Types d'attaques

La pénétration dans un réseau informatique s'effectue sous forme d'attaques.

Une attaque est un événement au cours duquel des personnes extérieures tentent de pénétrer dans les réseaux de quelqu'un d'autre. Une attaque réseau moderne implique souvent l’exploitation de vulnérabilités logicielles. Certaines des attaques les plus courantes au début des années 2000 étaient des attaques ciblées telles que le « déni de service », le DoS (Dental of Service) et les attaques distribuées. Attaques DDoS(DoS distribué). Une attaque DoS rend la cible de l'attaque inaccessible pour une utilisation normale en dépassant les limites autorisées de son fonctionnement. Périphérique réseau. Le DoS est une attaque ciblée (concentrée), car elle provient d’une source unique. Dans le cas des DDoS distribués, l’attaque est menée à partir de plusieurs sources réparties dans l’espace, appartenant souvent à des réseaux différents. Il y a plusieurs années, le terme code de logiciel malveillant du complexe militaro-industriel a commencé à être utilisé, ce qui désigne des virus, des vers, des systèmes de chevaux de Troie, des outils d'attaque de réseau, d'envoi de spam et d'autres actions indésirables pour l'utilisateur. Compte tenu de la nature diversifiée des menaces, les systèmes de protection modernes sont devenus complexes et à plusieurs niveaux. Les vers de réseau distribuent des copies d'eux-mêmes sur les réseaux informatiques par courrier électronique et par messagerie. Les chevaux de Troie les plus courants aujourd'hui sont ceux qui effectuent des actions non autorisées : ils détruisent les données et utilisent les ressources informatiques à des fins malveillantes. Les chevaux de Troie les plus dangereux incluent les logiciels espions. Il collecte des informations sur toutes les actions de l’utilisateur, puis, sans que l’utilisateur ne s’en aperçoive, transmet ces informations aux attaquants. L’année 2007 peut être qualifiée d’année de la « mort » des associations malware. Personne ne développe plus ces programmes d’expression personnelle. On peut noter qu'en 2007, pas un seul programme malveillant n'aurait eu une motivation financière. L'un des nouveaux logiciels malveillants est considéré comme Storm Worm, apparu en janvier 2007. Pour se propager, le ver a utilisé à la fois des méthodes traditionnelles, telles que le courrier électronique, et la distribution sous forme de fichiers vidéo. La technique consistant à cacher sa présence dans le système (rootkits) peut être utilisée non seulement dans les programmes chevaux de Troie, mais également dans les virus de fichiers. Les logiciels malveillants s'efforcent désormais de survivre sur le système même après leur découverte.

L'un des moyens dangereux de cacher leur présence est d'utiliser la technologie d'infection du secteur de démarrage. disque dur– les soi-disant « bootkits ». Un tel programme malveillant peut prendre le contrôle avant même le chargement de la partie principale du système d'exploitation.

L'éventail des problèmes de sécurité ne se limite plus à la tâche de protection contre les virus, à laquelle nous devions faire face il y a environ cinq ans. Le danger de fuites d’informations internes est devenu plus grave que les menaces externes. En outre, au début du XXIe siècle, la criminalité informatique avait pour objectif le vol d'informations économiques, de comptes bancaires et la perturbation des activités commerciales. systèmes d'information concurrents, envoi massif de publicité. Les internes, c'est-à-dire les employés de l'entreprise qui ont accès à des informations confidentielles et les utilisent à des fins défavorables, représentent une menace moindre, et parfois même plus grande, pour les systèmes informatiques de l'entreprise. De nombreux experts estiment que les dégâts causés par les initiés ne sont pas moins importants que ceux causés par les logiciels malveillants. Il est caractéristique qu'une part importante des fuites d'informations ne soient pas dues aux actions malveillantes des employés, mais à leur inattention. Les principaux moyens techniques permettant de lutter contre de tels facteurs devraient être les moyens d'authentification et de gestion de l'accès aux données. Cependant, le nombre d’incidents continue de croître (d’environ 30 % par an ces dernières années). Progressivement, des outils anti-fuite/protection interne commencent à être intégrés dans système commun protection des informations. En conclusion, nous proposons une classification généralisée des menaces réseau (Fig. 11.3)

Conférence 33 Types et types d'attaques réseau

Conférence 33

Sujet : Types et types d'attaques réseau

Une attaque de réseau à distance est un effet destructeur d'informations sur un système informatique distribué, réalisé par programme via des canaux de communication.

Introduction

Pour organiser les communications dans un environnement réseau hétérogène, un ensemble de protocoles TCP/IP sont utilisés, assurant la compatibilité entre ordinateurs de différents types. Cet ensemble Les protocoles ont gagné en popularité en raison de leur compatibilité et de leur accès aux ressources de l'Internet mondial et sont devenus la norme pour l'interconnexion des réseaux. Cependant, l’omniprésence de la pile de protocoles TCP/IP a également révélé ses faiblesses. C'est notamment pour cette raison que les systèmes distribués sont sensibles aux attaques à distance, car leurs composants utilisent généralement des canaux de transmission de données ouverts, et un attaquant peut non seulement écouter passivement les informations transmises, mais également modifier le trafic transmis.

La difficulté de détecter une attaque à distance et la relative facilité de mise en œuvre (en raison de la fonctionnalité redondante des systèmes modernes) placent ce type d'action illégale au premier rang en termes de degré de danger et empêchent une réponse rapide à la menace, comme un ce qui fait que l'attaquant augmente ses chances de réussir son attaque.

Classification des attaques

Par la nature de l'impact

Passif

Actif

L'impact passif sur un système informatique distribué (DCS) est un impact qui n'affecte pas directement le fonctionnement du système, mais qui peut en même temps violer sa politique de sécurité. L'absence d'influence directe sur le fonctionnement du RVS conduit précisément au fait que l'influence passive à distance (RPI) est difficile à détecter. Un exemple possible de PUV typique dans un DCS est l’écoute d’un canal de communication dans un réseau.

Impact actif sur le DCS - un impact qui a un impact direct sur le fonctionnement du système lui-même (altération de la fonctionnalité, modification de la configuration du DCS, etc.), qui viole la politique de sécurité qui y est adoptée. Presque tous les types d’attaques à distance sont des influences actives. Cela est dû au fait que la nature même de l’effet néfaste inclut un principe actif. La nette différence entre l'influence active et l'influence passive réside dans la possibilité fondamentale de sa détection, car à la suite de sa mise en œuvre, des changements se produisent dans le système. Avec une influence passive, il ne reste absolument aucune trace (du fait que l'attaquant voit le message de quelqu'un d'autre dans le système, rien ne changera au même moment).

Par but d'influence

Violation du fonctionnement du système (accès au système)

Violation de l'intégrité des ressources informationnelles (RI)

Violation de la confidentialité des RI

Cette caractéristique, par laquelle la classification est effectuée, est essentiellement une projection directe de trois types fondamentaux de menaces : déni de service, divulgation et violation de l'intégrité.

L’objectif principal poursuivi dans presque toutes les attaques est d’obtenir un accès non autorisé aux informations. Il existe deux options fondamentales pour obtenir des informations : la distorsion et l'interception. La possibilité d'intercepter l'information signifie d'y accéder sans possibilité de la modifier. L'interception d'informations entraîne donc une violation de leur confidentialité. L'écoute d'une chaîne sur un réseau est un exemple d'interception d'informations. Dans ce cas, il y a un accès illégitime à l'information sans options possibles son remplaçant. Il est également évident que la violation de la confidentialité des informations fait référence à des influences passives.

La capacité de remplacer des informations doit être comprise soit comme un contrôle complet du flux d'informations entre les objets du système, soit comme la capacité de transmettre divers messages au nom de quelqu'un d'autre. Par conséquent, il est clair que la substitution d’informations entraîne une violation de leur intégrité. Une telle influence destructrice d’informations est un exemple typique d’influence active. Un exemple d’attaque à distance conçue pour violer l’intégrité des informations est l’attaque à distance (RA) « faux objet RVS ».

Selon disponibilité retour avec l'objet attaqué

Avec commentaires

Pas de feedback (attaque unidirectionnelle)

L'attaquant envoie des requêtes à l'objet attaqué, auxquelles il s'attend à recevoir une réponse. Par conséquent, un retour d'information apparaît entre l'attaquant et l'attaquant, permettant au premier de réagir de manière adéquate à toutes sortes de changements dans l'objet attaqué. C'est l'essence même d'une attaque à distance, menée en présence d'un retour d'information de l'objet attaquant. De telles attaques sont les plus typiques du RVS.

Les attaques en boucle ouverte se caractérisent par le fait qu’elles n’ont pas besoin de réagir aux changements de l’objet attaqué. De telles attaques sont généralement réalisées en envoyant des requêtes uniques à l'objet attaqué. L'attaquant n'a pas besoin de réponses à ces demandes. Un tel UA peut également être appelé UA unidirectionnel. Un exemple d’attaque unidirectionnelle est une attaque DoS typique.

