Quels sont les types d’attaques informatiques ? Types d'attaques réseau

Conférence 33 Types et types d'attaques réseau

Conférence 33

Sujet : Types et types d'attaques réseau

Une attaque de réseau à distance est un effet destructeur d'informations sur un système informatique distribué, réalisé par programme via des canaux de communication.

Introduction

Pour organiser les communications dans un environnement réseau hétérogène, un ensemble de protocoles TCP/IP sont utilisés, assurant la compatibilité entre ordinateurs de différents types. Cet ensemble Les protocoles ont gagné en popularité en raison de leur compatibilité et de leur accès aux ressources de l'Internet mondial et sont devenus la norme pour l'interconnexion des réseaux. Cependant, l’omniprésence de la pile de protocoles TCP/IP a également révélé ses faiblesses. Cela rend les systèmes distribués particulièrement sensibles aux attaques à distance, puisque leurs composants utilisent généralement canaux ouverts transmission de données, et l'intrus peut non seulement écouter passivement les informations transmises, mais également modifier le trafic transmis.

La difficulté de détecter une attaque à distance et la relative facilité de mise en œuvre (en raison de la fonctionnalité redondante des systèmes modernes) placent ce type d'action illégale au premier rang en termes de degré de danger et empêchent une réponse rapide à la menace, comme un ce qui fait que l'attaquant augmente ses chances de réussir son attaque.

Classification des attaques

Par la nature de l'impact

Passif

Actif

L'impact passif sur un système informatique distribué (DCS) est un impact qui n'affecte pas directement le fonctionnement du système, mais qui peut en même temps violer sa politique de sécurité. L'absence d'influence directe sur le fonctionnement du RVS conduit précisément au fait que l'influence passive à distance (RPI) est difficile à détecter. Un exemple possible de PUV typique dans un DCS est l’écoute d’un canal de communication dans un réseau.

Impact actif sur le DCS - un impact qui a un impact direct sur le fonctionnement du système lui-même (altération de la fonctionnalité, modification de la configuration du DCS, etc.), qui viole la politique de sécurité qui y est adoptée. Presque tous les types d’attaques à distance sont des influences actives. Cela est dû au fait que la nature même de l’effet néfaste inclut un principe actif. La nette différence entre l'influence active et l'influence passive réside dans la possibilité fondamentale de sa détection, car à la suite de sa mise en œuvre, des changements se produisent dans le système. Avec une influence passive, il ne reste absolument aucune trace (du fait que l'attaquant voit le message de quelqu'un d'autre dans le système, rien ne changera au même moment).

Par but d'influence

Violation du fonctionnement du système (accès au système)

Violation de l'intégrité des ressources informationnelles (RI)

Violation de la confidentialité des RI

Cette caractéristique, par laquelle la classification est effectuée, est essentiellement une projection directe de trois types fondamentaux de menaces : déni de service, divulgation et violation de l'intégrité.

L’objectif principal poursuivi dans presque toutes les attaques est d’obtenir un accès non autorisé aux informations. Il existe deux options fondamentales pour obtenir des informations : la distorsion et l'interception. La possibilité d'intercepter l'information signifie d'y accéder sans possibilité de la modifier. L'interception d'informations entraîne donc une violation de leur confidentialité. L'écoute d'une chaîne sur un réseau est un exemple d'interception d'informations. Dans ce cas, il y a un accès illégitime à l'information sans options possibles son remplaçant. Il est également évident que la violation de la confidentialité des informations fait référence à des influences passives.

La possibilité de substitution d'informations doit être comprise soit comme controle total sur le flux d’informations entre les objets du système ou sur la capacité de transmettre divers messages au nom de quelqu’un d’autre. Par conséquent, il est clair que la substitution d’informations entraîne une violation de leur intégrité. Une telle influence destructrice d’informations est un exemple typique d’influence active. Un exemple d’attaque à distance conçue pour violer l’intégrité des informations est l’attaque à distance (RA) « faux objet RVS ».

Basé sur la présence d'un retour d'information de l'objet attaqué

Avec commentaires

Pas de feedback (attaque unidirectionnelle)

L'attaquant envoie des requêtes à l'objet attaqué, auxquelles il s'attend à recevoir une réponse. Par conséquent, un retour d'information apparaît entre l'attaquant et l'attaquant, permettant au premier de réagir de manière adéquate à toutes sortes de changements dans l'objet attaqué. C'est l'essence même d'une attaque à distance, menée en présence d'un retour d'information de l'objet attaquant. De telles attaques sont les plus typiques du RVS.

Les attaques en boucle ouverte se caractérisent par le fait qu’elles n’ont pas besoin de réagir aux changements de l’objet attaqué. De telles attaques sont généralement réalisées en envoyant des requêtes uniques à l'objet attaqué. L'attaquant n'a pas besoin de réponses à ces demandes. Un tel UA peut également être appelé UA unidirectionnel. Un exemple d’attaque unidirectionnelle est une attaque DoS typique.

Selon la condition du début de l'impact

L’influence à distance, comme toute autre, ne peut commencer à se produire que sous certaines conditions. Il existe trois types de telles attaques conditionnelles dans RVS :

Attaque sur demande de l'objet attaqué

Attaque sur survenance d'un événement attendu sur l'objet attaqué

Attaque inconditionnelle

L'impact de l'attaquant commencera à condition que la cible potentielle de l'attaque transmette une demande d'un certain type. Une telle attaque peut être qualifiée d’attaque à la demande de l’objet attaqué. Ce type d'UA est le plus typique du RVS. Un exemple de telles requêtes sur Internet sont les requêtes DNS et ARP, et dans Novell NetWare, les requêtes SAP.

Une attaque lors de l'apparition d'un événement attendu sur l'objet attaqué. L'attaquant surveille en permanence l'état du système d'exploitation de la cible distante de l'attaque et commence à influencer lorsqu'un événement spécifique se produit dans ce système. L'objet attaqué est lui-même l'initiateur de l'attaque. Un exemple d'un tel événement serait lorsque la session d'un utilisateur avec le serveur est interrompue sans émettre la commande LOGOUT dans Novell NetWare.

Une attaque inconditionnelle est effectuée immédiatement et quel que soit l'état du système d'exploitation et de l'objet attaqué. Dans ce cas, l’attaquant est donc l’initiateur de l’attaque.

Si le fonctionnement normal du système est perturbé, d'autres objectifs sont poursuivis et l'attaquant ne devrait pas accéder illégalement aux données. Son objectif est de désactiver le système d'exploitation de l'objet attaqué et de rendre impossible l'accès des autres objets système aux ressources de cet objet. Un exemple d’attaque de ce type est une attaque DoS.

Par localisation du sujet de l'attaque par rapport à l'objet attaqué

Intrasegmentaire

Intersegmentaire

Quelques définitions :

La source de l'attaque (le sujet de l'attaque) est le programme (éventuellement l'opérateur) qui mène l'attaque et qui a un impact direct.

Hôte - un ordinateur qui est un élément du réseau.

Le routeur est un appareil qui achemine les paquets sur un réseau.

Un sous-réseau est un groupe d'hôtes qui font partie d'un réseau mondial, se différenciant par le fait que le routeur leur attribue le même numéro de sous-réseau. On peut aussi dire qu'un sous-réseau est une association logique d'hôtes via un routeur. Les hôtes du même sous-réseau peuvent communiquer directement entre eux sans utiliser de routeur.

Un segment de réseau est une combinaison d'hôtes au niveau physique.

Du point de vue d'une attaque à distance, la localisation relative du sujet et de l'objet de l'attaque est extrêmement importante, c'est-à-dire s'ils se trouvent dans des segments différents ou identiques. Lors d'une attaque intra-segment, le sujet et la cible de l'attaque se situent dans le même segment. Dans le cas d'une attaque intersegment, le sujet et la cible de l'attaque se situent dans des segments de réseau différents. Cette fonctionnalité de classification permet de juger du « degré d’éloignement » de l’attaque.

On montrera ci-dessous qu'une attaque intra-segment est beaucoup plus facile à réaliser qu'une attaque inter-segment. Nous notons également qu'une attaque à distance inter-segment présente un danger bien plus grand qu'une attaque intra-segment. Cela est dû au fait que dans le cas d'une attaque intersegmentaire, la cible et l'attaquant peuvent être situés à plusieurs milliers de kilomètres l'un de l'autre, ce qui peut entraver considérablement les mesures visant à repousser l'attaque.

Selon le niveau du modèle de référence ISO/OSI auquel l'impact est réalisé

Physique

Canal

Réseau

Transport

Session

Représentant

Appliqué

L'Organisation internationale de normalisation (ISO) a adopté la norme ISO 7498, qui décrit l'interconnexion des systèmes ouverts (OSI), à laquelle appartiennent également les RBC. Chaque protocole réseau Exchange, ainsi que chaque programme réseau, peuvent être projetés d'une manière ou d'une autre sur le modèle OSI de référence à 7 niveaux. Cette projection multi-niveaux permet de décrire les fonctions utilisées dans un protocole ou un programme réseau en termes de modèle OSI. UA est un programme réseau, et il est logique de le considérer du point de vue de la projection sur le modèle de référence ISO/OSI.

