TIPURI DE ATACURI ATACURI ASUPRA REŢELELOR Când spunem tip de atac ne referim la modul în care un hacker reuşeşte să preia controlul unui sistem şi ce poate el să facă după ce a reuşit penetrarea lui.
Fig. 3.2.1 O clasificare a formelor de atac Cele mai des întâlnite tipuri de atacuri sunt următoarele: a atacur atacurii socia sociall engin enginee eerin ring! g! " atacuri #o$! c scan scanăr ării şi şi spo spoof ofin ing! g! d source source routing routing şi şi alte e%ploitur e%ploiturii de protoco protocoale! ale! e e%pl e%ploi oitu turi ri de sof soft& t&ar are! e! f troi troien eni' i' (ir (iruş uşii şi şi &or &orms ms!! Atacurile de tip social engineering.
$pre deose"ire de celelalte ripuri de atacuri' aceasta nu implică nici o manipulare tehnologică a har& har&ar are)u e)ulu luii unui unui sist sistem em sau sau a (uln (ulner era" a"il ilită ită*i *iii soft soft&a &are re ale ale aces acestu tuia ia şi nu nece necesi sită tă skil skill) l) uri+cunoştin*e tehnice foarte de,(oltate. -n schim"' social engineering aduce în prim plan omul şi greşelile lui. tacatorul tre"uie doar să posede /people skills0. i câştigă încrederea userilor +sau şi mai "ine' a adminilor şi o"*in creden*ialele cu autorul cărora se pot loga pe sisteme. -n multe ca,uri' această metodă este cea mai uşoară formă de o"*inere de acces la un sistem informa*ional. ăsurile de protec*ie împotri(a acestui tip de atac sunt cel pu*in /challenging0. -n primul rând deschi,i ochii foarte "ine atunci când faci angaări. poi î*i /educi0 personalul 45. 6iciodată să nu di(ulge parole' username)uri sau informa*ii legate de sistemele administrate sau re*ea. 7i "ineîn*eles
să le e%plici fenomenul de social engineering. (ând în (edere faptul că acest tip de atac are la "a,ă încrederea prea mare în persoanele nepotri(ite' nai(itatea' frica sau alte /sentimente0 de acelaşi gen' principala metodă de apărare este educarea personalului şi nu implementarea de solu*ii tehnice. Atacuri Denial-of-Serice !DoS"
nul 2888' luna fe"ruarie. O serie de atacuri #o$ au pus la pământ &e" site)uri că #a$oo.co% sau &u#.co%. 9ă da*i seama de for*a acestor atacuri' dacă au putut să do"oare astfel de /mamu*i0 tacurile #o$ sunt printre cele mai /populare0 printre hackeri atunci când este (i,ată întreruperea ser(iciilor unei re*ele sau ale unui ser(er. $copul unui atac #o$ este de a genera o cantitate foarte mare de trafic care pune în cap ser(ere' routere sau alte de(ice)uri' astfel ele nemaifiind capa"ile să func*ione,e normal. Distri&uted Denial-of-Serice . cest tip de atac face cam acelaşi lucru ca şi #o$)ul' numai că se foloseşte pentru atingerea scopului său de către nişte computere intermediare' numite agen*i' pe care rulea,ă nişte aplica*ii +,om"ies care au fost instalate pe calculatoare anterior. ;acker)ul acti(ea,ă remote aceste /progrămele0 în aşa fel încât toate aceste sisteme intermediare să lanse,e atacul ##o$ în acelaşi timp. #in cau,ă că atacul pro(ine de la mai multe calculatoare care pot să fie răspândite prin toată lumea' originea reală a pericolului este foarte greu de găsit. şadar ##o$)ul este un pericol du"lu.
