Что такое хакерская атака
Виды хакерских атак.
В прошлой статье я немного рассказал кто такие хакеры, а в этой статье хочу продолжить данную тему и написать о видах хакерских атак и дать рекомендации по их предотвращению.
Атакой (attack) на информационную систему называется действие или последовательность связанных между собой действий нарушителя, которые приводят к реализации угрозы путем использования уязвимостей этой информационной системы. Приступим к изучению атак:
Fishing
Fishing (или Фишинг). Смысл его в том, чтобы получить от пользователей информацию (пароли, номера кредитных карт и т.д.) или деньги. Этот приём направлен не на одного пользователя, а на многих. Например, письма якобы от службы технической поддержки рассылаются всем известным клиентам какого-либо банка.
В письмах обычно содержится просьба выслать пароль к учётной записи, якобы из-за проведения каких-либо технических работ. Подобные письма, обычно очень правдоподобно и грамотно составлены, что, возможно, подкупает доверчивых пользователей.
Рекомендации: Паранойя – лучшая защита. Не доверяйте ничему подозрительному, никому не давайте свои данные. Администраторам не нужно знать Ваш пароль, если он предназначен для доступа к их серверу. Они полностью управляют сервером и могут сами посмотреть пароль или изменить его.
Подробнее можете узнать в статье “Фишинг“.
Социальная инженерия
Социальная инженерия – это не технический, а психологический приём. Пользуясь данными, полученными при инвентаризации, взломщик может позвонить какому-либо пользователю (например, корпоративной сети) от имени администратора и попытаться узнать у него, например, пароль.
Это становится возможным, когда в больших сетях, пользователи не знают всех работников, и тем более не всегда могут точно узнать их по телефону. Кроме этого, используются сложные психологические приёмы, поэтому шанс на успех сильно возрастает.
Рекомендации: те же самые. Если действительно есть необходимость, то сообщите нужные данные лично. Если Вы записали пароль на бумаге, не оставляйте её где попало и по возможности уничтожайте, а не просто выбрасывайте в мусорную корзину.
Подробнее прочитайте в нашей статье “Социальная инженерия“.
DoS (Denial of Service или Отказ от Обслуживания). Это не отдельная атака, а результат атаки. Используется для вывода системы или отдельных программ из строя. Для этого взломщик особым образом формирует запрос к какой-либо программе, после чего она перестаёт функционировать. Требуется перезагрузка, чтобы вернуть рабочее состояние программы.
Smurf
Smurf (атака, направленная на ошибки реализации TCP-IP протокола). Сейчас этот вид атаки считается экзотикой, однако раньше, когда TCP-IP протокол был достаточно новым, в нём содержалось некоторое количество ошибок, которые позволяли, например, подменять IP адреса.
Однако, этот тип атаки применяется до сих пор. Некоторые специалисты выделяют TCP Smurf, UDP Smurf, ICMP Smurf. Конечно, такое деление основано на типе пакетов.
Рекомендации: коммутаторы CISCO предоставляют хорошую защиту, как и многие другие, а также свежее ПО и межсетевые экраны; необходимо блокировать широковещательные запросы.
UDP Storm
UDP Storm (UDP шторм) – используется в том случае, если на жертве открыто как минимум два UDP порта, каждый из которых отсылает отправителю какой-нибудь ответ. Например, порт 37 с сервером time на запрос отправляет текущую дату и время. Взломщик отправляет UDP пакет на один из портов жертвы, но в качестве отправителя указывает адрес жертвы и второй открытый UDP порт жертвы.
Тогда порты начинают бесконечно отвечать друг другу, что снижает производительность. Шторм прекратится, как только один из пакетов пропадёт (например, из-за перегрузки ресурсов).
Рекомендации: по возможности исключить использование сервисов, которые принимают UDP пакеты, либо отрезать их от внешней сети межсетевым экраном.
UDP Bomb
UDP Bomb – взломщик отправляет системе UDP пакет с некорректными полями служебных данных. Данные могут быть нарушены как угодно (например, некорректная длина полей, структура). Это может привести к аварийному завершению. Рекомендации: обновите ПО.
Mail Bombing
Mail Bombing («Почтовая бомбёжка»). Если на атакуемом компьютере есть почтовый сервер, то на него посылается огромное количество почтовых сообщений с целью вывода его из строя.
