În caz că vă gândiţi cumva la filmul cu Harrison Ford, vă anunţ că vă înşelaţi.

Un firewall este un filtru pentru reţeaua voastră. Poate fi un echipament dedicat sau o aplicaţie software. Cu ajutorul lui poţi decide ce trafic să accepţi sau ce să trimiţi direct la gunoi.

Haideţi să enumerăm câteva dintre funcţiile esenţiale îndeplinite de un firewall:

- conservarea adreselor IP şi forwarding-ul traficului. Cu alte cuvinte, firewall-urile sunt folosite adesea în locul routerelor. Putem să facem NAT, să rutăm reţele, plus protecţia aferentă.
- diferenţierea reţelelor. De multe ori un firewall este pus “la graniţa” dintre o reţea privată şi Internet…şi nu numai. În majoritatea companiilor mari, firewall-urile sunt prezente şi în interiorul internetwork-ului corporaţiilor respective pentru o mai bună delimitare a diverselor divizii sau departamente. De ce trebuie asemenea delimitare? Pentru că de exemplu contabilii nu ar trebui să aibă acces la share-ul managementului, să zicem.
- protecţia împotriva diverselor atacuri: DoS, scanning (nu este un atac propriu-zis, doar un preludiu ), sniffing.
- filtrarea în funcţie de IP (destinaţie/sursă) şi port(serviciu).
- filtrarea de content. Presupun că aţi auzi de servere proxy, un tip de firewall-uri care filtrează traficul în funcţie de URL şi conţinutul paginii accesate.
- redirectarea pachetelor. Putem configura un firewall ca toate pachetele venite pentru 80 şi 443 să le facă forward înspre un server proxy.
- autentificare şi criptare. Cu ajutorul unui firewall putem forţa userii să se autentifice atunci când accesează o anumită resursă din reţeaua noastră. Când vorbim despre criptare, ne referim la un tunel VPN între două firewall-uri aflate în reţele diferite.
- logging-ul suplimentar. Deşi ignorat acest feature, reprezintă un avantaj major al folosirii unui firewall. Vă daţi seama că veţi şti absolut totul despre pachetele care vă traversează “zidul de foc”.

Băgăm aici şi o clasificare a firewall-urilor? Ia să vedem:

1. packet filters – sunt firewall-urile care iau deciziile vis-a-vis de forwardarea sau ne-forwardarea pachetelor în funcţie de adresele IP destinaţie/sursă,porturi şi tipul protocolului (TCP,UDP etc.). Vă daţi seama că aceste filtre se ocupă doar de pachetele individuale, iar un atac tip spoofing nu poate fi oprit. De ce am alege un astfel de firewall? Pentru viteza lui de procesare mare faţă de exemplu firewall-urile ce analizează pachetele la Layer 7.

2. stateful inspection packet filters – este vorba despre prima categorie la care s-a adăugat feature-ul de “stateful inspection”. Adică, firewall-ul va ţine evidenţa tuturor sesiunilor TCP şi va avea grija ca fiecare pachet de tip ACK va fi legitim.

3. application proxies – analiza pachetelor ajunge în acest caz până la Layer 7 (application). Vă daţi seama că performanţa şi viteza unui firewall de acest tip are de suferit.

Data viitoare vom vorbi despre integrarea într-o reţea a acestor echipamente.

Pentru că până acum am atins în materialele legate de securitatea IT multe chestiuni interesante printre care şi obiectivele generale ale IT security-ului, ce fel de motivaţii îi caracterizează pe cei faţă de care trebuie să ne ferim, la ce fel de tipuri de atacuri trebuie să ne aşteptăm sau un rezumat al soluţiilor hardware şi software pe care le putem implementa pentru a micşora efectele unui astfel de atac, cred că putem să vorbim deja mai în detaliu despre alcătuirea unui plan de securitate inteligent şi eficient.

Dacă ne uităm peste RFC-ul 2196, “Site Security Handbook”, găsim următorii paşi care trebuiesc efectuaţi pentru a avea un “mult visat” plan de securitate eficient:

- identificarea resurselor care trebuiesc protejate;
- identificarea eventualelor pericole;
- stabilirea probabilităţii apariţiei unui astfel de atac;
- implementarea unor măsuri care ne protejează asset-urile încadrîndu-ne într-un buget adecvat;
- verificarea acestui proces, sau plan, ori de câte ori “o gaură” este descoperită, şi bineînţeles îmbunătăţirea lui.

Este important să înţelegem că un plan de securitate nu este acelaşi lucru cu o politică de securitate. Politicile de securitate derivă din aceste planuri de securitate. Dacă primele sunt compuse din reguli sau “legi”, ultimele reprezintă “cum?-ul” implementării acestor măsuri, adică stabilesc în ce mod vor fi implementate aceste politici de securitate.

Ce conţine un plan de securitate?…Trei elemente diferite care se găsesc prezente într-o formă sau alta în fiecare companie cât de cât care se respectă:

- prevenire – însumează măsurile luate pentru ca datele să nu poată fi modificate, distruse sau compromise;
- detectare – adună la un loc măsurile implementate astfel încât breşele sau tentativele de formare a lor să fie detectate la timp. Ar fi perfect dacă am şi depista sursa acestor “găuri”.
- reacţie – măsurile care ne scot dintr-un knock out de ăsta informatic…mai precis ce trebuie să facem astfel ca după un incident să putem recupera datele pierdute sau “stricate”, să repunem în funcţiune sistemele afectate şi bineînţeles să prevenim viitoarele “scandaluri”.