Selon la condition du début de l'impact

L’influence à distance, comme toute autre, ne peut commencer à se produire que sous certaines conditions. Il existe trois types de telles attaques conditionnelles dans RVS :

Attaque sur demande de l'objet attaqué

Attaque sur survenance d'un événement attendu sur l'objet attaqué

Attaque inconditionnelle

L'impact de l'attaquant commencera à condition que la cible potentielle de l'attaque transmette une demande d'un certain type. Une telle attaque peut être qualifiée d’attaque à la demande de l’objet attaqué. Ce type d’UA est le plus typique du RVS. Un exemple de telles requêtes sur Internet sont les requêtes DNS et ARP, et dans Novell NetWare, les requêtes SAP.

Une attaque lors de l'apparition d'un événement attendu sur l'objet attaqué. L'attaquant surveille en permanence l'état du système d'exploitation de la cible distante de l'attaque et commence à influencer lorsqu'un événement spécifique se produit dans ce système. L'objet attaqué est lui-même l'initiateur de l'attaque. Un exemple d'un tel événement serait lorsque la session d'un utilisateur avec le serveur est interrompue sans émettre la commande LOGOUT dans Novell NetWare.

Une attaque inconditionnelle est effectuée immédiatement et quel que soit l'état du système d'exploitation et de l'objet attaqué. Dans ce cas, l’attaquant est donc l’initiateur de l’attaque.

Si le fonctionnement normal du système est perturbé, d'autres objectifs sont poursuivis et l'attaquant ne devrait pas accéder illégalement aux données. Son objectif est de désactiver le système d'exploitation de l'objet attaqué et de rendre impossible l'accès des autres objets système aux ressources de cet objet. Un exemple d’attaque de ce type est une attaque DoS.

Par localisation du sujet de l'attaque par rapport à l'objet attaqué

Intrasegmentaire

Intersegmentaire

Quelques définitions :

La source de l'attaque (le sujet de l'attaque) est le programme (éventuellement l'opérateur) qui mène l'attaque et qui a un impact direct.

Hôte - un ordinateur qui est un élément du réseau.

Le routeur est un appareil qui achemine les paquets sur un réseau.

Un sous-réseau est un groupe d'hôtes qui font partie d'un réseau mondial, se différenciant par le fait que le routeur leur attribue le même numéro de sous-réseau. On peut aussi dire qu'un sous-réseau est une association logique d'hôtes via un routeur. Les hôtes du même sous-réseau peuvent communiquer directement entre eux sans utiliser de routeur.

Un segment de réseau est une combinaison d'hôtes au niveau physique.

Du point de vue d'une attaque à distance, la localisation relative du sujet et de l'objet de l'attaque est extrêmement importante, c'est-à-dire s'ils se trouvent dans des segments différents ou identiques. Lors d'une attaque intra-segment, le sujet et la cible de l'attaque se situent dans le même segment. Dans le cas d'une attaque intersegment, le sujet et la cible de l'attaque se situent dans des segments de réseau différents. Cette fonctionnalité de classification permet de juger du « degré d’éloignement » de l’attaque.

On montrera ci-dessous qu'une attaque intra-segment est beaucoup plus facile à réaliser qu'une attaque inter-segment. Nous notons également qu'une attaque à distance inter-segment présente un danger bien plus grand qu'une attaque intra-segment. Cela est dû au fait que dans le cas d'une attaque intersegmentaire, la cible et l'attaquant peuvent être situés à plusieurs milliers de kilomètres l'un de l'autre, ce qui peut entraver considérablement les mesures visant à repousser l'attaque.

Par niveau modèle de référence ISO/OSI sur lequel l'influence est exercée

Physique

Canal

Réseau

Transport

Session

Représentant

Appliqué

L'Organisation internationale de normalisation (ISO) a adopté la norme ISO 7498, qui décrit l'interconnexion des systèmes ouverts (OSI), à laquelle appartiennent également les RBC. Chaque protocole de communication réseau, ainsi que chaque programme réseau, peuvent être projetés d'une manière ou d'une autre sur le modèle 7 couches de référence OSI. Cette projection multi-niveaux permet de décrire les fonctions utilisées dans un protocole ou un programme réseau en termes de modèle OSI. UA est un programme réseau, et il est logique de le considérer du point de vue de la projection sur le modèle de référence ISO/OSI.

Brève description de certaines attaques réseau

Fragmentation des données

Lorsqu'un paquet de données IP est transmis sur un réseau, le paquet peut être divisé en plusieurs fragments. Par la suite, une fois arrivé à destination, le paquet est reconstruit à partir de ces fragments. Un attaquant peut lancer l'envoi d'un grand nombre de fragments, ce qui entraîne un débordement des tampons logiciels du côté réception et, dans certains cas, un crash du système.

Attaque par inondation de ping

Cette attaque nécessite que l'attaquant ait accès à chaînes rapides sur Internet.

Le programme ping envoie un paquet ICMP de type ECHO REQUEST, y fixant l'heure et son identifiant. Le noyau de la machine réceptrice répond à une telle requête avec un paquet ICMP ECHO REPLY. Après l'avoir reçu, ping affiche la vitesse du paquet.

En mode de fonctionnement standard, les paquets sont envoyés à intervalles réguliers, pratiquement sans charge sur le réseau. Mais en mode « agressif », un flot de paquets de requête/réponse d'écho ICMP peut provoquer une congestion sur une petite ligne, l'empêchant de transmettre des informations utiles.

Protocoles non standards encapsulés en IP

Le paquet IP contient un champ qui précise le protocole du paquet encapsulé (TCP, UDP, ICMP). Les attaquants peuvent utiliser une valeur non standard de ce champ pour transmettre des données qui ne seront pas enregistrées par les outils standard de contrôle des flux d'informations.

Attaque de Schtroumpf

L'attaque schtroumpf consiste à envoyer des requêtes ICMP diffusées au réseau au nom de l'ordinateur victime.

En conséquence, les ordinateurs qui ont reçu de tels paquets diffusés répondent à l'ordinateur victime, ce qui entraîne une réduction significative du débit du canal de communication et, dans certains cas, l'isolement complet du réseau attaqué. L’attaque des Schtroumpfs est extrêmement efficace et répandue.

Contre-attaque : pour reconnaître cette attaque, il est nécessaire d'analyser la charge du canal et de déterminer les raisons de la diminution du débit.

Attaque d'usurpation DNS

Le résultat de cette attaque est l'introduction d'une correspondance forcée entre une adresse IP et un nom de domaine dans le cache du serveur DNS. À la suite d'une attaque réussie, tous les utilisateurs du serveur DNS recevront des informations incorrectes sur noms de domaine et les adresses IP. Cette attaque se caractérise par un grand nombre de paquets DNS portant le même nom de domaine. Cela est dû à la nécessité de sélectionner certains paramètres d'échange DNS.

Contre-attaque : pour détecter une telle attaque, il est nécessaire d'analyser le contenu du trafic DNS ou d'utiliser DNSSEC.

Attaque d'usurpation d'adresse IP

Un grand nombre d'attaques sur Internet sont associées à l'usurpation de l'adresse IP source. De telles attaques incluent également l'usurpation d'identité Syslog, qui consiste à envoyer un message à l'ordinateur victime au nom d'un autre ordinateur du réseau interne. Puisque le protocole syslog est utilisé pour maintenir journaux système, en transmettant de faux messages à l'ordinateur de la victime, vous pouvez imposer des informations ou dissimuler les traces d'un accès non autorisé.

Contre-mesures : la détection des attaques liées à l'usurpation d'adresse IP est possible en surveillant la réception sur l'une des interfaces d'un paquet avec l'adresse source de la même interface ou en surveillant la réception sur interface externe paquets avec des adresses IP du réseau interne.

Imposition de forfaits

L'attaquant envoie des paquets avec une fausse adresse de retour sur le réseau. Avec cette attaque, un attaquant peut basculer les connexions établies entre d'autres ordinateurs vers son propre ordinateur. Dans ce cas, les droits d'accès de l'attaquant deviennent égaux aux droits de l'utilisateur dont la connexion au serveur a été basculée sur l'ordinateur de l'attaquant.

Renifler - écouter une chaîne

Possible uniquement dans le segment du réseau local.

Presque toutes les cartes réseau prennent en charge la capacité d'intercepter les paquets transmis via canal général réseau local. Dans ce cas, le poste de travail peut recevoir des paquets adressés à d'autres ordinateurs sur le même segment de réseau. Ainsi, tous les échanges d'informations dans le segment du réseau deviennent accessibles à l'attaquant. Pour réussir à mettre en œuvre cette attaque, l'ordinateur de l'attaquant doit être situé dans le même segment de réseau local que l'ordinateur attaqué.

