суббота, 12 декабря 2009 г.

ISSP \ Домен 02. Управление доступом. Часть 12

В этой части рассмотрены следующие вопросы:
  • Несколько угроз управлению доступом
  • Атака по словарю
  • Атака полного перебора (брутфорс-атака)
  • Подделка окна регистрации в системе
  • Фишинг
  • Кража личности
  • Резюме
Обновлено: 28.03.2010

Большинство специалистов по безопасности знают, что более высокие риски и больший ущерб для компании несут атаки внутренних злоумышленников, чем внешних. Однако многие люди не знают этого, поскольку они слышали только истории о внешних хакерах, которые делали дефейс веб-сайтов или обходили межсетевые экраны, чтобы получить доступ к внутренней конфиденциальной информации.

Внешние атакующие могут войти в сеть компании через точки удаленного доступа, пройти через межсетевые экраны и веб-серверы, взломав их, или воспользоваться коммуникационными каналами партнеров (экстранет, подключения производителей и т.д.). А инсайдеры изначально имеют разрешенный доступ к системам и ресурсам, они могут использовать свои привилегии ненадлежащим образом или проводить реальные атаки. Опасность инсайдеров состоит в первую очередь в том, что они уже имеют широкие права доступа, а внешнему хакеру нужно постараться, чтобы получить даже небольшую часть этих прав. Кроме того, инсайдеры гораздо лучше знают внутреннюю среду компании, и, как правило, им доверяют. Мы рассмотрели много различных механизмов управления доступом, которые нужны для того, чтобы оставить внешних лиц снаружи и ограничить до минимума возможности инсайдеров, а также вести аудит их действий. Теперь мы рассмотрим несколько самых популярных в настоящее время атак, проводимых внешними и внутренними злоумышленниками.


Некоторые программы позволяют атакующему (или проактивному администратору) подобрать пароли пользователей по словарю. Такие программы имеют список (словарь) наиболее часто используемых в качестве паролей слов или комбинаций символов, они последовательно хэшируют их и сравнивают с перехваченным хэшем пароля или системным файлом с паролями, который также хранит не сами пароли, а результаты односторонних хэш-функций над ними. Если хэш-значения совпадают, это означает, что пароль успешно подобран. Полученный таким способом пароль атакующий может использовать для аутентификации от имени уполномоченного пользователя. Однако, поскольку многие системы ограничивают количество неудачных попыток регистрации, такой подбор возможен только в случае перехвата передаваемого по сети хэша пароля или получения системного файла с паролями.

Файлы базовых словарей поставляются вместе с программами взлома паролей, а расширенные варианты словарей можно найти в сети интернет.
ПРИМЕЧАНИЕ. Пароли никогда не должны храниться или передаваться в виде открытого текста. Большинство операционных систем и приложений обрабатывает пароли с помощью алгоритмов хэширования, которые выдают в результате значения хэшей, называемые также значениями дайджестов сообщений.
Контрмеры

Для надлежащей защиты систем от взлома паролей по словарю (или другими методами подбора паролей), необходимо обеспечить следующее:
  • Не допускайте отправки паролей открытым текстом
  • Шифруйте или хэшируйте пароли
  • Используйте токены для генерации одноразовых паролей
  • Используйте сложно угадываемые пароли
  • Чаще меняйте пароли
  • Используйте IDS для выявления подозрительных действий
  • Самостоятельно используйте средства взлома паролей для нахождения слабых паролей, выбранных пользователями
  • Используйте специальные символы, цифры, заглавные и строчные буквы в пароле
  • Защищайте файлы, в которых хранятся пароли

Атака полного перебора (брутфорс-атака - brute force attack) – это последовательный перебор всех возможных комбинаций символов до нахождения комбинации, подходящей в качестве пароля.

Наиболее эффективны гибридные атаки, совмещающие в себе атаки по словарю с брутфорс-атаками. Если атака по словарю (или сам атакующий) определяет, что пароль начинается со слова Dallas, брутфорс-атака пытается добавлять к нему различные символы, пока не будет подобран подходящий пароль.

Такие атаки применяются при проведении атак wardialing, при которых атакующий вставляет длинный список телефонных номеров (или целые диапазоны номеров) в специальную программу автоматического обзвона, в надежде найти номера модемов (по их отклику), которые можно использовать для несанкционированного доступа в сеть. При этом из таких списков обычно заранее исключаются заведомо известные голосовые номера (например, номера справочных служб), а также известные номера факс-машин. Получив номера, с которых ответили модемы, атакующий пытается использовать их для несанкционированного доступа к сети или системам.
Таким образом, брутфорс-атака представляет собой определенный вид деятельности с различными входными параметрами, выполняющейся пока не будет достигнута цель.

Контрмеры

Для противодействия телефонным брутфорс-атакам следует использовать журналирование и мониторинг таких действий для выявления шаблонов, которые могут свидетельствовать об атаке wardialing:
  • Самостоятельно выполняйте брутфорс-атаки для поиска слабозащищенных и доступных модемов
  • Убедитесь, что только необходимые телефонные номера сделаны общедоступными
  • Используйте строгие механизмы управления доступом, что снизит вероятность успеха брутфорс-атак
  • Ведите журналирование и анализируйте такие действия
  • Используйте IDS для выявления подозрительной деятельности
  • Установите порог блокировки

Злоумышленник может использовать программу, предоставляющую пользователю поддельный экран регистрации, в который обманутый пользователь вводит свои учетные данные, пытаясь зарегистрироваться в системе. У пользователя запрашивается имя и пароль, которые затем сохраняются для последующего использования злоумышленником. При этом пользователь думает, что это обычный экран регистрации, поскольку он выглядит точно также. После ввода пользователем своих учетных данных выводится поддельное сообщение об ошибке, говорящее ему о том, что он ошибся при вводе своих учетных данных. При этом поддельная программа закрывается, и управление передается операционной системе, которая выводит настоящее окно регистрации, запрашивая у пользователя имя и пароль. Пользователь думает, что сделал опечатку при вводе пароля и регистрируется повторно, но атакующий теперь знает его учетные данные.

Контрмеры

  • В Windows-системах требовать нажатия пользователем CTRL+ALT+DEL перед вводом учетных данных
  • Настроить операционную систему для отображения количества произошедших неудачных попыток регистрации

Фишинг – это разновидность социальной инженерии, которая направлена на получение персональной информации, учетных данных, номеров кредитных карт или финансовых данных. Атакующий «выуживает» критичные данные различными способами.

Термин фишинг появился в 1996 году, когда хакеры начали воровать пароли доступа к провайдеру America Online (AOL). Хакеры представлялись сотрудниками AOL и отправляли сообщения жертвам с запросом их паролей «для проверки правильности информации биллинга» или «проверки правильности работы учетной записи в AOL». Когда пользователь отправлял свой пароль, злоумышленник аутентифицировался от его имени и использовал его электронную почту для криминальной деятельности, такой как рассылка спама, порнографии и т.п.

Хотя фишинг существовал еще в 1990-х, большинство людей не знали о нем до середины 2003 года, когда фишинговые атаки участились. Фишеры направляли жертвам по электронной почте убедительные сообщения, прося их перейти по ссылке, чтобы обновить информацию об их банковском счете. Жертвы переходили по этой ссылке, и перед ними появлялась форма, запрашивающая номера банковских счетов, учетные данные и другие виды данных, которые использовались затем для кражи личности. Количество фишинговых сообщений электронной почты очень быстро растет последние годы. Фишеры представляются крупными банками, платежными системами и другими хорошо известными компаниями.

Фишеры создают веб-сайты, которые выглядят очень похоже на настоящие сайты и заманивают на них жертв посредством других сайтов и рассылок по электронной почте с целью сбора их персональной информации. Такие сайты требуют от жертвы ввести свой номер социального страхования, дату рождения, девичью фамилию матери с целью «аутентификации для обновления информации о своих счетах».

