Atacul informatiei

download Atacul informatiei

of 43

  • date post

    30-Jun-2015
  • Category

    Documents

  • view

    764
  • download

    17

Embed Size (px)

Transcript of Atacul informatiei

Metode de atac a Informatiei. Studii de caz13 ianuarie 2009

Ramona GHIONEA

Universitatea din Craiova, Facultatea de Matematic si Informatic a, a

ii

CuprinsI1 2

Tipologia atacurilor. Niveluri de atac.Introducere Tipologia atacurilor asupra informatiei din retelele de calculatoare 2.1 2.2 2.3 Atacuri locale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Atacuri la distanta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Niveluri de atac si niveluri de raspuns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

13 5 5 6 7 11 11 16 17

3

Tehnici si instrumente de atac asupra datelor 3.1 3.2 3.3 O posibila tipologie a programelor malitioase . . . . . . . . . . . . . . . . . . . . . . . . . . Modalitati de actiune a programelor independente de tip vierme . . . . . . . . . . . . . . Instrumente de atac de tip Cai Troieni, Back Doors-uri si bombe . . . . . . . . . . . . . . .

II4

Studii de cazStudiu de caz 1 : Phishing-ul 4.1 4.2 4.3 4.4 4.5 4.6 4.7 Istoria phishingului . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Email-uri . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Atacuri bazate pe web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IRC si mesagerie instant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vectorii de atac de tip phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Atacul "Man-in-the-middle" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Reguli de siguranta impotriva phishingului . . . . . . . . . . . . . . . . . . . . . . . . . . .

1921 21 22 22 23 23 23 24 27 27 27 30

5

Studiu de caz 2 : Categorii de virusi informatici si modul lor de actiune 5.1 5.2 5.3 Programe malitioase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Virusi de sier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Virusi de boot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

iv 5.4 5.5 5.6 5.7

CUPRINS Virusi de macro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Virusi de script . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Virusi de email . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Virusi de Chat si Instant Messaging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 31 32 33

III

Concluzii

35

Partea I

Tipologia atacurilor. Niveluri de atac.

Capitolul 1

IntroducereInformatia este un bun important care, precum alte bunuri comerciale, are valoare pentru o organizatie si trebuie protejat. Scopul managementului securitatii informatiei este de a proteja informatia de o scara larga de amenintari pentru a asigura continuitatea afacerii si pentru a minimiza daunele. Pentru ca o informatie sa e considerata sigura, trebuie sa indeplineasca trei criterii: - Condentialitate : asigura faptul ca informatia este accesibila doar celor autorizati; - Integritate : asigura acuratetea si completitudiunea informatiei si metodelor de procesare; - Disponibilitatea : asigura accesul la informatie a utilizatorilor autorizati atunci cand acestia au nevoie.(Pentru detalii consultati [5]) Securitatea este acum recunoscuta ca parte integrala a nucleului procesului de business. Abilitatea de a manageria si a proteja informatiile intr-o organizatie este importanta pana la ultimul succes sau esec al organizatiei. Prin urmare, securitatea informatiei nu mai este doar responsabilitatea departamentului de IT, ci este responsabilitatea ecarui individ din organizatie.

4

1. Introducere

Capitolul 2

Tipologia atacurilor asupra informatiei din retelele de calculatoareAtacurile asupra informatiei din sistemele de calcul pot lua diferite forme. O prima clasicare a atacurilor poate facuta tinand cont de locul de unde se executa atacul. Distingem doua categorii de atacuri: locale si la distanta . O a doua clasicare poate facuta dupa modul de interactiune a atacatorului cu informatia rezultata in urma unui atac reusit. Aici se disting doua categorii de atacuri: pasive si active.

2.1

Atacuri locale

Atacurile locale urmaresc spargerea securitatii unei retele de calculatoare de catre o persoana care face parte din personalul angajat al unei rme - utilizator local. Aceasta dispune de un cont si de o parola care-i dau acces la o parte din resursele sistemului. De asemenea, persoana respectiva poate sa aiba cunostinte despre arhitectura de securitate a rmei si in acest fel sa-i e mai usor sa lanseze atacuri.(Pentru detalii consultati [6]) Atacatorul, de la calculatorul propriu, va putea sa-si sporeasca privilegiile si in acest fel sa acceseze informatii la care nu are drept de acces. De pe calculatorul propriu va putea sa incarce programe care sa scaneze reteaua si sa gaseasca punctele vulnerabile. Daca local ii sunt limitate drepturile de congurare a modului de BOOT-are a sistemului de operare, pentru a nu se putea face incarcarea sistemului de operare de pe discheta, utilizatorul va putea trece peste aceasta daca stie combinatiile secrete de parole CMOS de la producator sau cu ajutorul a patru linii de program scrise in QBASIC care vor reinitializa CMOS-ul, anuland parola:(Citat [6]) FOR i=1 to 128; OUT &H 70, 1; OUT &H 71, 0; NEXT i. Lipsa discului exibil sau unitatii CD-ROM cu ajutorul carora sa se poata introduce programe va

6

2. Tipologia atacurilor asupra informatiei din retelele de calculatoare

suplinita de programele pe care utilizatorul le va putea procura din Internet. Obtinerea de drepturi de root, adica drepturile de administrator reprezinta telul atacatorilor.(Pentru detalii consultati [6])

2.2

Atacuri la distanta

Atacul la distanta (remote attack) este un atac lansat impotriva unui calculator despre care atacatorul nu detine nici un fel de control, calculatorul aandu-se la distanta. Calculator la distanta (sau masina la distanta - remote machine) este orice calculator care poate accesat in reteaua locala sau in Internet altul decat cel de la care se initiaza atacul.(Citat [6]) Prima etapa este una de tatonare. Atacatorul va trebui sa identice: - cine este administratorul; - calculatoarele (masinile din retea), functiile acestora si serverul de domeniu; - sistemele de operare folosite; - punctele de vulnerabilitate; - diverse informatii despre topologia retelei, constructia si administrarea acesteia, politici de securitate etc. Atunci cand calculatorul-tinta nu se aa in spatele unui rewall, eforturile de atac sunt diminuate.(Pentru detalii consultati [6]) in functie de dimensiunea si arhitectura retelei in care se aa calculatorul-tinta, folosind programe de scanare se pot obtine informatii despre numele si adresele IP ale calculatoarelor din domeniu. O interogare host va produce un volum foarte mare de informatii despre domeniu cu multe calculatoare. O interogare WHOIS va determina daca tinta este o masina reala, un nod sau un domeniu virtual. in cazul unor interogari se poate determina si sistemul de operare de pe calculatorul-tinta, aceasta usurand considerabil munca. Dar cea mai mare importanta o are colectarea informatiei despre administratorul de sistem din care provine tinta. Aceasta va aduce cele mai multe informatii utile atacatorului. Daca se determina cand, cum si cat ii ia administratorului de sistem, sau persoanei insarcinate cu securitatea, sa verice existenta eventualelor atacuri, atacatorul va initia atacurile in afara acestor perioade.(Citat [6]) A doua etapa este una de testare. Uneori, din nerabdarea de a obtine informatia cat mai repede cu putinta, aceasta etapa este omisa. Ea presupune crearea unei clone a tintei si testarea asupra atacului pentru a se vedea comportamentul. in acest fel, se fac experimente pe un calculator-clona care nu va atrage atentia. Daca aceste experimente se fac pe tinta reala, atunci acest lucru poate sesizat, atacul sa esueze si atacatorul sa e prins. Rabdarea isi va arata roadele. Etapa a treia presupune efectuarea atacului real asupra tintei. Atacul trebuie

2. Tipologia atacurilor asupra informatiei din retelele de calculatoare

7

sa dureze foarte putin si sa e efectuat atunci cand tinta este mai putin supravegheata. In urma acestui atac trebuie sa se obtina informatiile scontate. O categorie aparte o reprezinta atacurile care sunt o combinatie a celor doua. in aceasta situatie atacatorul cunoaste date despre sistemul tinta. Atacantul este ori un fost angajat, ori a intrat in posesia informatiilor referitoare la tinta de la un fost sau actual angajat al rmei. in aceasta situatie atacurile au foarte mari sorti de izbanda.(Pentru detalii consultati [6]) Atacurile pasive au ca scop mai degraba "vizualizarea" informatiei si mai putin alterarea si distrugerea acesteia. Atacurile active au ca scop furtul, inserarea, alterarea sau distrugerea informatiei.

2.3

Niveluri de atac si niveluri de raspuns

Securitatea este relativa. Desi sunt implementate ultimele tehnologii de securitate in cadrul rmei, atacurile pot surveni in orice moment. Daca atacurile locale pot surveni atunci cand atacatorul-angajat al rmei este la serviciu, atacurile la distanta pot sa survina in orice moment. Atacurile sunt lansate in asa fel incat sa nu e detectate. Pentru ca un atac sa aiba succes, acesta trebuie sa e ecient, executat cu mare viteza si in deplina clandestinitate.(Pentru detalii consultati [6]) Pentru a putea sa e ecient, atacatorul trebuie sa foloseasca instrumente si tehnici verica