Dynamiczny rozwój sieci Internet i postępująca informatyzacja niemal każdego obszaru gospodarki wymusza położenie większego nacisku na zagadnienia bezpieczeństwa danych. Zastanówmy się – skąd pojawiają nam się niepożądane wiadomości e-mail lub sms ?
Otóż coraz więcej „darmowych” usług w sieci rozwija się dzięki danym osobowym, które są w stanie od nas uzyskać w zamian za darmową usługę. Często nieświadomie przepłacamy za taką usługę, gdyż takie dane są bardziej cenne niż wynika to ze świadomości użytkowników Internetu. Wędrują one w milionach pakietów każdego dnia, dlatego tak ważne jest ich bezpieczeństwo. Przypominam, że coraz więcej umów i zobowiązań możemy dokonać bez wychodzenia z domu.
Dane osobowe oraz dane firmowe wymagają zwrócenia większej uwagi na ich poufność, gdyż w każdej chwili są narażone na niebezpieczeństwa. Twórcy protokołu TCP/IP w wersji 4-tej opracowanego w latach 70-tych ubiegłego wieku, nie mogli z wielu powodów przewidzieć jego słabości na pół wieku w przód. Nie posiada on mechanizmów utajniających, szyfrujących przesyłane dane.
Jawna wędrówka pakietów w globalnej sieci naraża nas na znaczne niebezpieczeństwa. Przedstawię teraz te najważniejsze.
1.2.1 Podsłuch danych
Przechwytywanie i analiza wędrujących w sieci pakietów jest możliwa dzięki odpowiednim narzędziom (tzw. Snifferom) i w założeniu służy administratorowi jako pomoc w zarządzaniu siecią. W sytuacji gdy owe narzędzie posiada osoba o złych intencjach, jesteśmy narażeni na podsłuch danych. Odpowiednio spreparowane narzędzie w połączeniu z dobrej jakości sprzętem (ang. promiscous) pozwala przechwycić cały ruch w obrębie danego przełącznika lub koncentratora. Oczywiście temat pozostaje aktualny także dla ruchu pakietów poprzez sieć WiFi. W wielu przypadkach jest to sposób dla włamywacza znacznie wygodniejszy, ponieważ nie musi fizycznie przebywać w obrębie sieci, gdzie przeprowadzana jest transmisja. Możliwość przechwycenia danych z formularzy www przesyłanych protokołem HTTP, przechwycenie danych do logowania na serwer POP3 czy FTP jest czynnością relatywnie łatwą.
1.2.2 Podszywanie się, przejmowanie sesji
Niewątpliwą wadą protokołu TCP/IP jest fakt, że zaawansowany użytkownik jest w stanie modyfikować pole adresu źródłowego. Dzięki analizie przepływającego ruchu, atakujący jest w stanie odtworzyć pakiet, zmieniając „adres źródłowy” ofiary na swój własny adres. W wielu przypadkach serwer zwróci poprawną odpowiedź, która trafi do atakującego. Na tej podstawie, w zależności od kontekstu, atakujący jest w stanie rozszyfrować jakie zapytanie zostało przesłane do serwera usług. W taki oto sposób osoba o złych intencjach może podszyć się pod wiarygodnego użytkownika systemu.
Przejęcie sesji to inaczej przekierowanie już trwającej komunikacji pomiędzy klientem a serwerem na inny kanał komunikacji, w którym wiarygodny użytkownik zostaje zastąpiony innym hostem. Atakujący podszywając się pod wiarygodnego użytkownika i odpowiednio modyfikując rekordy kontrolne w sesji SEQ/ACK, może wpłynąć na ruch pakietów w sieci.
Jeśli atakującemu uda się odgadnąć lub przechwycić parametr SEQ/ACK, kolejna wartość tego komunikatu jaki wróci z serwera będzie wyższa. Klient zaś będzie próbował nawiązać komunikację z parametrem, który jest już nieaktualny. W wyniku takiego działania jego pakiety zostaną przez serwer odrzucone.
1.2.3 Łamanie haseł metodą słownikową oraz siłową
Próba odgadnięcia hasła użytkownika metodą siłową to sprawdzanie wszystkich możliwych kombinacji znaków i każdorazowe odpytywanie serwera o prawidłowość tak dobranego ciągu. W praktyce metoda staje się coraz mniej skuteczna. Weryfikacja wszystkich możliwości jest mocno rozciągnięta w czasie. Wiele serwerów nie pozwala na ciągłe „odgadywanie” hasła – po kilku nieudanych próbach może zablokować nam tą możliwość na najbliższe 10,20, 60 i więcej sekund lub minut.
Metoda słownikowa jest bardziej wyrafinowana. Idea opiera się na tym, że hasło użytkownika to powszechnie znane słowo, w którym może być zamienionych kilka znaków (np. litery przypominające cyfry takie jak: O, A, l na zbliżone wyglądem wartości liczbowe 0,4,1 ) oraz dodanych kilka z pozoru losowych cyfr (często data urodzenia lub cyfry będące w logicznym ciągu: 1,2,3,4 / 2,4,6,8 ). W ten sposób znacznie zmniejsza się liczba prób, które trzeba wykonać, aby złamać hasło. W świetle postępującego rozwoju technologicznego czas potrzebny na łamanie hasła metodą słownikową stale się skraca.
1.2.4 Luki w oprogramowaniu
Niedoskonałości w oprogramowaniu lub wtyczkach do niego rzadko uchodzą uwadze użytkowników. Przeglądarka internetowa, czytnik plików PDF, ulubiony odtwarzacz muzyczny mogą przerodzić się w niebezpieczne narzędzie w rękach atakującego. Nieumiejętne tworzenie kodu, który w sposób ścisły integruje się z systemem, to doskonała okazja dla atakującego.
1.2.5 Aplikacje złośliwe
Są to aplikacje, zazwyczaj bardzo małych rozmiarów, zdolne do wyrządzania szkód. Celowo unikam frazy „szkód w systemie użytkownika” ponieważ na przestrzeni lat tendencja uległa zmianom. Kiedyś programy złośliwe miały służyć uprzykrzeniu życia użytkownikowi np. zablokowania ruchu myszy, klawiatury, odtwarzania zabawnych melodii i innych żartów.
Obecnie aplikacje złośliwe w tym szpiegowskie chcą za wszelką cenę pozostać niewidoczne, aby jak najdłużej mogły funkcjonować w systemie ofiary czerpiąc z nich korzyści. Pod tym pojęciem mam na myśli:
- Kradzież poufnych dokumentów
- Kradzież danych osobowych, adresów kontaktowych
- Możliwość rozsyłania spamu z komputera ofiary, pozostając anonimowym
- Przeprowadzanie ataków typu DDoS
- Kradzież dostępów do danych bankowych, okradanie użytkowników
Chętnie obieranym kierunkiem dla aplikacji złośliwych jest sektor bankowy. Do najpopularniejszych aplikacji należy program ZeuS. Oprócz podręcznikowej kradzieży danych dostępowych do systemu bankowego, był on w stanie preparować wiadomości z hasłami sms jakie rzekomo użytkownicy otrzymywali od banku. Oczywiście wymagało to uprzedniego zarażenia sprzętu mobilnego użytkownika, ale dzięki odpowiedniej socjotechnice tą kwestię atakującym udało się rozwiązać.
Coraz częściej wspomniane aplikacje wykorzystuje się do szpiegostwa przemysłowego. Doskonałym przykładem są robaki Flame oraz Stuxnet, zdolne wyrządzić fizyczne szkody na sprzęcie kontrolowanym przez system operacyjny.
1.2.6 Ataki typu DoS
Jeśli wyślemy do serwera dowolną liczbę zapytań (np. do usługi DNS), serwer za wszelką cenę będzie starał się udzielić nam odpowiedzi. Błędnie skonfigurowana zapora ogniowa wraz z wrażliwą usługą narażone są przeciążenia. Miliony takich zapytań, jakie mogą przesłać atakujący za pomocą kontrolowanych przez nich komputerów zombie (tzw. Botnety) spowoduje wstrzymanie pracy takiego systemu. Ostatnim głośnym przypadkiem był atak grupy Anonymous, która dzięki odpowiedniej socjotechnice wymusiła na użytkownikach skorzystanie z wybranej usługi (w tym przypadku odwiedzenie podanej strony internetowej). W rezultacie milionowej liczby zapytań przez protokół HTTP, wiele stron polskiego rządu odmówiło posłuszeństwa na kilka-kilkanaście godzin[1] – w tym oficjalne strony Zakładu Ubezpieczeń Społecznych czy Narodowego Funduszu Zdrowia.