Sieci Komputerowe, Wzorce zachowania intruzów i hakerów

Wzorce zachowania intruzów i hakerów

Dodaj komentarz
Jest oczywiste, że metody stosowane przez intruzów nieustannie ewoluują, z jednej strony wskutek pojawiania się i odkrywania nowych rodzajów luk w zabezpieczeniach (i innych sposobności do niecnych poczynań), z drugiej natomiast wskutek chęci omijania nowych technik mających przeciwdziałać poczynaniom dotychczas rozpoznanym. Mimo to zachowania intruzów dają się ujmować w ramach pewnych wzorców i modeli, które cechują się zarówno wyraźną rozpoznawalnością, jak i wyraźną różnicą w stosunku do wzorców zachowań typowych legalnych użytkowników. Przedstawimy trzy przypadki takich wzorców.

HAKERZY

Dla hakera motywy penetrowania cudzych systemów są w zasadzie dwa: dreszczyk emocji oraz afirmacja własnego statusu. Społeczność hakerów rządzi się zasadami merytokracji, zgodnie z którymi status ów zdeterminowany jest przez poziom kompetencji. Intruzi wyszukują więc adresy potencjalnych ofiar i wymieniają te adresy między sobą. Każdego dnia pojawiają się nowe doniesienia na temat hakerskich dokonań - jedno z nich opisane jest w artykule D. Radcliffa [RADC04].

Kilka przykładów zachowań intruzów.

(a) Hakerzy.

  1. Wyszukiwanie adresów IP potencjalnych ofiar za pomocą narzędzi takich jak NSLookup czy Dig.
  2. Wyszukiwanie otwartych portów za pomocą Nmap i podobnych narzędzi.
  3. Wyszukiwanie potencjalnie "wrażliwych" usług, jak pcAnywhere.
  4. Ataki siłowe zmierzające do rozpoznawania haseł.
  5. Instalowanie narzędzi zdalnego administrowania, na przykład produktów firmy Dame Ware.
  6. Oczekiwanie na logowanie administratora w celu przechwycenia jego loginu i hasła.
  7. Wykorzystywanie przechwyconego hasła administratora do uzyskania dostępu do całej sieci.

(b) Przestępczość zorganizowana.

  1. Działanie szybkie i precyzyjne, a tym samym trudne do wykrycia.
  2. Eksplorowanie granic sieci w celu znalezienia niezabezpieczonych portów.
  3. Wykorzystywanie koni trojańskich do otwierania "tylnych drzwi" (backdoor) stanowiących furtkę dostępu do systemu.
  4. Przechwytywanie loginów i haseł logujących się użytkowników za pomocą narzędzi podsłuchujących, na przykład keyloggerów.
  5. Niepozostawianie lub zacieranie śladów aktywności.
  6. Perfekcja operacyjna, wykluczająca (a na pewno minimalizująca) popełnianie pomyłek.

(c) Destrukcja wewnętrzna.

  1. Tworzenie w sieci nowych kont (dla siebie i kolegów) przeznaczonych do działań destruktywnych.
  2. Wykorzystywanie kont i aplikacji nieużywanych zwykle w codziennej pracy.
  3. Wysyłanie e-maili do byłych lub potencjalnych pracodawców.
  4. Prowadzenie potajemnych rozmów za pomocą komunikatorów.
  5. Odwiedzanie serwisów WWW przeznaczonych dla sfrustrowanych pracowników, na przykład fdcompany.com.
  6. Intensywne ściąganie danych i kopiowanie plików.
  7. Dostęp do sieci firmowej poza godzinami pracy.


Źródła i Literatura:
William Stallings - "Kryptografia i bezpieczeństwo sieci komputerowych - koncepcje i metody bezpiecznej komunikacji", Wydanie V, Wydawnictwo Helion 2012, ISBN: 978-83-246-2987-9.
Polish language edition published by HELION S.A. Copyright© 2012.
Copyright© 2012 Wydawnictwo HELION S.A
WWW: http:pl/helion.pl (księgarnia internetowa, katalog książek)

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *