Злонамерени хакерски атаки

5 фази на хакинг

Все повече мой познати споделят, че са обект на хакерски атаки! В публичното пространство се заговори, че опасността от такива атаки става все по-голяма, а финансовите загуби все повече. А ние потребителите, знаем ли какво е хакерска атака и какви са различните видове злонамерени хакерски атаки?

Какво всъщност представляват една хакерска атка?

При тази атака се извършва разузнаване, сканиране, наблюдение, пробив, нарушаване и неправомерно достъпване до отделни пакети с информация, множества от пакети или до абсолютно целия TCP трафик. Това дава възможност да изтече конфиденциална информация, да се прекъсне информационния поток или да се използват изчислителните ресурси на хакната мрежа. Щетите са значителни, особено ако пробива не е бил открит навреме.

Класификация на злонамерените хакерските атаки, според начина на достъпване

1. Атака чрез десинхронизация

Атаките от този вид се основат на обстоятелството, че TCP връзката изисква синхронизация при изпращане и получаване на пакетите. Ако поради някаква причина приемащият компютър получи пакет, чийто номер не съвпада с очаквания, той ще го отхвърли и ще продължи да чака пакета с правилния номер. Това дава възможност на хакера да създаде ситуация при която правилният номер не може да се получи и двете страни на връзката се десинхронизират. През това време хакерският компютър, който е свързан към мрежата и през който преминават действителните пакети, започва да изпраща заместващи пакети в двете посоки със съответно променено съдържание. Подправените пакети позволят на хакерския компютър да се маскира като сървър, като клиент или като двете в зависимост от сценария на атаката. Хакерският компютър може да филтрира информационния поток, като отстранява онова, което се счита за нежелано, или да прибавя команди и заявки за изпълнение, които нямат нищо общо с обичайния режим на работа на атакувания компютър. Съществуват около десетина разновидности на този вид атака, които използват различни вторични средства, като например свръхколичество от пакети, невалидни номера, невалидно съдържание и др.

2. Атака чрез маскираност

Тук се използва идеята хакерът да се маскира, като клиент и от негово име (използвайки клиентския IP адрес) да започне или да продължи вече започната сесия със сървъра, чрез изпращане на синхронизиращи пакети. По-нататък се осъществява поредица от действия, които имат за цел запазване на това състояние, при което сървърът е в неведение относно маскирания клиент и въпреки, че в повечето случаи хакерският компютър не може да получава данни от сървъра, той може да изпраща данни към него, а това е сериозна заплаха. В този случай се използва контролиращата процедура на проверения веднъж клиентски компютър и делегиране след това на пълно доверие, без да се извършва периодична допълнителна проверка по време на вече започната сесия. Този модел е характерен за операционни системи от фамилията Unix и въпреки, че има определени недостатъци поради исторически причини все още има сериозно присъствие.

3. Атака чрез маршрут

Основната идея на този вид атака е обичайните точки в маршрута на пакетите, между два доверени IP адреса да се допълнят с една или повече допълнителни точки, които всъщност представляват хакерския компютър. Това незначително удължаване на пътя на пакетите обикновено не може да се открие и без да се нарушава общата процедура по сигурността се създава добра възможност за злонамереното мислене да реализира свои сценарии за наблюдение, анализиране и копиране на пакетите от TCP трафика. Съществуват варианти на тази атака, изчакващи подходяща ситуация, при която клиентският компютър е изключен от мрежата; тогава хакерския компютър се представя за клиентски с всичките последици от това. Съществуващите правила в някои операционни системи приемат пакети с маршрута, по който трябва да преминат, и с отворени възможности за заобикаляне и отклоняване от първоначално планирания маршрут създават сериозно удобство за хакерите, които използват този вид атаки.

4. Атака чрез хипервръзка

Този вид атака се състои в създаване на условия, при които става възможно определена хипервръзка, сочеща към някакъв обект на истински сайт, да бъде частично или изцяло редактирана, в резултат на което хипервръзката започва да сочи или променен обект на истинския сайт или друг хакерски сайт. В зависимост от сценария за атака подмяната на обект или на сайт е съпроводена с допълнителни действия, които позволяват да се наблюдава или манипулира съдържание на определени информационни потоци в определени информационни точки. Със средствата на тази атака е възможно да се проведат успешни действия на хакерите срещу определени протоколи за автентичност на сървърите (например SSL), използвани за създаване на защитени WEB браузъри. Като резултат от това е възможно потребителят да изпрати лична информация през заблудения браузър към фалшивия сървър, който е под хакерски контрол.

