Tipos de ataques de computador e intrusos e como detectá-los

Como todos sabemos que estamos em um mundo cercado de informações que a cada dia exigem melhores níveis de segurança, nós Como administradores e chefes de TI, somos diretamente responsáveis ​​por fornecer segurança para que os dados de nossa organização, ou nossos, estejam seguros.

Talvez nossas informações não sejam tão valiosas ou tão importantes se forem perdidas ou roubadas, mas podemos ter informações muito especiais, como contas bancárias, extratos de conta, informações pessoais, etc., que devem permanecer "seguras" em nossos sistemas e não podemos negar que hackear hoje se tornou muito diferente do que era antes, hoje existem mais mecanismos de ataque e técnicas diferentes para tal atividade.

Desta vez, falaremos sobre intrusos, analisaremos algumas das maneiras como os hackers podem acessar informações tirando proveito de vulnerabilidades que possam existir.

Nós entendemos isso o acesso não autorizado ao sistema constitui um sério problema de segurança Uma vez que essa pessoa ou software pode extrair informações valiosas de nosso banco de dados e posteriormente prejudicar a organização de diferentes maneiras, quando falamos de software que pode entrar sem autorização, podemos pensar que é um worm, um Trojan ou, em geral, de um vírus.

Vamos nos concentrar nas seguintes áreas:

  • 1. Tipos de intrusos
  • 2. Técnicas de intrusão
  • 3. Detecção de intruso
  • 4. Tipos de ataques

1. Tipos de intrusos


Podemos identificar três (3) tipos de intrusos:

Usuário fraudulentoRefere-se a um usuário que acessa ilegalmente recursos da organização ou que, tendo as permissões, faz mau uso das informações disponíveis.

ImitadorÉ uma pessoa que nada tem a ver com o acesso legal na organização, mas que consegue chegar ao nível de tirar a identidade de um usuário legítimo para acessar e causar o dano.

Usuário clandestinoÉ uma pessoa que pode assumir o controle da auditoria do sistema da organização.

Normalmente, o personificador é uma pessoa externa, o usuário fraudulento é interno e o usuário clandestino pode ser externo ou interno. Os ataques de intrusos, independentemente do tipo, podem ser classificados como graves ou benignos, nos benignos só acessam para ver o que está na rede enquanto nos graves as informações podem ser roubadas e / ou modificadas dentro da rede.

2. Técnicas de intrusão


Como sabemos, a forma comum de acessar um sistema é por meio de senhas e é isso que o invasor visa, adquirindo senhas por meio de diferentes técnicas para atingir seu objetivo de violar acessos e obter informações. É recomendável que nosso arquivo de senha seja protegido com um dos seguintes métodos:

Criptografia unilateralEsta opção armazena apenas uma forma criptografada da senha do usuário, portanto, quando o usuário digita a senha, o sistema a criptografa e compara com o valor que armazenou e, se for idêntico, habilita o acesso, caso contrário, nega.

Controle de acessoCom este método, o acesso por senha é muito limitado, apenas a uma ou algumas contas.

O métodos comumente usados ​​por hackers, de acordo com algumas análises são:

  • Teste palavras de dicionário ou listas de possíveis senhas disponíveis em sites de hackers
  • Tentando com os números de telefone dos usuários ou documentos de identificação
  • Testando com números de placas de veículos
  • Obter informações pessoais de usuários, entre outros

3. Detecção de intruso


Como administradores, devemos analisar as possíveis vulnerabilidades que nosso sistema possui para evitar dores de cabeça no futuro, podemos analisar essas falhas com os seguintes conceitos:
  • Se estudarmos como um intruso pode atacar, esta informação nos ajudará a reforçar a prevenção de intrusão em nosso sistema
  • Se detectarmos o usuário intrusivo rapidamente, podemos evitar que essa pessoa faça suas coisas em nosso sistema e, assim, evitar danos.

Como administradores, podemos analisar o comportamento dos usuários de nossa organização e detectar, com muita análise, se eles apresentam algum comportamento estranho, como acesso pela intranet a computadores ou pastas que não devem ser acessadas, modificação de arquivos, etc. Uma das ferramentas que nos ajudará muito na análise de intrusos é o log de auditoria, pois nos permite acompanhar as atividades realizadas pelos usuários.

Podemos usar dois (2) tipos de planos de auditoria:

Registros de auditoria específicos para descobertaPodemos implementar esses logs para que nos mostrem apenas as informações exigidas pelo sistema de detecção de intrusão.

Registros de auditoria nativosÉ a ferramenta que vem por padrão nos sistemas operacionais e armazena todas as atividades do usuário, por exemplo, o visualizador de eventos do Microsoft Windows.

