Jest oczywiste, że metody stosowane przez intruzów nieustannie ewoluują, z jednej
strony wskutek pojawiania się i odkrywania nowych rodzajów luk w zabezpieczeniach
(i innych sposobności do niecnych poczynań), z drugiej natomiast
wskutek chęci omijania nowych technik mających przeciwdziałać poczynaniom
dotychczas rozpoznanym. Mimo to zachowania intruzów dają się ujmować
w ramach pewnych wzorców i modeli, które cechują się zarówno wyraźną rozpoznawalnością,
jak i wyraźną różnicą w stosunku do wzorców zachowań typowych
legalnych użytkowników. Przedstawimy trzy przypadki takich wzorców.
HAKERZY
Dla hakera motywy penetrowania cudzych systemów są w zasadzie dwa: dreszczyk
emocji oraz afirmacja własnego statusu. Społeczność hakerów rządzi się zasadami
merytokracji, zgodnie z którymi status ów zdeterminowany jest przez poziom
kompetencji. Intruzi wyszukują więc adresy potencjalnych ofiar i wymieniają te
adresy między sobą. Każdego dnia pojawiają się nowe doniesienia na temat hakerskich
dokonań - jedno z nich opisane jest w artykule D. Radcliffa [RADC04].
Kilka przykładów zachowań intruzów.
(a) Hakerzy.
- Wyszukiwanie adresów IP potencjalnych ofiar za pomocą narzędzi takich jak NSLookup czy Dig.
- Wyszukiwanie otwartych portów za pomocą Nmap i podobnych narzędzi.
- Wyszukiwanie potencjalnie "wrażliwych" usług, jak pcAnywhere.
- Ataki siłowe zmierzające do rozpoznawania haseł.
- Instalowanie narzędzi zdalnego administrowania, na przykład produktów firmy Dame Ware.
- Oczekiwanie na logowanie administratora w celu przechwycenia jego loginu i hasła.
- Wykorzystywanie przechwyconego hasła administratora do uzyskania dostępu do całej sieci.
(b) Przestępczość zorganizowana.
- Działanie szybkie i precyzyjne, a tym samym trudne do wykrycia.
- Eksplorowanie granic sieci w celu znalezienia niezabezpieczonych portów.
- Wykorzystywanie koni trojańskich do otwierania "tylnych drzwi" (backdoor) stanowiących furtkę dostępu do systemu.
- Przechwytywanie loginów i haseł logujących się użytkowników za pomocą narzędzi podsłuchujących, na przykład keyloggerów.
- Niepozostawianie lub zacieranie śladów aktywności.
- Perfekcja operacyjna, wykluczająca (a na pewno minimalizująca) popełnianie pomyłek.
(c) Destrukcja wewnętrzna.
- Tworzenie w sieci nowych kont (dla siebie i kolegów) przeznaczonych do działań destruktywnych.
- Wykorzystywanie kont i aplikacji nieużywanych zwykle w codziennej pracy.
- Wysyłanie e-maili do byłych lub potencjalnych pracodawców.
- Prowadzenie potajemnych rozmów za pomocą komunikatorów.
- Odwiedzanie serwisów WWW przeznaczonych dla sfrustrowanych pracowników, na przykład fdcompany.com.
- Intensywne ściąganie danych i kopiowanie plików.
- Dostęp do sieci firmowej poza godzinami pracy.
Źródła i Literatura:
William Stallings - "Kryptografia i bezpieczeństwo sieci komputerowych - koncepcje i metody bezpiecznej komunikacji", Wydanie V, Wydawnictwo Helion 2012, ISBN: 978-83-246-2987-9.
Polish language edition published by HELION S.A. Copyright© 2012.
Copyright© 2012 Wydawnictwo HELION S.A
WWW: http:pl/helion.pl (księgarnia internetowa, katalog książek)
Copyright© 2012 Wydawnictwo HELION S.A
WWW: http:pl/helion.pl (księgarnia internetowa, katalog książek)