5. Атака чрез Web

Основната идея при този вид атака е създаване на напълно дублирано копие на определен WEB сайт, при което върху фалшивото копие се осъществява пълен хакерски контрол. Обикновено се фалшифицират популярни и широко известни сайтове на финансови институции или други изискващи лични данни, тъй като това гарантира висок потребителски интерес и съответно високи възможности за проява на злонамереното мислене. По такъв начин се създава възможност за наблюдение, анализ и манипулиране на всякаква лична информация от и към фалшивия сървър. При съответната подготовка от страна на хакерите и при недостатъчната компетентност от страна на потребителите тази подмяна е възможна даже и в случаите, когато се използват специализирани сертификати, гарантиращи защитена връзка. Особено значение имат атаките от този вид, когато става въпрос за приложения, свързани с електронната търговия, с електронните разплащания, с електронното банкиране и т.н.

Видове хакерски атаки

  • Audit Trail – използване на достъпна информация. Възможностите за атака се основават на предварителното нелегитимно снабдяване със съответните логове, регистри, документи, записи, които показват начина на функциониране и защита на дадена системa.
  • Тraffic Analysis – използване на достъпна информация. Чрез изследване на обема и вътрешната структура на входно-изходния трафик в определена компютърна система или мрежа се извлича конкретната необходима за следваща атака информация.
  • Buffer Overflow – отказа от обслужване. При тази атака хакерите умишлено причиняват препълване на определени буфери с цел довеждане на компютърната система или мрежа до неработоспособност, получаване на нерегламентиран достъп или изпълнение на злонамерен код.
  • CGI (Common Gateway Interface) уязвимост. В този случай се използват специфични уязвимости в програмния интерфейс. Основната цел е получаване на контрол върху управлението на паметта и останалите ресурси на системата.
  • Hijacking – уязвимост. Обикновено действията на атакуващите се основават на открит сериозен пробив в сигурността на системата. Извършва се завземане на управлението на определено приложение или група приложения в рамките на съответното потребителско име.
  • Packet Attacks. Съвкупност от техники за изпращане към атакуваната машина или мрежа на специални пакети (прекалено големи, фрагментирани, невалидни и т.н.) с цел предизвикване на неработоспособност.
  • Атакуващо съдържание (CONTENT). Съвкупност от разнообразни техники, които се основават на съдържание, включващо разрушителни офис макроси, изпълними троянски коне и приложения, работещи с ActiveX и Java.
  • Data Driven. Тук се използват данни, скрити или капсулирани по такъв начин, че да преодолеят защитната стена, след което да се обединят и изпълнят своята злонамерена мисия.
  • HTCrackPasswd – разбиване на пароли. В рамките на съществуващата система за защита на сайтовете чрез специално подбрани пароли тази атака се извършва сравнително рядко. Необходима е сериозна подготовка по компрометиране на паролите. При евентуален успех с паролите, атаката може да просъществува сравнително дълго време, поради натрупаните рефлекси за безпроблемна сигурност.
  • PHYSICAL PERIMETER PENETRATION. Тази атака предполага преодоляване на предварително изградена физическа защита. Най-често основната цел е поставяне на съответни анализиращи устройства в непосредствена близост до устройства и кабели. По-рядко се стига до тяхната непосредствена манипулация.
  • Социално инженерство; (SOCIAL ENGINEERING). Това е атаката с най-високата вероятност за успех по някои статистики. Причината за това е, че чрез поредица от „човешки”, а не „машинно” ориентирани действия, атакуващите имат възможност да открият необходимата им информация.
  • Wireless Intercepts. При тези атаки се използват излъчванията от екраните (EMI/RFI) и с помощта на специална (не много скъпа) техника се визуализира всичко, изобразено на екраните при това на разстояния от няколко стотици метра. В определени случаи е възможен подобен ефект и чрез „наблюдение” на електромагнитните сигнали в проводниците.
  • Зомбирани компютри; (ZOMBIE COMPUTERS). Изцяло контролиран от хакер компютър. В този случай атакуващият може да създаде, например, две супер-зомбита, които от своя страна контролират напълно други осем зомбита и т.н. По такъв начин голям брой компютри синхронно атакуват компютъра мишена, докато постигнат отказ от обслужване.