Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности
Шрифт:
Это редкая разновидность атаки или вредоносного воздействия, применяемого для взлома определенной цели. Почти все хакеры и вредоносные программы хотят подчинить себе как можно больше. Как только они получают доступ к первоначальной цели, распространение их влияния в пределах одной сети или объекта упрощается. Методы проникновения хакеров, перечисленные в этой главе, суммируют различные способы, которыми они могут это сделать, но, сравнивая их с первоначальными усилиями, последующее перемещение облегчается. Если атакующий движется к другим подобным целям, это называется боковым перемещением. Если злоумышленник переходит с устройств с одной привилегией на более высокую или более низкую, это называется вертикальным перемещением.
Большинство атакующих переходят от низких
Как хакеру средней руки, мне обычно требуется около часа, чтобы проникнуть, и еще час, чтобы захватить централизованную базу данных аутентификации. Так что на захват сети компании в среднем уходит около двух часов. Самое долгое проникновение заняло у меня три часа.
Выполнение запланированного действия
После формирования лазеек и установки прав собственности на файлы хакеры выполняют то, что намеревались сделать (если только действие взлома не выявило новые задачи). У каждого хакера есть цель. Официальный пентестер заключает договор на выполнение одной или нескольких процедур. Злоумышленник может распространять вредоносное ПО, читать или красть конфиденциальную информацию, вносить вредоносные изменения и причинять иной вред. Цель хакера, желающего скомпрометировать одну или несколько систем, – что-то с ней сделать. Давным-давно (два или три десятилетия назад) целью хакеров было просто продемонстрировать, что они взломали систему. Сегодня 99 % взломов криминально мотивированы, и хакер собирается сделать что-то вредоносное для цели (даже если единственный ущерб, который он наносит, это скрытное проникновение для потенциальных действий). Несанкционированный доступ без прямого ущерба – это все равно ущерб.
Заметание следов
Некоторые хакеры пытаются замести следы. Раньше это делали почти все, но в наши дни компьютерные системы настолько сложны и присутствуют в таком количестве, что большинство владельцев данных не проверяют хакерские следы. Они не проверяют логи, не ищут НИКАКИХ признаков незаконного проникновения, если те не бросаются в глаза. Каждый год отчет компании Verizon о расследованиях случаев несанкционированного доступа к данным сообщает, что большинство атакующих остаются незамеченными в течение нескольких месяцев или даже лет, а более 80 % атак были бы замечены, если бы специалисты по ИБ потрудились над анализом. Из-за такой статистики большинство хакеров уже не утруждают себя заметанием следов.
Хакеры сегодня еще меньше стремятся к этому, потому что используют методы, которые невозможно обнаружить традиционными способами. Или действия хакера настолько распространены в среде жертвы, что практически нельзя отличить легитимную деятельность от незаконной. Например, после взлома хакер обычно выполняет действия в контексте безопасности законного пользователя, часто получая доступ к тем же серверам и службам, что и последний. И они используют те же инструменты (например, программное обеспечение удаленного доступа и сценарии), что и администраторы. Кто может определить, что злонамеренно, а что нет? Области обнаружения вторжений рассматриваются в главе 14.
Взлом скучно успешен
Если вы хотите знать, как хакеры взламывают, то обратились по адресу. Единственное, что осталось
Автоматизированная вредоносная программа как инструмент взлома
Вредоносная программа может выполнять один или несколько шагов в автоматическом режиме или передать хакеру управление, как только цель достигнута. Большинство хакерских групп сочетают социальную инженерию, автоматизированное вредоносное ПО и действия самих хакеров для достижения целей. В больших группах отдельным хакерам могут назначаться роли и должности. Вредоносная программа может выполнить один шаг проникновения и достигнуть успеха, не пытаясь осуществить любой из других шагов. Например, самая быстрая вредоносная программа в истории, SQL Slammer, имела размер всего 376 байт. Она выполняла задачу по переполнению буфера на UDP-порте SQL 1434 независимо от того, был ли на целевом устройстве запущен SQL. Поскольку на большинстве компьютеров он не выполняется, можно подумать, что атака будет весьма неэффективна. Но нет, за 10 минут этот червь изменил мир. Ни одна вредоносная программа никогда даже не приближалась к заражению такого количества устройств за столь короткое время.
Примечание. Если я пропустил какой-то шаг в хакерской методологии или способ проникновения, прошу прощения. С другой стороны, я же предупреждал, что я ничем не примечательный хакер.
Этика взлома
Я хотел бы думать, что мои читатели – этичные хакеры, которые проводят взлом своих целей законным образом. Взлом сайта, на который у вас нет предопределенных и выраженных полномочий, неэтичен и часто незаконен. Также неэтично (и даже незаконно) взломать сайт и сообщить владельцам о найденной уязвимости бесплатно. Неэтично и часто незаконно найти уязвимость, а затем попросить владельцев сайта нанять вас в качестве пентестера. Последнее происходит сплошь и рядом. Если вы сообщите кому-то, что нашли способ взломать его сайты или серверы, и попросите работу, это будет рассматриваться как вымогательство. Могу вас уверить, что почти все владельцы сайтов, получающие такой непрошеный совет, не задумаются о вашей пользе и не захотят вас нанимать. Они увидят в вас врага и передадут дело адвокатам.
Остальная часть книги посвящена описанию конкретных типов взлома, методов проникновения и способов противостояния им со стороны специалистов по ИБ. Если вы хотите зарабатывать на жизнь хакерством или бороться с хакерами, следует понять их методологию. Люди, упомянутые здесь, – гиганты в своей области, и вы можете многому у них научиться. Думаю, лучше всего начать с Брюса Шнайера, речь о котором пойдет в следующей главе. Многие считают его отцом современной компьютерной криптографии.
3. Профиль: Брюс Шнайер
Брюс Шнайер обладает столь большим опытом и знаниями, что при его упоминании многие люди используют словосочетание «светило индустрии» или называют его «отцом современной компьютерной криптографии». Однако интерес Шнайера не ограничивается шифрами, он уже давно задается более глобальными вопросами о том, почему в сфере информационной безопасности за все эти десятилетия произошло так мало улучшений. Поскольку он имеет авторитетное мнение по широкому кругу вопросов, связанных с ИБ, его часто приглашают в качестве эксперта на национальные телевизионные шоу. Несколько раз он даже выступал перед Конгрессом Соединенных Штатов. Шнайер пишет книги и ведет блоги, и я всегда считал ознакомление с его работами получением неофициальной степени магистра в области информационной безопасности. Я и наполовину не был бы тем специалистом по ИБ, которым стал, без знаний, которые почерпнул у него. Он мой неофициальный наставник.
Конец ознакомительного фрагмента.