Interception de paquets sur le routeur

Le logiciel réseau d'un routeur a accès à tous les paquets réseau envoyés via le routeur, permettant ainsi l'interception des paquets. Pour mener cette attaque, l'attaquant doit disposer d'un accès privilégié à au moins un routeur du réseau. Étant donné qu’un grand nombre de paquets sont généralement transmis via un routeur, leur interception totale est presque impossible. Cependant, des paquets individuels peuvent très bien être interceptés et stockés pour une analyse ultérieure par un attaquant. L'interception la plus efficace des paquets FTP contenant les mots de passe des utilisateurs, ainsi que des e-mails.

Forcer une fausse route sur un hôte à l'aide d'ICMP

Sur Internet, il existe un protocole spécial ICMP (Internet Control Message Protocol), dont l'une des fonctions est d'informer les hôtes du changement de routeur actuel. Ce message de contrôle est appelé redirection. Il est possible d'envoyer un faux message de redirection depuis n'importe quel hôte du segment de réseau au nom du routeur vers l'hôte attaqué. En conséquence, la table de routage actuelle de l'hôte change et, à l'avenir, tout le trafic réseau de cet hôte passera, par exemple, par l'hôte qui a envoyé le faux message de redirection. De cette manière, il est possible d’imposer activement un faux itinéraire au sein d’un segment d’Internet.

Outre les données régulières envoyées via une connexion TCP, la norme prévoit également la transmission de données urgentes (hors bande). Au niveau des formats de paquets TCP, cela s'exprime sous la forme d'un pointeur urgent non nul. La plupart des PC sur lesquels Windows est installé disposent du protocole réseau NetBIOS, qui utilise trois ports IP pour ses besoins : 137, 138, 139. Si vous vous connectez à une machine Windows via le port 139 et y envoyez plusieurs octets de données OutOfBand, alors l'implémentation NetBIOS ne sachant pas quoi faire de ces données, il se bloque ou redémarre simplement la machine. Pour Windows 95, cela ressemble généralement à un écran de texte bleu indiquant une erreur dans le pilote TCP/IP et l'incapacité de travailler avec le réseau jusqu'au redémarrage du système d'exploitation. NT 4.0 sans service packs redémarre, NT 4.0 avec le pack ServicePack 2 plante sur un écran bleu. À en juger par les informations provenant du réseau, Windows NT 3.51 et Windows 3.11 pour Workgroups sont tous deux susceptibles d'être victimes d'une telle attaque.

L'envoi de données au port 139 entraîne un redémarrage de NT 4.0, ou un « écran bleu de la mort » avec l'installation du Service Pack 2. Un envoi similaire de données au 135 et à certains autres ports entraîne une charge importante sur le processus RPCSS.EXE. Sur Windows NT WorkStation, cela entraîne un ralentissement important ; Windows NT Server se bloque pratiquement.

Usurpation d'hôte de confiance

La mise en œuvre réussie d'attaques à distance de ce type permettra à l'attaquant d'ouvrir une session avec le serveur au nom d'un hôte de confiance. (Hôte de confiance - une station légalement connectée au serveur). La mise en œuvre de ce type d’attaque consiste généralement à envoyer des paquets d’échange depuis le poste de l’attaquant pour le compte d’un poste de confiance sous son contrôle.

Technologies de détection des attaques

Les technologies des réseaux et de l’information évoluent si rapidement que les mécanismes de protection statiques, notamment les systèmes de contrôle d’accès, les pare-feu et les systèmes d’authentification, ne peuvent dans de nombreux cas assurer une protection efficace. Par conséquent, des méthodes dynamiques sont nécessaires pour détecter et prévenir rapidement les violations de sécurité. Une technologie capable de détecter les violations qui ne peuvent pas être identifiées à l’aide des modèles de contrôle d’accès traditionnels est la technologie de détection d’intrusion.

Essentiellement, le processus de détection des attaques est le processus d'évaluation des activités suspectes qui se produisent sur un réseau d'entreprise. En d’autres termes, la détection d’intrusion est le processus d’identification et de réponse à une activité suspecte dirigée vers les ressources informatiques ou réseau.

Méthodes d'analyse des informations sur le réseau

L'efficacité d'un système de détection d'attaque dépend en grande partie des méthodes utilisées pour analyser les informations reçues. Les premiers systèmes de détection d'intrusion, développés au début des années 1980, utilisaient des méthodes statistiques pour détecter les attaques. Actuellement, un certain nombre de nouvelles techniques ont été ajoutées à l'analyse statistique, à commencer par systèmes experts et logique floue et se terminant par l'utilisation les réseaux de neurones.

Méthode statistique

Les principaux avantages de l'approche statistique sont l'utilisation d'un appareil de statistique mathématique déjà développé et éprouvé et l'adaptation au comportement du sujet.

Premièrement, des profils sont déterminés pour tous les sujets du système analysé. Tout écart du profil utilisé par rapport à celui de référence est considéré comme une activité non autorisée. Les méthodes statistiques sont universelles car l’analyse ne nécessite pas de connaissance des attaques possibles et des vulnérabilités qu’elles exploitent. Cependant, lors de l'utilisation de ces techniques, des problèmes surviennent :

les systèmes « statistiques » ne sont pas sensibles à l’ordre des événements ; dans certains cas, les mêmes événements, selon l'ordre dans lequel ils se produisent, peuvent caractériser une activité anormale ou normale ;

Il est difficile de fixer les valeurs limites (seuils) des caractéristiques surveillées par le système de détection d'intrusion afin d'identifier adéquatement toute activité anormale ;

Les systèmes « statistiques » peuvent être « entraînés » par les attaquants au fil du temps afin que les actions d'attaque soient considérées comme normales.

Il convient également de tenir compte du fait que les méthodes statistiques ne sont pas applicables dans les cas où il n'existe pas de modèle de comportement typique pour l'utilisateur ou lorsque des actions non autorisées sont typiques de l'utilisateur.

Systèmes experts

Les systèmes experts consistent en un ensemble de règles qui capturent les connaissances d'un expert humain. L'utilisation de systèmes experts est une méthode courante de détection d'attaques dans laquelle les informations sur l'attaque sont formulées sous forme de règles. Ces règles peuvent être écrites, par exemple, sous forme d’une séquence d’actions ou sous forme de signature. Lorsque l'une de ces règles est respectée, une décision est prise concernant la présence d'une activité non autorisée. Un avantage important de cette approche est l’absence presque totale de fausses alarmes.

La base de données du système expert doit contenir des scripts pour la plupart des attaques actuellement connues. Afin de rester constamment à jour, les systèmes experts nécessitent une mise à jour constante de la base de données. Bien que les systèmes experts offrent une bonne visibilité sur les données des journaux, les mises à jour requises peuvent être ignorées ou effectuées manuellement par l'administrateur. Au minimum, cela se traduit par un système expert aux capacités affaiblies. Dans le pire des cas, le manque de maintenance appropriée réduit la sécurité de l’ensemble du réseau, induisant ainsi les utilisateurs en erreur sur le niveau réel de sécurité.

Le principal inconvénient est l’incapacité de repousser les attaques inconnues. De plus, même une légère modification d'une attaque déjà connue peut devenir un obstacle sérieux au fonctionnement du système de détection d'attaque.

Les réseaux de neurones

La plupart des méthodes modernes de détection des attaques utilisent une certaine forme d’analyse spatiale contrôlée, soit une approche basée sur des règles, soit une approche statistique. L'espace contrôlé peut être constitué de journaux ou de trafic réseau. L'analyse est basée sur un ensemble de règles prédéfinies créées par l'administrateur ou le système de détection d'intrusion lui-même.

Toute séparation d'une attaque dans le temps ou entre plusieurs attaquants est difficile à détecter à l'aide de systèmes experts. En raison de la grande variété d'attaques et de pirates informatiques, même ponctuels, les mises à jour continues de la base de données des règles du système expert ne garantiront jamais une identification précise de l'ensemble des attaques.

L’utilisation de réseaux de neurones est une des voies permettant de pallier ces problèmes de systèmes experts. Contrairement aux systèmes experts, qui peuvent donner à l'utilisateur une réponse définitive sur la conformité des caractéristiques considérées avec les règles intégrées dans la base de données, un réseau de neurones analyse les informations et offre la possibilité d'évaluer si les données sont cohérentes avec les caractéristiques qu'elles contiennent. formés à reconnaître. Alors que le degré de correspondance d'une représentation d'un réseau neuronal peut atteindre 100 %, la fiabilité du choix dépend entièrement de la qualité du système dans l'analyse des exemples de la tâche.

Tout d’abord, le réseau neuronal est entraîné à s’identifier correctement à l’aide d’un échantillon présélectionné d’exemples de domaine. La réponse du réseau neuronal est analysée et le système est ajusté de manière à obtenir des résultats satisfaisants. En plus de la période de formation initiale, le réseau neuronal acquiert de l'expérience au fil du temps en analysant les données spécifiques au domaine.

Un avantage important des réseaux neuronaux dans la détection des abus est leur capacité à « apprendre » les caractéristiques des attaques délibérées et à identifier les éléments qui ne ressemblent pas à ceux observés précédemment sur le réseau.

Chacune des méthodes décrites présente un certain nombre d'avantages et d'inconvénients, il est donc désormais presque difficile de trouver un système qui implémente une seule des méthodes décrites. En règle générale, ces méthodes sont utilisées en combinaison.

Problèmes de sécurité du réseau IP

Analyse des menaces de sécurité des réseaux.

Pour organiser les communications dans un environnement réseau hétérogène, un ensemble de protocoles TCP/IP est utilisé, garantissant la compatibilité entre ordinateurs de différents types. La compatibilité est l'un des principaux avantages de TCP/IP, c'est pourquoi la plupart des réseaux informatiques prennent en charge ces protocoles. De plus, les protocoles TCP/IP permettent d'accéder aux ressources de l'Internet mondial.

En raison de sa popularité, TCP/IP est devenu la norme de facto pour les réseaux Internet. Cependant, l’omniprésence de la pile de protocoles TCP/IP a également révélé ses faiblesses. Lors de la création de leur idée, les architectes de la pile TCP/IP n’ont vu aucune raison de s’inquiéter particulièrement de la protection des réseaux construits dessus. Ainsi, dans le cahier des charges versions précédentes Le protocole IP manquait d’exigences de sécurité, ce qui conduisait à la vulnérabilité inhérente de sa mise en œuvre.

La croissance rapide de la popularité des technologies Internet s'accompagne d'une augmentation des menaces graves de divulgation de données personnelles, de ressources critiques de l'entreprise, de secrets d'État, etc.

Chaque jour, des pirates informatiques et d'autres acteurs malveillants menacent les ressources d'information en ligne en tentant d'y accéder à l'aide d'attaques spéciales. Ces attaques ont un impact de plus en plus sophistiqué et sont plus simples à exécuter. Deux facteurs principaux y contribuent.

Premièrement, il s’agit de la pénétration généralisée d’Internet. Aujourd'hui, des millions d'ordinateurs sont connectés à ce réseau. Avec plusieurs millions d’ordinateurs connectés à Internet dans un avenir proche, la probabilité que des pirates informatiques accèdent à des ordinateurs et à des réseaux informatiques vulnérables augmente. De plus, l’utilisation généralisée d’Internet permet aux pirates informatiques d’échanger des informations à l’échelle mondiale.

Deuxièmement, il y a la prolifération généralisée de systèmes d’exploitation et d’environnements de développement faciles à utiliser. Ce facteur réduit considérablement les exigences relatives au niveau de connaissance de l'attaquant. Auparavant, il fallait un hacker bonne connaissance et des compétences en programmation pour créer et distribuer des logiciels malveillants. Désormais, pour accéder à l'outil d'un hacker, il suffit de connaître l'adresse IP du site souhaité, et pour mener une attaque, il suffit de cliquer avec la souris.

Problèmes d'approvisionnement sécurité des informations dans les réseaux informatiques d'entreprise sont causés par des menaces de sécurité contre les postes de travail locaux, les réseaux locaux et par des attaques contre les réseaux d'entreprise ayant accès aux réseaux de données publics.

Les attaques réseau sont aussi variées que les systèmes qu’elles ciblent. Certaines attaques sont très difficiles. D'autres peuvent être réalisés par un opérateur ordinaire qui n'imagine même pas les conséquences que peuvent avoir ses activités.

Un intrus, lorsqu'il mène une attaque, se fixe généralement les objectifs suivants :

v violation de la confidentialité des informations transmises ;

v violation de l'intégrité et de la fiabilité des informations transmises ;

v perturbation du système dans son ensemble ou de ses parties individuelles.

Du point de vue de la sécurité, les systèmes distribués se caractérisent principalement par la présence attaques à distance , car les composants des systèmes distribués utilisent généralement des canaux de transmission de données ouverts et un intrus peut non seulement écouter passivement les informations transmises, mais également modifier le trafic transmis (influence active). Et si l’impact actif sur le trafic peut être enregistré, alors l’impact passif est pratiquement indétectable. Mais puisque pendant le fonctionnement systèmes distribués l'échange d'informations de service entre les composants du système s'effectue également via canaux ouverts transmission de données, les informations de service deviennent alors la même cible d'attaque que les données utilisateur.

La difficulté de détecter le fait d'une attaque à distance place ce type d'action illégale au premier rang en termes de degré de danger, car elle empêche une réponse rapide à la menace, de sorte que le contrevenant augmente les chances de réussir. l'attaque.

La sécurité du réseau local diffère de la sécurité des interréseaux dans la mesure où, dans ce cas, la sécurité prime en importance. violations des utilisateurs enregistrés , car, en général, les canaux de transmission de données du réseau local sont situés dans une zone contrôlée et la protection contre les connexions non autorisées à ceux-ci est mise en œuvre par des méthodes administratives.

En pratique, les réseaux IP sont vulnérables à un certain nombre de méthodes d'intrusion non autorisée dans le processus d'échange de données. À mesure que les technologies informatiques et de réseau se développent (par exemple, avec l'avènement des applications mobiles Java et des contrôles ActiveX), la liste des types possibles d'attaques réseau sur les réseaux IP s'allonge constamment [Galitsky A.V., Ryabko S.D., Shangin V.F. Protection des informations sur le réseau - analyse des technologies et synthèse des solutions. M. : DMK Press, 2004].

Examinons les types d'attaques réseau les plus courants.

Écoute clandestine (reniflement). La plupart des données sur les réseaux informatiques sont transmises dans un format non sécurisé (texte brut), ce qui permet à un attaquant ayant accès aux lignes de données de votre réseau d'écouter ou de lire le trafic. Pour écouter réseaux informatiques utiliser renifleur Renifleur de paquets est un programme d'application qui intercepte tout paquets réseau, transmis via un domaine spécifique.

Actuellement, les renifleurs opèrent sur les réseaux sur une base tout à fait légale. Ils sont utilisés pour le diagnostic des pannes et l'analyse du trafic. Cependant, comme certaines applications réseau transfèrent des données au format texte (Telnet, FTP, SMTP, POP3, etc.), l'utilisation d'un sniffer peut révéler des informations utiles et parfois sensibles (par exemple, noms d'utilisateur et mots de passe).

Reniflage de mot de passe transmis sur un réseau sous forme non cryptée par « écoute clandestine » sur le canal est un type d’attaque par écoute clandestine. L’interception des identifiants et des mots de passe constitue une menace majeure, car les utilisateurs utilisent souvent les mêmes identifiants et mots de passe pour plusieurs applications et systèmes. De nombreux utilisateurs disposent généralement d'un seul mot de passe pour accéder à toutes les ressources et applications. Si l'application s'exécute en mode client/serveur et que les données d'authentification sont transmises sur le réseau dans un format lisible format de texte, ces informations peuvent probablement être utilisées pour accéder à d’autres ressources d’entreprise ou externes.

Dans le pire des cas, un pirate informatique obtient un accès au niveau du système à une ressource utilisateur et l'utilise pour créer de nouveaux attributs utilisateur pouvant être utilisés pour accéder au réseau et à ses ressources à tout moment.

Vous pouvez empêcher la menace de détection de paquets en utilisant les éléments suivants :
mesures et moyens :

v utilisation de mots de passe à usage unique pour l'authentification ;

v installation de matériel ou de logiciel reconnaissant
renifleurs;

v application de la protection cryptographique des canaux de communication.

Modification des données. Un attaquant capable de lire
vos données, pourra passer à l'étape suivante : les modifier. Données dans
le package peut être modifié même si l'attaquant ne sait rien
sur l'expéditeur ou le destinataire. Même si tu n'as pas besoin d'être strict
confidentialité de toutes les données transmises, vous ne souhaitez probablement pas,
afin qu'ils soient modifiés en cours de route.

Analyse trafic réseau. Le but de telles attaques
type écoutent les canaux de communication et analysent les transmissions
données et informations sur les services pour étudier la topologie et l'architecture
construire un système, obtenir des informations utilisateur critiques
(par exemple, les mots de passe des utilisateurs ou les numéros de carte de crédit transmis
V formulaire ouvert). Les protocoles tels que FTP sont sensibles à ce type d'attaque.
ou Telnet, dont la particularité est que le nom d'utilisateur et le mot de passe
transmis au sein de ces protocoles en texte clair.

