Acest material vizeaza competenta/rezultat al invatarii: "Identifica fundamentele si principiile securitatii sistemelor de calcul si a retelelor de calculatoare" si "Utilizeaza instrumente, proceduri de diagnostic si tehnici de depanare pentru securizarea sistemelor de calcul si a retelelor de calculatoare"
Atacurile isi au originea nu numai din exteriorul retelei, dar si din interior de vreme ce parteneri de afaceri sau angajati ai companiei se pot conecta in retea de la distanta si tot mai multe aplicatii se bazeaza pe tehnologii de tip wireless pentru acces in retea. Mobilitatea si accesul la distanta sunt la fel de necesare in modul nostru de lucru la fel insa si confidentialitatea informatiilor, intimitatea personala si stabilitatea in retea ca mediu de lucru utilizat la schimbul de informatii in timpul activitatii.
Deosebim urmatoarele categorii de "atacatori" sau hackers:
a) pentru distractie, "for fun", prostie(script-kid): sunt cei care fac "prostii" pe net doar ca sa se distreze sau sa dovedeasca lor sau altora ca sunt posesorii unor skill-uri mai speciale;
b) pentru bani(well know hackers), un nivel superior, mult mai profesional de multe ori: sunt cei care fac bani din aceasta "meserie". Aici sunt incluse si activitatile de spionaj industrial sau corporatist;
c) pentru razbunare: clienti nemultumiti, fosti angajati, competitori sau oameni care au ceva impotriva cuiva dintr-o companie.
Ca surse de atac se disting doua mari categorii:
atacuri din interiorul retelei;
atacuri din exteriorul retelei.
Atacul din interiorul retelei este forma cea mai devastatoare intrucat utilizatorul are acces la o multitudine de resurse si deoarece politicile de securitate interne nu sunt atat de bine implementate, sau cel putin nu sunt definite atat de strict din pricina diversitatii necesare unor utilizatori in a accesa informatiile raspandite prin cadrul organizatiei. Mai mult ca regula generala toti utilizatori interni intra in categoria utilizatorilor "trusted" - de incredere.
Acesta este si motivul pentru care, in urma unor informatii detaliate din cadrul unor rapoarte de securitate s-a observat ca riscurile cele mai mari vin de la proprii angajati.
Un atac din interior poate fi neintentionat sau deliberat. In categoria atacurilor neintentionat e intra posibilitatea de a "citi" parola de acces a unei alte persoane, sau divulgarea unor parole, sau prin infectarea calculatorului la care lucreaza, expunand intreaga companie la riscul de a se infecta cu un virus. Cea de-a doua forma de atac este de departe cea mai periculoasa, pentru ca de multe ori aceste persoane detin cunostinte avansate si pot eventual sa-si ascunda si urmele operatiilor efectuate. Din pacate nu exista o forma sigura de protectie pentru aceste forme de atac, singura care poate oferi informatii cu privire la astfel de atacuri fiind auditarea accesului - dar aceasta poate face si mai mult rau prin prisma stresarii suplimentare a utilizatorilor din cadrul organizatiei.
Pentru a se putea intelege mai bine atacurile din exterior sa facem o comparatie cu o banca. Astfel primul pas facut in directia implementarii unei defensive eficiente este de a "ridica" un FIREWALL ca o bariera in fata punctului de intrare in retea. Este ca si cum am instala o usa metalica intr-o banca. Un punct de acces prin care tot tracul este monitorizat pe masura ce intra sau iese din retea. Orice intrus cu intentii suspecte trebuie sa fie detectat, asa ca al doilea tip de dispozitive de securitate - camerele de supraveghere - vor fi instalate in spatele portii metalice, cazul bancii.
Pentru o retea informatica, al doilea nivel de securitate, furnizat din spatele firewall-ului este facut prin IDS - Intrusion Detection System sau SDI - Sisteme de Detectie a Intruziunilor. Aceste sisteme detecteaza atacurile si declaseaza raspunsuri la aceste atacuri si mai mult, alerteaza pe diverse cai administratorul de retea sau alte persoane abilitate.