Brève description certaines attaques de réseau

Fragmentation des données

Lorsqu'un paquet de données IP est transmis sur un réseau, le paquet peut être divisé en plusieurs fragments. Par la suite, une fois arrivé à destination, le paquet est reconstruit à partir de ces fragments. Un attaquant peut lancer l'envoi d'un grand nombre de fragments, ce qui entraîne un débordement des tampons logiciels du côté réception et, dans certains cas, un crash du système.

Attaque par inondation de ping

Cette attaque nécessite que l'attaquant ait accès à des canaux Internet rapides.

Le programme ping envoie un paquet ICMP de type ECHO REQUEST, y fixant l'heure et son identifiant. Le noyau de la machine réceptrice répond à une telle requête avec un paquet ICMP ECHO REPLY. Après l'avoir reçu, ping affiche la vitesse du paquet.

En mode de fonctionnement standard, les paquets sont envoyés à intervalles réguliers, pratiquement sans charge sur le réseau. Mais en mode « agressif », un flot de paquets de requête/réponse d'écho ICMP peut provoquer une congestion sur une petite ligne, l'empêchant de transmettre des informations utiles.

Protocoles non standards encapsulés en IP

Le paquet IP contient un champ qui précise le protocole du paquet encapsulé (TCP, UDP, ICMP). Les attaquants peuvent utiliser une valeur non standard de ce champ pour transmettre des données qui ne seront pas enregistrées par les outils standard de contrôle des flux d'informations.

Attaque de Schtroumpf

L'attaque schtroumpf consiste à envoyer des requêtes ICMP diffusées au réseau au nom de l'ordinateur victime.

En conséquence, les ordinateurs qui ont reçu de tels paquets diffusés répondent à l'ordinateur victime, ce qui entraîne une réduction significative du débit du canal de communication et, dans certains cas, l'isolement complet du réseau attaqué. L’attaque des Schtroumpfs est extrêmement efficace et répandue.

Contre-attaque : pour reconnaître cette attaque, il est nécessaire d'analyser la charge du canal et de déterminer les raisons de la diminution du débit.

Attaque d'usurpation DNS

Le résultat de cette attaque est l'introduction d'une correspondance forcée entre une adresse IP et un nom de domaine dans le cache du serveur DNS. À la suite d'une attaque réussie, tous les utilisateurs du serveur DNS recevront des informations incorrectes sur noms de domaine et les adresses IP. Cette attaque se caractérise par un grand nombre de paquets DNS portant le même nom de domaine. Cela est dû à la nécessité de sélectionner certains paramètres d'échange DNS.

Contre-attaque : pour détecter une telle attaque, il est nécessaire d'analyser le contenu du trafic DNS ou d'utiliser DNSSEC.

Attaque d'usurpation d'adresse IP

Un grand nombre d'attaques sur Internet sont associées à l'usurpation de l'adresse IP source. De telles attaques incluent également l'usurpation d'identité Syslog, qui consiste à envoyer un message à l'ordinateur victime au nom d'un autre ordinateur du réseau interne. Puisque le protocole syslog est utilisé pour maintenir journaux système, en transmettant de faux messages à l'ordinateur de la victime, vous pouvez imposer des informations ou dissimuler les traces d'un accès non autorisé.

Contre-mesures : la détection des attaques liées à l'usurpation d'adresse IP est possible en surveillant la réception sur l'une des interfaces d'un paquet avec l'adresse source de la même interface ou en surveillant la réception de paquets avec les adresses IP du réseau interne sur l'interface externe .

Imposition de forfaits

L'attaquant envoie des paquets avec une fausse adresse de retour sur le réseau. Avec cette attaque, un attaquant peut basculer les connexions établies entre d'autres ordinateurs vers son propre ordinateur. Dans ce cas, les droits d'accès de l'attaquant deviennent égaux aux droits de l'utilisateur dont la connexion au serveur a été basculée sur l'ordinateur de l'attaquant.

Renifler - écouter une chaîne

Possible uniquement dans le segment du réseau local.

Presque toutes les cartes réseau prennent en charge la capacité d'intercepter les paquets transmis via canal général réseau local. Dans ce cas, le poste de travail peut recevoir des paquets adressés à d'autres ordinateurs sur le même segment de réseau. Ainsi, tous les échanges d'informations dans le segment du réseau deviennent accessibles à l'attaquant. Pour réussir à mettre en œuvre cette attaque, l'ordinateur de l'attaquant doit être situé dans le même segment de réseau local que l'ordinateur attaqué.

Interception de paquets sur le routeur

Le logiciel réseau d'un routeur a accès à tous les paquets réseau envoyés via le routeur, permettant ainsi l'interception des paquets. Pour mener cette attaque, l'attaquant doit disposer d'un accès privilégié à au moins un routeur du réseau. Étant donné qu’un grand nombre de paquets sont généralement transmis via un routeur, leur interception totale est presque impossible. Cependant, des paquets individuels peuvent très bien être interceptés et stockés pour une analyse ultérieure par un attaquant. Le moyen le plus efficace consiste à intercepter les paquets FTP contenant les mots de passe des utilisateurs, ainsi que E-mail.

Forcer une fausse route sur un hôte à l'aide d'ICMP

Sur Internet, il existe un protocole spécial ICMP (Internet Control Message Protocol), dont l'une des fonctions est d'informer les hôtes du changement de routeur actuel. Ce message de contrôle est appelé redirection. Il est possible d'envoyer un faux message de redirection depuis n'importe quel hôte du segment de réseau au nom du routeur vers l'hôte attaqué. En conséquence, la table de routage actuelle de l'hôte change et, à l'avenir, tout le trafic réseau de cet hôte passera, par exemple, par l'hôte qui a envoyé le faux message de redirection. De cette manière, il est possible d’imposer activement un faux itinéraire au sein d’un segment d’Internet.

Outre les données régulières envoyées via une connexion TCP, la norme prévoit également la transmission de données urgentes (hors bande). Au niveau des formats de paquets TCP, cela s'exprime sous la forme d'un pointeur urgent non nul. La plupart des PC sur lesquels Windows est installé disposent du protocole réseau NetBIOS, qui utilise trois ports IP pour ses besoins : 137, 138, 139. Si vous vous connectez à une machine Windows via le port 139 et y envoyez plusieurs octets de données OutOfBand, alors l'implémentation NetBIOS ne sachant pas quoi faire de ces données, il se bloque ou redémarre simplement la machine. Pour Windows 95, cela ressemble généralement à un écran de texte bleu indiquant une erreur dans le pilote TCP/IP et l'incapacité de travailler avec le réseau jusqu'au redémarrage du système d'exploitation. NT 4.0 sans service packs redémarre, NT 4.0 avec le pack ServicePack 2 plante sur un écran bleu. À en juger par les informations provenant du réseau, Windows NT 3.51 et Windows 3.11 pour Workgroups sont tous deux susceptibles d'être victimes d'une telle attaque.

L'envoi de données au port 139 entraîne un redémarrage de NT 4.0, ou un « écran bleu de la mort » avec l'installation du Service Pack 2. Un envoi similaire de données au 135 et à certains autres ports entraîne une charge importante sur le processus RPCSS.EXE. Sur Windows NT WorkStation, cela entraîne un ralentissement important ; Windows NT Server se bloque pratiquement.

Usurpation d'hôte de confiance

La mise en œuvre réussie d'attaques à distance de ce type permettra à l'attaquant d'ouvrir une session avec le serveur au nom d'un hôte de confiance. (Hôte de confiance - une station légalement connectée au serveur). La mise en œuvre de ce type d’attaque consiste généralement à envoyer des paquets d’échange depuis le poste de l’attaquant pour le compte d’un poste de confiance sous son contrôle.

Technologies de détection des attaques

Les technologies des réseaux et de l’information évoluent si rapidement que les mécanismes de protection statiques, notamment les systèmes de contrôle d’accès, les pare-feu et les systèmes d’authentification, ne peuvent dans de nombreux cas assurer une protection efficace. Par conséquent, des méthodes dynamiques sont nécessaires pour détecter et prévenir rapidement les violations de sécurité. Une technologie capable de détecter les violations qui ne peuvent pas être identifiées à l’aide des modèles de contrôle d’accès traditionnels est la technologie de détection d’intrusion.

Essentiellement, le processus de détection des attaques est le processus d'évaluation des activités suspectes qui se produisent sur un réseau d'entreprise. En d’autres termes, la détection d’intrusion est le processus d’identification et de réponse à une activité suspecte dirigée vers les ressources informatiques ou réseau.

Méthodes d'analyse des informations sur le réseau

L'efficacité d'un système de détection d'attaque dépend en grande partie des méthodes utilisées pour analyser les informations reçues. Les premiers systèmes de détection d'intrusion, développés au début des années 1980, utilisaient des méthodes statistiques pour détecter les attaques. Actuellement, un certain nombre de nouvelles techniques ont été ajoutées à l'analyse statistique, à commencer par systèmes experts et logique floue et se terminant par l'utilisation les réseaux de neurones.

Méthode statistique

Les principaux avantages de l'approche statistique sont l'utilisation d'un appareil de statistique mathématique déjà développé et éprouvé et l'adaptation au comportement du sujet.

Premièrement, des profils sont déterminés pour tous les sujets du système analysé. Tout écart du profil utilisé par rapport à celui de référence est considéré comme une activité non autorisée. Les méthodes statistiques sont universelles car l’analyse ne nécessite pas de connaissance des attaques possibles et des vulnérabilités qu’elles exploitent. Cependant, lors de l'utilisation de ces techniques, des problèmes surviennent :

les systèmes « statistiques » ne sont pas sensibles à l’ordre des événements ; dans certains cas, les mêmes événements, selon l'ordre dans lequel ils se produisent, peuvent caractériser une activité anormale ou normale ;

Il est difficile de fixer les valeurs limites (seuils) des caractéristiques surveillées par le système de détection d'intrusion afin d'identifier adéquatement toute activité anormale ;

Les systèmes « statistiques » peuvent être « entraînés » par les attaquants au fil du temps afin que les actions d'attaque soient considérées comme normales.

Il convient également de tenir compte du fait que les méthodes statistiques ne sont pas applicables dans les cas où il n'existe pas de modèle de comportement typique pour l'utilisateur ou lorsque des actions non autorisées sont typiques de l'utilisateur.

Systèmes experts

Les systèmes experts consistent en un ensemble de règles qui capturent les connaissances d'un expert humain. L'utilisation de systèmes experts est une méthode courante de détection d'attaques dans laquelle les informations sur l'attaque sont formulées sous forme de règles. Ces règles peuvent être écrites, par exemple, sous forme d’une séquence d’actions ou sous forme de signature. Lorsque l'une de ces règles est respectée, une décision est prise concernant la présence d'une activité non autorisée. Un avantage important de cette approche est l’absence presque totale de fausses alarmes.

La base de données du système expert doit contenir des scripts pour la plupart des attaques actuellement connues. Afin de rester constamment à jour, les systèmes experts nécessitent une mise à jour constante de la base de données. Bien que les systèmes experts offrent bonne occasion Pour afficher les données du journal, les mises à jour requises peuvent être ignorées ou effectuées manuellement par l'administrateur. Au minimum, cela se traduit par un système expert aux capacités affaiblies. Dans le pire des cas, le manque de maintenance appropriée réduit la sécurité de l’ensemble du réseau, induisant ainsi les utilisateurs en erreur sur le niveau réel de sécurité.

Le principal inconvénient est l’incapacité de repousser les attaques inconnues. De plus, même une légère modification d'une attaque déjà connue peut devenir un obstacle sérieux au fonctionnement du système de détection d'attaque.

Les réseaux de neurones

La plupart des méthodes modernes de détection des attaques utilisent une certaine forme d’analyse spatiale contrôlée, soit une approche basée sur des règles, soit une approche statistique. L'espace contrôlé peut être constitué de journaux ou de trafic réseau. L'analyse est basée sur un ensemble de règles prédéfinies créées par l'administrateur ou le système de détection d'intrusion lui-même.

Toute séparation d'une attaque dans le temps ou entre plusieurs attaquants est difficile à détecter à l'aide de systèmes experts. En raison de la grande variété d'attaques et de pirates informatiques, même ponctuels, les mises à jour continues de la base de données des règles du système expert ne garantiront jamais une identification précise de l'ensemble des attaques.

L’utilisation de réseaux de neurones est une des voies permettant de pallier ces problèmes de systèmes experts. Contrairement aux systèmes experts, qui peuvent donner à l'utilisateur une réponse définitive sur la conformité des caractéristiques considérées avec les règles intégrées dans la base de données, un réseau de neurones analyse les informations et offre la possibilité d'évaluer si les données sont cohérentes avec les caractéristiques qu'elles contiennent. formés à reconnaître. Alors que le degré de correspondance d'une représentation d'un réseau neuronal peut atteindre 100 %, la fiabilité du choix dépend entièrement de la qualité du système dans l'analyse des exemples de la tâche.

Tout d’abord, le réseau neuronal est entraîné à s’identifier correctement à l’aide d’un échantillon présélectionné d’exemples de domaine. La réponse du réseau neuronal est analysée et le système est ajusté de manière à obtenir des résultats satisfaisants. En plus de la période de formation initiale, le réseau neuronal acquiert de l'expérience au fil du temps en analysant les données spécifiques au domaine.

Un avantage important des réseaux neuronaux dans la détection des abus est leur capacité à « apprendre » les caractéristiques des attaques délibérées et à identifier les éléments qui ne ressemblent pas à ceux observés précédemment sur le réseau.

Chacune des méthodes décrites présente un certain nombre d'avantages et d'inconvénients, il est donc désormais presque difficile de trouver un système qui implémente une seule des méthodes décrites. En règle générale, ces méthodes sont utilisées en combinaison.

Types d'attaques

La pénétration dans un réseau informatique s'effectue sous forme d'attaques.

Une attaque est un événement au cours duquel des personnes extérieures tentent de pénétrer dans les réseaux de quelqu'un d'autre. Une attaque réseau moderne implique souvent l’exploitation de vulnérabilités logicielles. Certaines des attaques les plus courantes au début des années 2000 étaient les attaques ciblées par déni de service, les attaques DoS (Dental of Service) et les attaques DDoS distribuées (Distributed DoS). Une attaque DoS rend la cible de l'attaque indisponible pour une utilisation normale en dépassant les limites autorisées du fonctionnement d'un tel périphérique réseau. Le DoS est une attaque ciblée (concentrée), car elle provient d’une source unique. Dans le cas des DDoS distribués, l’attaque est menée à partir de plusieurs sources réparties dans l’espace, appartenant souvent à des réseaux différents. Il y a plusieurs années, le terme code de logiciel malveillant du complexe militaro-industriel a commencé à être utilisé, ce qui désigne des virus, des vers, des systèmes de chevaux de Troie, des outils d'attaque de réseau, d'envoi de spam et d'autres actions indésirables pour l'utilisateur. Compte tenu de la nature diversifiée des menaces, les systèmes de protection modernes sont devenus complexes et à plusieurs niveaux. Les vers de réseau distribuent des copies d'eux-mêmes sur les réseaux informatiques par courrier électronique et par messagerie. Les chevaux de Troie les plus courants aujourd'hui sont ceux qui effectuent des actions non autorisées : ils détruisent les données et utilisent les ressources informatiques à des fins malveillantes. Les chevaux de Troie les plus dangereux incluent les logiciels espions. Il collecte des informations sur toutes les actions de l’utilisateur, puis, sans que l’utilisateur ne s’en aperçoive, transmet ces informations aux attaquants. L'année 2007 peut être qualifiée d'année de la « mort » des logiciels malveillants non commerciaux. Personne ne développe plus ces programmes d’expression personnelle. On peut noter qu'en 2007 pas un seul malware n'aurait aucune base financière. L'un des nouveaux logiciels malveillants est considéré comme Storm Worm, apparu en janvier 2007. Pour se propager, le ver a utilisé à la fois des méthodes traditionnelles, telles que le courrier électronique, et la distribution sous forme de fichiers vidéo. La technique consistant à cacher sa présence dans un système (rootkits) peut être utilisée non seulement dans Programmes chevaux de Troie, mais aussi dans les virus de fichiers. Les logiciels malveillants s'efforcent désormais de survivre sur le système même après leur découverte.

L’un des moyens dangereux de cacher leur présence consiste à utiliser la technologie d’infection du chargeur de démarrage. secteur dur disque - ce qu'on appelle des « bootkits ». Un tel programme malveillant peut prendre le contrôle avant même le chargement de la partie principale du système d'exploitation.

L'éventail des problèmes de sécurité ne se limite plus à la tâche de protection contre les virus, à laquelle nous devions faire face il y a environ cinq ans. Le danger de fuites d'informations internes est devenu plus grave que menaces externes. En outre, au début du XXIe siècle, la criminalité informatique avait pour objectif le vol d’informations économiques, de comptes bancaires, la perturbation des systèmes d’information des concurrents et l’envoi massif de publicités. Les internes, c'est-à-dire les employés de l'entreprise qui ont accès à des informations confidentielles et les utilisent à des fins défavorables, représentent une menace moindre, et parfois même plus grande, pour les systèmes informatiques de l'entreprise. De nombreux experts estiment que les dégâts causés par les initiés ne sont pas moins importants que ceux causés par les logiciels malveillants. Il est caractéristique qu'une part importante des fuites d'informations ne soient pas dues aux actions malveillantes des employés, mais à leur inattention. Les principaux moyens techniques permettant de lutter contre de tels facteurs devraient être les moyens d'authentification et de gestion de l'accès aux données. Cependant, le nombre d’incidents continue de croître (d’environ 30 % par an ces dernières années). Progressivement, des outils anti-fuite/protection interne commencent à être intégrés dans système commun protection des informations. En conclusion, nous proposons une classification généralisée des menaces réseau (Fig. 11.3)

Il existe quatre grandes catégories d'attaques :

· attaques d'accès ;

· attaques de modification ;

· attaques par déni de service ;

· attaques contre la clause de non-responsabilité.

Examinons de plus près chaque catégorie. Il existe de nombreuses manières de mener des attaques : en utilisant des outils spécialement développés, des méthodes d'ingénierie sociale et en utilisant les vulnérabilités des systèmes informatiques. En ingénierie sociale, ils ne sont pas utilisés pour obtenir un accès non autorisé au système. moyens techniques. L'attaquant obtient des informations via un réseau régulier appel téléphonique ou pénètre dans l'organisation sous le couvert d'un employé. Ces types d'attaques sont les plus destructeurs.

Les attaques visant à capturer des informations stockées électroniquement présentent une caractéristique intéressante : les informations ne sont pas volées, mais copiées. Il reste chez le propriétaire d'origine, mais l'attaquant le reçoit également. Ainsi, le propriétaire de l'information subit des pertes et il est très difficile de détecter le moment où cela s'est produit.

Attaques d'accès

Attaque d'accès est une tentative d'un attaquant d'obtenir des informations qu'il n'est pas autorisé à consulter. Une telle attaque est possible partout où existent des informations et des moyens de transmission. Une attaque d'accès vise à violer la confidentialité des informations. On distingue les types d'attaques d'accès suivants :

· regarder;

· les écoutes clandestines ;

· interceptions.

Lorgnant(espionnage) consiste à consulter des fichiers ou des documents pour rechercher des informations susceptibles d'intéresser l'attaquant. Si les documents sont stockés sous forme d’imprimés, l’attaquant ouvrira les tiroirs du bureau et les fouillera. Si l'information se trouve sur un système informatique, il parcourra fichier après fichier jusqu'à ce qu'il trouve l'information dont il a besoin.

Écoute clandestine(écoute clandestine) est l’écoute clandestine non autorisée d’une conversation à laquelle l’attaquant ne participe pas. Pour obtenir un accès non autorisé aux informations, dans ce cas, l'attaquant doit en être proche. Très souvent, il utilise des appareils électroniques. Mise en œuvre réseaux sans fil augmente les chances de réussite d'une audition. Désormais, l’attaquant n’a plus besoin d’être à l’intérieur du système ni de connecter physiquement le dispositif d’écoute clandestine au réseau.

Contrairement aux écoutes clandestines interception(interception) est une attaque active. L'attaquant capture les informations au fur et à mesure qu'elles sont transmises à leur destination. Après avoir analysé les informations, il prend la décision d'autoriser ou d'interdire leur passage ultérieur.

Les attaques d'accès prennent diverses formes selon le mode de stockage des informations : sous forme de documents papier ou par voie électronique sur ordinateur. Si les informations dont un attaquant a besoin sont stockées dans des documents papier, il devra avoir accès à ces documents. On les retrouve aux endroits suivants : dans des classeurs, dans des tiroirs ou sur des tables, dans un télécopieur ou une imprimante, dans une poubelle, dans une archive. Par conséquent, un attaquant doit pénétrer physiquement dans tous ces emplacements.

Ainsi, accès physique est la clé pour obtenir des données. Il convient de noter que protection fiable les locaux protégeront les données uniquement des personnes non autorisées, mais pas des employés de l'organisation ou des utilisateurs internes.

Les informations sont stockées électroniquement : sur les postes de travail, sur les serveurs, sur les ordinateurs portables, sur disquettes, sur CD, sur bandes magnétiques de sauvegarde.

Un attaquant peut simplement voler un support de stockage (disquette, CD, bande de sauvegarde ou ordinateur portable). Parfois, cela est plus facile à faire que d'accéder aux fichiers stockés sur les ordinateurs.

Si un attaquant a un accès légal au système, il analysera les fichiers en les ouvrant simplement un par un. Avec un contrôle d'autorisation approprié, l'accès à un utilisateur illégal sera refusé et les tentatives d'accès seront enregistrées dans les journaux.

Des autorisations correctement configurées empêcheront les fuites accidentelles d’informations. Cependant, un attaquant sérieux tentera de contourner le système de contrôle et d'accéder à information nécessaire. Existe un grand nombre de vulnérabilités qui l’aideront dans ce domaine.

Au fur et à mesure que les informations transitent par le réseau, elles sont accessibles en écoutant la transmission. Pour ce faire, l'attaquant installe un analyseur de paquets réseau (renifleur) sur le système informatique. Généralement un ordinateur configuré pour tout capturer trafic réseau(pas seulement le trafic adressé cet ordinateur). Pour ce faire, l'attaquant doit augmenter son autorité dans le système ou se connecter au réseau. L'analyseur est configuré pour capturer toutes les informations transitant par le réseau, mais surtout les identifiants utilisateur et les mots de passe.

Les écoutes clandestines sont également effectuées dans les réseaux informatiques mondiaux tels que les lignes louées et les connexions téléphoniques. Toutefois, ce type d’interception nécessite un équipement approprié et des connaissances particulières.

L'interception est possible même dans les systèmes de communication par fibre optique à l'aide d'équipements spécialisés, généralement effectués par un attaquant expérimenté.

L'accès aux informations par interception est l'une des tâches les plus difficiles pour un attaquant. Pour réussir, il doit placer son système dans les lignes de transmission entre l'expéditeur et le destinataire de l'information. Sur Internet, cela se fait en modifiant la résolution du nom, ce qui entraîne la conversion du nom de l'ordinateur en une adresse incorrecte. Le trafic est redirigé vers le système de l'attaquant au lieu du nœud de destination réel. Si un tel système est configuré correctement, l'expéditeur ne saura jamais que ses informations ne sont pas parvenues au destinataire.

L'interception est également possible lors d'une session de communication valide. Ce type d'attaque est le mieux adapté pour détourner le trafic interactif. Dans ce cas, l’attaquant doit se trouver dans le même segment de réseau où se trouvent le client et le serveur. L'attaquant attend qu'un utilisateur légitime ouvre une session sur le serveur, puis, à l'aide d'un logiciel spécialisé, détourne la session pendant son exécution.

Attaques de modifications

Attaque de modification est une tentative de modification non autorisée des informations. Une telle attaque est possible partout où des informations existent ou sont transmises. Il vise à violer l’intégrité de l’information.

Un type d'attaque de modification est remplacement informations existantes, par exemple, un changement dans le salaire d'un employé. Une attaque de remplacement cible à la fois les informations secrètes et publiques.

Un autre type d'attaque est ajout de nouvelles données, par exemple, en informations sur l'histoire des périodes passées. Dans ce cas, l'attaquant effectue une transaction dans le système bancaire, à la suite de laquelle les fonds du compte du client sont transférés vers son propre compte.

Attaque suppression signifie déplacer des données existantes, comme l'annulation d'une entrée de transaction du bilan d'une banque, entraînant des retraits du compte espèces reste dessus.

Comme les attaques d’accès, les attaques de modification sont menées contre des informations stockées sous forme de documents papier ou électroniquement sur un ordinateur.

Il est difficile de modifier des documents sans que personne ne s'en aperçoive : s'il y a une signature (par exemple dans un contrat), il faut veiller à la falsifier, et le document scellé doit être soigneusement remonté. S'il existe des copies du document, elles doivent également être refaites, tout comme l'original. Et comme il est quasiment impossible de retrouver toutes les copies, il est très facile de repérer un faux.

Il est très difficile d'ajouter ou de supprimer des entrées dans les journaux d'activité. Premièrement, les informations qu'ils contiennent sont classées par ordre chronologique, de sorte que tout changement sera immédiatement remarqué. Le meilleur moyen est de supprimer le document et de le remplacer par un nouveau. Ces types d’attaques nécessitent un accès physique aux informations.

Il est beaucoup plus facile de modifier les informations stockées électroniquement. Considérant que l’attaquant a accès au système, une telle opération laisse un minimum de preuves. S'il n'y a pas d'accès autorisé aux fichiers, l'attaquant doit d'abord sécuriser une connexion au système ou modifier les paramètres de contrôle d'accès aux fichiers.

La modification des fichiers de base de données ou des listes de transactions doit être effectuée avec beaucoup de soin. Les transactions sont numérotées séquentiellement et la suppression ou l'ajout de numéros de transaction incorrects sera noté. Dans ces cas, un travail approfondi doit être effectué dans tout le système pour empêcher la détection.

Avec un vol de banque à main armée, la perte moyenne est de 19 000 dollars, et avec un crime informatique - déjà 560 000 dollars. Selon les experts américains, les dégâts causés par la délinquance informatique ont augmenté chaque année de 35 % en moyenne au cours des dix dernières années. Dans ce cas, en moyenne, 1 % des délits informatiques sont détectés et la probabilité qu'un criminel aille en prison pour fraude informatique détectée n'est pas supérieure à 10 %.

Bien entendu, l’utilisation ciblée de contrôles de sécurité traditionnels tels que les logiciels antivirus, les pare-feu, la cryptographie, etc., permet d’empêcher tout accès non autorisé aux informations. Mais dans ce cas, le facteur humain entre en jeu. La personne, l’utilisateur final, s’avère être le maillon faible du système sécurité des informations, et les pirates, sachant cela, utilisent habilement des méthodes d'ingénierie sociale. Quels que soient les systèmes d'identification à plusieurs niveaux, ils n'ont aucun effet si les utilisateurs, par exemple, utilisent des mots de passe faciles à déchiffrer. Grâce à une approche professionnelle des problèmes de sécurité, les entreprises résolvent ces problèmes en émettant de manière centralisée des informations uniques et mots de passe complexes ou installation de dur règles d’entreprise pour les employés et sanctions adéquates en cas de non-respect. Toutefois, la situation est compliquée par le fait qu'en Dernièrement De plus en plus, le rôle des criminels informatiques ne revient pas aux pirates informatiques « externes », mais aux utilisateurs finaux eux-mêmes. Selon un spécialiste américain de la sécurité de l'information, « le criminel informatique type d'aujourd'hui est un employé qui a accès à un système dont il n'est pas un utilisateur technique ». Aux États-Unis, les délits informatiques commis par les cols blancs représentent 70 à 80 % des pertes annuelles liées à l'informatique. technologies modernes. Par ailleurs, seuls 3 % des fraudes et 8 % des abus impliquent une destruction particulière d'équipements, de programmes ou de données. Dans d’autres cas, les attaquants ont uniquement manipulé les informations : ils les ont volées, modifiées ou en ont créé de nouvelles et fausses. De nos jours, l’utilisation de plus en plus répandue d’Internet permet aux pirates informatiques d’échanger des informations à l’échelle mondiale. Une sorte de « hacker international » s'est formée depuis longtemps - après tout, Internet, comme aucun autre moyen technique, efface les frontières entre les États et même entre des continents entiers. Ajoutez à cela l’anarchie presque totale d’Internet. Aujourd'hui, n'importe qui peut trouver des instructions de piratage informatique et tous les outils logiciels nécessaires en recherchant simplement mots clés tels que « hacker », « hacking », « hack », « crack » ou « phreak ». Un autre facteur qui augmente considérablement la vulnérabilité des systèmes informatiques est l'utilisation généralisée de logiciels standardisés et faciles à utiliser. systèmes d'exploitation et environnements de développement. Cela permet aux pirates de créer des outils de piratage universels, et un attaquant potentiel n'a plus besoin, comme avant, d'avoir de bonnes compétences en programmation - il suffit de connaître l'adresse IP du site attaqué, et pour mener une attaque il suffit pour lancer un programme trouvé sur Internet. L'éternel affrontement entre armure et projectile se poursuit. Les spécialistes de la sécurité de l'information ont déjà compris qu'il est inutile de toujours rattraper les technologies des pirates informatiques : les attaquants informatiques ont toujours une longueur d'avance. C'est pourquoi les nouvelles techniques s'appuient de plus en plus sur la détection préventive des violations dans systèmes d'information. Cependant, au fil du temps, de nouveaux problèmes apparaissent, principalement liés au développement des communications sans fil. Par conséquent, les entreprises spécialisées dans la sécurité de l’information doivent accorder de plus en plus d’attention à la protection des données transmises à l’aide des nouvelles normes sans fil.

Classification

Les attaques réseau sont aussi variées que les systèmes qu’elles ciblent. D'un point de vue purement technologique, la plupart des attaques réseau utilisent un certain nombre de limitations inhérentes au protocole TCP/IP. Après tout, Internet a été créé à une époque pour permettre la communication entre les agences gouvernementales et les universités afin de soutenir le processus éducatif et la recherche scientifique. À l’époque, les créateurs du réseau n’avaient aucune idée de l’ampleur de sa diffusion. Pour cette raison, les spécifications versions précédentes Le protocole Internet (IP) manquait d'exigences de sécurité et de nombreuses implémentations IP sont donc intrinsèquement vulnérables. Ce n'est que plusieurs années plus tard, lorsque le développement rapide a commencé commerce électronique et il y a eu un certain nombre d'incidents graves impliquant des pirates informatiques, les outils de sécurité du protocole Internet ont finalement commencé à être largement mis en œuvre. Cependant, comme la sécurité IP n'avait pas été développée à l'origine, ses mises en œuvre ont commencé à être complétées par diverses procédures, services et produits réseau conçus pour réduire les risques inhérents à ce protocole.

Bombardement postal

Le bombardement d'e-mails (appelé mailbombing) est l'un des types d'attaques Internet les plus anciens et les plus primitifs. Il serait même plus correct de parler de vandalisme informatique (ou simplement de hooliganisme, selon la gravité des conséquences). L’essence du mailbombing est d’encombrer la boîte aux lettres avec de la correspondance « indésirable », voire de la rendre inutilisable. serveur de courrier Fournisseur d'accès Internet. À cette fin, des programmes spéciaux sont utilisés - des mailbombers. Ils bombardent simplement la boîte aux lettres indiquée comme cible avec un grand nombre de lettres, tout en indiquant de fausses informations sur l'expéditeur - jusqu'à l'adresse IP. Tout ce dont un agresseur utilisant un tel programme a besoin est d'indiquer l'e-mail de la cible de l'attaque, le nombre de messages, d'écrire le texte de la lettre (généralement quelque chose d'offensant), d'indiquer de fausses données d'expéditeur si le programme ne le fait pas. lui-même et appuyez sur le bouton « start ». . Cependant, la plupart des fournisseurs Internet disposent de leurs propres systèmes pour protéger les clients contre les mailbombings. Lorsque le nombre de lettres identiques provenant d'une même source commence à dépasser certaines limites raisonnables, toute correspondance entrante de ce type est purement et simplement détruite. Il n’y a donc plus aujourd’hui de crainte sérieuse de bombardements postaux.

Attaques par devinette de mot de passe

Un hacker qui attaque un système commence souvent ses actions en essayant d'obtenir le mot de passe d'un administrateur ou d'un des utilisateurs. Pour connaître le mot de passe, il existe de nombreux diverses méthodes. Voici les principaux : l'usurpation d'adresse IP et le reniflage de paquets - nous les examinerons ci-dessous. L’introduction d’un « cheval de Troie » dans un système est l’une des techniques les plus courantes dans la pratique des hackers ; nous en reparlerons également plus en détail plus tard. Attaque de force brute. Il existe de nombreux programmes qui effectuent des recherches simples de mots de passe sur Internet ou directement sur l'ordinateur attaqué. Certains programmes recherchent des mots de passe à l'aide d'un dictionnaire spécifique, d'autres génèrent simplement de manière aléatoire différentes séquences de caractères. Recherche logique des options de mot de passe. Un attaquant utilisant cette méthode essaie simplement les combinaisons possibles de caractères pouvant être utilisées par l'utilisateur comme mot de passe. Cette approche s’avère généralement étonnamment efficace. Spécialistes en sécurité informatique Ils ne cessent d'être étonnés de la fréquence à laquelle les utilisateurs utilisent des combinaisons aussi « mystérieuses » que des mots de passe, tels que 1234, qwerty ou leur propre nom écrit à l'envers. Les pirates informatiques sérieux, lorsqu'ils sélectionnent un mot de passe précieux, peuvent étudier en profondeur la personne qui utilise ce mot de passe. Noms des membres de la famille et autres proches, chien/chat préféré ; quelles équipes et quels sports l'« objet » soutient ; quels livres et quels films aime-t-il ; quel journal il lit le matin - toutes ces données et leurs combinaisons entrent en action. Vous ne pouvez échapper à de telles attaques qu'en utilisant une combinaison aléatoire de lettres et de chiffres comme mot de passe, généré de préférence programme spécial. Et bien sûr, il est nécessaire de changer régulièrement le mot de passe - l'administrateur système est responsable de cette surveillance. Ingénierie sociale. Il s'agit de l'utilisation par le pirate informatique de techniques psychologiques pour « travailler » avec l'utilisateur. Un exemple typique (et le plus simple) est un appel téléphonique d'un supposé "administrateur système" avec une déclaration du type "Nous avons eu une panne du système ici et les informations utilisateur ont été perdues. Pourriez-vous s'il vous plaît fournir à nouveau votre nom d'utilisateur et votre mot de passe ?" La victime remet donc elle-même le mot de passe au pirate informatique. Outre une vigilance régulière, un système de « mots de passe à usage unique » permet de se prémunir contre de telles attaques. Cependant, en raison de sa complexité, il n'a pas encore été largement diffusé.

Virus, vers de messagerie et chevaux de Troie

Ces fléaux touchent principalement non pas les fournisseurs ou les communications d'entreprise, mais les ordinateurs des utilisateurs finaux. L'ampleur de la défaite est tout simplement impressionnante : les épidémies informatiques mondiales qui éclatent de plus en plus fréquemment entraînent des pertes de plusieurs milliards de dollars. Les auteurs de programmes « malveillants » deviennent de plus en plus sophistiqués, incarnant les logiciels et les technologies psychologiques les plus avancés dans les virus modernes. Les virus et les chevaux de Troie sont des classes différentes d’« hostiles » code de programme. Les virus sont intégrés dans d'autres programmes afin d'exécuter leur fonction malveillante sur le poste de travail de l'utilisateur final. Il peut s'agir par exemple de la destruction de tous ou seulement de certains fichiers du disque dur (le plus souvent), de dommages sur du matériel (exotiques pour l'instant) ou d'autres opérations. Les virus sont souvent programmés pour se déclencher à une date précise (un exemple typique est le fameux WinChih, alias « Tchernobyl »), et également pour envoyer des copies d’eux-mêmes par courrier électronique à toutes les adresses trouvées dans le carnet d’adresses de l’utilisateur. Un cheval de Troie, contrairement à un virus, est un programme indépendant, le plus souvent non axé sur la destruction grossière d'informations caractéristiques des virus. Généralement, le but de l'introduction d'un cheval de Troie est d'obtenir un télécommande sur un ordinateur afin de manipuler les informations qu'il contient. Les "chevaux de Troie" se déguisent avec succès en divers jeux ou programmes utiles, dont un grand nombre sont distribués gratuitement sur Internet. De plus, les pirates informatiques intègrent parfois des chevaux de Troie dans des programmes totalement « innocents » et réputés. Une fois sur un ordinateur, le cheval de Troie n'annonce généralement pas sa présence, remplissant ses fonctions aussi secrètement que possible. Un tel programme peut, par exemple, envoyer discrètement à son propriétaire pirate un mot de passe et un identifiant pour accéder à Internet à partir de cet ordinateur. ordinateur spécifique; faire et envoyer à l'adresse qui y est indiquée certains fichiers; suivez tout ce qui est saisi à partir du clavier, etc. Des versions plus sophistiquées de chevaux de Troie, adaptées pour attaquer des ordinateurs spécifiques d'utilisateurs spécifiques, peuvent, à la demande du propriétaire, remplacer certaines données par d'autres préparées à l'avance ou modifier les données stockées dans des fichiers, induisant ainsi le propriétaire de l'ordinateur en erreur. Il s’agit d’ailleurs d’une technique assez courante dans l’arsenal de l’espionnage industriel et des provocations. La lutte contre les virus et les chevaux de Troie s'effectue à l'aide de logiciels spécialisés, et une protection bien construite offre un double contrôle : au niveau d'un ordinateur spécifique et au niveau du réseau local. Des moyens modernes la lutte contre les codes malveillants est assez efficace, et la pratique montre que des épidémies mondiales éclatent régulièrement virus informatiques se produisent en grande partie à cause du « facteur humain » - la plupart des utilisateurs et de nombreux administrateurs système (!) sont tout simplement trop paresseux pour mettre à jour régulièrement les bases de données. programmes antivirus et vérifiez la présence de virus dans les courriers électroniques entrants avant de les lire (bien que cela soit désormais de plus en plus fait par les fournisseurs de services Internet eux-mêmes).

Intelligence réseau

À proprement parler, la reconnaissance du réseau ne peut pas être qualifiée d'attaque contre un système informatique - après tout, le pirate informatique n'effectue aucune action « malveillante ». Cependant, la reconnaissance du réseau précède toujours l'attaque elle-même, car lors de sa préparation, les attaquants doivent collecter toutes les informations disponibles sur le système. Dans ce cas, les informations sont collectées à l'aide d'un large éventail de données et d'applications accessibles au public, car le pirate informatique essaie d'obtenir autant d'informations utiles que possible. Cela implique une analyse des ports, des requêtes DNS et des tests d'écho de ceux révélés à l'aide de Adresses DNS etc. Cela permet notamment de savoir à qui appartient tel ou tel domaine et quelles adresses sont attribuées à ce domaine. Le balayage ping des adresses découvertes par DNS vous permet de voir quels hôtes s'exécutent réellement sur un réseau donné, et les outils d'analyse des ports vous permettent de créer une liste complète des services pris en charge par ces hôtes. Lors de la reconnaissance du réseau, les caractéristiques des applications exécutées sur les hôtes sont également analysées. En bref, des informations sont obtenues qui peuvent ensuite être utilisées pour pirater ou mener une attaque DoS. Il est impossible de se débarrasser complètement de la reconnaissance du réseau, principalement parce qu'aucune action formellement hostile n'est menée. Si, par exemple, vous désactivez l'écho et la réponse d'écho ICMP sur les routeurs périphériques, vous pouvez vous débarrasser des tests ping, mais vous perdrez les données nécessaires au diagnostic des pannes de réseau. De plus, les attaquants peuvent analyser les ports sans test ping préalable. Les systèmes de sécurité et de surveillance au niveau du réseau et de l'hôte font généralement un bon travail en informant l'administrateur système de la reconnaissance en cours du réseau. Si l'administrateur est consciencieux quant à ses responsabilités, cela lui permet de mieux se préparer à une attaque à venir et même de prendre des mesures proactives, par exemple en avertissant le fournisseur depuis le réseau duquel quelqu'un fait preuve d'une curiosité excessive.

Reniflage de paquets

Un renifleur de paquets est un programme d'application qui utilise carte réseau fonctionnant en mode promiscuité (dans ce mode, tous les paquets reçus via canaux physiques, Adaptateur de réseau envoyé à la demande pour traitement). En même temps, le renifleur (« renifleur ») intercepte tout paquets réseau, qui sont transmis via le domaine attaqué. La particularité de la situation dans ce cas est que désormais, dans de nombreux cas, les renifleurs travaillent en réseau à pleine capacité. légalement— ils sont utilisés pour diagnostiquer les pannes et analyser le trafic. Par conséquent, il n'est pas toujours possible de déterminer de manière fiable si un programme de renifleur spécifique est utilisé ou non par des attaquants et si le programme a simplement été remplacé par un programme similaire, mais doté de fonctions « avancées ». À l'aide d'un renifleur, les attaquants peuvent découvrir diverses informations confidentielles, telles que les noms d'utilisateur et les mots de passe. Cela est dû au fait qu'un certain nombre d'applications réseau largement utilisées transmettent des données à format de texte(telnet, FTP, SMTP, POP3, etc.). Étant donné que les utilisateurs utilisent souvent le même identifiant et le même mot de passe pour plusieurs applications et systèmes, même une interception ponctuelle de ces informations constitue une menace sérieuse pour la sécurité des informations d'une entreprise. Après avoir acquis le login et le mot de passe d'un employé spécifique, un pirate informatique rusé peut accéder à une ressource utilisateur au niveau du système et, avec son aide, créer un nouvel utilisateur factice, qui peut être utilisé à tout moment pour accéder au réseau. et des ressources d'information. Cependant, en utilisant un certain ensemble d’outils, vous pouvez atténuer considérablement la menace du reniflage de paquets. Premièrement, il s'agit de moyens d'authentification assez forts et difficiles à contourner, même en utilisant le « facteur humain ». Par exemple, les mots de passe à usage unique. C'est de la technologie authentification à deux facteurs, dans lequel il y a une combinaison de ce que vous avez avec ce que vous savez. Dans ce cas, le matériel ou le logiciel génère de manière aléatoire un mot de passe unique à usage unique. Si un pirate informatique découvre ce mot de passe à l'aide d'un renifleur, cette information sera inutile car à ce stade, le mot de passe aura déjà été utilisé et retiré. Mais cela ne s'applique qu'aux mots de passe : par exemple, les messages électroniques ne sont toujours pas protégés. Une autre façon de lutter contre le reniflage consiste à utiliser des anti-renifleurs. Il s'agit de matériels ou de logiciels fonctionnant sur Internet et reconnus par les renifleurs. Ils mesurent les temps de réponse des hôtes et déterminent si les hôtes doivent gérer un trafic « supplémentaire ». Ces types d’outils ne peuvent pas éliminer complètement la menace de reniflage, mais sont essentiels lors de la création d’un système de protection complet. Cependant, selon certains experts, la mesure la plus efficace serait simplement de vider de son sens le travail des renifleurs. Pour ce faire, il suffit de protéger les données transmises sur le canal de communication méthodes modernes cryptographie De ce fait, le pirate n’interceptera pas le message, mais le texte crypté, c’est-à-dire une séquence de bits qui lui est incompréhensible. De nos jours, les protocoles cryptographiques les plus courants sont IPSec de Cisco, ainsi que les protocoles SSH (Secure Shell) et SSL (Secure Socket Layer).

Usurpation d'adresse IP

L'usurpation d'identité est un type d'attaque dans lequel un pirate informatique à l'intérieur ou à l'extérieur d'une organisation se fait passer pour un utilisateur autorisé. Il ya différentes manière de faire ceci. Par exemple, un pirate informatique pourrait utiliser une adresse IP comprise dans la plage d'adresses IP autorisées à être utilisées au sein du réseau de l'organisation, ou une adresse externe autorisée s'il est autorisé à accéder à certaines ressources du réseau. Soit dit en passant, l'usurpation d'adresse IP est souvent utilisée dans le cadre d'une attaque plus complexe et plus complexe. Un exemple typique est une attaque DDoS, dans laquelle un pirate informatique héberge généralement un programme sur l'adresse IP de quelqu'un d'autre pour cacher sa véritable identité. Cependant, l'usurpation d'adresse IP est le plus souvent utilisée pour désactiver un système à l'aide de fausses commandes, ainsi que pour le vol. fichiers spécifiques ou, à l’inverse, introduire de fausses informations dans les bases de données. Il est presque impossible d’éliminer complètement la menace d’usurpation d’identité, mais elle peut être considérablement atténuée. Par exemple, il est judicieux de configurer des systèmes de sécurité pour rejeter tout trafic provenant d'un réseau externe avec une adresse source qui devrait en réalité se trouver sur le réseau interne. Toutefois, cela permet de lutter contre l’usurpation d’adresse IP uniquement lorsque seules les adresses internes sont autorisées. Si certaines adresses externes sont telles, alors utiliser cette méthode n'a plus de sens. C'est aussi une bonne idée, au cas où, d'arrêter à l'avance les tentatives d'usurpation des réseaux d'autres personnes par les utilisateurs de votre réseau - cette mesure peut vous aider à éviter toute une série de problèmes si un attaquant ou simplement un voyou informatique apparaît à l'intérieur de l'organisation. Pour ce faire, vous devez utiliser n'importe quel trafic sortant, si son adresse source n'appartient pas à la plage interne d'adresses IP de l'organisation. Si nécessaire, cette procédure peut également être effectuée par votre fournisseur d'accès Internet. Ce type de filtrage est connu sous le nom de « RFC 2827 ». Encore une fois, comme pour le reniflage de paquets, la meilleure défense consiste à rendre l’attaque complètement inefficace. L'usurpation d'adresse IP ne peut être mise en œuvre que si l'authentification des utilisateurs est basée sur les adresses IP. Par conséquent, le chiffrement de l’authentification rend ce type d’attaque inutile. Cependant, au lieu du cryptage, vous pouvez tout aussi bien utiliser des mots de passe à usage unique générés aléatoirement.

Attaque par déni de service

Aujourd’hui, l’une des formes d’attaques de pirates informatiques les plus courantes dans le monde est l’attaque par déni de service (DoS). Entre-temps, il s'agit de l'une des technologies les plus récentes - sa mise en œuvre n'est devenue possible qu'en relation avec la diffusion véritablement généralisée d'Internet. Ce n’est pas un hasard si les attaques DoS ont été largement évoquées seulement après qu’en décembre 1999, grâce à cette technologie, les sites Web de sociétés aussi connues que Amazon, Yahoo, CNN, eBay et E-Trade ont été « inondés ». Bien que les premiers rapports faisant état d'un phénomène similaire soient apparus en 1996, jusqu'à la « surprise de Noël » de 1999, les attaques DoS n'étaient pas perçues comme une menace sérieuse pour la sécurité Internet. Mais un an plus tard, en décembre 2000, tout s'est reproduit : les sites Internet des plus grandes entreprises ont été attaqués par des Technologies DoS, et leurs administrateurs système ont encore une fois été incapables de faire quoi que ce soit pour contrer les attaquants. Eh bien, en 2001, les attaques DoS sont devenues monnaie courante. À proprement parler, les attaques DoS ne visent pas à voler des informations ou à les manipuler. Leur objectif principal est de paralyser le travail du site Internet attaqué. Il ne s’agit essentiellement que de terrorisme en ligne. Ce n’est pas un hasard si les services de renseignement américains soupçonnent les altermondialistes notoires d’être à l’origine de nombreuses attaques DoS contre les serveurs de grandes entreprises. En effet, c’est une chose de jeter une brique dans la vitrine d’un McDonald’s quelque part à Madrid ou à Prague, mais c’en est une autre de détruire le site Internet de cette super-entreprise, devenue depuis longtemps une sorte de symbole de la mondialisation de l’économie mondiale. Les attaques DoS sont également dangereuses car pour les déployer, les cyberterroristes n'ont pas besoin de connaissances ni de compétences particulières : tous les logiciels nécessaires, ainsi que les descriptions de la technologie elle-même, sont disponibles gratuitement sur Internet. De plus, il est très difficile de se défendre contre ce type d’attaque. En général, la technologie des attaques DoS ressemble à ceci : un site Web choisi comme cible est bombardé par un barrage de fausses requêtes provenant de nombreux ordinateurs à travers le monde. En conséquence, les serveurs desservant le nœud sont paralysés et ne peuvent pas répondre aux requêtes. utilisateurs ordinaires. Dans le même temps, les utilisateurs d'ordinateurs à partir desquels de fausses demandes sont envoyées ne soupçonnent même pas que leur machine est secrètement utilisée par des attaquants. Cette répartition de la « charge de travail » augmente non seulement l'effet destructeur de l'attaque, mais complique également grandement les mesures visant à la repousser, rendant impossible l'identification de la véritable adresse du coordinateur de l'attaque. Aujourd’hui, les types d’attaques DoS les plus couramment utilisés sont :

Smurf - ping demande ICMP (Internet Control Message Protocol) à une adresse de diffusion dirigée. La fausse adresse source utilisée dans les paquets de cette requête finit par être la cible d'une attaque. Les systèmes qui reçoivent une requête ping de diffusion dirigée y répondent et « inondent » le réseau dans lequel se trouve le serveur cible.

ICMP Flood est une attaque similaire à Smurf, mais sans l'amplification créée par les requêtes adressées à une adresse de diffusion dirigée.
Inondation UDP - envoi de nombreux paquets UDP (User Datagram Protocol) à l'adresse du système cible, ce qui conduit à la « liaison » des ressources réseau.
Inondation TCP - envoi de nombreux paquets TCP à l'adresse du système cible, ce qui conduit également au « blocage » des ressources réseau.
TCP SYN Flood - lors de la réalisation de ce type d'attaque, un grand nombre de requêtes sont émises pour initialiser les connexions TCP avec l'hôte cible, qui, par conséquent, doit consacrer toutes ses ressources à traquer ces connexions partiellement ouvertes.

En cas d'attaque, le trafic destiné à submerger le réseau attaqué doit être « coupé » chez le fournisseur d'accès Internet, car à l'entrée du Réseau cela ne sera plus possible - toute la bande passante sera occupée. Lorsque ce type d’attaque est mené simultanément sur plusieurs appareils, on parle d’attaque par déni de service distribué (DDoS). La menace des attaques DoS peut être atténuée de plusieurs manières. Tout d’abord, vous devez configurer correctement les fonctionnalités anti-usurpation d’identité sur vos routeurs et pare-feu. Ces fonctionnalités doivent inclure, au minimum, le filtrage RFC 2827. Si un pirate informatique est incapable de dissimuler sa véritable identité, il est peu probable qu'il mène une attaque. Deuxièmement, vous devez activer et configurer correctement les fonctionnalités anti-DoS sur les routeurs et les pare-feu. Ces fonctionnalités limitent le nombre de canaux semi-ouverts, évitant ainsi la surcharge du système. Il est également recommandé, en cas de menace d'attaque DoS, de limiter le volume de trafic non critique transitant par le Réseau. Vous devez négocier cela avec votre fournisseur Internet. Cela limite généralement la quantité de trafic ICMP, car il est utilisé uniquement à des fins de diagnostic.

Attaques de l'homme du milieu

Ce type d'attaque est très typique de l'espionnage industriel. Dans une attaque Man-in-the-Middle, le pirate informatique doit accéder aux paquets transmis sur le réseau et, par conséquent, le rôle des attaquants dans ce cas est souvent celui des employés de l'entreprise eux-mêmes ou, par exemple, d'un employé du fournisseur. entreprise. Les attaques Man-in-the-Middle utilisent souvent des renifleurs de paquets, des protocoles de transport et des protocoles de routage. Le but d'une telle attaque est respectivement de voler ou de falsifier les informations transmises ou d'accéder aux ressources du réseau. Il est extrêmement difficile de se protéger contre de telles attaques, car il s’agit généralement d’attaques menées par une « taupe » au sein même de l’organisation. Par conséquent, d’un point de vue purement technique, vous ne pouvez vous protéger qu’en cryptant les données transmises. Ensuite, le pirate informatique, au lieu des données dont il a besoin, recevra un fouillis de symboles, qu'il est tout simplement impossible de comprendre sans avoir un superordinateur à portée de main. Cependant, si l’attaquant a de la chance et parvient à intercepter les informations sur la session cryptographique, le cryptage des données perdra automatiquement tout son sens. Ainsi, dans ce cas, « à l'avant-garde » de la lutte ne devraient pas être les « techniciens », mais le service du personnel et le service de sécurité de l'entreprise.

Utiliser des « trous » et des « bugs » dans les logiciels

Un type très, très courant d'attaques de pirates informatiques est l'utilisation de vulnérabilités (le plus souvent des failles banales) dans un système largement utilisé. logiciel, principalement pour les serveurs. Particulièrement « célèbre » pour le manque de fiabilité et la faible sécurité des logiciels de Microsoft. Généralement, la situation évolue comme suit : quelqu'un découvre un « trou » ou un « bug » dans le logiciel serveur et publie cette information sur Internet dans le forum approprié. Le fabricant de ce logiciel publie un correctif (« patch ») qui élimine ce problème, et le publie sur son serveur web. Le problème est que tous les administrateurs, par simple paresse, ne surveillent pas en permanence la détection et l'apparition des correctifs, et un certain temps s'écoule également entre la découverte d'un « trou » et l'écriture d'un « correctif » : les hackers lisent également des conférences thématiques et , Il faut leur rendre ce qui leur est dû, ils appliquent très habilement les informations reçues dans la pratique. Ce n’est pas un hasard si la plupart des plus grands experts mondiaux en sécurité de l’information sont d’anciens pirates informatiques.

L'objectif principal d'une telle attaque est d'accéder au serveur au nom de l'utilisateur exécutant l'application, généralement avec les droits d'administrateur système et le niveau d'accès approprié. Il est assez difficile de se protéger contre ce type d’attaque. L'une des raisons, outre la mauvaise qualité des logiciels, est que lors de telles attaques, les attaquants utilisent souvent des ports autorisés à passer. pare-feu et qui ne peut être fermé pour des raisons purement technologiques. La meilleure défense dans ce cas est donc un administrateur système compétent et consciencieux.

Ce n'est que le début…

Parallèlement à l'expansion des cultures de toute culture agricole, le nombre d'insectes nuisibles à cette même culture augmente toujours. Il en va de même avec le développement des technologies de l'information et leur pénétration dans tous les domaines Vie moderne Le nombre d’attaquants utilisant activement ces technologies est en augmentation. Par conséquent, dans un avenir prévisible, les questions de protection des réseaux informatiques deviendront de plus en plus pertinentes. De plus, la soutenance s'effectuera dans deux domaines principaux : technologique et conseil. Quant aux principales tendances du développement du secteur de la sécurité de l'information, selon les experts de la célèbre société The Yankee Group, elles seront les suivantes dans les années à venir :

1. L'accent mis lors de la construction de systèmes de protection va progressivement évoluer : de la lutte contre les attaques de pirates informatiques « externes » à la protection contre les attaques « de l'intérieur ».

2. La protection matérielle contre les attaques de pirates sera développée et améliorée. Une nouvelle classe fera son apparition sur le marché équipement de réseau- "interrupteurs de service de protection". Ils pourront fournir protection complète réseaux informatiques, tandis que appareils modernes exécutent généralement un ensemble plutôt limité de fonctions spécifiques, et la principale charge incombe toujours aux logiciels spécialisés.

3. Le développement rapide est assuré par le marché des services de fourniture sécurisée de contenu numérique et de protection du contenu lui-même contre la copie illégale et l'utilisation non autorisée. Parallèlement au développement du marché de la livraison sécurisée, les technologies correspondantes se développeront également. Les experts du Yankee Group estiment le volume de ce marché à 200 millions de dollars sur la base des résultats de 2001 et prévoient une croissance à 2 milliards de dollars d'ici 2005.

4. Les systèmes d’authentification biométrique (rétine, empreintes digitales, voix, etc.), y compris complexes, seront beaucoup plus largement utilisés. Une grande partie de ce que l’on peut désormais voir uniquement dans les films d’action sera incorporée dans la vie quotidienne des entreprises.

5. D'ici 2005, les fournisseurs d'accès Internet fourniront à leurs clients la part du lion des services de sécurité. De plus, leurs principaux clients seront des entreprises dont l'activité repose spécifiquement sur les technologies Internet, c'est-à-dire des consommateurs actifs de services d'hébergement Web, de systèmes de commerce électronique, etc.

6. Le marché des services intellectuels s'attend à une croissance rapide protection du réseau. Cela est dû au fait que les nouveaux concepts de protection des systèmes informatiques contre les pirates informatiques ne se concentrent pas tant sur la réponse aux événements/attaques déjà survenus, mais plutôt sur leur prévision, leur prévention et la prise de mesures proactives et préventives.

7. La demande de systèmes commerciaux de cryptage cryptographique pour les données transmises augmentera considérablement, y compris des développements « personnalisés » pour des entreprises spécifiques, en tenant compte de leurs domaines d'activité.

8. Sur le marché des solutions de sécurité informatique, on s'éloignera progressivement des « systèmes standards », ce qui entraînera une augmentation de la demande de services de conseil pour le développement de concepts de sécurité de l'information et la construction de systèmes de gestion de la sécurité de l'information. pour des clients spécifiques.

Le marché des systèmes et services de sécurité de l'information se développe également dans « l'espace post-soviétique » - mais pas au même rythme et à la même échelle qu'en Occident. Comme l'a rapporté le journal Kommersant, en Russie, le développement de l'infrastructure de l'information divers types les organisations dépensent entre 1 % (métallurgie) et 30 % (secteur financier) de leur budget. Dans le même temps, les coûts de la défense ne représentent jusqu’à présent qu’environ 0,1 à 0,2 % de la partie budgétaire des coûts. Ainsi, le volume total du marché des systèmes de sécurité de l'information en Russie en 2001 est estimé par les experts entre 40 et 80 millions de dollars. En 2002, selon les données incluses dans le projet de budget de l'État, ils devraient s'élever à 60-120 millions de dollars. À titre de comparaison : comme le démontre une étude récente d'IDC, la taille du marché européen des produits de sécurité de l'information (logiciels et matériels) à elle seule devrait passer de 1,8 milliard de dollars en 2000 à 6,2 milliards de dollars en 2005.

Divers problèmes surviennent souvent lors du fonctionnement des systèmes informatiques. Certaines sont dues à la surveillance de quelqu'un d'autre et d'autres sont le résultat d'actions malveillantes. Dans tous les cas, des dégâts sont causés. Par conséquent, nous appellerons de tels événements des attaques, quelles que soient les raisons de leur apparition.

Il existe quatre grandes catégories d'attaques :

attaques d'accès ;
attaques de modification ;
attaques par déni de service ;
attaques de non-responsabilité.

Examinons de plus près chaque catégorie. Il existe de nombreuses manières de mener des attaques : en utilisant des outils spécialement développés, des méthodes d'ingénierie sociale et en utilisant les vulnérabilités des systèmes informatiques. En ingénierie sociale, les moyens techniques ne sont pas utilisés pour obtenir un accès non autorisé à un système. Un attaquant obtient des informations via un simple appel téléphonique ou pénètre dans une organisation sous le couvert d'un employé. Ces types d'attaques sont les plus destructeurs.

Définition de l'attaque d'accès

Une attaque d'accès est une tentative d'un attaquant d'obtenir des informations qu'il n'est pas autorisé à consulter. Une telle attaque est possible partout où existent des informations et des moyens de transmission (Fig. 2.1). Une attaque d'accès vise à violer la confidentialité des informations.

Riz. 2.1.

Lorgnant

La surveillance consiste à consulter des fichiers ou des documents pour rechercher des informations susceptibles d'intéresser un attaquant. Si les documents sont stockés sous forme d’imprimés, l’attaquant ouvrira les tiroirs du bureau et les fouillera. Si l'information se trouve sur un système informatique, il parcourra fichier après fichier jusqu'à ce qu'il trouve l'information dont il a besoin.

Écoute clandestine

Lorsqu’une personne écoute une conversation à laquelle elle ne participe pas, on parle d’écoute clandestine. Pour obtenir un accès non autorisé à des informations

Site sur l'informatique