Substitution d'un sujet de confiance. La plupart des réseaux et des opérations
systèmes utilise l'adresse IP de l'ordinateur pour déterminer si
c'est le destinataire qu'il faut. Dans certains cas, cela peut être incorrect
attribution d'une adresse IP (substitution de l'adresse IP de l'expéditeur par une autre adresse) - telle
la méthode d'attaque s'appelle falsification d'adresse(usurpation d'adresse IP).

L'usurpation d'adresse IP se produit lorsqu'un attaquant, à l'intérieur ou à l'extérieur d'une entreprise, usurpe l'identité d'un utilisateur légitime. Un attaquant pourrait utiliser une adresse IP comprise dans la plage d'adresses IP autorisées, ou une adresse externe autorisée qui permet d'accéder à certains ressources réseau. Un attaquant peut également utiliser des programmes spéciaux qui façonnent les paquets IP de manière à ce qu'ils semblent provenir d'adresses internes autorisées sur le réseau de l'entreprise.

Les attaques d’usurpation d’adresse IP sont souvent le point de départ d’autres attaques. Exemple classique est attaque comme " déni de service"(DoS), qui commence par l'adresse de quelqu'un d'autre, cachant la véritable identité du pirate informatique. En règle générale, l'usurpation d'adresse IP se limite à l'insertion de fausses informations ou de commandes malveillantes dans le flux normal de données transmises entre une application client et serveur ou sur un canal de communication entre des appareils homologues.

La menace d'usurpation d'identité peut être atténuée (mais pas éliminée) par les mesures suivantes :

v réglage correct contrôle d'accès depuis le réseau externe ;

v suppression des tentatives d'usurpation d'identité des réseaux d'autrui par les utilisateurs de leur réseau.

Il convient de garder à l'esprit que l'usurpation d'adresse IP peut être effectuée sous réserve d'une authentification de l'utilisateur basée sur les adresses IP, donc l'introduction méthodes supplémentaires authentification de l'utilisateur (basée sur mots de passe à usage unique ou d'autres méthodes cryptographiques) permet de prévenir les attaques d'usurpation d'adresse IP.

La médiation. Une attaque de l'homme du milieu implique une écoute active, une interception et un contrôle des données transmises par un nœud intermédiaire invisible. Lorsque les ordinateurs interagissent à faible niveaux de réseau, ils ne peuvent pas toujours déterminer avec qui exactement ils échangent des données.

Médiation dans l'échange de clés non chiffrées (attaque Man-in-the-Middle). Pour mener une attaque Man-in-the-Middle, un attaquant doit accéder aux paquets transmis sur le réseau. Un tel accès à tous les paquets transmis d'un FAI vers tout autre réseau peut, par exemple, être obtenu par un employé de ce fournisseur. Les renifleurs de paquets sont souvent utilisés pour ce type d’attaque. protocoles de transport et les protocoles de routage.

Dans un cas plus général, les attaques Man-in-the-Middle sont menées pour voler des informations, intercepter la session en cours et accéder aux ressources du réseau privé, pour analyser le trafic et obtenir des informations sur le réseau et ses utilisateurs, pour effectuer des DoS. attaques, déformer les données transmises et saisir des informations non autorisées dans les sessions réseau.

Les attaques Man-m-the-Middle ne peuvent être combattues efficacement qu’en utilisant la cryptographie. Une infrastructure de gestion est utilisée pour contrer ce type d'attaque. clés publiques PKI (Infrastructure à Clé Publique).

Détournement de session. Une fois la procédure d'authentification initiale terminée, la connexion établie par l'utilisateur légitime, par exemple avec un serveur de messagerie, est basculée par l'attaquant vers un nouvel hôte et le serveur d'origine reçoit l'ordre de mettre fin à la connexion. Du coup, « l’interlocuteur » de l’utilisateur légitime est discrètement remplacé.

Après avoir accédé au réseau, l'attaquant dispose de grandes opportunités :

v il peut envoyer des données incorrectes aux applications et aux services réseau, provoquant leur blocage ou leur dysfonctionnement ;

v il peut également inonder un ordinateur ou un réseau entier de trafic jusqu'à ce que le système tombe en panne en raison d'une surcharge ;

v Enfin, l'attaquant peut bloquer le trafic, ce qui entraînera une perte d'accès aux ressources réseau pour les utilisateurs autorisés.

Déni de service (DoS). Cette attaque est différente des autres types d'attaques. Il ne vise pas à accéder à votre réseau ou à extraire des informations de ce réseau. Une attaque DoS rend le réseau d'une organisation inaccessible utilisation normale en dépassant les limites autorisées du réseau, du système d'exploitation ou de l'application. Essentiellement, cette attaque refuse aux utilisateurs normaux l’accès aux ressources ou aux ordinateurs du réseau d’une organisation.

La plupart des attaques DoS reposent sur des faiblesses générales de l’architecture du système. En cas d'utilisation de certains applications serveur(comme un serveur Web ou un serveur FTP) Les attaques DoS peuvent être aussi simples que de prendre le contrôle de toutes les connexions disponibles pour ces applications et de les maintenir occupées, empêchant

services destinés aux utilisateurs ordinaires. Les attaques DoS peuvent utiliser des protocoles Internet courants tels que TCP et ICMP (Internet Control Message Protocol).

Les attaques DoS sont difficiles à prévenir car elles nécessitent une coordination avec votre FAI. Si le trafic destiné à submerger votre réseau ne peut pas être arrêté chez le fournisseur, alors à l'entrée du réseau vous ne pourrez plus le faire, car toute la bande passante sera occupée.

Si ce type d'attaque est mené simultanément à travers de nombreux appareils, nous disons à propos de l'attaque DDoS par déni de service distribué(DoS distribué).

La facilité de mise en œuvre des attaques DoS et les énormes dommages qu'elles causent aux organisations et aux utilisateurs attirent l'attention particulière des administrateurs de sécurité réseau sur ces attaques.

Attaques de mot de passe. Le but de ces attaques est d'obtenir le mot de passe et le login de l'utilisateur légitime. Les attaquants peuvent mener des attaques par mot de passe en utilisant des méthodes telles que :

v O substitution d'adresse IP (usurpation d'identité 1P) ;

v écoute clandestine (reniflement) ;

v recherche simple.

L'usurpation d'adresse IP et le reniflage de paquets ont été abordés ci-dessus. Ces méthodes vous permettent de capturer le mot de passe et la connexion d'un utilisateur s'ils sont transmis en texte clair sur un canal non sécurisé.

Les pirates tentent souvent de deviner le mot de passe et de se connecter, en utilisant de nombreuses tentatives d'accès. Cette approche est appelée attaque de force brute(attaque de force brute). Cette attaque utilise programme spécial, qui tente d'accéder à une ressource publique (par exemple, un serveur). Si, par conséquent, l'attaquant parvient à deviner le mot de passe, il accède aux ressources en tant qu'utilisateur régulier. Si cet utilisateur dispose de privilèges d'accès importants, un attaquant peut se créer un « laissez-passer » pour un accès futur qui restera en vigueur même si l'utilisateur modifie son mot de passe et son identifiant.

Les outils d'interception, de sélection et de déchiffrement des mots de passe sont actuellement considérés comme pratiquement légaux et sont officiellement produits par un assez grand nombre d'entreprises. Ils sont commercialisés sous forme de programmes d'audit de sécurité et de récupération de mots de passe perdus et peuvent être trouvés sur légalement acheter auprès des développeurs.

Les attaques par mot de passe peuvent être évitées en n'utilisant pas de mots de passe en texte brut. L'utilisation de mots de passe à usage unique et d'une authentification cryptographique peut pratiquement éliminer la menace de telles attaques. Malheureusement, toutes les applications, hôtes et appareils ne prennent pas en charge ces méthodes d'authentification.

Lorsque vous utilisez des mots de passe classiques, vous devez trouver un mot de passe difficile à deviner. La longueur minimale du mot de passe doit être d'au moins huit caractères. Le mot de passe doit inclure des caractères majuscules, des chiffres et des caractères spéciaux (#, $, &, %, etc.).

Deviner la clé. Une clé cryptographique est un code ou un numéro nécessaire pour déchiffrer les informations protégées. Même si trouver la clé d’accès est difficile et nécessite beaucoup de ressources, cela reste néanmoins possible. En particulier, pour déterminer la valeur d'une clé, un programme spécial mettant en œuvre la méthode de recherche exhaustive peut être utilisé. La clé à laquelle l’attaquant accède est dite compromise. L'attaquant utilise la clé compromise pour accéder aux données transmises protégées à l'insu de l'expéditeur et du destinataire. La clé permet de décrypter et de modifier les données.

Attaques au niveau des applications. Ces attaques peuvent être menées de plusieurs manières. La plus courante d’entre elles consiste à exploiter les faiblesses connues des logiciels serveurs (FTP, HTTP, serveurs Web).

Le principal problème des attaques au niveau de la couche application est qu’elles utilisent souvent des ports autorisés à traverser le pare-feu.