Поддельные веб-сайты не только выглядят и работают как настоящие веб-сайты, злоумышленники часто используют еще и доменные имена, очень похожие на адреса настоящих сайтов. Например, www.amzaon.com вместо www.amazon.com. Или используют специальным образом размещенный символ @. например, адрес www.msn.com@notmsn.com в действительности приведет жертву на сайт notmsn.com и автоматически введет на нем имя пользователя www.msn.com. Такое имя пользователя на сайте notmsn.com будет отсутствовать, поэтому жертве будет просто показана стартовая страница notmsn.com, поддельного сайта, выглядящего и работающего подобно www.msn.com. Жертва чувствует себя в полной безопасности и вводит свои учетные данные на этом сайте.

Были разработаны даже некоторые функции JavaScript для того, чтобы показывать жертве некорректный веб-адрес в адресной строке браузера. С помощью них, например, можно заменить в адресной строке браузера адрес www.evilandwilltakeallyourmoney.com на www.citibank.com, чтобы жертва (даже та, которая проверила правильность адреса) чувствовала себя в полной безопасности.
ПРИМЕЧАНИЕ. Использовавшиеся ранее варианты атак, заменяющие содержимое адресной строки, уже были исправлены. Однако важно понимать, что злоумышленники постоянно находят новые способы проведения таких атак. Одно только знание о фишинге не означает, что вы сможете выявить или предотвратить его. Как специалист по безопасности, вы должны быть осведомлены о новых стратегиях и трюках, использующихся злоумышленниками.
Некоторые атаки используют «всплывающие» веб-формы, появляющиеся когда жертва находится на легитимном сайте. Например, когда вы находитесь на реальном веб-сайте банка, всплывает окно, запрашивающее у вас некоторую конфиденциальную информацию. Вероятно это не вызовет беспокойства, если вы уверены, что находитесь на реальном сайте банка. Вы поверите, что это окно относится к банковскому сайту, и заполните форму в соответствии с инструкциями. К сожалению, это всплывающее окно может иметь другой источник, и ваши данные могут попасть в руки злоумышленнику, а не вашему банку.

Получив эту персональную информацию, злоумышленник сможет открыть новый счет на имя жертвы, получить несанкционированный доступ к ее банковскому счету, сделать нелегальную покупку по кредитной карте или даже снять наличные. Согласно отчету Gartner в 2003 году убытки от фишинга составили 2,4 миллиарда долларов. По оценке Gartner 57 миллионов людей в США получали за 2003 год фишинговые сообщения, а 1,8 миллионов из них в ответ передавали свою персональную информацию.

Поскольку все больше людей узнает о таких видах атак, и они опасаются переходить по ссылкам, указанным в сообщениях электронной почты, фишеры изменили свои методы. Например, они стали направлять электронные письма, которые говорят пользователям, что они выиграли приз или что существует проблема с их банковским счетом. Сообщение электронной почты говорит пользователю, что ему нужно позвонить на некий телефонный номер, на котором автоматизированная голосовая система требует от человека ввести для аутентификации номер своей кредитной карты или номер социального страхования.

В 2006 году, было выявлено по крайней мере 35 фишинговых веб-сайтов, которые использовались для атак на многие банки, применяющие аутентификацию на основе токенов с одноразовыми паролями. Действующие в США правила требуют от финансовых компаний внедрять двухфакторную аутентификацию для онлайн-транзакций. Чтобы удовлетворить этому требованию, некоторые банки предоставили своим клиентам аппаратные токены, генерирующие одноразовые пароли. Для противодействия этому, фишеры создали поддельные веб-сайты, которые выглядели как сайт финансовой компании, и обманывали жертв, требуя их ввести свои одноразовые пароли. Затем эти веб-сайты отправляли эти учетные данные на реальный веб-сайт банка, аутентифицируясь от имени законных пользователей и получая доступ к их счетам.

