Come tutti sappiamo, siamo in un mondo circondato da informazioni che ogni giorno richiedono livelli di sicurezza migliori, noi In qualità di amministratori e responsabili IT, siamo direttamente responsabili di fornire sicurezza in modo che i dati della nostra organizzazione, o della nostra, siano al sicuro.
Forse le nostre informazioni non sono così preziose o così importanti se vengono perse o rubate, ma potremmo avere informazioni molto speciali, come conti bancari, estratti conto, informazioni personali, ecc., che devono rimanere "al sicuro" nei nostri sistemi e non possiamo negare che l'hacking oggi sia diventato molto diverso da prima, oggi ci sono più meccanismi di attacco e tecniche diverse per tale attività.
Questa volta parleremo di intrusi, analizzeremo alcuni dei modi in cui gli hacker possono accedere alle informazioni sfruttando le vulnerabilità che possono esistere.
Lo capiamo l'accesso non autorizzato al sistema costituisce un grave problema di sicurezza Poiché quella persona o quel software può estrarre informazioni preziose dal nostro database e successivamente danneggiare l'organizzazione in diversi modi, quando parliamo di software che può entrare senza autorizzazione, possiamo pensare che sia un worm, un trojan o, in generale, di un virus.
Ci concentreremo su queste aree di seguito:
- 1. Tipi di intrusi
- 2. Tecniche di intrusione
- 3. Rilevamento di intrusi
- 4. Tipi di attacchi
1. Tipi di intrusi
Possiamo identificare tre (3) tipi di intrusi:
Utente fraudolentoSi riferisce a un utente che accede illegalmente alle risorse dell'organizzazione o che, avendo i permessi, abusa delle informazioni disponibili.
ImpersonatoreÈ una persona che non ha nulla a che fare con l'accesso legale nell'organizzazione ma che riesce a raggiungere il livello di prendere l'identità di un utente legittimo per accedere e fare il danno.
Utente clandestinoÈ una persona che può assumere il controllo dell'audit del sistema dell'organizzazione.
Solitamente l'imitatore è una persona esterna, l'utente fraudolento è interno e l'utente clandestino può essere esterno o interno. Gli attacchi intrusi, indipendentemente dal tipo, possono essere classificati come gravi o benigni, nei benigni accedono solo per vedere cosa c'è in rete mentre in quelli gravi le informazioni possono essere rubate e/o modificate all'interno della rete stessa.
2. Tecniche di intrusione
Come sappiamo, il modo comune per accedere a un sistema è tramite password ed è a questo che mira l'intruso, acquisendo password utilizzando tecniche diverse per raggiungere il suo obiettivo di violare gli accessi e ottenere informazioni. Si consiglia di proteggere il nostro file di password con uno dei seguenti metodi:
Crittografia unidirezionaleQuesta opzione memorizza solo una forma crittografata della password dell'utente, quindi quando l'utente inserisce la propria password, il sistema la crittografa e la confronta con il valore che ha memorizzato e, se è identico, consente l'accesso, altrimenti lo nega.
Controllo di accessoCon questo metodo, l'accesso alla password è molto limitato, solo a uno o pochi account.
Il metodi comunemente usati dagli hacker, secondo alcune analisi sono:
- Testa le parole del dizionario o gli elenchi di possibili password disponibili sui siti di hacker
- Provare con i numeri di telefono o i documenti di identificazione degli utenti
- Test con numeri di targa
- Ottenere informazioni personali dagli utenti, tra gli altri
3. Rilevamento intrusi
Come amministratori dobbiamo analizzare le possibili vulnerabilità che il nostro sistema deve evitare in futuro, possiamo analizzare questi errori con i seguenti concetti:
- Se studiamo come un intruso può attaccare, queste informazioni ci aiuteranno a rafforzare la prevenzione delle intrusioni nel nostro sistema
- Se rileviamo rapidamente l'utente invadente, possiamo impedire a questa persona di fare le sue cose nel nostro sistema e quindi evitare danni.
Come amministratori possiamo analizzare il comportamento degli utenti all'interno della nostra organizzazione e rilevare, con molta analisi, se presentano comportamenti strani, come l'accesso tramite intranet a computer o cartelle a cui non si dovrebbe accedere, modifica di file, ecc. Uno degli strumenti che ci aiuterà molto nell'analisi degli intrusi è l'audit log poiché ci permette di tenere traccia delle attività svolte dagli utenti.
Possiamo usare due (2) tipi di piani di audit:
Registri di controllo specifici per il rilevamentoPossiamo implementare tali registri in modo che ci mostrino solo le informazioni richieste dal sistema di rilevamento delle intrusioni.
Registri di controllo nativiÈ lo strumento che viene fornito di default nei sistemi operativi e memorizza tutte le attività dell'utente, ad esempio il visualizzatore di eventi di Microsoft Windows.
Possiamo rilevare anomalie in base ai profili, cioè sul comportamento degli utenti, per questo possiamo utilizzare le seguenti variabili:
- Contatore: È un valore che può essere aumentato ma non diminuito fino a quando non viene avviato da qualche azione
- Calibro: È un numero che può aumentare o diminuire e misura il valore attuale di un'entità
- Intervallo di tempo: Si riferisce al periodo di tempo tra due eventi
- Uso delle risorse: Implica la quantità di risorse che vengono consumate in un certo tempo
Esiste un altro tipo di rilevamento ed è quello che si basa su regole, queste rilevano l'intrusione in base agli eventi che si verificano nel sistema e applicano una serie di regole definite per identificare se l'attività è sospetta o meno.
Alcuni degli esempi di queste regole sono:
Una delle tecniche interessanti per attirare l'attenzione degli intrusi è usare gli honeypot, che sono semplicemente strumenti di sicurezza in cui vengono creati sistemi che sembrano essere vulnerabili o deboli e in cui sono presenti informazioni false, ma con un aspetto piacevole per l'intruso, ovviamente un honeypot non ha o non avrà accesso a un utente legittimo di l'organizzazione.
Che cosa misura di sicurezza per prevenire attacchi di intrusi Senza dubbio esiste la corretta gestione delle password, sappiamo che una password permette:
- Fornire o meno l'accesso a un utente al sistema
- Fornire i privilegi che sono stati assegnati all'utente
- Offrire politiche di sicurezza in azienda
In uno studio condotto da un'organizzazione negli Stati Uniti, basato su tre (3) milioni di account, si è concluso che gli utenti utilizzano regolarmente i seguenti parametri per le loro password (che non sono affatto sicure):
- Nome utente
- Numeri di identificazione
- Nomi comuni
- I nomi dei luoghi
- Dizionario
- Nomi delle macchine
È importante che nel nostro ruolo di amministratori, coordinatori o responsabili IT educhiamo gli utenti della nostra organizzazione in modo che sappiano come impostare una password complessa, possiamo utilizzare i seguenti metodi:
- Controllo reattivo della password
- Controllo proattivo della password
- Educazione dei nostri utenti
- Password generate dal computer
Come possiamo vedere, tra tutti noi (Amministratori e utenti) possiamo affrontare qualsiasi attività da parte di intrusi.
4. Tipi di attacchi
Successivamente esamineremo alcuni dei tipi di attacchi che possono essere perpetrati nei diversi sistemi, effettueremo questa analisi con un approccio etico da hacker.