Cele trei aspecte de mai sus pot fi grupate foarte uşor în două tipuri de acţiuni: proactive şi reactive. Mă gândesc că aţi ghicit deja că “prevenirea” este o acţiune proactivă pentru că are loc înainte ca o breşă să fie formată…şi bineînţeles, ultimele două măsuri sunt reactive.

Înainte de a dezvolta un anumit plan de securitate şi politicile aferente,trebuie să stabilim foarte clar nevoile specifice în cadrul fiecărei organizaţii. Trebuie să luăm în considerare următoarele lucruri:

- tipul business-ului în care este angajată organizaţia respectivă;
- tipul datelor ce sunt “păstrate” în reţea;
- tipul conexiunilor reţelei organizaţiei înspre celelalte reţele;
- modul de gândire şi “approaching” asupra aspectului securităţii IT al managementului companiei respective.

Să ne gândim un pic la primul punct din înşiruirea de mai sus. Ştim cu toţii că anumite domenii necesită un nivel mai ridicat de securitate. Şi automat ne gândim la o instituţie militară sau la una de stat. Punem mai jos nişte exemple de organizaţii ale căror date nu au voie să zboare libere peste tot:

- cabinetele de avocatură sunt obligate să păstreze confidenţiale datele vis-a-vis de clientela lor;
- instituţiile medicale trebuie să păstreze în siguranţă toate înregistrările pacienţilor sau istoricele afecţiunilor de care suferă;
- facultăţi, licee care au nevoie să îşi ţină departe de servere studenţii repetenţi şi furioşi ;
- orice companie care dintr-un motiv sau altul colectează şi păstrează date de la clienţi sau organizaţii şi mai apoi “se laudă” cu păstrarea acestora în perfectă siguranţă.

To be continued…

Procesul prin care alcătuim o politică de securitate diferă de la organizaţie la organizaţie, dar există nişte elemente care sunt comune:

- dezvoltarea unei politici eficiente în ceea ce priveşte parolele şi autentificarea;
- dezvoltarea unei politici de privacy;
- definirea responsabilităţii userilor în ceea ce priveşte problemelor de securitate, incluzând aici politici vis-a-vis de obligaţia userilor de a raporta incidente ce vizează securitatea organizaţiei cât şi proceduri de know-how ale acestor obligaţii;
- un statement ce stabileşte responsabilităţile userilor atunci când accesează şi folosesc resursele reţelei;
- protecţia împotriva dezastrelor şi politica de recovery după astfel de evenimente. Aici este inclusă programarea backup-urilor şi stocarea acestora, planuri de fail-over pentru sistemele critice şi alte măsuri de acest gen.

Password policy management

Cu toţii ştim că o parolă şi un user, ambele corecte, înseamnă cheia înspre resursele unei reţele, sau înspre datele de pe un server sau orice asset protejat prin această metodă. Este normal să ne focusăm atenţia asupra implementării acestei metode de protecţie. Deşi iniţial poate să vi se pară ceva simplu, stabilirea unei politici strong vis-a-vis de parole nu e chiar piece of cake.

Astfel, pentru a ca să fie folositoare această metodă, trebuie să ne asigurăm că userii sunt astfel “educaţi” încât să aleagă nişte parole greu de spart dar în acelaşi timp uşor de ţinut minte, pentru că nu cred că am vrea să ne trezim cu tot felul de stickere cu parole lipite pe monitor sau pe frigiderul din bucătărie.

Parolarea este prima linie din apărarea concepută împotriva celor care vor încerca să pătrundă în reţeaua administrată de noi. Cele mai frecvente greşeli atunci când se setează parole este alegerea unor cuvinte simple care pot fi foarte uşor “răpuse” cu un atac de tip dictionary.

Pentru ca o parolă să fie sigură trebuie să ţine cont de următorii factori:

- complexitatea şi lungimea ei
- cine creează parola;
- forţarea schimbării parolei.

Complexitatea şi lungimea unei parole

Este foarte uşor să alegem o parolă proastă şi uşor de ghicit pentru “băieţii răi”.

O metodă folosită de către cei care obişnuiesc să spargă parole se numeşte brute force attack. În acest gen de atac, cracker-ul introduce manual sau mai probabil cu ajuotrul unui script sau software special combinaţii de caractere până când ghiceşte “cuvântul magic”. Aceste soft-uri folosesc dicţionare imense cu mii de cuvinte şi combinaţii de caractere. Folosind această metodă le este foarte uşor să ghicească o parolă cu o lungime mai mică decât una mai mare, deoarece este normal că astfel aplicaţia respectivă va fi nevoită să încerce mult mai multe combinaţii. Din acest motiv experţii în securitate recomandă ca parolele să aibă o lungime minimă obligatorie. (în cele mai întâlnite cazuri, această lungime este de minim 8 caractere).

