Технологични уязвимости в Интернет

cyber Bulgaria

Хакването и заразяването с всякакъв вид зловреден код не са новост, но ако в зората на Интернет атаките са били извършвани от млади ентусиасти с цел да добият популярност, то съвременните сложни пробиви се извършват с користна цел – придобиване на финансови облаги, кражба на данни, промишлен шпионаж, социално инженерство или DDOS атаки.

Най-модерната тенденция в областта е изграждането на ботнет мрежи. Целта е те да се използват за масови DDOS атаки към определени бизнеси, от друга страна те се използват за динамичен фишинг или за масово изпращане на шпионски софтуер. Ботнет мрежите са и оръдия използвани от организирани престъпни или терористични групи с цел придобиване на финансови облаги.

Социалните мрежи са друг съвременен феномен благодарение на които хората споделя все повече лична информация с приятелите си. Проблемът е, че там дебнат и различни зложелатели, педофили и престъпници, които залагат капани в Интернет с цел последващо извършване на престъпление в реалния живот.

Компютърните системи и мрежи са техническата база на информационните системи. Компютърната и мрежова сигурност е свойство на компютърните системи и мрежи да противодействат на опитите за несанкциониран достъп до обработваната и съхраняваната информация, водещи до деструктивни действия и получаване на лъжлива информация. Тя се гради върху следните концепции:

  • идентификация – потребителите използват компютърните приложения чрез потребителски идентификатор (ID);
  • автентификация – доказване на самоличността на потребителя;
  • оторизация – присвояване на права за достъп на всеки потребител (например за запис, четене или изпълнение на файл);
  • контрол на достъпа – присвояване на права за достъп до мрежови ресурси и предпазване на ресурсите чрез лимитиран достъп (кой, как, кога и при какви условия има достъп);
  • конфиденционалност – защита на данните (чрез контрол на достъпа и криптиране);
  • цялостност на данните (интегритет) – откриване на несанкционирана модификация на данните, обикновено при предаване на съобщението;
  • доказване на източника на данните;
  • управление на отказ от услуги (DoS) – предотвратяване препълването на лентата на пропускане на канала или блокирането на достъпа;

Има три главни аспекта на сигурността на компютърните системи и мрежи – уязвими места, заплахи и противодействие.

Уязвимостта е слабост в компютърната информационна система и в мерките за нейната сигурност, която може да доведе до компрометиране сигурността на системата. Под уязвимо място се разбира всяка точка на компютърните и комуникационните системи и на системата за тяхната защита, където те са слабо защитени срещу заплахи и атаки, свързани с тяхната сигурност. Уязвимите места в една система зависят от конкретната й реализация.

В резултат на успешна атака се постига:

  • изтичане на информация;
  • отказ от обслужване (блокировка);
  • външна злоупотреба с ресурсите на фирмата, кражба на услуги;
  • записване и използване на мрежовия трафик от външни лица;
  • разрушение на информация;
  • измама с данни;
  • инсталиране на вредни програми;
  • индиректна (непряка) злоупотреба (използване на други системи за създаване на вредни програми);
  • разбиване на пароли;
  • влошено администриране.

Средствата за атака могат да се разделят в следните категории:

  • потребителски команди – въвеждани от командната линия или посредством графичен потребителски интерфейс;
  • низове или програми – стартирани от атакуващия и използващи слабите страни на системите;
  • анонимни агенти – инсталират се програми или фрагменти от тях, които работят в последствие независимо от потребителя и използват слабите страни;
  • средства за разработване – софтуерни пакети съдържащи скриптове, програми или анонимни агенти;
  • разпределени средства – средствата за атака се разпределят върху различни компютри;
  • извличане на данни – когато се подслушва магнитното излъчване от компютърните системи и мрежи чрез устройства, външни за мрежите.

Формите на организиране на атаките са много разнообразни, но като цяло те се включват в една от следните категории:

  • отдалечено проникване в компютърна система или мрежа, чрез програми, които получават неоторизиран достъп до друг компютър през интернет;
  • отдалечено блокиране на компютърна система или мрежа чрез програми, които през интернет блокират работата на отдалечен компютър или на отделна негова програма;
  • локално проникване в компютър чрез програми, които получават неоторизиран достъп до компютъра, на който работят;
  • локално блокиране на компютър чрез програми, които блокират работата на компютъра, на който работят;
  • чрез мрежови скенери – програми, които събират информация за мрежата за да определят кои от компютрите и програмите работещи на тях, са потенциално уязвими за атаки;
  • чрез скенери за слабите страни – програми, които проверяват големи групи от компютри в търсене на слаби места към конкретен вид атаки;
  • чрез разбивачки на пароли – програми, които откриват лесно разгадаеми пароли в зашифрирани файлове с пароли;
  • чрез мрежови анализатори (снифери) – програми, прослушващи мрежовия трафик и с възможност за автоматично отделяна на имена на потребители, пароли и номера на кредитни карти от трафика;
  • модификация на предаваните данни или подмяна на информацията;
  • подмяна на доверения обект с лъжлив обект.

Уязвимости в операционните системи

Някои злонамерени софтуери се разпространяват като се ескплоатират уязвимостите на операционните системи или на приложен софтуер. Тези уязвимости са проектирани или програмни грешки в софтуера, които могат да позволят на по-умен програмист да надхитри дефектния софтуер.

Друг начин, по който злонамереният софтуер се разпространява е като надхитря компютъра,т.е. потребител да пусне софтуерна програма, която не би искал. Да се надхитри потребителят е доста мощен начин да овладееш компютър, тъй като нападателите не трябва да зависят от намирането на сериозна слабост в преобладаващия софтуер. Особено трудно е да се защити компютър, споделян от няколко потребителя или компютър на публично място като библиотека или интернет кафе. Ако един потребител е подмамен да работи със злонамерения софтуер, всеки следващ потребител, без значение колко е предпазлив, би могъл да е изложен на риск. Злонамерен софтуер, написан от опитен програмист обикновено не оставя видими признаци за неговото присъствие.

По тази причина, рискът всеки един компютър да е заразен със злонамерен софтуер е доста висок, освен ако компютърни специалисти по сигурността не вложат съществени усилия в системата за сигурност. С времето всяка машина, на която ъпдейтите за сигурност не се инсталират навреме, е фактически гарантирано, че ще бъде заразена. Вероятно злонамереният софтуер ще работи по проблема за получаване на номера на кредитни карти, получаване на паролите на акаунти в eBay, получаване на пароли за онлайн банкиране, изпращане на спам или създаване на опровержения от обслужващи атаки повече, отколкото за шпиониране на определени личности или организации.

Уязвимости поради софтуерни дефекти са трудни за смекчаване. Инсталирането на софтуерни ъпдейти редовно и навреме може да убеди нападател, че поне дефектите, за които знаем са поправени.

Неинсталирането (или пускането) на „всеки” софтуер от незнаен произход е важна предпазна мярка за избягване на риска от инсталиране на злонамерен софтуер. Сегашните операционни системи се опитват да предупредят потребителите за пуснат софтуер от непознат източник. Ограничение на броя на потребителите на компютър, съдържащ информация с високо ниво на поверителност също може да помогне. Преди всичко някои злонамерени софтуери са насочени към децата, включвайки зложелателен код, който се изтегля заедно с видео игри.

Появата на огромно мнозинство от червеи и други успешни кибератаки става възможна поради уязвимостите в малък брой често използвани услуги на операционната система. Нападателите се възползват от възможностите. Те поемат по най-лесния и удобен път и използват известните пропуски чрез най-ефективните и широко разпространени средства за атака. Те залагат на организации, които не взимат мерки за отстраняване на проблемите и често атакуват безразборно, като сканират Интернет за всякакви уязвими системи. Лесното разпространение на червеи като Blaster, Slammer и Code Red, довело до разрушителни последици, може да бъде проследено директно до злонамереното използване на незакърпени уязвимости.

Неправилното проектиране и изработка на системата може да доведе до сериозно увеличаване на уязвимите места. Използването на некачествени компоненти и неподходящо програмно обезпечаване води до:

  • чести сривове и откази в системата;
  • паразитни електромагнитни излъчвания;
  • загуба на информация;
  • нарушения в комуникациите;
  • опасност от несанкциониран достъп до информацията и проникване на нарушители, чрез заобикаляне на мерките за сигурност.

Уязвимости в платформените приложения.

Софтуера за бекъп е комютърна програма, която следва да се инсталира на компютрите, които желаете да бъдат архивирани и дава възможност: за избиране и променяне избраните файлове и директории, които да бъдат копирани; да се променят настройките за това дали файловете, които се бекъпват да се намират на вашия компютър и върху онлайн диска или само на едно от двете места; да се променя каква част от мрежовата лента (bandwith) да бъде използвана за трансфериране на файловете, които биват бекъпвани; да се споделят файлове с други, както и много други възможности.

Когато в системата се получи срив, трудно е веднага да се определи откъде идва проблемът. Това може да е конфликт на софтуер, повреда в компонент, липса на захранване и даже вирусна атака.

Съхранените на твърдия диск данни обикновено са на сигурно място, но е добре да се разполага с резервно копие на информацията, записана на него. За тази цел могат да се прилагат най-различни методи, започвайки от съхраняване на информацията на магнитни ленти, на оптични или твърди дискове и на флаш памети.

Антивирусния софтуер е сборното название на всички видове софтуерни приложения, предназначени за предпазване от и отстраняване на компютърни вируси и други злонамерени програми при персоналните компютри. Тези програми, още познати под името malware, могат да бъдат главно няколко вида – троянски коне, червеи и вируси.

Задачата на антивирусния софтуер е да предпази компютъра, като постоянно следи файловете, които се изпълняват и отварят за възможни заплахи. Всяка антивирусна програма притежава различен алгоритъм на сканиране и практически е невъзможно да открие всички вируси, които заразяват даден компютър.

Компоненти на антивирусната програма (софтуер) са Скенер и Защитна стена (Firewall).

  • PHP базиран софтуер. Той е създаден със скриптов език за програмиране, широко използван главно за сървърни приложения и разработване на динамично уеб-съдържание. Използва се предимно в Web-среда за реализиране на широк кръг от услуги. Той е един от най-популярните езици за програмиране в Интернет.
  • Софтуер за бази данни. Компютърният софтуер е програма, чрез която компютърът работи. Програмата съдържа инструкции, които процесорът използва, за да функционира. Програма също е поток от данни, съхранявани на твърдия диск и зареждащи се оттам в RAM паметта, когато е необходимо.
  • Приложения за споделяне на файлове. Споделянето на файлове е метод на разпространение на електронно съхраняваната информация като компютърни програми и цифрови медии. Приложенията за споделяне на файлове са Уеб приложения, уеб бази данни, уеб софтуер.
  • DNS софтуер. Домейните са измислени основно за удобство на хората, тъй като се помнят лесно. За преобразуването името на домейн в IP-адрес и обратно служи DNS софтуера.
  • Медия плеър е термин, който обикновено се използва за описание на компютърен софтуер за възпроизвеждане на мултимедийни файлове . Те са известни като аудио плейъри или видео плейъри и често имат потребителски интерфейс, пригоден за конкретния вид медии.
  • Приложения за съобщения в реално време. Real Time Messaging Protocol (RTMP) е TCP протокол, който поддържа постоянни връзки и позволява ниска латентност комуникация.За да достави потоци гладко и предава колкото е възможно повече информация, тя разделя потоците на парченца и техния размер се договаря динамично между клиент и сървър.
  • Браузъри, например Mozilla Firefox е бърз, пълнофункционален уеб браузър, който има много големи възможности, включително блокиране на изскачащи прозорци, табово браузване, интегрирано търсене, подобрени функции за защита на личните данни, автоматично актуализиране и повече.