Cateodata bancile realizeaza transfer de bani lichizi si atunci trebuie sa se asigure ca in exterior totul va decurge intr-un mod sigur. La fel cum bancile folosesc vehicule blindate pentru protectia transportului de bani lichizi, retelele informatice utilizeaza ca mijloc de transport a datelor in spatiul public tuneluri securizate de date sau VPN (Virtual Private Network), in romaneste: RVP Retele Virtuale Private. Deoarece in aceste tuneluri exista riscul sa se intercepteze informatiile, iar pachetele de date aflate in tunel sa fie compromise in timp ce sunt in tranzit, continutul pachetelor de date este obligatoriu sa fie criptat!
De cele mai multe ori oamenii vor sa aiba acces la facilitatile furnizate de banca din alt oras sau din alta tara, asa ca o banca trebuie sa se asigure ca oamenii care beneficiaza de acces de la distanta au dreptul de a accesa resursele bancii on-line. In mod similar intr-o retea trebuiesc activate sisteme de autentificare care sa verifice identitatea persoanei care trimite si receptioneaza informatia criptata prin tunelul securizat.
Un plan de securitate puternic este unul conceput pe mai multe layere sau straturi, cum am precizat si in fisa 1.1, adica implica mai multe solutii de securitate. In functie de fiecare organizatie sau companie solutiile difera.
Fig. 1 Diagrama privind sursele de atac asupra unei retele
Cum spuneam mai sus, este necesara instalarea unui firewall care sa puna o bariera intre cei din afara retelei, cei din interiorul ei si modul in care se acceseaza ea. Astfel, un sistem de tip firewall trebuie sa ofere urmatoarele informatii:
filtrarea traficului - sistemul decide ce pachet de date are permisiunea sa treaca prin punctul de acces( in concordanta cu setul de reguli aplicate);
inspectarea fluxurilor de date, inspectare de tip Statefull (sau filtrarea dinamica a pachetelor) este utilizata pentru a verifica fiecare nou flux de date ce intra in retea, si este abilitatea firewall-ului de a memora starea fiecarui flux de date;
NAT - Network Address Translation - reprezinta o tehnica utilizata pentru a "ascunde" adresele private in spatiul public.
application gateways - sunt folosite de aplicatii precum FTP (File Transfer Protocol) sau RTSP (Real Time Streaming Protocol). Aceste protocoale trimit pachete IP ce contin adresa fixata a aplicatiei (socket sau port);
proxy servers - asigura modul ca o aplicatie sa fie utilizata conform cu politica de securitate specific setata;
detectarea intruziunilor - pe baza unor sabloane firewall-ul detecteaza un spectru de atacuri inregistrandu-le, notificand administratorul de retea si activand un set de actiuni menit sa minimizeze efectul impactului unui atac;
capacitati de monitorizare si management al traficului - evenimentele sunt inregistrate, prelucrate si prezentate in rapoarte catre administratorul de retea;
mijloace de autentificare - listele de acces furnizeaza o cale eficienta de a aplica un mijloc de constrangere unui mare grup de utilizatori aflati in spatiul public.
Un prim pas in aflarea unui mod de penetrare in retea a unui atacator va fi sa afle ce porturi (usi ascunse) sunt deschise. Pentru aceasta el va face o scanare de porturi. O astfel de metoda totusi poate fi folosita si de catre administratorul unei retele pentru a se asigura ca este protejat corespunzator.
Scanarea de porturi nu dauneaza retelei sau sistemului, dar asigura hackerului informatii care pot fi folosite pentru atacuri.
In total avem 65535 porturi TCP (acelasi numar si de porturi UDP). Ele sunt folosite de diverse aplicatii si servicii. Daca un port este deschis, el raspunde de fiecare data cand un computer incearca sa-l acceseze prin retea. Aplicatiile ce scaneaza porturi, de tip Nmap, sunt folosite pentru a determina care porturi sunt deschise pe un sistem. Programul trimite pachete pentru o multitudine de protocoale, si analizand apoi ce raspunsuri primeste si ce nu, creeaza o lista cu porturile ce "asculta" (listening ports) sau sunt deschise pentru sistemul scanat.