Dirottamento
Questo tipo di attacco consiste nel prendere una sezione di un dispositivo per comunicare con un altro dispositivo, ci sono due (2) tipi di dirottamento:
- Attivo: È quando una sezione dell'host viene presa e utilizzata per compromettere il bersaglio
- passivo: si verifica quando viene occupata una sezione del dispositivo e viene registrato tutto il traffico tra i due dispositivi
Abbiamo strumenti per il dirottamento da pagine come:
- IP-Watcher
¿Come possiamo proteggerci dal dirottamento? Possiamo utilizzare uno dei seguenti metodi a seconda del protocollo o della funzione, ad esempio:
- FTP: usiamo sFTP
- Connessione remota: usiamo VPN
- HTTP: usiamo HTTPS
- Telnet o rlogin: usiamo OpenSSH o SSH
- IP: usiamo IPsec
Attacco a un server Web
I server più comuni per implementare servizi web abbiamo Apache e IIS. Gli intrusi o gli hacker che intendono attaccare questi server devono conoscere almeno tre (3) linguaggi di programmazione come Html, ASP e PHP. a prendiamoci cura dei nostri server web possiamo usare strumenti, chiamato Brute Force Attack, come il seguente:
- Bruto per Windows
- Idra per Linux
- NIX per Linux
Il attacchi più comuni che troviamo a livello di server web sono come segue:
- Script Attack
- Password nello stesso codice
- Vulnerabilità nelle applicazioni web
- Convalida del nome utente
Come amministratori possiamo attuare le seguenti pratiche:
- Installa e/o aggiorna l'antivirus
- Usa password complesse
- Cambia account predefiniti
- Elimina codici di prova
- Aggiorna sistema e service pack
- Gestire e monitorare costantemente i log di sistema
Possiamo utilizzare lo strumento Acunetix che ci permette di verificare se il nostro sito è vulnerabile agli attacchi, possiamo scaricarlo dal link.
Backdoor e Trojan
Molti dei trojan vengono eseguiti in modalità di test per verificare la reattività dell'organizzazione a un possibile attacco, ma non il 100% proviene da test interni, ma in altre occasioni sono con intenti dannosi da parte di un intruso.
Alcuni dei i trojan più comuni sono:
- Netbus
- proporzionale
- Paradiso
- Duckfix
- Netcat
a prevenire gli attacchi di trojan È importante che come amministratori svolgiamo alcune attività come:
- Installa e aggiorna un antivirus
- Esegui e attiva il firewall
- Usa uno scanner trojan
- Aggiorna le patch di sistema
Attacco alle reti wireless
Le nostre reti Wireless possono essere soggette ad attacchi da parte di un intruso, sappiamo che le moderne tecnologie delle reti Wireless sono 802.11a, 802.11b, 802.11n e 802.11g, queste si basano sulla loro frequenza.
a prevenire attacchi alle nostre reti wireless possiamo svolgere le seguenti mansioni:
- Evita di usare SSID vuoto
- Evita di usare l'SSID predefinito
- Usa IPsec per migliorare la sicurezza nel nostro IPS
- Esegui filtri MAC per evitare indirizzi non necessari
Alcuni strumenti utilizzati per eseguire l'hacking wireless sono:
- Kismet
- Mappa GPS
- NetStumbler
- AirSnort
- Drumbler
Sebbene nella nostra azienda non utilizziamo reti wireless in modo continuativo, è bene implementare politiche di sicurezza per prevenire attacchi per loro, sarebbe l'ideale fare quanto segue (in caso di utilizzo solo Wireless):
- Disabilita DHCP
- Aggiorna firmware
- Usa WPA2 e maggiore sicurezza
- In caso di connessione remota utilizzare VPN
Attacchi Denial of Service (DoS)
L'obiettivo principale di questo tipo di attacco è influenzare tutti i servizi del nostro sistema, bloccandoli, saturandoli, eliminandoli, ecc.
Noi possiamo prevenire un attacco DoS utilizzando le seguenti attività:
- Utilizza i servizi di cui abbiamo veramente bisogno
- Disabilita la risposta ICMP sul firewall
- Aggiorna il sistema operativo
- Aggiorna il nostro firewall con l'opzione di attacco DoS
Alcuni strumenti che possiamo trovare in rete per attacchi DoS sono:
- FSM FSMax
- Qualche problema
- Sobbalzo 2
- esplosione20
- pantera2
- Pinger pazzo, ecc.
Strumenti per decifrare password
Un altro degli attacchi comuni che possiamo subire nelle nostre organizzazioni è l'attacco alle password, come abbiamo già detto, a volte le password stabilite non sono abbastanza forti, motivo per cui siamo inclini a un intruso che ruba la nostra password e può accedere a il nostro sistema. Sappiamo che la sicurezza delle nostre password si basa su:
- Autenticazione: Autorizza l'accesso al sistema o alle applicazioni aziendali
- Autorizzazione: Se la password inserita è corretta, il sistema la convaliderà e autorizzerà l'inserimento
I tipi di attacchi più comuni che troviamo per rubare le nostre password sono:
Dizionario attacchiSono elenchi di parole stabilite che vengono sincronizzate e vengono convalidate se la nostra password è inclusa lì.
Attacco di forza brutaÈ uno degli attacchi più efficaci poiché contiene lettere, numeri e caratteri speciali e formano combinazioni finché non trovano la chiave corretta
Attacchi ibridiÈ una combinazione dei due (2) sopra.
Alcuni strumenti per hackerare password sono:
- Pwdump3
- Giovanni lo Squartatore
- Bosone GetPass
- Elcomsoft
Ricorda che se la nostra password o quella di un utente dell'organizzazione viene scoperta da un intruso possiamo avere seri problemi, quindi è importante ricorda che la maggior parte include le seguenti condizioni per le nostre password:
- Lettere minuscole
- Lettere maiuscole
- Personaggi speciali
- Numeri
- Parole complesse
Ti consigliamo di rivedere questo tutorial per avere password completamente sicure.
Noi possiamo rileva se siamo vittime del cracking delle password controllare i log di sistema, monitorare costantemente il traffico di rete, ecc. Nella pagina sectools possiamo trovare diversi strumenti che ci aiuteranno nel nostro lavoro per monitorare la rete e i suoi possibili attacchi, l'invito è a conoscerla ed effettuare dei test.
Un'altra pagina che possiamo visitare è foundstone che appartiene a McAffe e contiene un interessante gruppo di strumenti utili.
spoofing
In questo tipo, l'attaccante impersonerà un'altra entità, per questo falsificherà i dati che vengono inviati nelle comunicazioni. Questo tipo di attacco può verificarsi in diversi protocolli, abbiamo IP spoofing, ARP spoofing, DNS spoofing, DHCP spoofing, ecc.
Eccotene alcune attacchi comuni:
- Spoofing non cieco
- Spoofing cieco
- Uomo nel mezzo
- Denial of service (DOS)
- Rubare il porto
Alcuni contromisure che possiamo prendere:
- Usa crittografia e autenticazione
- Applicare filtri di input e output sul router
Iniezione di codice
Si basa sullo sfruttamento di un errore causato dal trattamento di dati non validi. Viene utilizzato da un utente malintenzionato per inserire o iniettare codice in un programma per computer vulnerabile e modificare il corso dell'esecuzione. Un'iniezione riuscita può avere conseguenze disastrose.
Alcuni posti dove possiamo mettere insieme un attacco di iniezione:
- SQL
- LDAP
- XPath
- Query NoSQL
- HTML
- Conchiglia
Alcuni misure che possiamo adottare durante la pianificazione:
- Filtra le voci
- Parametrizzare le istruzioni SQL
- Variabili di escape
Come possiamo vedere, abbiamo molte alternative per contrastare possibili attacchi alla nostra organizzazione da parte di intrusi, sta al nostro compito (se è il caso) fare un'analisi dettagliata e agire su questi problemi.
Come accennato in precedenza, e fortunatamente, non ci sarà sempre un hacker o un intruso interessato a penetrare nel nostro sistema e a rubare informazioni, ma non sapremo mai in futuro dove si troverà la nostra organizzazione o noi stessi.