Уязвимости в конфигурацията на продуктите за работа в мрежа

Атаки срещу електронна поща. Най-уязвимите места в системата са електронните пощи. Най-малко са защитени електронните съобщения, очакващи ред на сървъра на получателя, за да бъдат разтоварвани към крайния компютър на потребителя. Това е така, защото съобщенията, останали без движение на едно място, са любима мишена за хакерите. Така те избягват проблема, свързан със скъпото установяване на снифер (sniffer). Сниферът може да бъде използван за прихващане на целия трафик и за генериране на отчети при появяване на пощенски съобщения, откривани по някакви критерии, например специфични ключови думи или фрази, а също така съобщение към/от конкретен адрес или група адреси. Едно от средствата да се попречи на хакерите е да се използва опцията на програмата за четене на електронна поща „да се премахне четената поща от сървъра”, но ако има дублиране на входяща поща от друг сървър на провайдера с цел резервиране, хакерът, получавайки статут на супервайзор, може няколко дена да чете пощата, даже ако потребителят си мисли, че те са били отстранени от сървъра. Интернет провайдерите използват протоколите за електронна поща POP (Post office Protocol) и SMTP. Проверката за наличие в системата на RFC 931 става, когато клиентът изпрати писмо на себе си.

Атаки срещу уеб трафика. Реализация на услугата WWW(World Wide Web) е система от взаимно свързани хипертекстови документи (уеб страници), достъпни през компютърната мрежа Интернет. Участват два вида компютри – клиенти (браузърите, които изобразяват на екрана страниците) и сървърите, които пазят уеб сайтовете, от които клиентите искат да ползват информация. Процесът на прехвърляне на файлове с информация (хипертекстов документ) от уеб сървъра към компютъра на клиента се нарича „изтегляне” (download), за целта се използва така наречения HTTP клиент, известен още като уеб браузър. Обратният процес се нарича „качване” (upload). Функционалността на браузрите постоянно се увеличава. Паралелно с това възникват и многобройни проблеми с безопасността на използваните технологии, като допълнителните модули (plug-ins), елементите ActiveX, Java приложенията, средствата за подготовка на сценарии JavaScript, VBScript, PerlScript, Dynamic HTML(предоставят специфична допълнителна функционалност, която не се поддържа от основното приложение).

Като цяло типовете атаки през WWW могат да се разделят на две големи групи:

  • Атака срещу клиент;
  • Атака срещу сървър;

Най-широко разпространение имат т.н. Уеб пробиви. Този вид атаки се извършват от автоматично изпълними програми, чието предназначение е кражба или разрушаване на данните. Те могат да бъдат инсталирани в клиентския компютър при сърфиране в интернет и изтегляне на необходими файлове от чужди сайтове или най-често при ICQ или IRC сесии. Този тип програми могат да бъдат Java аплети, ActivX обекти, Java скриптове. Използват се често за компрометиране на конкретни мрежи.

Опасност за уеб трафика представляват и т.нар. „кукита(Cookies – „бисквитки”). Това са текстови файлове, които се записват в диска на клиентския компютър при посещения на сайтове в интернет. Те се използват впоследствие, като улесняват повторното посещение на същите сайтове. Всяка „бисквитка” съдържа конкретна информация, попълнена от посетения интернет сайт – парола за достъп до сайта (ако той е защитен), посетените страници (т.е. от какво се интересува клиентът) и пр. Кукитата не съдържат изпълними програми, самите те не могат да предизвикат някаква атака, но тъй като те съдържат поверителна информация относно клиентските навици, тя би могла да бъде прочетена от друг интернет сайт посредством подходящо направен скрипт или ActivX програма.

Уязвимости при съхранението на данните

Ориентацията към устройствата за съхранение на данни започва от 2009 г., когато Oracle анонсира Exadata – устройство, което може да се ползва като хранилище за данни и за приложения. Облачното съхранение на данните продължава да печели популярност, тъй като корпоративните потребители търсят оптимални решения, осигуряващи надеждна защита и възстановяване в случай на срив. Въпреки, че базите данни и тяхното съдържание са уязвими към множество вътрешни и външни заплахи, векторите на атака е възможно да се намалят почти до нула. Заплахите вследствие на слабости при съхранението са:

1. Делегиране на привилегии. Когато на потребителите се предоставят привилегии да ползват бази данни, които надвишават техните правомощия, тогава тези привилегии могат да бъдат използвани, за да се получи достъп до поверителна информация.