“Creatorul” parolei

Adiminii de reţea poate ar fi tentaţi ca ei să fie cei ce stabilesc parolele, pentru ca mai apoi să le “livreze” către useri. Această metodă are avantajul asigurării că toate parolele îndeplinesc lungimea şi complexitatea cerută. Totuşi, această “strategie” are câteva mari minusuri (ce urât sună – “minus mare” ):

- încărcarea şi nebunia care ar fi pe capul adminilor care trebuie să organizeze şi să fie responsabili de schimbările parolelor, de “livrarea” lor către useri. Şi dacă mai presupunem şi că avem prezentă o regulă de schimbare a parolelor o dată la nu ştiu cât timp, este clar ce debandadă ar ieşi.
- userilor le-ar veni mult mai greu să memoreze o parolă aleasă de mine şi sigur ar fi tentaţi să noteze undeva pe peretele de lângă sau pe monitor parola. Şi asta în mod sigur nu e prea sigur
- dacă administratorii creează toate parolele, atunci ei ştiu parolele tuturor. Şi asta nu ştiu cât de mult le-ar conveni celorlalţi. Gândeşte-te cum s-ar simţi un manager dacă tu ai cunoaşte parola lui.

Aşadar cel mai bine ar fi ca userii să îşi aleagă parola singuri dar în limita unor parametri aleşi de noi (complexitate şi lungime). Astfel riscul ca ei să uite o parolă este mai mic şi nici nu riscăm să ne trezim cu vreun stick cu o parolă lipit pe cuptorul cu microunde.

Schimbarea parolei

Cea mai recomandată metodă ar fi ca userii să fie obligaţi să îşi schimbe parola la un interval fixat de către administratori sau după orice eveniment care ar putea să afecteze securitatea organizaţiei.
Sunt câteva ipoteze şi situaţii care trebuiesc evitate pe cât posibil atunci când vorbim despre schimbarea unei parole:

- parola nou setată să nu fie derivată din cea veche (de exemplu când schimbăm o parola de genul Zi4tR, nu ar fi o ok o parolă nouă Zi5tR);
- schimbarea de exemplu a parolei Fe4%Tr în Gr7%Hz, iar când este necesară din nou o schimbare a parolei să o schimbăm la loc în Fe4%Tr. Cred că aţi înţeles ideea, un fel de rollover permanent, ca o buclă între nişte parole favorite.
- setarea unei noi parole exact la fel cu cea veche. Nu râdeţi, oamenii încearcă aşa ceva.

Am ajuns la finalul acestui material. Haideţi să facem un mic rezumat al unor practici recomandbile atunci când vine vorba de setarea unei parole:

- lungimea minimă a unei parole să fie de 8 caractere;
- parolele nu ar trebui să fie cuvinte normale, “din dicţionar”;
- parolele ar trebui să fie un mixt între litere mari, mici, numere şi caractere speciale;
- parolele ar trebui să fie uşor de memorat pentru useri;
- este interzisă notarea parolelor pe orice suport extern sau intern necriptat;
- parolele trebuiesc schimbate periodic sau atunci când se suspectează o breşă de securitate;
- “schimbările doar de formă” ar trebui evitate prin policy-uri puternice enforsate de către admini.

Bun. Cam atât deocamdată. Vom continua data viitoare.

Începând de ieri, toată România urlă ca din gură de şarpe că vom fi ascultaţi, logaţi, înregistraţi, persecutaţi şi alte bazaconii.

Oameni buni, ce dracului vă stresaţi atâta nu înţeleg. Pe lângă faptul că noi suntem cam ultimii de prin lume care adoptăm astfel de legi, şi ele ar fi trebuit de mult puse în funcţiune mai este şi aspectul panicii nejustificate.

În primul rând în legea respectivă nu se spune nimic despre înregistrare de convorbiri. De unde până unde chestia cu invadarea spaţiului personal? Cităm:

Prezenta lege nu se aplică în ceea ce priveşte conţinutul comunicării sau informaţiile consultate în timpul utilizării unei reţele de comunicaţii electronice.

Ce se urmăreşte de fapt prin acest demers? Cam asta:

Furnizorii de reţele publice de comunicaţii şi furnizorii de servicii de comunicaţii electronice destinate publicului au obligaţia de a asigura, pe cheltuială proprie, crearea şi administrarea unei baze de date, în format electronic, în vederea reţinerii următoarelor categorii de date, în măsura în care sunt generate sau prelucrate de aceştia:
a) date necesare pentru urmărirea şi identificarea sursei unei comunicări;
b) date necesare pentru identificarea destinaţiei unei comunicări;
c) date necesare pentru a determina data, ora şi durata comunicării;
d) date necesare pentru identificarea tipului de comunicare;
e) date necesare pentru identificarea echipamentului de comunicaţie al utilizatorului sau a dispozitivelor ce servesc utilizatorului drept echipament;
f) date necesare pentru identificarea locaţiei echipamentului de comunicaţii mobile.
(2) Datele se reţin timp de 6 luni de la momentul efectuării comunicării.
(3) Cheltuielile legate de crearea şi administrarea bazei de date sunt deductibile fiscal.

Te uiţi la televizor şi rămâi consternat de ce drac debitează toată lumea…drepturi încălcate, viaţă privată “deconspirată”. Oamenilor nu înţeleg unde e problema dacă furnizorii voştri de telefonie stochează locaţia de unde iniţiaţi un apel telefonic, sau IP-ul înspre care trimiteţi un email. Pur şi simplu la amploarea luată de către infracţiunile virtuale este ceva logic şi normal să începem să ne pregătim pentru ce va fi cel mai greu de stăpânit în viitor, şi anume un anume nivel de siguranţă şi prevention measures în online. Lăsăm telefonia la o parte pentru că nu mă pricep.