Urmatoarele porturi sunt cele mai uzuale(cunoscute): 20: FTP(data), 21: FTP(control), 23: Telnet, 25: SMTP, 67: BOOTP server, 68: BOOTP client, 80: http, 88: Kerberos, 110: POP3, 119: NNTP, 194: IRC, 220: IMAPv3, 389: LDAP
Porturile din intervalul 1024-64535 sunt denumite registered ports ele fiind folosite de catre procese si aplicatii. Bineinteles, asta nu inseamna ca aceste porturi nu sunt tinte ale atacurilor. De exemplu, portul 1433 folosit de SQL poate reprezenta interes pentru hackeri.
O retea virtuala privata (VPN) este tehnica prin care realizam "tunele" in spatiul public, in Internet, pentru a conecta in mod sigur de exemplu birourile unei companii aflate in mai multe locatii. Pentru VPN-uri bazate pe protocol IP, traficul din retea este incapsulat in pachetele IP iar acestea sunt transferate prin tunel. Aceasta incapsulare furnizeaza calea de separare a retelelor. Autentificarea furnizeaza verificarea identitatii, iar criptarea furnizeaza confidentialitatea datelor incapsulate.
Protocoale utilizate in crearea de tuneluri sunt: MPLS -Multiprotocol Label Switching, GRE - Generic Routing Encapsulation, PPTP - Point-to-Point Tunnelling Protocol, L2TP - Layer 2 Tunnelling Protocol si nu in ultimul rand IPSec - Internet Protocol Security
Pentru crearea de VPN-uri, pe scara larga este folosit protocolul IPSec. IPSec asigura separarea retelelor private de cele publice prin tunelarea pachetelor IP in alte pachete IP asigurand totodata confidentialitatea si integritatea datelor. IPSec reprezinta o colectie de alte protocoale inrudite ce opereaza la Nivelul Retea( Nivelul 3 in modelul OSI). Desi IPSec este folosit de cele mai multe ori ca solutie completa in crearea de VPN-uri, mai poate fi folosit complementar ca schema de criptare in cadrul VPN-urilor ce au la baza L2TP sau PPTP.
Obiectivul/obiective vizate:
La sfarsitul activitatii vei intelege si vei recunoaste sursele de atac asupra unei retele.
Durata: 60 min
Tipul activitatii: Harta tip panza de paianjen
Sugestii : activitatea se poate individual sau pe grupe
Sarcina de lucru:
Figura alaturata prezinta o retea de calculatoare si diferite forme de atac asupra ei. Fiecare grupa de elevi trebuie sa analizeze dependenta dintre ele si sa inteleaga fiecare sursa de atac.
Pentru rezolvarea sarcinii de lucru consultati Fisa de documentare 1 precum si sursele de pe Internet.
Fig. 1 Surse de atac asupra unei retele
Acest material vizeaza competenta/rezultat al invatarii: "Identifica fundamentele si principiile securitatii sistemelor de calcul si a retelelor de calculatoare" si "Utilizeaza instrumente, proceduri de diagnostic si tehnici de depanare pentru securizarea sistemelor de calcul si a retelelor de calculatoare"
Cand spunem tip de atac ne referim la modul in care un hacker reuseste sa preia controlul unui sistem si ce poate el sa faca dupa ce a reusit penetrarea lui.
Cele mai des intalnite tipuri de atacuri sunt urmatoarele:
a) atacuri social engineering;
b) atacuri DoS;
c) scanari si spoofing;
d) source routing si alte exploituri de protocoale;
e) exploituri de software;
f) troieni, virusi si worms;
Atacurile de tip social engineering. Social engineering aduce in prim plan omul si greselile lui. Atacatorul trebuie doar sa posede "people skills" sau carisma. Ei castiga increderea utilizatorilor (sau si mai bine, a administratorilor) si obtin drepturi cu ajutorul carora se pot conecta pe sisteme. In multe cazuri, aceasta metoda este cea mai usoara forma de obtinere de acces la un sistem informational. Principala metoda de aparare este educarea personalului si nu implementarea de solutii tehnice.
Atacuri Denial-of-Service (DoS). Anul 2000, luna februarie. O serie de atacuri DoS au pus la pamant web site-uri ca yahoo.com sau buy.com. Va dati seama de forta acestor atacuri, daca au putut sa doboare astfel de "mamuti"? Atacurile DoS sunt printre cele mai "populare" printre hackeri atunci cand este vizata intreruperea serviciilor unei retele sau ale unui server. Scopul unui atac DoS este de a genera o cantitate foarte mare de trafic care pune in imposibilitatea de a mai raspunde intr-un timp rezonabil a serverelor, routere-lor sau altor echipamente, astfel ele nemaifiind capabile sa functioneze normal.
Distributed Denial-of-Service. Acest tip de atac face cam acelasi lucru ca si DoS-ul, numai ca se foloseste in atingerea scopului sau de computere intermediare, numite agenti, pe care ruleaza unele aplicatii (zombies) care au fost instalate pe calculatoare anterior. Hacker-ul activeaza de la distanta aceste "programele" in asa fel incat toate aceste sisteme intermediare sa lanseze atacul DDoS in acelasi timp. Din cauza ca atacul provine de la mai multe calculatoare care pot sa fie raspandite prin toata lumea, originea reala a pericolului este foarte greu de gasit. Asadar DDoS-ul este un pericol dublu. Pe langa posibilitatea ca reteaua personala sa fie pusa la pamant cu tot cu servere, mai exista si "optiunea" ca sistemele tale sa fie folosite pe post de agenti intermediari in alte atacuri.
Atacul DNS DoS. Acest tip de atac exploateaza diferentele de marime intre DNS querry (interogarea name server-ului) si DNS response (raspunsul name server-ului). Atacatorul foloseste serverele de DNS ca si amplificatoare pentru a mari traficul de DNS.
Atacul SYN. Atacurile de tip SYN (synchronization request) exploateaza handshake-ul three-way al protocolului de transport TCP, procesul prin care se stabileste o sesiune de comunicare intre doua computere. Deoarece TCP-ul este un protocol de transport connection-oriented, o sesiune sau un link de comunicare unu la unu, one-to-one, trebuie stabilite intre cele doua sisteme, inainte ca ele sa poata comunica intre ele. Sa zicem ca un atacator trimite un SYN inspre un server cu un IP sursa spoofed - inexistenta. Normal ca server-ul va trimite inspre client un ACK/SYN. Dar cum IP-ul sursa nu este bun, serverul asteapta inutil ACK-ul clientului. El nu va veni. Serverul va pune atunci ACK/SYN-ul trimis catre client intr-o coada de asteptare. Aceasta coada poate stoca un numar limitat de mesaje. Cand este plina, toate SYN request-urile care vor urma vor fi ignorate si serverul va ajunge in postura de a ignora orice cerere venita din partea clientilor legitimi.
Atacul LAND deriva din cel descris mai sus, cu precizarea ca in acest caz, atacatorul in loc sa trimita SYN-uri cu adrese IP care nu exista, trimite pachete SYN cu adresa IP a clientului-target care este victima in acest caz.
Atacul Ping of Death. Mai este cunoscut si sub numele de large packet ping. Se creeaza un pachet IP mai mare decat valoarea admisa de specificatiile protocolului IP, adica 65 536 bytes. Sistemul tinta este compromis, solutia fiind un reboot (de multe ori fortat - sistemul blocandu-se).