Les informations sur les attaques au niveau des applications sont largement publiées pour permettre aux administrateurs de corriger le problème à l'aide de modules correctifs (correctifs). Malheureusement, de nombreux hackers ont également accès à ces informations, ce qui leur permet d’apprendre.

Il est impossible d’éliminer complètement les attaques au niveau des applications. Les pirates informatiques découvrent et publient constamment de nouvelles vulnérabilités dans les programmes d'application sur leurs sites Internet.

Une bonne administration du système est ici importante. Pour réduire votre vulnérabilité à ce type d’attaque, vous pouvez suivre les étapes suivantes :

v analyser les fichiers journaux du système d'exploitation et les fichiers journaux du réseau à l'aide d'applications analytiques spéciales ;

v surveiller les données CERT sur les faiblesses des logiciels d'application ;

v utiliser les dernières versions des systèmes d'exploitation et des applications ainsi que les derniers modules de correction (patchs) ;

v utiliser les systèmes de détection d'attaques IDS (Intrusion Detection Systems).

Intelligence réseau est la collecte d’informations sur le réseau à l’aide de données et d’applications accessibles au public. Lorsqu’il prépare une attaque contre un réseau, un pirate informatique essaie généralement d’obtenir le plus d’informations possible à son sujet.

La reconnaissance du réseau s'effectue sous forme de requêtes DNS,
tests d'écho (balayage ping) et analyse des ports. Les requêtes DNS vous aident à comprendre à qui appartient un domaine particulier et quelles adresses sont attribuées à ce domaine. Adresses ping révélées depuis en utilisant DNS, vous permet de voir quels hôtes s'exécutent réellement dans un environnement donné. Après avoir reçu une liste d'hôtes, le pirate informatique utilise des outils d'analyse de ports pour compiler une liste complète des services pris en charge par ces hôtes. En conséquence, des informations sont obtenues qui peuvent être utilisées pour le piratage.

Il est impossible de se débarrasser complètement de l’intelligence réseau. Si, par exemple, vous désactivez l'écho et la réponse d'écho ICMP sur les routeurs périphériques, vous supprimez les tests ping, mais vous perdez les données nécessaires au diagnostic des pannes réseau. De plus, vous pouvez analyser les ports sans test ping préalable. Cela prendra simplement plus de temps, puisque vous devrez scanner des adresses IP inexistantes.

Les systèmes IDS au niveau du réseau et de l'hôte font généralement un bon travail en alertant les administrateurs de la reconnaissance en cours du réseau, leur permettant de mieux se préparer à une attaque à venir et d'alerter le FAI sur le réseau duquel un système est trop curieux.

Abus de confiance. Ce type d’action ne constitue pas une attaque au sens plein du terme. Il s'agit d'une exploitation malveillante des relations de confiance qui existent dans un réseau. Un exemple typique d’un tel abus est la situation dans la partie périphérique du réseau d’entreprise. Ce segment héberge généralement des serveurs DNS, SMTP et HTTP. Puisqu’ils appartiennent tous au même segment, pirater l’un d’eux entraîne le piratage de tous les autres, puisque ces serveurs font confiance à d’autres systèmes de leur réseau.

Le risque d’abus de confiance peut être réduit en contrôlant plus étroitement les niveaux de confiance au sein de votre réseau. Systèmes situés avec dehors pare-feu, ne doit jamais être entièrement fiable par les systèmes protégés par un pare-feu.

Les relations de confiance doivent être limitées à des protocoles spécifiques et, si possible, authentifiées non seulement par des adresses IP, mais également par d'autres paramètres. Programmes malveillants. Ces programmes comprennent les virus informatiques, les vers de réseau et les chevaux de Troie.

Virus sont des programmes malveillants insérés dans d'autres programmes pour exécuter une fonction spécifique indésirable sur le poste de travail de l'utilisateur final. Le virus est généralement développé par des attaquants de manière à rester indétectable le plus longtemps possible. Système d'ordinateur. La période initiale de dormance des virus est un mécanisme permettant leur survie. Le virus se manifeste pleinement à un moment précis, lorsqu'un événement d'appel se produit, par exemple le vendredi 13, une date connue, etc.

Un type de programme antivirus est ver de réseau, qui est distribué sur le réseau mondial et ne laisse pas sa copie sur un support magnétique. Ce terme est utilisé pour désigner les programmes qui, comme les vers solitaires, se déplacent sur un réseau informatique d'un système à un autre. Le ver utilise des mécanismes de support réseau pour déterminer quel hôte peut être affecté. Ensuite, en utilisant les mêmes mécanismes, le ver transfère son corps vers ce nœud et soit s'active, soit attend des conditions appropriées pour l'activation. Les vers de réseau sont un type de malware dangereux car la cible de leur attaque peut être n'importe lequel des millions d'ordinateurs connectés à l'Internet mondial. Pour vous protéger contre un ver, vous devez prendre des précautions contre tout accès non autorisé à votre réseau interne.

Les virus informatiques sont liés à ce qu'on appelle "Chevaux de Troie"(Programmes chevaux de Troie). Un « cheval de Troie » est un programme qui ressemble à une application utile, mais qui remplit en réalité des fonctions nuisibles (destruction de logiciels
fourniture, copie et envoi de fichiers contenant des données confidentielles à l'attaquant, etc.). Le danger d'un cheval de Troie réside dans un bloc de commandes supplémentaire inséré dans le programme inoffensif d'origine, qui est ensuite fourni aux utilisateurs d'AS. Ce bloc de commandes peut être déclenché lors de l'apparition de n'importe quelle condition (date, état du système) ou lors d'une commande externe. Un utilisateur qui exécute un tel programme met en danger à la fois ses fichiers et l'ensemble du système.

Selon le rapport Sophos Security Threat Management, les chevaux de Troie étaient quatre fois plus nombreux que les virus et les vers au premier semestre 2006, contre deux fois plus au premier semestre 2005. Sophos signale également l'émergence d'un nouveau type de « chevaux de Troie ». , appelé rançongiciel. De tels programmes volent des données sur des ordinateurs infectés, puis l'utilisateur est invité à payer une certaine rançon pour cela.

Postes de travail les utilisateurs finaux très vulnérable aux virus, vers de réseau et chevaux de Troie.

Une caractéristique des logiciels malveillants modernes est qu'ils se concentrent sur des logiciels d'application spécifiques, qui sont devenus un standard de facto pour la plupart des utilisateurs, principalement Internet Microsoft Explorateur et Microsoft Outlook. La création massive de virus pour les produits Microsoft s'explique non seulement par le faible niveau de sécurité et de fiabilité des programmes, mais aussi par la diffusion mondiale de ces produits. Les auteurs de logiciels malveillants commencent de plus en plus à explorer les « failles » dans les SGBD, middlewares et applications métiers les plus répandus, construits sur ces systèmes.

Les virus, vers et chevaux de Troie évoluent constamment et la principale tendance dans leur développement est le polymorphisme. Aujourd'hui, il est déjà assez difficile de tracer une frontière entre un virus, un ver et un cheval de Troie ; ils utilisent presque les mêmes mécanismes ; la légère différence réside uniquement dans le degré d'utilisation. La conception des logiciels malveillants est devenue aujourd’hui si unifiée que, par exemple, il est presque impossible de distinguer un virus de messagerie d’un ver doté de fonctions destructrices. Même les programmes « chevaux de Troie » ont une fonction de réplication (comme l'un des moyens de contrecarrer les outils antivirus), de sorte que si vous le souhaitez, ils peuvent être appelés virus (avec un mécanisme de distribution sous la forme de se faire passer pour des programmes d'application).

Pour se protéger contre ces programmes malveillants, il est nécessaire de prendre un certain nombre de mesures :

v empêcher tout accès non autorisé aux fichiers exécutables ;

v tests des logiciels achetés ;

v surveiller l'intégrité des fichiers exécutables et des zones système ;

v création environnement fermé exécution de programmes.

Les virus, vers et chevaux de Troie sont combattus à l'aide d'un logiciel antivirus efficace qui fonctionne au niveau de l'utilisateur et éventuellement au niveau du réseau. À mesure que de nouveaux virus, vers et chevaux de Troie apparaissent, de nouvelles bases de données d'outils et d'applications antivirus doivent être installées.

Spam et phishing faire référence à des menaces non logicielles. La prévalence de ces deux menaces a considérablement augmenté ces derniers temps.

Courrier indésirable, dont le volume dépasse désormais 80 % du volume total du trafic de messagerie, peut constituer une menace pour la disponibilité des informations en bloquant les serveurs de messagerie, ou être utilisé pour diffuser des logiciels malveillants.