România a fost, este şi sper ca nu va mai fi un stat în care se favorizează infractorul. De la poliţistul care trebuie mai întâi să tragă 87 de focuri de avertisment în plan vertical până să poată împuşca pe unu’ care se îndreaptă cu o sapă înspre el şi până la acest caz de “încălcare a spaţiului privat”, cred că avem o problemă. Să îl luăm pe Gheorghiţă care acum urlă că îi este încălcată intimitatea…într-o zi el primeşte un phishing mail, pică în plasă şi rămâne fără salariu pe luna în curs. Eu nu spun că din cauza acestei legi, toţi băieţii răi din online vor fi puşi la respect…dar este una dintre multele măsuri care se pot lua în direcţia asta.

Exact cum zice Zoso, scandalul cel mai mare îl fac cei care îşi simt ameninţate afacerile şi combinaţiile de tot felul. Altfel nu înţeleg de unde atâta stupoare dom’le.

Pentru că tot mă întreba Simona dacă am încredere în sistem vis-a-vis de posibilitatea apariţiei abuzurilor. Dacă stăm să ne gândim, aceste măsuri vor fi implementate de către ISP-uri, care sunt nişte chestii private, cu specialişti care nu fac parte din niciun sistem. Abuzurile apar peste tot şi sigur vor fi şi aici. Dar trebuie să punem în balanţă punctele pozitive versus cele negative şi să judecăm logic rezultatul implementării unei astfel de legi.

Sincer să fiu, mie nu mi se pare deloc ciudată ştirea asta şi nici nu consider că mi se îngrădeşte libertatea într-un fel prin aplicarea acestei legi.

Sursa fotografie: www.wikipedia.org.

În orice companie serioasă trebuie să existe definită o politică de securitate. Aceasta nu trebuie să fie foarte complexă dar trebuie să definească foarte clar ce resurse ale reţelei pot fi accesate şi de către cine.

Politica de securitate ar trebui să fie gândită astfel încât să preîntâmpine găurile de securitate interne şi să fie de folos administratorilor de sistem şi userilor dintr-o companie.

Prevenirea găurilor de securitate intenţionate interne

Conform statisticilor pe care le găsiţi pe orice gard, daunele cele mai mari (bani, productivitate etc.) sunt produse din cauza acestor “scăpări” interne. De ce sunt ele mai periculoase decât atacurile externe? Păi uite de asta:

- “insiderii” ştiu în general mai multe despre companie, reţea, planul clădirii, procedurile interne, astfel încât ei pot face rele fără a fi detectaţi;
- “atacatorii interni” au un anume acces (indiferent de privilegiile pe care le conferă nivelul acestui acces) la infrastructura reţelei şi le este mai uşor să descopere parole sau găuri în sistemul de securitate;
- “domesticii” ştiu ce fel de informaţii sunt “deţinute” de reţea, astfel că ştiu exact acţiunile care vor cauza prejudicii maxime.

Strategia

Atunci când avem de a face cu cazurile descrise mai sus, ar trebui să avem discutat şi pus în practică un plan defensiv la fel ca şi cel din cazul poliţiei, şi anume “gândirea dacă/atunci”. Ce presupune acest training pe care trebuie să îl urmăm? Să luăm în calcul absolut orice scenariu şi să ne punem întrebări de genul: “Dacă se întâmplă acest incident, atunci ce putem face astfel încât să fim feriţi de urmări?”. Răspunsurile la aceste întrebări vor forma baza politicii de securitate.

Această tactică presupune ca noi să fim în stare să oferim răspunsuri detaliate la întrebările de mai sus, răspunsuri specifice şi nu generale. Trebuie să înţelegem foarte bine motivaţia atacatorului şi aspectele tehnice ale atacului propriu zis. Este foarte important de asemenea ca ariile de responsabilitate în tot acest proces să fie foarte clar şi bine stabilite.

Desemnarea responsabilităţii securităţii reţelei

Creearea unui plan de securitate bun presupune un efort mare. Politica de securitate va afecta toţi angajaţii de la toate nivelurile şi ar trebui ca să solicităm feedback-uri de la şefii de departamente inclusiv descrieri ale fişelor de post pentru cei care au nevoie de acces în reţea. Un plan bun ar fi formarea unui team din care să facă parte oameni din arii diferite ale organizaţiei care să fie implicaţi în creearea şi verificarea planului şi politicilor de securitate.

Acest “security team” ar putea fi format din:

- administratorul reţelei şi unul sau mai mulţi tehnicieni de reţea;
- security administrator-ul pe site-ul respectiv;
- şefi pe diferite departamente din companie;
- reprezentanţi ai diverselor grupuri de useri care vor fi afectaţi de aplicarea politicii de securitate;
- un membru al departamentului judiciar specialist în legislaţia ce vizează tehnologia informaţiei;
- un membru al departamentului financiar.

Responsabilitatea pentru implementarea şi enforsarea planului şi politicilor de securitate

Politicile de securitate, de obicei, sunt implementate de către administratorii de reţea şi membrii echipei IT. Dar, în unele cazuri cum ar fi intruziunea la nivel fizic, sunt implicaţi membrii ai echipei de pază…”badigarzii” adică.

Planul de securitate ar trebui să includă proceduri pentru raportarea incidentelor de securitate, atât interne cât şi modalităţi de lucru atunci când este nevoie de intervenţia Poliţiei sau a diverselor instituţii din exterior.