cest tip de atac e%ploatea,ă diferen*ele de mărime între #6$ =uerr>+interogarea name ser(er)ului şi #6$ response +răspunsul name ser(er)ului. tacatorul foloseşte ser(erele de #6$ ca şi amplificatoare pentru a mări traficul de #6$. Cum func*ionea,ă chestia asta tacatorul işi alege (ictima şi trimite în numele ei +4< spoofing #6$ =uerries către diferite ser(ere de #6$. $er(ere de #6$ răspund cu pachete mult mai mari decât cele din =uerries către *intă' până când "and&idth)ul acesteia pur şi simplu de(ine 8. ?e,ulta un prea frumos atac #o$' adica e%act incapacitatea targetului de a mai func*iona la parametri normali. Atacul S(' )i LA'D
tacurile de tip $@6 +s>nchroni,ation re=uest e%ploatea,ă handshake-ul three-way al protocolului de transport 5C<' procesul prin care se sta"ilişte o sesiune de comunicare între două computere. #eoarece 5C<)ul este un protocol de transport connection)oriented' o sesiune sau un link de comunicare one)to)one' tre"uie sta"ilite între cele două sisteme' înainte că ele să poată comunica între ele. Ce este fapt acest handshake şi ce presupune el $ă ,icem că un computer ini*ia,ă comunicarea cu un ser(er. ;andshake)ul dintre cele două con*ine următorii paşi: 1. Clientul trimite un segment $@6. 2. $er(erul trimite înapoi un mesa CA şi un $@6' prin care spune clientului că a primit $@6)ul lui' deasemena trimi*înd şi el la rândul lui $@6)ul propriu. 3. Clientul trimite şi el un CA prin care îl anun*ă pe ser(er că a primit $@6)ul lui. #upă ce maşinile au în*eles re=uest)urile reciproce $@6' handshake)ul este complet şi un link one)to)one între cele două este sta"ilit. $ă ,icem că un atacator trimite un $@6 înspre un ser(er cu un 4< sursă spoofed. 6ormal că ser(er) ul (a trimite înspre client un CAB$@6. #ar cum 4<)ul sursă nu este "un' ser(erul aşteaptă inutil CA)ul clientului. l nu (a (eni. $er(erul (a pune atunci CAB$@6)ul trimis către client într)un =ueue. cest =ueue poate stoca un număr limitat de mesae. Când este full' toate $@6 re=uest)urile care (or urma (or fi ignorate. $er(erul (a aunge în postura de a ignora orice re=uest (enit din partea clien*ilor legitimi. tacul 6# deri(ă din cel descris mai sus' cu un mic amendament. -n acest ca,' atacatorul în loc să trimită $@6)uri cu adrese 4< care nu e%istă' trimite pachete $@6 cu adresa 4< a clientului)target care este (ictima în acest ca,. Atacul Ping of Deat$
ai este cunoscut şi su" numele de large packet ping . $e creea,ă un pachet 4< mai mare decât (aloarea admisă de specifica*iile protocolului 4<' adică DE E3D ">tes. $istemul *intă este compromis' solu*ia fiind un re"oot+de multe ori for*at. Atacul Teardrop
cest atac are aceleaşi re,ultate ca şi cel de sus' dar metoda este alta. tes a acestor fragmente. #e e%emplu' câmpurile offset din două fragmente normale sunt ce(a de genul: fragment1: offset 1 188 fragment2: offset 181 ) 288
O grămadă de pachete 4C< echo re=uest până când se ocupă toată "anda disponi"ilă. Cred că toată lumea a au,it de flood. cestui gen de atac i se mai spune şi ping storm. Când lumini*ele router)ului sau s&itch)ului au luat)o ra,na' şi interogările în re*ea sunt fără răspuns' este foarte posi"il să fii*i *inta unei astfel de /agresiuni0. tacul fraggle este tot un fel de ping flood' dar în ce sens tacatorul foloseşte un 4< clonat +spoofing şi trimite ping)uri înspre un întreg su"net ca e%emplu. 6ormal că (a primi o grămadă de mesae echo repl> de la tot su"netul. ste de men*ionat că acest tip de atac a fost folosit în timpul ră,"oiului din Aoso(o de către hackerii sâr"i împotri(a siturilor 65O. Atacul Smurf
ste un fel de agresiune "rute force şi foloseşte aceeaşi metodă a flood)ului prin ping' numai că de data asta adresa destina*ie din pachetele 4C< echo re=uest este adresa de "roadcast a re*elei. Gn router când primeşte astfel de pachete le trimite înspre toate hosturile pe care le /maschea,ă0.