Hameçonnage(phishing) est un type de fraude Internet relativement nouveau, dont le but est d'obtenir des données d'identification des utilisateurs. Cela inclut le vol de mots de passe, de numéros de carte de crédit, de comptes bancaires, de codes PIN et d'autres informations confidentielles donnant accès à l'argent de l'utilisateur. Le phishing n'utilise pas lacunes techniques logiciels, mais la crédulité des internautes. Le terme phishing lui-même, en accord avec la pêche, signifie "pêche à la récolte de mots de passe" - pêcher un mot de passe. En effet, le phishing ressemble beaucoup à la pêche. L'attaquant lance un appât sur Internet et « attrape tous les poissons » - les internautes qui mordront sur cet appât.

L'attaquant crée une copie presque exacte du site Internet de la banque sélectionnée (électronique Système de paiement, enchères, etc.). Ensuite, en utilisant la technologie du spam, e-mail une lettre est envoyée, composée de manière à ressembler le plus possible à une véritable lettre de la banque sélectionnée. Lors de la rédaction de la lettre, les logos de la banque, les noms et prénoms de véritables directeurs de banque sont utilisés. En règle générale, une telle lettre informe qu'en raison d'un changement de logiciel dans le système bancaire par Internet, l'utilisateur doit confirmer ou modifier ses informations d'identification. La raison de la modification des données peut être une défaillance du logiciel de la banque ou une attaque de pirates informatiques. La présence d'une légende plausible qui incite l'utilisateur à actions nécessaires, est un élément indispensable au succès des fraudeurs par phishing. Dans tous les cas, le but de ces lettres est le même : obliger l'utilisateur à cliquer sur le lien fourni puis à saisir ses données confidentielles (mots de passe, numéros de compte, codes PIN) sur le site overlay de la banque (système de paiement électronique, enchères). . Après avoir visité un faux site, l'utilisateur saisit ses données confidentielles dans les lignes appropriées, puis les escrocs accèdent au mieux à sa boîte mail, au pire à son compte électronique.

Les technologies de phisher sont améliorées et des méthodes d’ingénierie sociale sont utilisées. Ils essaient d'effrayer le client et de lui trouver une raison cruciale pour qu'il renonce à ses données confidentielles. En règle générale, les messages contiennent des menaces, telles que le blocage d'un compte si le destinataire ne respecte pas les exigences définies dans le message.

Un conjugué est apparu avec le concept de phishing - pharmacie . Il s’agit également d’une arnaque dont le but est d’obtenir les données personnelles des utilisateurs, non pas par courrier, mais directement via les sites Web officiels. Les agriculteurs remplacent par Serveurs DNS les adresses numériques des sites Web légitimes à celles des faux, ce qui redirige les utilisateurs vers des sites frauduleux. Ce type de fraude est encore plus dangereux, puisqu'il est quasiment impossible de remarquer un faux.

De nos jours, les escrocs utilisent souvent des chevaux de Troie. Dans ce cas, la tâche du phisher est grandement simplifiée : il suffit de forcer l'utilisateur à se rendre sur le site de phishing et à « récupérer » un programme qui trouvera indépendamment tout ce dont il a besoin sur le disque dur de la victime. Parallèlement aux programmes chevaux de Troie, ils ont commencé à être utilisés enregistreurs de frappe. Sur de faux sites, ils téléchargent utilitaires d'espionnage, suivi des frappes. Lorsque vous utilisez cette approche, il n'est pas nécessaire de trouver l'accès aux clients d'une banque ou d'une entreprise spécifique, c'est pourquoi les phishers ont commencé à falsifier des sites à usage général, tels que fil d'actualité et les moteurs de recherche.

Le succès des escroqueries par phishing est facilité par le faible niveau de sensibilisation des utilisateurs aux règles de fonctionnement des entreprises au nom desquelles les criminels agissent. En particulier, environ 5 % des utilisateurs ignorent un fait simple : les banques n'envoient pas de lettres leur demandant de confirmer leur numéro de carte de crédit et leur code PIN en ligne.

Selon les analystes (www.cnews.ru), les dommages causés par les phishers à l'économie mondiale se sont élevés à 14 milliards de dollars en 2003, et un an plus tard, ils ont atteint 44 milliards de dollars. Selon les statistiques de Symantec, à la mi-2004, les filtres de l'entreprise bloquaient chaque semaine jusqu'à 9 millions d'e-mails contenant du contenu de phishing. À la fin de l'année, 33 millions avaient déjà été exclus au cours de la même période.

Les filtres anti-spam restent la principale défense contre le phishing. Malheureusement, les outils logiciels anti-phishing ont une efficacité limitée, car les attaquants exploitent principalement la psychologie humaine plutôt que les failles logicielles. En cours de développement moyens techniques sécurité, principalement des plugins pour navigateurs populaires. L'essence de la protection est de bloquer les sites inclus dans les « listes noires » de ressources frauduleuses. La prochaine étape pourrait consister en des systèmes permettant de générer des mots de passe à usage unique pour l'accès à Internet aux comptes bancaires et aux comptes des systèmes de paiement, ainsi qu'à la généralisation de niveaux de protection supplémentaires grâce à une combinaison de saisie d'un mot de passe à l'aide d'une clé matérielle USB.

Les attaques répertoriées sur les réseaux IP sont possibles pour plusieurs raisons :

v utilisation des canaux publics de transmission de données. Les données critiques sont transmises sur le réseau sous forme non cryptée ;

v vulnérabilités dans les procédures d'authentification implémentées dans la pile TCP/IP. Les informations d'identité au niveau de la couche IP sont transmises en texte clair ;

v l'absence dans la version de base de la pile protocolaire TCP/IP de mécanismes assurant la confidentialité et l'intégrité des messages transmis ;

v l'expéditeur est authentifié par son adresse IP. La procédure d'authentification n'est effectuée qu'au stade de l'établissement de la connexion, et par la suite l'authenticité des paquets reçus n'est pas vérifiée ;

v manque de contrôle sur le parcours des messages sur Internet, ce qui rend les communications à distance attaques de réseau pratiquement en toute impunité.

Il existe quatre grandes catégories d'attaques :

· attaques d'accès ;

· attaques de modification ;

· attaques par déni de service ;

· attaques contre la clause de non-responsabilité.

Examinons de plus près chaque catégorie. Il existe de nombreuses manières de mener des attaques : en utilisant des outils spécialement conçus, des méthodes d'ingénierie sociale et en utilisant les vulnérabilités des systèmes informatiques. En ingénierie sociale, les moyens techniques ne sont pas utilisés pour obtenir un accès non autorisé à un système. L'attaquant obtient des informations via un réseau régulier appel téléphonique ou pénètre dans l'organisation sous le couvert d'un employé. Ces types d'attaques sont les plus destructeurs.

Les attaques visant à capturer des informations stockées électroniquement présentent une caractéristique intéressante : les informations ne sont pas volées, mais copiées. Il reste chez le propriétaire d'origine, mais l'attaquant le reçoit également. Ainsi, le propriétaire de l'information subit des pertes et il est très difficile de détecter le moment où cela s'est produit.

Attaques d'accès

Attaque d'accès est une tentative d'un attaquant d'obtenir des informations qu'il n'est pas autorisé à consulter. Une telle attaque est possible partout où existent des informations et des moyens de transmission. Une attaque d'accès vise à violer la confidentialité des informations. On distingue les types d'attaques d'accès suivants :

· regarder;

· les écoutes clandestines ;

· interceptions.

Lorgnant(espionnage) consiste à consulter des fichiers ou des documents pour rechercher des informations susceptibles d'intéresser l'attaquant. Si les documents sont stockés sous forme d’imprimés, l’attaquant ouvrira les tiroirs du bureau et les fouillera. Si l'information se trouve sur un système informatique, il parcourra fichier après fichier jusqu'à ce qu'il trouve l'information dont il a besoin.

Écoute clandestine(écoute clandestine) est l’écoute clandestine non autorisée d’une conversation à laquelle l’attaquant ne participe pas. Pour obtenir un accès non autorisé aux informations, dans ce cas, l'attaquant doit en être proche. Très souvent, il utilise des appareils électroniques. Mise en œuvre réseaux sans fil augmente les chances de réussite d'une audition. Désormais, l’attaquant n’a plus besoin d’être à l’intérieur du système ni de connecter physiquement le dispositif d’écoute clandestine au réseau.

Contrairement aux écoutes clandestines interception(interception) est une attaque active. L'attaquant capture les informations au fur et à mesure qu'elles sont transmises à leur destination. Après avoir analysé les informations, il prend la décision d'autoriser ou d'interdire leur passage ultérieur.

Les attaques d'accès prennent diverses formes selon le mode de stockage des informations : sous forme de documents papier ou par voie électronique sur ordinateur. Si les informations dont un attaquant a besoin sont stockées dans des documents papier, il devra avoir accès à ces documents. On les retrouve aux endroits suivants : dans des classeurs, dans des tiroirs ou sur des tables, dans un télécopieur ou une imprimante, dans une poubelle, dans une archive. Par conséquent, un attaquant doit pénétrer physiquement dans tous ces emplacements.