Una dintre cele mai importante caracteristici ale unei politici de securitate bună este gradul de enforsare al acesteia. Ce vreau să spun? Dacă să zicem că o politică de securitate poate fi enforsată prin intermediul tool-urilor de securitate, atunci ea este preferată. În cazul unei politici care poate fi implementată doar prin observaţii, mustrări sau avertismente împotriva angajaţilor care nu o respectă, trebuie să existe un document oficial care să stabilească foarte clar ce înseamnă “violare” sau încălcare a acestei politici cât şi sancţiunile care rezultă automat prin ignorarea regulilor de securitate.

Va urma…

Acest tip de atac face cam acelaşi lucru ca şi DoS-ul, numai că se foloseşte pentru atingerea scopului său de către nişte computere intermediare, numite agenţi, pe care rulează nişte aplicaţii (zombies) care au fost instalate pe calculatoare anterior. Hacker-ul (v-am zis că nu îmi place cuvântul ăsta, nu?) activează remote aceste “progrămele” în aşa fel încât toate aceste sisteme intermediare să lanseze atacul DDoS în acelaşi timp. Din cauză că atacul provine de la mai multe calculatoare care pot să fie răspândite prin toată lumea, originea reală a pericolului este foarte greu de găsit. Vă daţi seama aşadar că DDoS-ul este un pericol dublu. Pe lângă posibilitatea ca reţeaua ta să fie pusă în cap cu tot cu servere, mai există şi “opţiunea” ca sistemele tale să fie folosite pe post de agenţi intermediari.

Atacul DNS DoS

Acest tip de atac exploatează diferenţele de mărime între DNS querry(interogarea name server-ului) şi DNS response (răspunsul name server-ului). Atacatorul foloseşte serverele de DNS ca şi amplificatoare pentru a mări traficul de DNS. Cum funcţionează chestia asta? Persoana rea işi alege victima şi trimite în numele ei (IP spoofing) DNS querries către diferite servere de DNS. Servere de DNS răspund cu pachete mult mai mari decât cele din querries către ţintă, până când bandwidth-ul acesteia pur şi simplu devine 0. Rezulta un prea frumos atac DoS, incapacitatea targetului de a mai funcţiona la parametri normali.

Atacul SYN şi LAND

Atacurile de tip SYN (synchronization request) exploatează handshake-ul three-way al protocolului de transport TCP, procesul prin care se stabilişte o sesiune de comunicare între două computere. Deoarece TCP-ul este un protocol de transport connection-oriented, o sesiune sau un link de comunicare one-to-one, trebuie stabilite între cele două sisteme, înainte ca ele să poată comunica între ele. Ce este fapt acest handshake şi ce presupune el? Să zicem că un computer iniţiază comunicarea cu un server. Handshake-ul dintre cele două conţine următorii paşi:

1. Clientul trimite un segment SYN.
2. Serverul trimite înapoi un mesaj ACK şi un SYN, prin încare spune clientului că a primit SYN-ul lui, deasemena trimiţînd şi el la rândul lui SYN-ul propriu.
3. Clientul trimite şi el un ACK prin care îl anunţă pe server că a primit SYN-ul lui. După ce maşinile au înţeles request-urile reciproce SYN, handshake-ul este complet şi un link one-to-one între cele două este stabilit.

Ok. Acum că am explicat cât de cât ce înseamnă three-way handshake, să vorbim despre atacul ce exploatează acest proces. Să zicem că un atacator trimite un SYN înspre un server cu un IP sursă spoofed. Normal că server-ul va trimite înspre client un ACK/SYN. Dar cum IP-ul sursă nu este bun, serverul aşteaptă mult şi bine după ACK-ul clientului. El nu va veni. Serverul va pune atunci ACK/SYN-ul trimis către client într-un queue. Şi uite unde era problema. Acest queue poate stoca un număr limitat de mesaje. Când este full, toate SYN request-urile care vor urma vor fi ignorate. Voila! Atac reuşit! Serverul va ignora orice request venit din partea clienţilor legitimi.

Atacul LAND derivă din cel descris mai sus, cu un mic amendament. În acest caz, atacatorul în loc să trimită SYN-uri cu adrese IP care nu există, trimite pachete SYN cu adresa IP a clientului-target care este victima în acest caz. Nice, nu?

Atacul Ping of Death

Mai este cunoscut şi sub numele de large packet ping. Se creează un pachet IP mai mare decât valoarea admisă de specificaţiile protocolului IP, adică 65 536 bytes. Sistemul ţintă “se crăşuie” sau îşi dă un reboot frumos.

Atacul Teardrop

Acest atac are aceleaşi rezultate ca şi cel de sus, dar metoda este alta. Programul teardrop crează fragmente IP care fac parte dintr-un pachet IP. Problema este că aceste fragmente au nişte offset fields (rolul lor este de a indica porţiunea în bytes a acestor fragmente). De exemplu, câmpurile offset din două fragmente normale sunt ceva de genul:

fragment1: offset 100 – 300
fragment2: offset 301 – 600

Şi pentru că tot ziceam de problemă…ea apare atunci când aceste offset-uri se suprapun. Exemplu:

fragment1: offset 100 – 300
fragment2: offset 200 – 400

Ce se întâmplă când computerul ţintă încearcă să reasambleze aceste fragmente în pachetul IP original? Crash, freeze sau reboot.