6umele acestui tip de /armă0 este edificator. $e trimit aşa de multe mailuri înspre un mail ser(er' încât acesta aunge în imposi"ilitatea de a le gestiona' iar userii legitimi nu mai pot "eneficia de ser(iciile acestuia. #in acest tip de atac a deri(at unul care presupune /înscrierea0 mail ser(erului la o grămadă de mailing lists. Scanning-ul şi spoofing-ul 5ermenul de scanner ' în conte%tul securită*ii în 45' se referă la o aplica*ie soft&are folosită de către
hackeri pentru determinarea porturilor 5C< sau G#< deschise pe un sistem. #ar şi administratorii este indicat să folosească astfel de aplica*ii' pentru a putea detecta (ulnera"ilită*ile pe sistemele proprii. Gn irus este un program creat să distrugă datele sau echipamentele unui calculator. 9iruşii sunt programe cu dimensiuni foarte mici' ascunşi fie în fişiere e%ecuta"ile fie ataşa*i unor programe +în acest ca, sunt numi*i şi para,i*i. Fred Cohen în 1HII în cartea JComputer (iruses0' +deşi încă din 1HDD Kohn (on 6eumann' în cartea L5heor> of $elf)?eproducing utomataL pune "a,ele teoretice cum că un (irus' teoretic se poate reproduce defineşte pentru prima oară formal un (irus de calculator ca fiind Lun program ce poate afecta alte programe de calculator' modificandu)le într)un mod care presupune a"ordarea unor copii e(oluate ale lor.L. stă,i în mod u,ual se în*elege prin acest termen un program care se instalea,ă fără (oia utili,atorului şi pro(oacă pagu"e atât la ni(el soft&are +în principal ne referim la sistemul de
operare cât şi în elementele hard&are +fi,ice ale computerului. ste de re*inut că un (irus nu se poate răspândi singur' este ne(oie de acceptul' in(oluntar de cele mai multe ori' al utili,atorului. $unt două categorii de (iruşi informatici: ) Hardware: (irusi informatici care distrug componente hard&are precum hard discul' unită*i optice şi chiar monitorul sau memoria +? unui calculator. %. 9irusul C4; +1HHI care deşi era con*inut în fişiere e%ecuta"ile' a(ea ca directi(e să ştergă memoria M4O$ şi să o reprograme,e cu linii inutile care făceau calculatorul inutil până la schim"area cipului. ) Software: acei (iruşi informatici meni*i să distrugă fişiere sau programe inclusi( sisteme de operare' să modifice structura unui program' să se multiplice până la refu, +umplerea hard discului la ma%im +în acest ca, "locând motoarele de căutare al acestuia' acestea cedând şi hard discul de(ine incapa"il să mai func*ione,e' să şteargă în totalitate informa*ia aflată pe disc' să încetinească (ite,a de lucru a calculatorului' aungând' nu de pu*ine ori in situa*ia de a)l "loca. Ca o defini*e a no*iunii de mal&are să apelăm la defini*ia găsită pe ro.&ikipedia.org: J*al+are este un cu(ânt creat din cu(intele malicious şi soft&are' am"ele pro(enite din lim"a engle,ă' care se referă la un tip de soft&are proiectat pentru infiltrarea şiBsau deteriorarea unui sistem al unui computer' sau a unei re*ele de computere' fără acceptarea proprietarului computerului sau a re*elei. 5ermenul mal&are este unul de utili,are mai generală folosit de profesioniştii computerelor pentru a desemna orice formă ostilă' intrusi(ă sau supărătoare de soft&are sau de cod al unui program. 5ermenul de (irus al unui computer este uneori utili,at printr)o largă includere a diferite forme de mal&are' inclu,ând însişi (iruşii informatici.0 5ot aici putem găsi şi defini*iile la următorii termeni: mal&are infectant: (iruşi şi (iermi' sp>&are' ad&are' gra>&are' cai toieni' rootkits şi "ackdoors. stfel' pre,entând succint aceste no țiuni a(em: 9iermi +&orms: Gn (ierme pe de altă parte este un program care se răspândeşte singur în cadrul unei re*ele pentru a infecta alte sisteme. #in această cau,ă +modul de răspândire se foloseşte denumirea de (iruşi pentru toate programele mal&are care sunt acti(ate prin intermediul utili,atorilor şi termenul de (ierme pentru acele forme de programe care nu necesită această formă de interac*iune din partea utili,atorilor. Nra>&are: &are +sau gre>&are se în*elege în general orice formă de aplica*ie care se comportă într)un mod agresi( şi nedorit' dar în acelaşi timp nu depăşeşte unele limite +altfel de(ine mal&are în ade(ăratul sens. Nra>&are este un termen general în care sunt cuprinşi următorii termeni: sp>&are' ad&are' dialers' oke programs' remote acces tools şi orice altă formă de de programe dăunătoare care au fost programate să lo(ească în performan*a şi siguran*a unui sistem. 