Кроме того, такие сообщения сохраняются на жёстком диске сервера и могут переполнить его, что может вызвать DoS. Конечно, сейчас эта атака, скорее история, но в некоторых случаях всё же может быть использована. Рекомендации: грамотная настройка почтового сервера.
Sniffing
Sniffing (Сниффинг или прослушивание сети). В том случае, если вместо коммутаторов в сети установлены концентраторы, полученные пакеты рассылаются всем компьютерам в сети, а дальше уже компьютеры определяют для них этот пакет или нет.
Если взломщик получит доступ к компьютеру, который включен в такую сеть, или получит доступ к сети непосредственно, то вся информация, передаваемая в пределах сегмента сети, включая пароли, станет доступна.
Взломщик просто поставит сетевую карту в режим прослушивания и будет принимать все пакеты независимо от того, ему ли они предназначались.
Рекомендации: используйте коммутаторы вместо концентраторов, шифруйте трафик.
Подробнее можете узнать в статье “Снифферы“.
IP Hijack
IP Hijack (IP хайджек). Если есть физический доступ к сети, то взломщик может «врезаться» в сетевой кабель и выступить в качестве посредника при передаче пакетов, тем самым он будет слушать весь трафик между двумя компьютерами. Очень неудобный способ, который часто себя не оправдывает, за исключением случаев, когда никакой другой способ не может быть реализован.
Подобное включение само по себе неудобно, хотя есть устройства, которые немного упрощают эту задачу, в частности они следят за нумерацией пакетов, чтобы избежать сбоя и возможного выявления вторжения в канал.
Рекомендации: следите за доступом к кабелям, например, используйте короба. Шифруйте трафик.
Dummy DNS Server
Dummy DNS Server (ложный DNS Сервер). Если настройки сети поставлены в автоматический режим, то при включении в сеть, компьютер «спрашивает» кто будет его DNS сервером, к которому он в дальнейшем будет отправлять DNS запросы.
При наличии физического доступа к сети, взломщик может перехватить такой широковещательный запрос и ответить, что его компьютер будет DNS сервером.
После этого он сможет отправлять обманутую жертву по любому маршруту. Например, жертва хочет пройти на сайт банка и перевести деньги, взломщик может отправить её на свой компьютер, где будет сфабрикована форма ввода пароля. После этого пароль будет принадлежать взломщику.
Достаточно сложный способ, потому что взломщику необходимо ответить жертве раньше, чем DNS сервер.
Рекомендации: по возможности ограничьте доступ к сети посторонних.
IP-Spoofing
IP-Spoofing (Спуфинг или Подмена IP адреса). Атакующий подменяет свой реальный IP фиктивным. Это необходимо, если доступ к ресурсу имеют только определённые IP адреса. Взломщику нужно изменить свой реальный IP на «привилегированный» или «доверенный», чтобы получить доступ. Этот способ может быть использован по-другому.
После того, как два компьютера установили между собой соединение, проверив пароли, взломщик может вызвать на жертве перегрузку сетевых ресурсов специально сгенерированными пакетами. Тем самым он может перенаправить трафик на себя и таким образом обойти процедуру аутентификации.
Рекомендации: угрозу снизит уменьшение времени ответного пакета с установленными флагами SYN и ACK, а также увеличить максимальное количество SYN-запросов на установление соединения в очереди (tcp_max_backlog). Так же можно использовать SYN-Cookies.
Software vulnerabilities
Software vulnerabilities (Ошибки ПО). Использование ошибок в программном обеспечении. Эффект может быть разный. От получения несущественной информации до получения полного контроля над системой. Атаки через ошибки ПО самые популярные во все времена.
Старые ошибки исправляются новыми версиями, но в новых версиях появляются новые ошибки, которые опять могут быть использованы.
Вирусы
Самая известная простому пользователю проблема. Суть во внедрении вредоносной программы в компьютер пользователя. Последствия могут быть различны и зависят от вида вируса, которым заражён компьютер.
Но в целом – от похищения информации до рассылки спама, организации DDoS атак, а так же получения полного контроля над компьютером. Помимо прикрепленного к письму файла, вирусы могут попасть в компьютер через некоторые уязвимости ОС.
Рекомендации: Пользуйтесь антивирусным программным обеспечением. Не ограничивайтесь только DrWEB или Kaspersky Anti-Virus (потому как они не проверяют реестр), используйте специализированные антивирусы против Malware, например Ad-Aware, SpyBot, XSpy.
Вас взломали: признаки хакерской атаки и меры защиты
Международный эксперт по кибербезопасности и генеральный директор Atlant Security
Инциденты информационной безопасности по всему миру случаются очень часто, а компании узнают о взломе лишь по прошествии от полугода до двух лет. Александр Свердлов, международный эксперт по кибербезопасности и генеральный директор Atlant Security, делится информацией, которая может спасти жизнь вашему бизнесу.
Признаки взлома
Если не говорить о все более популярных вирусах-шифровальщиках, именно таргетированная атака, цель которой – украсть данные, получить выгоду и остаться незамеченными, является главным намерением хакеров.
Часто о взломе сообщают сотрудники правоохранительных органов или сторонние организации, в чьи руки попадают сведения об украденных данных. Но даже если этого не произошло, это не значит, что вы не взломаны.
Проверьте вашу компанию по пунктам ниже:
1. Самый главный признак – наличие новых файлов на дисках взломанных систем. После установления доступа к сети хакеры часто приносят туда свои любимые инструменты. Именно по ним можно выявить атаку, если активно их искать. На западе такая практика, она называется threat hunting, или охота на угрозы безопасности.
Можете найти такие признаки с помощью Sysmon, бесплатного инструмента от Microsoft и хорошей системы анализа логов.
2. Наличие данных компании на хакерских («теневых») форумах. Существуют сервисы по поиску корпоративной информации на таких ресурсах. Например, DeHashed, Breach Aware.
3. Аномалии в поведении пользовательских устройств. Они могут проявляться в сетевом трафике, в новых и неизвестных процессах, запущенных на этих устройствах.
Для их выявления компаниям МСБ советую использовать бесплатные инструменты с открытым кодом — Security Onion, Suricata.
Мишени внутри компании
Самая частая атака – взлом почты сотрудников. Это быстро, дешево и предоставляет моментальный доступ к огромному количеству информации, которую данный сотрудник (или директор) когда-либо получал или отправлял. Там могут быть пароли, конфиденциальная информация, документы и многое другое, что хакеры потом используют для расширения своего доступа и получения выгоды.
Если говорить о сотрудниках — все являются мишенями, поголовно. В малых и средних компаниях самые интересные цели для хакеров — бухгалтеры и ассистенты директоров. Первые, потому что взломав их учетную запись можно получить данные о финансовых потоках, манипулировать документами, отправленными по почте – например, заменить банковские реквизиты.
В компаниях покрупнее интересными становятся отделы передовых разработок и ИТ-отдел, так как имея доступ к администратору, хакер получает доступ ко всем ресурсам компании.
Частые заказчики атак — конкуренты
В бизнесе, как и на войне, часто играют без правил. Если у противника есть слабость, многие, скорее всего, воспользуются ею. Стратегические планы компании, сведения о ценах, поставщиках, клиентах – все это можно получить, всего лишь заплатив за доступ к почте директора компании. Если вы просто ради эксперимента наберете в любом поисковике «взлом почты на заказ», узнаете насколько популярна эта услуга у бизнеса, криминала и даже домохозяек.
Поэтому стоит озаботиться, в первую очередь, защитой именно тех ресурсов, которые легче всего взломать и которые более всего популярны у злоумышленников.
Почему не надо платить выкуп
Надо постараться сделать так, чтобы когда придет письмо о выкупе, компания была готова к этому. Резервное копирование данных правильным образом – один из самых эффективных способов. Но есть случаи, когда и резервное копирование не помогает.
Недавно клиника психологической помощи в Европе подверглась хакерской атаке, и 40 тыс. клиентов, доверяющих свою личную жизнь психологам, получили на почту сообщение с требованием выкупа в обмен на сохранение их разговоров в тайне.
Сайты знакомств также взламывают – их посетители получают подобные сообщения с угрозой рассказать обо всем семье жертвы.
Даже если вы заплатите выкуп, никто не гарантирует, что преступники будут следовать вашим моральным ожиданиям. Их цель – получить деньги, и если вы заплатите, что они подумают о вас? Правильно: что можно получать их от вас снова и снова, возможно, даже в больших количествах.
Стоит ли полагаться на киберрасследования
Так же, как и при физическом преступлении, всегда стоит полагаться на профессионалов. Расследование может показать, что вы стали случайной жертвой или на вас охотились конкуренты – разница огромная, так же, как и ваши действия после этого.
Самое главное – не паниковать. Вы не знаете, что делать во время хакерской атаки, но и ваша ИТ команда тоже не имеет ни малейшего понятия. Как только вы узнали о взломе, ищите специалистов по реагированию на киберинциденты, звоните им и беспрекословно выполняйте их указания.
Если ситуация критическая, и вы не можете быстро найти нужных специалистов – просто выключайте оборудование из электрической сети, пока ищете и ждете помощи. Однако, выключив сервера, вы можете потерять важные доказательства, хранящиеся в RAM памяти – имейте это в виду. Но иногда это лучший вариант, чем предоставлять хакерам доступ на все время поиска помощи.
В полицию, в частности, в отдел «К», рекомендую обращаться, только когда совершено серьезное преступление против личности или государства. В этом случае они включат весь свой ресурс в расследование. В других случаях есть вероятность, что ваше оборудование заберут «на доказательства», тем самым приостановив сам бизнес. Кто тогда будет хакером, закрывшим фирму?
Про «безопасность из коробки»
Покупка коммерческого продукта, обещающего «остановить хакерские атаки и предотвратить атаки вирусов-шифровальщиков», является такой же легкой психологически, как покупка чая для похудения, и настолько же эффективной.
За последние 10 лет были взломаны огромные корпорации, сотни тысяч малых и средних компаний, и все они имели огромное количество купленных продуктов для защиты от хакеров. Как-то неловко получается.
Как только случились самые крупные атаки шифровальщиков в мире, вендоры сломя голову кинулись продавать те же продукты, но уже с новым слоганом — «Мы защищаем от шифровальщиков». Однако шифровальщики и не думают уходить с рынка, наоборот, количество атак и их жертв растет в геометрической прогрессии.
Единственный способ защититься от опытных хакеров, проводящих рейды на фирмы, подобные вашей – правильно построенная архитектура защитных мер. У вас есть выбор – строить крепость или клеить наклейку «защищено продуктом Х» на самых ценных активах своей компании.
Прошу понять меня правильно – коммерческие решения могут иметь место в вашей сети. Но их стоит покупать только после построения всех практик и процессов информационной безопасности.
Купив коммерческий продукт по защите от определенного вектора атак, стоит помнить о том, что ни один продукт сам по себе не защищает. Их надо постоянно настраивать в соответствии с новыми методами атак, ими надо ежедневно пользоваться и их надо постоянно тестировать на эффективность.
Для защиты от зловредного кода требуется множество мер, каждая из которых закрывает какой-то процент уязвимости системы. Например, в пакете программ Microsoft Office есть сотни настроек безопасности, то же касается, например, Adobe Reader и других популярных приложений, уязвимостями которых пользуются злоумышленники. Их и нужно защитить первым делом — перед тем, как начать покупать коммерческие решения.
Ваша сеть должна быть настолько хорошо настроена, чтобы можно было выключить антивирус и все равно жить в безопасности. Антивирус должен существовать только чтобы обнаружить, что совсем случайно прошло мимо ваших систем и настроек безопасности, а также чтобы блокировать самые простые атаки.
Опытному хакеру хватит 15 минут, чтобы сделать версию вируса невидимой для всех существующих 67+ антивирусных систем и более 24 часов, чтобы они снова начали обнаруживать этот вирус. Обнаружение неизвестного типа зловредного кода требует времени, потому что антивирусные компании должны о нем узнать, проанализировать, создать «отпечатки», по которым потом его находить. Стоит ли после этого доверять антивирусной системе?
Доверять антивирусу можно только после того, как вы ответили на следующий вопрос без его помощи: какие исполняемые файлы (скрипты, программы) стартовали в последние 24 часа в вашей корпоративной сети, на каких именно компьютерах и когда?
Для ответа на этот вопрос вам надо будет построить систему мониторинга. Лишь видя, что происходит в вашей сети, можно полагаться и на антивирус.
Когда я строил систему защиты АЭС одной из ближневосточных стран, мне дали протестировать ПО Data Leakage Protection, приобретенное ими за миллионы. Я нашел как минимум 20 методов обхода этой системы всего за несколько часов!
Могли же они просто купить эту систему и довериться продавцу, который им обещал заоблачную эффективность?
Помните: эффективная ИБ обеспечивается не «из коробки», а упорной работой команды, которая настраивает продукт и постоянно его тестирует.
Если у вас есть на это бюджет, конечно, стоит покупать коммерческую систему защиты, но как и с любым инструментом, ее надо настраивать, постоянно поддерживать и проверять, то есть учиться с ней работать.
Как повысить безопасность прямо сейчас
Самое главное: включите двухуровневую аутентификацию в корпоративной почте для всех сотрудников.
Имейте в виду, что есть множество технологий и методов защиты служебного почтового сервера путем двухуровневой аутентификации – и многие из них очень легко обойти. Самые эффективные – те, которые рассчитывают на физический токен наподобие флешки (для примера — Yubico — лично я им пользуюсь уже много лет) или на приложение, посылающее запрос пользователю одобрить или не одобрить попытку логина.
Заключение
Научитесь сначала использовать системы с открытым кодом. Например, такие системы, как Velociraptor, предназначены для поиска следов хакеров в сети (threat hunting). Используйте также системы мониторинга сети, например, те, о которых я упомянул выше – Security Onion, Suricata.
Эти системы не совершенны. Их надо изучать. Но внедрив их и научившись их использовать, ваша команда поймет, что надо делать, и, самое главное, зачем.
То же самое касается управления логами и их анализа. Сначала научитесь использовать такие системы, как Graylog2, Wazuh – и только потом переходите на коммерческие системы сбора и анализа логов.
Фото на обложке:ESB Professional/Shutterstock
30 шагов, которые помогут защитить данные от хакерского взлома
В США, возможно, уже не осталось никого, кто не считает, что за ним лично следят русские хакеры, да и вообще все беды от них. Так это или нет, но в следующей статье предлагаем вам ко всем «страшилкам» про Иванов-хакеров отнестись с юмором, а вот перечисленные советы принять к сведению. Они хоть и простые и всем известные, но, как говорится, «дьявол кроется в деталях».
30 способов защиты от хакеров
Автор — Mark Lawrence
Хакерская атака, разрушающая критически важную инфраструктуру – довольно реалистичный сценарий БП для многих развитых стран запада. Кто знает, может какие-то государства именно сейчас отрабатываю такие методики нападения на своих ничего не подозревающих соседей.
По крайней мере, так считает Тед Коппел, журналист и исследователь, автор книги «Lights Out: A Cyberattack, A Nation Unprepared, Surviving the Aftermath».
Даже сейчас нам известно об огромном количестве кибератак, которые направлены не только на крупные корпорации, но и на Пентагон и другие организации, обеспечивающие национальную оборону США.
В результате одного из таких взломов в сеть утекли данные множества американских госслужащих, занятых на разных уровнях государственной деятельности. Стали известно не только об их именах и должностях, но и о их родственниках и кругах общения. Согласно официальным данным, была раскрыта конфиденциальная информация, принадлежащая не менее 22,1 миллиону человек. Ответственность за этот взлом, кстати, была возложена на правительство Китая.
Китай: родина хакеров
Трудно сказать, зачем эти данные понадобились китайцам. Но что можно сказать наверняка, так это то, что они теперь знают, кто именно управляет США на всех уровнях – от федерального правительства, до местных муниципалитетов. И где проживают эти люди, а также – члены их семей.
И вряд ли китайцам нужны эти данные, чтобы рассылать поздравительные открытки к дню рождения. Вот только информация об этом событии хотя и попала на страницы «Washington Post», но практически не получила широкой огласки. И очень зря, как мне кажется.
Киберпреступность и хакерские атаки
Согласно данным «The Guardian», киберпреступность ежегодно лишает экономику США порядка 100 миллиардов долларов. Увы, у политики «сетевого нейтралитета» есть обратная сторона – плохие парни, шарящие в компьютерах, могут практически безнаказанно наносить ущерб обычным гражданам.
Ага. Вы полагаете, что целью кибератак являются банки и крупные корпорации? Это не так. Каждый может стать их жертвой. А если учесть, что хакеры уже знают, кто входит в наше правительство, то теперь они могут атаковать его централизованно. Не только ради денег, но и по личным, а также – по политическим мотивам.
Хакеры и мафия
Некоторые хакеры передают добытые данные представителям организованной преступности. Другие находятся на зарплате у иностранных правительств, которые хотят знать, как именно устроена инфраструктура у интересующих их стран. Увы, атак было слишком много, чтобы полагать, что их цель – исключительно похищение личных данных. Всё намного серьёзнее.
Русские и китайцы?
В 2015 году русские хакеры удачно атаковали Пентагон, похитив данные более 4000 работавших там человек. А через несколько дней аналогичный «подвиг» совершили и китайцы.
Но кто эти люди и сколько их всего? Никто точно не знает. Но одно можно сказать наверняка – они чрезвычайно опасны. И уже сейчас существует множество хакерских групп и деятельных одиночек. Наиболее известны среди них:
Milw0rm. Известны тем, что активно атаковали индийский Центр атомных исследований Бхабха, что в Мумбае.
UGNazi. Группировка, действующая против правительства США в целом и ЦРУ в частности. Начала свою деятельность в 2011 году и продолжает активно работать и по сей день.
Кроме того, в организации хакерских атак обвиняют целую страну – конечно же, Северную Корею. Так, например, из-за атак северокорейских хакеров на компанию Sony в 2015, США ужесточила санкции против этой страны.
Вот ещё список хакерских групп, которые, по некоторым данным, поддерживаются разными правительствами.
The Syrian Electronic Army. Изначально пытались поддерживать деятельность Башара аль-Асада, активно ломали сайты правительства Сирии. Противостояли Anonymous.
APT1. Однозначно сотрудничают с китайской армией.
«Nashi». Русская группа, активно нападающая на оппозиционные ресурсы в стране. И вряд ли они стали бы это делать, если бы у них ни было хорошей высокопоставленной поддержки. Ведь как известно, большинство хакеров преподносят себя «хактивистами» — борцами с системой. Но как это сочетается с нападками на оппозицию? Никак.
И количество группировок будет только расти, поскольку потихоньку подтягиваются ребята из Африки и Ближнего Востока. Просто потому, что технологии становятся всё дешевле, а интернет – всё доступнее. И всё это уж точно не улучшит и без того хреновый уровень мировой кибербезопасности.
И это далеко не самое страшное, что можно сделать при помощи взлома. Он позволяет:
Как происходит хакерский взлом?
Когда дело доходит до взлома отдельных компьютеров и целых сетей, у хакеров есть множество козырей в рукаве. Наиболее распространёнными их приёмами являются:
Как защитить данные от хакеров?
Давайте честно, если у вас есть доступ к сети интернет, то плохой парень при большом желании и при наличии времени в любом случае сможет вас взломать. Вопрос только в том, сколько на это уйдёт сил и ресурсов. И будут ли они окупать результат.
К счастью, столь целенаправленные атаки очень редки. Куда вероятнее, что вы станете «случайной» жертвой. И вот что нужно делать, чтобы снизить шансы этого.
А дальше пойдёт перечень действий, после которых кто-то обязательно напишет, что автор нуб и ничего не понимает в сетевой безопасности. Тем не менее, его мнение имеет право на жизнь. Да и для новичков советы будут полезными. — прим.ред.
30 шагов, которые позволят снизить урон от хакерского взлома
Заключение
Мы, конечно, будем пытаться себя обезопасить, но в случае глобальной хакерской атаки, мало что можно сделать. Однако помощь может прийти с неожиданной стороны — от хакеров из США. Они ведь не хотят, чтобы их привычный мир разрушил какой-нибудь Иван, Чанг или Ахмед, вырубив электричество в районе?
Я, конечно, не призывают никого заниматься незаконной деятельностью, но если мы уже сейчас находимся в состоянии необъявленной кибервойны, то пусть лучше у нас будет чем отвечать на угрозы. Причём не только на государственном уровне, но и за счёт «частных» инициатив.