Hai că deja ne-am lungit cam mult. Vom continua în următorul material.

Vă salut!

1. Insiderii rău intenţionaţi – angajaţi sau foşti angajaţi care sunt puşi pe făcut rele.
2. Malware – software-ul maliţios, adică viruşi, troieni, worms. Aici intră şi cei mai mari distribuitori de malware, adică web site-urile care hostează astfel de aplicaţii.
3. Vulnerabilităţile dintr-un sistem hardware sau o aplicaţie software.
4. Social engineering – am vorbit despre aceste tipuri de atacuri în ultimul material din categoria IT Security.
5. Greşeli ale angajaţilor – neprofesionalism sau training deficitar.
6. Bugete reduse – echipamentele şi aplicaţiile software care să ne ferească de breşe în securitate vor fi achiziţionate în conformitate cu “criza” asta.
7. Specialiştii care lucrează remote – folosirea de sisteme care nu sunt la fel de “puse la punct” ca cele de pe care se poate lucra on-site.
8. Providerii intermediari de servicii IT – în goana după servicii IT cât mai ieftine, companiile sunt în pericol de a încheia contracte cu provideri care nu sunt chiar în regulă.
9. Folosirea software-ului “dat jos” prin P2P – deseori userii îşi downloadează pe desktopurile aferente tot felul de progrămele care ulterior pot fi fatale.

Mai multe despre acest comunicat de presă puteţi citi pe site-ul lor.

La categoria viruşilor este inclus orice program care este instalat pe sistemul unui user fără ca acesta să îşi dea acordul sau să ştie, şi care în urma executării sale are acţiuni nefaste asupra sistemului informatic, unele dintre ele fiind dezastruoase, iar altele limitîndu-se doar la încetinirea calculatorului.

Viruşii se pot replica singuri, infectînd alte computere “scriindu-se singuri” pe un CD, USB stick etc. care este introdus în “victimă” sau replicîndu-se prin reţea. De obicei sunt distribuiţi ca şi attachment-uri la emailuri. Dar posibilităţile de răspândire sunt diversificate. Ei se activează ori imediat ori o dată cu pornirea unui anumit proces într-un sistem.

Viruşii pot avea ca rezultat o grămadă de chestii. De la popup-uri cu mesajul “Salut!” până la ştergerea întregului hard disk.

Trecem mai departe la viermi sau worms. Chestiile astea sunt nişte programe care pot trece de la un calculator la altul prin reţea. Câteodată o parte dintr-un worm rulează pe un sistem, iar cealaltă pe altul. Distincţia între viruşi şi worms a devenit cu timpul neclară. Iniţial termenul “worm” era folosit pentru a descrie o aplicaţie ce atacă o reţea, iar virusul o aplicaţie ce afectează doar un sistem. Principalul scop al unui worm este acela de a se replica. La începuturi, programele de tip worm erau folosite în scopuri pozitive. De exemplu, se uzitau în joburile de management al reţelei, dar abilitatea lor de a se multiplica foarte repede a fost exploatată de către hackeri care au creat ceea ce cunoaştem azi sub numele de worms.

Clasificarea tipurilor de atacuri

Când spunem tip de atac ne referim la modul în care un hacker reuşeşte să preia controlul asupra unui sistem şi ce poate el să facă după ce a reuşit penetrarea (nu vă gândiţi la prostii ). Cele mai des întâlnite tipuri de atacuri sunt următoarele:

- atacuri social engineering;
- atacuri DoS;
- scanări şi spoofing;
- source routing şi alte exploituri de protocoale;
- exploituri de software;
- troieni, viruşi şi worms.

Să începem să vorbim despre atacurile de tip social engineering.

Spre deosebire de celelalte tipuri de atacuri, acesta nu implică nicio manipulare tehnologică a hardware-ului unui sistem sau a vulnerabilităţilor software ale acestuia şi nu necesită skill-uri tehnice foarte dezvoltate. În schimb, social engineering aduce în prim plan omul şi greşelile lui. Atacatorul trebuie doar să posede “people skills”. Ei câştigă încrederea userilor (sau şi mai bine, a adminilor) şi obţin credenţialele cu ajutorul cărora se pot loga pe sisteme. În multe cazuri, această metodă este cea mai uşoară. Ok…acum că am aflat cam ce înseamnă social engineering, să aflăm şi cum putem să ne protejăm.

Măsurile de protecţie împotriva acestui tip de atac sunt cel puţin “challenging”. În primul rând deschizi ochii foarte bine atunci când faci angajări. Apoi îţi “educi” personalul IT. În ce sens? Niciodată să nu divulge parole, username-uri sau informaţii legate de sistemele administrate sau reţea. Şi bineînţeles să le explici fenomenul de social engineering. Avînd în vedere faptul că acest tip de atac are la bază încrederea prea mare în persoanele nepotrivite, naivitatea, frica sau alte “sentimente” de genul, principala metodă de apărare este educarea personalului şi nu implementarea de soluţii tehnice.

Atacuri Denial-of-Service (DoS)

Anul 2000, luna februarie. O serie de atacuri DoS au pus la pământ web site-uri ca yahoo.com sau buy.com. Vă daţi seama de forţa acestor atacuri, dacă au putut să doboare astfel de “mamuţi”? Atacurile DoS sunt printre cele mai “populare” printre hackeri atunci când este vizată întreruperea serviciilor unei reţele sau ale unui server.