2. Злоупотреба с привилегии. Потребителите могат да злоупотребяват със законни привилегии за достъп на данни за непозволени цели.

3. Неоторизиран достъп. Нападателите могат да се възползват от уязвимости в софтуера за управление на бази данни, за да конвертирате ниско ниво привилегии за достъп до високо ниво привилегии за достъп. Например, атакуващият може да отнеме предимството на база данни за уязвимост препълване на буфера, за да получат административни привилегии.

  • Уязвимости на платформата. Уязвимостите в основните операционни системи могат да доведат до неоторизиран достъп до данни. Например, червея Blaster се възползва от уязвимостта на  Windows 2000, за да се вземат определени целеви сървъри.
  • SQL инжекция. Атаки включващи SQL инжекция дават възможност на потребител да се възползва от уязвимости в предния край на уеб приложения и запомнени процедури за изпращане на неразрешени запитвания на бази данни. С помощта на SQL инжекция, атакуващите биха могли да спечелят дори и неограничен достъп до цялата база данни.
  • Слаб одит . Слабата одитна политика създава риск по отношение на възпиране, разкриване, и възстановяване на данните.
  • Отказ на услуга (DoS) може да бъде задействана чрез препълване на буфера, данни за корупция, наводняване на мрежата и потребление на ресурси.
  • Уязвимости в бази данни на протоколно ниво. Уязвимостите в базата данни на протоколно ниво може да позволи неоторизиран достъп до данни.
  • Слабо удостоверяване. Слабите схеми за удостоверяване позволяват на хакерите да поемат самоличността на легитимни потребители на бази данни. Тези схеми саподатливи на атака с груба сила.

В последно време обект на атака са и Бекъпите (резервни бази данни). Софтуерът за бекъп е ценен актив за всяка организация. Той обикновено работи на голям брой системи в едно предприятие. През последните години с нарастването на обема на данните се наблюдава тенденция за концентриране на функцията за бекъп в малък брой сървъри и дори само в един сървър. Хостовете, които изискват взаимодействие с бекъп данните, комуникират с бекъп сървъра по мрежата. Това взаимодействие може да бъде с цел добавяне на данни, когато клиентът изпраща данни към сървъра, или с цел извличане, когато сървърът се свързва с всички клиенти подред, или комбинация от двете. През последната година бяха открити доста критични уязвимости в софтуера за бекъп. Тези уязвимости могат да бъдат използвани злонамерено за пълно компрометиране на системи, на които са стартирани бекъп сървъри и/или бекъп клиенти. Един нападател може да използва ефективно тези пропуски, за да компрометира цяла организация и да получи достъп до конфиденциални бекъп данни. Вече има публично известни експлойти, както и няколко злонамерени бота, които използват публикуваните кодове на експлойти.

Всички операционни системи, на които работи бекъп сървърен или клиентски софтуер са потенциално уязвими. Засегнатите операционни системи включват основно Windows и UNIX.

За следните популярни софтуерни пакети за бекъп е известно, че имат уязвимости:

  • Symantec Veritas NetBackup/Backup Exec;
  • Symantec Veritas Storage Exec;
  • Computer Associates BrightStor ARCServe;
  • EMC Legato Networker;
  • Sun StorEdge Enterprise Backup Software (наричан преди Solstice Backup Software);
  • Arkeia Network Backup Software;
  • BakBone Netvault Backup Software;

Еволюция на заплахите и етапи на киберпрестъпността:

  • „Първата ера” –  аматьорско хакерство и създаване на вируси за PC;
  • „Втората ера” – организираната онлайн престъпност със съвременните технологии на Интернет.
  • „Трета ера” – 2011 г. постави началото на кибрепрестъпността, посочват експерти от технологичната компания Sophos. (Приложение № 3)

[1] Х.Кастането, Х.Роат, С.Шуман, К.Скол. Професионално програмиране с PHP