Atacul Teardrop. Acest atac are aceleasi rezultate ca si Ping of death, dar metoda este alta. Programul teardrop creeaza fragmente IP care fac parte dintr-un pachet IP. Problema este ca aceste fragmente folosesc offset fields (rolul lor este de a indica portiunea in bytes a acestor fragmente). Problema apare atunci cand aceste offset-uri se suprapun. Cand computerul tinta incearca sa reasambleze aceste fragmente in pachetul IP original normal ca va genera o problema (resetare, blocare sau eroare de sistem).
Flood-ul cu ICMP (ping). Se bazeaza pe o multime de pachete ICMP echo request pana cand se ocupa toata banda disponibila. Acestui gen de atac i se mai spune si ping storm deoarece luminitele router-ului sau switch-ului lumineaza intermitent, cu viteza foarte mare si interogarile in retea raman fara raspuns.
Atacul fraggle este tot un fel de ping flood. Atacatorul foloseste un IP clonat (spoofing) si trimite ping-uri inspre un intreg subnet ca exemplu. Este de mentionat ca acest tip de atac a fost folosit in timpul razboiului din Kosovo de catre hackerii sarbi impotriva siturilor NATO.
Atacul Smurf. Este un fel de agresiune brute force si foloseste aceeasi metoda a flood-ului prin ping, numai ca de data asta adresa destinatie din pachetele ICMP echo request este adresa de broadcast a retelei. Un router cand primeste astfel de pachete le trimite inspre toate hosturile pe care le "mascheaza". Pot rezulta cantitati mari de trafic si congestionarea retelei. Combinatia dintre atacul fraggle si cel Smurf fac ca reteaua destinatie cat si sursa sa fie afectate.
Atacul Mail Bomb. Numele acestui tip de "arma" este edificator. Se trimit asa de multe mailuri inspre un mail server, incat acesta ajunge in imposibilitatea de a le gestiona, iar userii legitimi nu mai pot beneficia de serviciile acestuia. Din acest tip de atac a derivat unul care presupune "inscrierea" mail serverului la o gramada de mailing lists-liste uneori legitime, care ofera tot felul de informatii.
Scanning-ul si spoofing-ul. Termenul de scanner, in contextul securitatii in IT, se refera la o aplicatie software folosita de catre hackeri pentru determinarea porturilor TCP sau UDP deschise pe un sistem. Dar si administratorii este indicat sa foloseasca astfel de aplicatii, pentru a putea detecta vulnerabilitatile pe sistemele proprii.
Un virus este un program creat sa distruga datele sau echipamentele unui calculator. Virusii sunt programe cu dimensiuni foarte mici, ascunsi fie in fisiere executabile fie atasati unor programe (in acest caz sunt numiti si paraziti). Ei au menirea de a distruge date, sa se reproduca (ajungand sa blocheze hard discul sau chiar sa distruga motoarele de cautare ale acestuia) si pot distruge chiar si componente ale calculatorului.
Sunt doua categorii de virusi informatici:
- Hardware: virusi informatici care distrug componente hardware precum hard discul, unitati optice si chiar monitorul sau memoria (RAM) unui calculator. Ex. Virusul CIH (1998) care desi era continut in fisiere executabile, avea ca directive sa sterga memoria BIOS si sa o reprogrameze cu linii inutile care faceau calculatorul inutil pana la schimbarea cipului.
- Software: acei virusi informatici meniti sa distruga fisiere sau programe inclusiv sisteme de operare, sa modifice structura unui program, sa se multiplice pana la refuz (umplerea hard discului la maxim (in acest caz blocand motoarele de cautare al acestuia, acestea cedand si hard discul devine incapabil sa mai functioneze), sa stearga in totalitate informatia aflata pe disc, sa incetineasca viteza de lucru a calculatorului, ajungand, nu de putine ori in situatia de a-l bloca.
Cateva detalii de stiut:
virusii se pot inmulti singuri;
virusii sunt creati de om;
un simplu virus se poate multiplica la nesfarsit;
un virus care se multiplica la nesfarsit este relativ usor de realizat si chiar si un virus atat de simplu este periculos pentru ca el va ocupa foarte repede memoria disponibila si sistemul se va bloca.