5ermenul a fost introdus în urul anului 288. #eşi termenii de sp>&are şi ad&are sunt incluşi în categoria gra>&are' datorită de,(oltării lor' încep să fie pri(ite ca elemente distincte' astfel a(em următoarele defini*ii: $p>&are: $p>&are este un soft&are care colectea,ă date personale+folosite în scopuri de marketing despre utili,atori +şi o"iceiurile lor e%. sit)uri u,uale pe care le folosesc' aplica*ii u,uale' etc. fără consim*ământul lor. ste Jacceptat0 de multe sit)uri pentru "eneficiile sale din punctul de (edere al celor care primesc aceste date. 5ermenul a apârut în anul 1HHE' dar a"ia în urul anului 2888 s)a răspândit şi a fost acceptat' este foarte des asociat cu termenul de ad&are şi mal&are. d&are: #eşi este inclus în denumirea de gra>&are' termenul de ad&are este foarte folosit' pentru aceasta s)a creat o defini*ie distinctă pentru el: d&are este o (ariantă de sp>&are care nu colectea,ă date de marketing' ci doar transmite reclame. #eseori este asociată cu forma a"u,i(ă a acestor reclame +e%. un singur click care generea,ă deschiderea a 2)3' sau mai multe' pagini cu reclame. Cai troiani +5roan horses: descrie un anumit tip de sp>&are +care este la rândul său un tip de mal&are' care simulea,ă că ar reali,a ce(a util' dar care în realitate reali,ea,ă func*ii malefice care permit accesarea neautori,ată a unui calculator' respecti( copierea fişierelor' şi chiar controlarea comen,ilor calculatorului penetrat. Caii troieni' care tehnic nu sunt (iruşi informatici' pot fi descărca*i cu uşurin*ă şi în necunoştiin*ă de cau,ă. $pre deose"ire de (iruşi troienii nu se multiplică singuri' dar pot fi la fel de destructi(i ca (iruşii.
Gnul dintre cele mai întălnite tipuri de Jcal 5roan0 este acela care imită un anti(irus însă introduce de fapt (iruşi în calculatorul tău. %. Pindo&s nti(irus 288H program care prin denumirea şi aspectul său poate păcăli multă lume să)l instale,e. Rootkits Odată ce un program mal&are a fost instalat pe un sistem' este esen țial pentru el ca să rămână ascuns pentru a e(ita detec ția şi de,infecția. 5ehnica din spatele denumirii implică modificarea sistemului de operare şi a diferitelor siteme de detecție pentru a păstra anonimatul instalării sale. Ca efecte u,uale sunt: pre(enirea lansării unor aplicații care le)ar pune în pericol forma de anonimat aleasă +gen de,acti(area informațiilor afișate în task manager' "locarea anumitor aplicații să rule,e' "locarea posi"ilității de (i,uali,are sau ștergere a fi șierelor dependente' etc. 5ermenul a fost folosit original ca un set de unelte prin care un atacator asupra unui sistem G64Q prin care atacatorul putea o" ține drepturi de root la ni(elul sistemului. -n mod u,ual acest termen este folosit pentru definirea tehnicilor de ascundere a unor aplicații de către sistemul de operare. O formă e(oluată a acestora folosesc mai multe ser(icii care se restaurea,ă unul pe celălalt în funcție de necesități. Backdor Gn astfel de mal&are se definește ca o metodă prin care se sare peste anumite etape din cadrul unei autentificări normale. Odată ce sistemul a fost compromis una sau mai multe astfel de aplicații poat fi introduse' din aproape în aproape. #e o"icei se folosesc forme cumulate sistemul este compromis prin diferite forme pre,entate mai sunt după care sunt deschise diferite u și din spate +"ackdors prin care se instalea,ă alte programe mult mai periculoase. 4ni țial se credea că această formă de mal&are a fost introdusă la ni(el larg' de către companiile producătoare de soft&are pentru a putea oferi suport. 5otuși această formă' datorită riscului legal ce poate apărea' este doar la un statut de posi"ilitate. Gn termen care începe să capete din ce în ce mai multă aten ție' în special din cau,a cre șterii comerțului online' este termenul de J p!is!ing 0: o formă de acti(itate criminală care constă în o"*inerea datelor confiden*iale' cum ar fi date de acces pentru aplica*ii de tip "ancar' aplica*ii de trading sau informa*ii referitoare la căr*i de credit' folosind tehnici de manipulare a identită*ii unei persoane sau a unei institu*ii.