Podemos detectar anomalias com base em perfis, ou seja, no comportamento dos usuários, para isso podemos utilizar as seguintes variáveis:

  • Contador: É um valor que pode ser aumentado, mas não diminuído até que seja iniciado por alguma ação
  • Calibre: É um número que pode aumentar ou diminuir e mede o valor atual de uma entidade
  • Intervalo de tempo: Refere-se ao período de tempo entre dois eventos
  • Uso de recursos: Implica a quantidade de recursos que são consumidos em um determinado tempo

Existe outro tipo de detecção e é aquela baseada em regras, estas detectam a intrusão com base nos eventos que ocorrem no sistema e aplicam uma série de regras definidas para identificar se a atividade é suspeita ou não.

Alguns dos exemplos dessas regras são:

Uma das técnicas interessantes para chamar a atenção de intrusos é usar honeypots, que são simplesmente ferramentas de segurança onde são criados sistemas que parecem ser vulneráveis ​​ou fracos e nos quais há informações falsas, mas com uma aparência agradável para o intruso, obviamente um honeypot não tem ou não terá acesso a um usuário legítimo de a organização.

O que medida de segurança para prevenir ataques de intrusos Sem dúvida, existe o correto gerenciamento de senhas, sabemos que uma senha permite:

  • Fornece ou não acesso a um usuário ao sistema
  • Fornece os privilégios que foram atribuídos ao usuário
  • Oferecer políticas de segurança na empresa

Em um estudo realizado por uma organização nos Estados Unidos, com base em três (3) milhões de contas, concluiu-se que os usuários usam regularmente os seguintes parâmetros para suas senhas (que não são de todo seguros):

  • Nome da conta
  • Números de Identificação
  • Nomes comuns
  • Nomes de lugares
  • Dicionário
  • Nomes de máquinas

É importante que em nossa função de administradores, coordenadores ou chefes de TI, instruamos os usuários de nossa organização para que eles saibam como definir uma senha forte, podemos usar os seguintes métodos:

  • Verificação reativa de senha
  • Verificação proativa de senha
  • Educação de nossos usuários
  • Senhas geradas por computador

Como podemos ver, entre todos nós (Administradores e usuários) podemos lidar com qualquer atividade de intrusos.

4. Tipos de ataques


A seguir, revisaremos alguns dos tipos de ataques que podem ser perpetrados nos diferentes sistemas, faremos essa análise com uma abordagem hacker ética.

Sequestro
Este tipo de ataque consiste em pegar uma seção de um dispositivo para se comunicar com outro dispositivo, existem dois (2) tipos de sequestro:

  • Ativo: É quando uma seção do host é tomada e usada para comprometer o alvo
  • passiva: Acontece quando uma seção do dispositivo é apreendida e todo o tráfego entre os dois dispositivos é registrado

Contamos com ferramentas para sequestro de páginas como:

  • IP-Watcher

¿Como podemos nos proteger de sequestros? Podemos usar qualquer um dos seguintes métodos, dependendo do protocolo ou da função, por exemplo:

  • FTP: vamos usar sFTP
  • Conexão remota: vamos usar VPN
  • HTTP: vamos usar HTTPS
  • Telnet ou rlogin: vamos usar OpenSSH ou SSH
  • IP: vamos usar IPsec

Ataque em um servidor web
Os servidores mais comuns para implementar serviços web, temos Apache e IIS. Os invasores ou hackers que pretendem atacar esses servidores devem ter conhecimento de pelo menos três (3) linguagens de programação como Html, ASP e PHP. Para cuidar de nossos servidores web podemos usar ferramentas, chamado de ataque de força bruta, como o seguinte:

  • Brutus para Windows
  • Hydra para Linux
  • NIX para Linux

O ataques mais comuns que encontramos no nível do servidor web são os seguintes:

  • ScriptAttack
  • Senhas no mesmo código
  • Vulnerabilidades em aplicativos da web
  • Validação de nome de usuário

Como administradores, podemos implementar as seguintes práticas:

  • Instale e / ou atualize o antivírus
  • Use senhas complexas
  • Alterar contas padrão
  • Excluir códigos de teste
  • Atualizar sistema e service pack
  • Gerencie e monitore constantemente os registros do sistema

Podemos usar a ferramenta Acunetix que nos permite verificar se nosso site está vulnerável a ataques, podemos baixá-lo no link.

Backdoors e Trojans
Muitos dos cavalos de Tróia são executados em modo de teste para verificar a capacidade de resposta da organização a um possível ataque, mas nem 100% são de testes internos, mas em outras ocasiões são mal-intencionados por um intruso.

Alguns dos trojans mais comuns está:

  • Netbus
  • Prorat
  • Paraíso
  • Duckfix
  • Netcat

Para prevenir ataques de Trojan É importante que, como administradores, realizemos algumas tarefas como:

  • Instale e atualize um antivírus
  • Execute e ative o Firewall
  • Use um scanner de Trojan
  • Atualizar patches do sistema

Ataque em redes sem fio
Nossas redes sem fio podem estar sujeitas a ataques por intrusos, sabemos que as tecnologias modernas de redes sem fio são 802.11a, 802.11b, 802.11ne 802.11g, estas são baseadas em sua frequência.

Para evitar ataques em nossas redes sem fio podemos realizar as seguintes tarefas:

  • Evite usar SSID em branco
  • Evite usar o SSID padrão
  • Use IPsec para melhorar a segurança em nosso IPS
  • Execute filtros MAC para evitar endereços desnecessários

Algum ferramentas usadas para executar hacking sem fio está:

  • Kismet
  • GPSMap
  • NetStumbler
  • AirSnort
  • DStumbler

Embora em nossa empresa não usemos redes sem fio continuamente, é bom implementar políticas de segurança para prevenir ataques para eles, seria ideal fazer o seguinte (no caso de usar apenas Wireless):

  • Desativar DHCP
  • Atualizar Firmware
  • Use WPA2 e segurança superior
  • Em caso de conexão remota, use VPN

Ataques de negação de serviço (DoS)
O objetivo principal deste tipo de ataque é afetar todos os serviços do nosso sistema, seja interrompendo-os, saturando-os, eliminando-os, etc.

Pudermos prevenir um ataque DoS usando as seguintes atividades:

  • Use os serviços de que realmente precisamos
  • Desativar Resposta ICMP no Firewall
  • Atualize o sistema operacional
  • Atualize nosso Firewall com a opção de ataque DoS

Algum ferramentas que podemos encontrar na rede para ataques DoS está:

  • FSM FSMax
  • Algum problema
  • Jolt 2
  • Blast20
  • Panther2
  • Crazy Pinger, etc.

Ferramentas de quebra de senha
Outro dos ataques mais comuns que podemos sofrer em nossas organizações é o ataque a senhas, como já mencionamos, às vezes as senhas estabelecidas não são fortes o suficiente, por isso estamos propensos a que um invasor roube nossa senha e tenha acesso a nosso sistema. Sabemos que a segurança de nossas senhas se baseia em:

  • Autenticação: Autoriza o acesso ao sistema ou aplicativos da empresa
  • Autorização: Se a senha digitada estiver correta, o sistema irá validá-la e autorizar a entrada

Os tipos de ataques mais comuns que encontramos para roubar nossas senhas está:

Ataques de dicionárioSão listas de palavras estabelecidas que se sincronizam e são validadas se a nossa senha aí estiver incluída.

Ataque de força brutaÉ um dos ataques mais eficazes, pois contém letras, números e caracteres especiais e formam combinações até encontrarem a chave correta

Ataques HíbridosÉ uma combinação dos dois (2) acima.

Algum ferramentas de hacking de senha está:

  • Pwdump3
  • John o Estripador
  • Boson GetPass
  • Elcomsoft

Lembre-se que se a nossa senha ou a de um usuário da organização for descoberta por um intruso, podemos ter sérios problemas, por isso é importante lembre-se de que a maioria inclui as seguintes condições para nossas senhas:

  • Letras minúsculas
  • Letras maiúsculas
  • Caracteres especiais
  • Números
  • Palavras complexas

Recomendamos revisar este tutorial para ter senhas totalmente fortes.

Pudermos detectar se estamos sendo vítimas de quebra de senha verificar os registros do sistema, monitorar constantemente o tráfego da rede, etc. Na página sectools podemos encontrar diversas ferramentas que nos ajudarão em nosso trabalho de monitoramento da rede e seus possíveis ataques, o convite é para conhecê-la e realizar testes.

Outra página que podemos visitar é foundstone, que pertence a McAffe e contém um grupo interessante de ferramentas úteis.

Spoofing
Neste tipo, o atacante irá se passar por outra entidade, para isso irá falsificar os dados que são enviados nas comunicações. Este tipo de ataque pode ocorrer em diferentes protocolos, temos IP spoofing, ARP spoofing, DNS spoofing, DHCP spoofing, etc.

Aqui estão alguns ataques comuns:

  • Spoofing não cego
  • Blind Spoofing
  • Homem no meio
  • Negação de serviço (DOS)
  • Roubo de Porto

Algum contramedidas que podemos tomar:

  • Use criptografia e autenticação
  • Aplicar filtragem de entrada e saída no roteador

Injeção de código
Baseia-se na exploração de um erro causado pelo processamento de dados inválidos. É usado por um invasor para inserir ou injetar código em um programa de computador vulnerável e alterar o curso de execução. Uma injeção bem-sucedida pode ter consequências desastrosas.

Alguns lugares onde podemos montar um ataque de injeção:

  • SQL
  • LDAP
  • XPath
  • Consultas NoSQL
  • HTML
  • Concha

Algum medidas que podemos tomar ao programar:

  • Filtre as entradas
  • Parametrizar instruções SQL
  • Variáveis ​​de escape

Como podemos ver, temos muitas alternativas para neutralizar possíveis ataques de intrusos à nossa organização, cabendo a nossa tarefa (se for o caso) fazer uma análise detalhada e agir sobre essas questões.

Como mencionamos antes, e felizmente, nem sempre haverá um hacker ou intruso interessado em penetrar em nosso sistema e roubar informações, mas nunca saberemos no futuro onde nossa organização ou nós mesmos estaremos.

wave wave wave wave wave