Scopul unui atac DoS este de a genera o cantitate foarte mare de trafic care pune în cap servere, routere sau alte device-uri, astfel ele nemaifiind capabile să funcţioneze normal.

Va urma…

TCP/IP suportă rutarea-sursă (sau source routing-ul), adică permite senderului unor pachete rutarea cestora prin puncte specifice din reţea. Sunt două tipuri de source-routing:

- strict source routing, atunci când expeditorul specifică exact ruta care terbuie urmată de către pachetele trimise.
- loose source record route (LSRR) – senderul specifică exact hopurile (routerele) prin care pachetele trebuie să treacă.

Source route este o opţiune în header care permite celui care trimite un pachet “să sară” peste rutele implementate pe router. Acest feature este folosit de către adminii de network pentru maparea unei reţele sau pentru troubleshooting în cazul unei probleme de rutare sau de comunicaţie. De asemena poate fi folosit şi pentru enforce-ul unei rute care ne asigură o performanţă mai mare. Din păcate însă este folosit şi de către cei care nu sunt animaţi de intenţii bune, adică de aşa zişii hackeri. În ce fel? Păi de exemplu pentru a accesa adrese private interne rutînd pachetele printr-un sistem care e legat şi în Internet şi în partea locală. Bineînţeles source routing-ul poate fi oprit pe majoritatea routerelor.

Toate atacurile despre care am vorbit până acum implică anumite capabilităţi sau puncte slabe ale protocoalelor TCP/IP. Dar băieţii răi pot exploata de asemenea şi protocoale ca HTTP, DNS, sau CGI (Common Gateway Interface).

Exploituri de sistem sau software

Exploiturile de sistem sau software permit hackerilor să profite de slăbiciunile unui sistem de operare sau ale unei aplicaţii. De obicei le zicem bug-uri. La fel ca şi exploiturile de protocoale, ele sunt folosite pentru a penetra computere sau reţele sau pentru a crashui sisteme în aşa fel încât ele să nu mai livreze serviciile pe care ar fi trebuit să le asigure.

“Bug-urile” des întâlnite pot fi împărţite în categoriile următoare:
- buffer overflows: multe găuri de securitate se datorează acestor probleme care apar atunci când numărul de bytes sau caractere primite ca şi input depăşesc numărul maxim permis de către programatorii care au scris aplicaţia respectivă.
- unexpected imput: acest bug cred că este destul de intuitiv. Coderii care au scris aplicaţia poate nu au prevăzut ce se întâmplă atunci softul respectiv primeşte un input invalid. Un astfel de input poate dărâma un sistem sau poate deschide o cale de a pătrunde în el.
- system confguration bugs: acestea nu sunt chiar bug-uri.Sunt modalităţi greşite de a configura un sistem, astfel încât acesta să devină vulnerabil la tot felul de atacuri.

Softuri des uzitate, cum ar fi Microsoft’s Internet Information Server (IIS), Internet Explorer (MSIE) sau Outlook Express (MSOE), sunt nişte ţinte preferate ale hackerilor care sunt în căutare de vulnerabilităţi care pot fi exploatate. De aceea majoritatea producătorilor de sisteme de operare şi software scot pe piaţă periodic patch-uri de securitate care remediază bug-urile care sunt descoperite. Este foarte important ca administratorii de reţea să fie la curent cu toate aceste patch-uri şi service packs, astfel încât sistemele administrate de ei să fie cât mai bine puse la punct.

Troieni (trojans), viruşi şi viermi

Nu vă speriaţi, nu vom vorbi despre tot felul de chestii ce populează insectarele sau laboaratoarele patologice.

Cei care vă accesează sistemele fără autorizare din exterior sau interior pot “planta” diferite tipuri de programe care sunt gata să provoace “răni” adânci reţelei voastre.
Sunt trei mari categorii de cod maliţios:

-troieni (trojans);
-viruşi;
-viermi (worms);

Vom vorbi întâi despre troieni. De obicei sunt aplicaţii care par a fi folositoare, dar de fapt ele dezvoltă nişte funcţii de care userul nu prea are habar.  După ce un troian este instalat într-un sistem, hackerul va exploata găurile de securitate create de trojan horse astfel încât să fie capabil de a prelua controlul aupra ceastui asset. Dar asta nu este tot. Un troian mai poate şterge sau modifica fişiere, transmite fişiere over the network înspre intruderul respectiv sau instala tot felul de progrămele şi viruşi.
De obicei, troianul poate acţiona asupra computerului exact cu aceleaşi drepturi ale userului, mă refer la permisiuni şi privilegii. Aşadar troianul este cu atât mai periculos cu cât userul care l-a instalat are drepturi administrative asupra sistemului.
Trojan horses pot fi “costumaţi” foarte bine în tot felul de aplicaţii nevinovate, utilitare, screensavere etc. Ei mai pot fi instalaţi rulînd un script de pe un anume web site. (JavaScript, Java applet, Active-X control etc.). Accesarea sitului respectiv poate iniţia pur şi simplu instalarea troainului respectiv dacă web browser-ul tău este configurat astfel încât să permită rularea scriptului în mod automat.

Ne oprim aici deocamdată. Va urma.

Vom continua în acest material seria în care vorbim despre IT security.

V-aţi întrebat vreodată care sunt motivaţiile unui individ care îşi zice hacker de a face ceea ce face? Sunt prea multe motive ca să le disecăm pe toate aici. Dar ce putem face este să le încadrăm în nişte categorii mai generale. Aşadar avem aşa:

-distracţie, fun, prostie: sunt cei care fac “prostii” pe net doar ca să se distreze sau să dovedească lor sau altora că sunt posesorii unor skill-uri mai speciale;

- bani: sunt cei care fac bani din această “meserie”. Aici sunt incluse şi activităţile de spionaj industrial sau corporatist, cum vreţi voi să îi ziceţi;

- răzbunare: clienţi nemulţumiţi, foşti angajaţi, competitori sau oameni care au ceva împotriva cuiva dintr-o companie.

Aş continua cu descrierea fiecărei categorii în parte, dar nu cred că are rost. Este destul de intuitiv pentru toată lumea presupun.

Un plan de securitate strong este unul conceput pe mai multe layere sau straturi, adică implică mai multe soluţii de securitate. În funcţie de fiecare organizaţie sau companie soluţiile diferă. Dar per total soluţiile de securizare se împart în două categorii: soluţii hardware şi soluţii software.

Ca să fim pregătiţi pentru ce va urma haideţi să enumerăm unele dintre cele mai cunoscute şi populare porturi TCP/UDP aşa cum sunt ele documentate în RFC 1700. Asignarea acestor porturi este făcută de către IANA (Internet Assigned Numbers Authority). În general, un serviciu foloseşte acelaşi număr de port UDP cât şi TCP…dar bineînţeles că există şi excepţii. Iniţial porturile erau curpinse în intervalul 0-255, dar mai târziu acest interval s-a extins de la 0 la 1023. Aşadar urmează o listă cu cele mai cunoscute porturi:

TCP/UDP port 20: FTP(data)
TCP/UDP port 21: FTP(control)
TCP/UDP port 23: Telnet
TCP/UDP port 25: SMTP
TCP/UDP port 53: DNS
TCP/UDP port 67: BOOTP server
TCP/UDP port 68: BOOTP client
TCP/UDP port 69: TFTP
TCP/UDP port 80: HTTP
TCP/UDP port 88: Kerberos
TCP/UDP port 110: POP3
TCP/UDP port 119: NNTP
TCP/UDP port 137: NetBIOS serviciul de nume
TCP/UDP port 138: NetBIOS datagram
TCP/UDP port 139: NetBIOS session
TCP/UDP port 194: IRC
TCP/UDP port 220: IMAPv3
TCP/UDP port 389: LDAP

Porturile din intervalul 1024-64535 sunt denumite registered ports şi nu sunt controlate de către IANA, ele fiind folosite de către procese şi aplicaţii. Bineînţeles, asta nu înseamnă că aceste porturi nu sunt ţinte ale atacurilor. De exemplu, portul 1433 folosit de SQL poate reprezenta interes pentru hackeri.

În total avem 65535 porturi TCP (acelaşi număr şi de porturi UDP). Ele sunt folosite de diverse aplicaţii şi servicii. Dacă un port este deschis, el răspunde de fiecare dată când un computer încearcă să-l acceseze prin reţea. Aplicaţiile ce scanează porturi, de tip Nmap, sunt folosite pentru a determina care porturi sunt deschise pe un sistem. Programul trimite pachete pentru o grămadă de protocoale, şi analizînd apoi ce răspunsuri primeşte şi ce nu, creează o listă cu porturile ce “ascultă” (listening ports) sau sunt deschise pentru sistemul ce este scanat.

Scanarea de porturi nu dăunează reţelei sau sistemului tău, dar asigură hackerului informaţii care pot fi folosite pentru atacuri. Potenţialii atacatori folosesc aceste scanere exact cum un hoţ intră într-o parcare şi ia fiecare maşină la rând, încercând fiecare uşă pentru a le găsi pe cele deschise. Aici puteţi găsi o listă de porturi care ar trebui închise, filtrate sau monitorizate din cauză că ele sunt folosite des de către programe tip Trojan sau programe de intruziune.

Atacul IP Half-Scan

Half scans (denumite şi half-open scans scanări de tip FIN) încearcă să evite depistarea lor trimiţînd doar pachetele iniţiale sau finale în locul iniţierii unei conexiuni complete. O scanare tip half porneşte procesul SYN/ACK cu un computer dar nu îl duce până la bun sfârşit. Software-ul care îndeplineşte acest gen de scanare ( gen Jakal) se mai cheamă şi stealth scanner. Multe detectoare de scanere eşuează în depistarea scanărilor de tip half.

IP Spoofing

Spoofing-ul de IP-uri implică schimbarea header-ului unui pachet astfel încât IP-ul real este ascuns în spatele unuia fals. Bineînţeles, cel fals este un trusted IP , altfel IP-ul real putînd fi filtrat de către un router sau firewall. Tehnologiile de firewall mai moderne, cum ar fi Check Point, oferă protecţie la spoofing. Spoofing-ul este folosit ori de câte ori este nevoie ca un computer să se “costumeze” în altul,şi în plus este deseori folosit în combinaţie cu alte tipuri de atacuri gen SYN flood attack, ping of death, teardrop şi altele.Dar nu vă speriaţi..cu un router “curajos” sau cu ajutorul unui firewall capabil se poate contracara destul de uşor spoofing-ul.

01:44 AM… şi este timpul ca subsemnatul să meargă la somn. Vom vontinua data viitoare.

Salutări!