Un worm este un program sau un algoritm care se multiplica in cadrul unei retele de calculatoare si de obicei este periculos pentru ca fie folseste resursele calculatorului innutil, opreste intreg sistemul sau il face innoperabil.
Aceasta categorie de virusi cauta sa se auto-transmita mai departe ajutandu-se de adrese de e-mail, si poate uneori sa ataseze si documente furate (parole, informatii bancare etc.) din calculatorul infestat.
Numim adware sau spyware orice soft care strange informatii pe ascuns despre calculatorul utilizatorului prin intermediul conexiunii la Internet a utilizatorului si fara stirea lui, de obicei in scopuri publicitare. Aplicatiile de tip spyware sunt de obicei ascunse in anumite programe gratuite sau de evaluare care pot fi descarcate de pe Internet. Odata instalate programele de tip spyware monitorizeaza activitatea utilizatorului pe Internet si transmit aceste informatii pe ascuns altcuiva.
Programele de tip spyware pot aduna si transmite informatii despre adrese de e-mail, parole si alte date confidentiale (ID-ul cartii de credit de ex).
Fig. 2.2. Virusii de tip Cal Tojan
Calul Trojan sunt virusi care se ascund in spatele altor programe lasand o usa din spate (backdoor) deschisa prin care un hacker iti poate controla calculatorul atunci cand esti conectat la internet. Troienii sunt un fel de virusi spioni, se instaleaza fara a atrage atentia asupra lui, spioneaza in mod discret si pregateste lovitura finala (aceasta putand fi chiar fatala sistemului). Alte exemplare din categoria troienilor au ca scop principal atacul spre un server, dinspre toate calculatoarele infestate cu acest trojan, trimitand mii de solicitari pe secunda, facand serverul sa nu mai fie functionabil in parametri normali, sau chiar blocandu-l.
Spre deosebire de virusi troienii nu se multiplica singuri, dar pot fi la fel de destructivi ca virusii.
Unul dintre cele mai intalnite tipuri de "cal Trojan" este acela care imita un antivirus insa introduce de fapt virusi in calculatorul tau. Ex. Windows Antivirus 2009 - program care prin denumirea si aspectul sau poate pacali multa lume sa-l instaleze.
Obiectivul/obiective vizate:
La sfarsitul activitatii vei recunoaste si vei intelege gradul de severitate a unui atac precum si categorisirea sa.
Durata: 60 min
Tipul activitatii: Harta tip panza de paianjen
Sugestii : activitatea se poate individual sau pe grupe
Sarcina de lucru:
Figura alaturata prezinta diferite forme de atac asupra unui sistem informatic. Fiecare grupa de elevi trebuie sa analizeze dependenta dintre ele si sa inteleaga fiecare clasificare A, B, C, D, E, F si X.
Pentru rezolvarea sarcinii de lucru consultati Fisa de documentare 1 precum si sursele de pe Internet.
Fig. 1 Surse de atac asupra unei retele
Obiectivul/obiective vizate:
La sfarsitul activitatii vei recunoaste si vei intelege tipurile de atac.
Durata: 50 min
Tipul activitatii: Metoda grupurilor de experti
Sugestii : activitatea se poate efectua pe grupe
Sarcina de lucru:
Fiecare grupa va trebui sa trateze una din urmatoarele teme de studiu: atacuri social engineering, atacuri DoS, atacuri prin troieni, virusi si worms, atacuri prin exploituri de software sau protocoale. Se va pune accent pe gasirea unui exemplu pentru fiecare grupa folosind Internetul. Aveti la dispozitie 30 minute, dupa care se vor reorganiza grupele astfel incat in grupele nou formate sa existe cel putin o persoana din fiecare grupa initiala. In urmatoarele 10 minute in noile grupe formate se vor impartasi cunostintele acumulate la pasul I.
Pentru rezolvarea sarcinii de lucru consultati Fisa de documentare 2 precum si sursele de pe Internet.