Похожий тип атак называется фармингом (pharming), при котором жертва перенаправляется на поддельный сайт, выглядящий как легитимный. В этом типе атаки, злоумышленник использует отравление DNS (DNS poisoning), при котором сервер DNS неправильно разрешает имя узла в IP-адрес. Например, при вводе www.nicebank.com в адресную строку вашего браузера, компьютер в действительности не знает, что это такое. Браузер просматривает настройки TCP/IP, и находит в них IP-адрес DNS-сервера. Затем он посылает запрос на этот DNS-сервер, спрашивая "есть ли у тебя IP-адрес для www.nicebank.com?" DNS-сервер просматривает свои записи о ресурсах, и, найдя информацию об этом сайте, он посылает IP-адрес сервера, на котором размещена страница www.nicebank.com, обратно вашему компьютеру. Получив IP-адрес, браузер показывает главную страницу запрошенного вами сайта банка.

Теперь представьте, что будет, если злоумышленник изменит («отравит») кэш этого DNS-сервера таким образом, чтобы запись об этом ресурсе имела неправильную информацию? При вводе пользователем www.nicebank.com и отправке его системой запроса на DNS-сервер, он пришлет имеющуюся у него информацию об IP-адресе веб-сервера, не зная, что она неверна. И вместо www.nicebank.com, он отправит пользователя на www.thethief.com, который выглядит и работает точно также как и запрошенный веб-сайт. Пользователь, ничего не подозревая, вводит на нем свое имя и пароль, которые сохраняются для злоумышленника.

Преимуществом фарминг-атак для злоумышленника является то, что такие атаки могут оказать влияние на большое количество жертв, без необходимости отправки им электронной почты. Кроме того, таким образом проще обмануть жертв, поскольку они сами переходят на эти веб-сайты.

Контрмеры

Контрмеры против фишинговых атак включают следующие:
  • Скептически относитесь к пришедшим по электронной почте требованиям ввести свои учетные данные или финансовую информацию, предупреждениям о блокировке учетной записи, если не выполнить определенные действия на некоем сайте
  • Звоните в реальную компанию для подтверждения полученного по электронной почте требования
  • Проверяйте правильность ввода имени домена в адресной строке браузера
  • Вводите учетные данные или финансовую информацию только при наличии SSL-соединения и изображения закрытого замка в соответствующем месте браузера
  • Не переходите по ссылкам, полученным в HTML-сообщениях электронной почты – вручную копировать их в адресную строку браузера
  • Не принимайте электронную почту в формате HTML

Кража личности (identity theft) относится к ситуации, когда кто-то получает ключевые элементы личной информации, например, номер водительских прав, номер банковского счета, учетные данные или номер социального страхования, а затем использует эту информацию для того, чтобы выдавать себя за другого. Как правило, украденные личные данные используются для получения кредитов, приобретения товаров или услуг, получения доступа к компьютерным системам от имени жертвы (настоящего владельца этих данных). Это может привести для жертвы к испорченной кредитной истории, появлению ложных записей о криминальной деятельности, ошибочному аресту невиновных лиц. Кража личности имеет две категории: кража честного имени или захват счета. Кража честного имени означает, что вор использует украденную личную информацию для открытия новых счетов (новый банковский счет, чековый счет, кредитная карта, регистрации сотового телефона и т.п.). При захвате счета, злоумышленник использует персональную информацию, чтобы получить доступ к существующим счетам жертвы. Например, он может изменить адрес электронной почты, связанный со счетом для отправки выписок, и по-быстрому сделать с этого счета крупную покупку, прежде чем человек, личность которого была украдена, узнает о проблеме. Интернет существенно упростил использование украденной личной информации, поскольку многие операции могут осуществляться без личного присутствия.


Управление доступом – это функция безопасности, которая обычно считается первой линией обороны при защите активов. Управление доступом используются для того, чтобы указывать, каким образом объекты используют доступ к субъектам, основная цель управления доступом заключается в защите объектов от несанкционированного доступа. Эти защитные меры могут носить административный, физический или технический характер и обеспечивать превентивные, детективные, сдерживающие (или устрашающие), восстанавливающие, компенсирующие, а также корректирующие возможности.

Управление доступом определяет, каким образом пользователи должны быть идентифицированы, аутентифицированы и авторизованы. Эти задачи решаются по-разному в различных моделях и технологиях управления доступом, компании должны определить, какие из этих моделей и технологий лучше всего соответствуют их бизнесу и потребностям в обеспечении безопасности.

Комментариев нет: