însemnând că calculatoarele îndeplinesc comenzile proprietarului lor și rețea însemnând mai multe calculatoare coordonate.

Sniffing/Spoofing 

Sniffing se referă la actul de interceptare a pachetelor TCP (Transmission Control Protocol). Spoofing se referă la actul de trimitere nelegitimă a unui packet de așteptare ACK.

Publicat de la

Niciun comentariu:

Trimiteți un comentariu

Abonați-vă la: Postare comentarii (Atom)