Ainsi, accès physique est la clé pour obtenir des données. Il convient de noter qu'une protection fiable des locaux protégera les données uniquement contre les personnes non autorisées, mais pas contre les employés de l'organisation ou les utilisateurs internes.

Les informations sont stockées électroniquement : sur les postes de travail, sur les serveurs, sur les ordinateurs portables, sur disquettes, sur CD, sur bandes magnétiques de sauvegarde.

Un attaquant peut simplement voler un support de stockage (disquette, CD, bande de sauvegarde ou ordinateur portable). Parfois, cela est plus facile à faire que d'accéder aux fichiers stockés sur les ordinateurs.

Si un attaquant a un accès légal au système, il analysera les fichiers en les ouvrant simplement un par un. Avec un contrôle d'autorisation approprié, l'accès à un utilisateur illégal sera refusé et les tentatives d'accès seront enregistrées dans les journaux.

Des autorisations correctement configurées empêcheront les fuites accidentelles d’informations. Cependant, un attaquant sérieux tentera de contourner le système de contrôle et d'accéder à information nécessaire. Existe un grand nombre de vulnérabilités qui l’aideront dans ce domaine.

Au fur et à mesure que les informations transitent par le réseau, elles sont accessibles en écoutant la transmission. Pour ce faire, l'attaquant installe un analyseur de paquets réseau (renifleur) sur le système informatique. Il s'agit généralement d'un ordinateur configuré pour capturer tout le trafic réseau (pas seulement le trafic destiné à cet ordinateur). Pour ce faire, l'attaquant doit augmenter son autorité dans le système ou se connecter au réseau. L'analyseur est configuré pour capturer toutes les informations transitant par le réseau, mais surtout les identifiants utilisateur et les mots de passe.

Les écoutes clandestines sont également effectuées dans les réseaux informatiques mondiaux tels que les lignes louées et les connexions téléphoniques. Toutefois, ce type d’interception nécessite un équipement approprié et des connaissances particulières.

L'interception est possible même dans les systèmes communication par fibre optique en utilisant un équipement spécialisé, généralement effectué par un attaquant qualifié.

L'accès à l'information par interception est l'un des les tâches les plus complexes pour l'attaquant. Pour réussir, il doit placer son système dans les lignes de transmission entre l'expéditeur et le destinataire de l'information. Sur Internet, cela se fait en modifiant la résolution du nom, ce qui entraîne la conversion du nom de l'ordinateur en une adresse incorrecte. Le trafic est redirigé vers le système de l'attaquant au lieu du nœud de destination réel. Si un tel système est configuré correctement, l'expéditeur ne saura jamais que ses informations ne sont pas parvenues au destinataire.

L'interception est également possible lors d'une session de communication valide. Ce type d'attaque est le mieux adapté pour détourner le trafic interactif. Dans ce cas, l’attaquant doit se trouver dans le même segment de réseau où se trouvent le client et le serveur. L'attaquant attend qu'un utilisateur légitime ouvre une session sur le serveur, puis, à l'aide d'un logiciel spécialisé, détourne la session pendant son exécution.

Attaques de modifications

Attaque de modification est une tentative de modification non autorisée des informations. Une telle attaque est possible partout où des informations existent ou sont transmises. Il vise à violer l’intégrité de l’information.

Un type d'attaque de modification est remplacement informations existantes, par exemple, une modification du salaire d'un employé. Une attaque de remplacement cible à la fois les informations secrètes et publiques.

Un autre type d'attaque est ajout de nouvelles données, par exemple, en informations sur l'histoire des périodes passées. Dans ce cas, l'attaquant effectue une transaction dans le système bancaire, à la suite de laquelle les fonds du compte du client sont transférés vers son propre compte.

Attaque suppression signifie déplacer des données existantes, comme l'annulation d'une entrée de transaction du bilan d'une banque, entraînant des retraits du compte espèces reste dessus.

Comme les attaques d’accès, les attaques de modification sont menées contre des informations stockées sous forme de documents papier ou électroniquement sur un ordinateur.

Il est difficile de modifier des documents sans que personne ne s'en aperçoive : s'il y a une signature (par exemple dans un contrat), il faut veiller à la falsifier, et le document scellé doit être soigneusement remonté. S'il existe des copies du document, elles doivent également être refaites, tout comme l'original. Et comme il est quasiment impossible de retrouver toutes les copies, il est très facile de repérer un faux.

Il est très difficile d'ajouter ou de supprimer des entrées dans les journaux d'activité. Premièrement, les informations qu'ils contiennent sont classées par ordre chronologique, de sorte que tout changement sera immédiatement remarqué. La meilleure façon- retirez le document et remplacez-le par un nouveau. Ces types d’attaques nécessitent un accès physique aux informations.

Il est beaucoup plus facile de modifier les informations stockées électroniquement. Considérant que l’attaquant a accès au système, une telle opération laisse un minimum de preuves. S'il n'y a pas d'accès autorisé aux fichiers, l'attaquant doit d'abord sécuriser une connexion au système ou modifier les paramètres de contrôle d'accès aux fichiers.

La modification des fichiers de base de données ou des listes de transactions doit être effectuée avec beaucoup de soin. Les transactions sont numérotées séquentiellement et la suppression ou l'ajout de numéros de transaction incorrects sera noté. Dans ces cas, un travail approfondi doit être effectué dans tout le système pour empêcher la détection.

Types d'attaques réseau détectées

Il existe actuellement de nombreux types d’attaques réseau. Ces attaques exploitent les vulnérabilités du système d’exploitation, ainsi que d’autres logiciels système et applications installés.

Pour assurer la sécurité de votre ordinateur en temps opportun, il est important de savoir quels types d'attaques réseau peuvent le menacer. Les attaques réseau connues peuvent être divisées en trois grands groupes :

• Analyse des ports– ce type de menace ne constitue pas une attaque en soi, mais la précède généralement, puisqu’il s’agit de l’un des principaux moyens d’obtenir des informations sur un ordinateur distant. Cette méthode consiste à analyser les ports UDP/TCP utilisés par les services réseau sur l'ordinateur qui intéresse l'attaquant pour déterminer leur état (ports fermés ou ouverts).

  L'analyse des ports vous permet de comprendre quels types d'attaques sur un système donné sont susceptibles de réussir et lesquels ne le seront pas. De plus, les informations obtenues à la suite de l’analyse (« instantané du système ») donneront à l’attaquant une idée du type de système d’exploitation présent sur l’ordinateur distant. Cela limite encore davantage l'éventail des attaques potentielles et, par conséquent, le temps passé sur celles-ci, et permet également d'utiliser des vulnérabilités spécifiques à un système d'exploitation donné.

• Attaques DoS, ou attaques par déni de service, sont des attaques qui rendent le système attaqué instable ou complètement inutilisable. Les conséquences de ce type d'attaque peuvent être l'impossibilité d'utiliser les ressources d'information auxquelles elles sont destinées (par exemple, l'impossibilité d'accéder à Internet).

  Il existe deux principaux types d'attaques DoS :

  • envoyer à l'ordinateur victime des paquets spécialement conçus qui ne sont pas attendus par cet ordinateur, ce qui entraîne un redémarrage ou un arrêt du système ;
  • envoyer à l'ordinateur victime un grand nombre de paquets par unité de temps, que cet ordinateur n'est pas capable de traiter, ce qui entraîne l'épuisement des ressources système.

  Des exemples frappants de ce groupe d’attaques sont les suivants :

  • Attaque Ping de la mort – consiste à envoyer un paquet ICMP dont la taille dépasse valeur admissible en 64 Ko. Cette attaque peut provoquer le crash de certains systèmes d'exploitation.
  • Attaque Atterrir - est de transférer à port ouvert votre ordinateur demandant d'établir une connexion avec lui-même. L'attaque provoque un cycle de l'ordinateur, ce qui entraîne une augmentation significative de la charge du processeur et, en outre, certains systèmes d'exploitation peuvent planter.
  • Attaque Inondation ICMP - consiste à envoyer un grand nombre de paquets ICMP à votre ordinateur. L'attaque amène l'ordinateur à répondre à chaque paquet entrant, ce qui entraîne une augmentation significative de la charge du processeur.
  • Attaque Inondation SYN – consiste à envoyer un grand nombre de requêtes de connexion à votre ordinateur. Le système réserve certaines ressources pour chacune de ces connexions, de sorte qu'il consomme complètement ses ressources et cesse de répondre aux autres tentatives de connexion.
• Attaques d'intrusion, dont le but est de « capturer » le système. C'est le plus gars dangereux attaques, car si elles sont exécutées avec succès, le système passe entièrement sous le contrôle de l’attaquant.

  Ce type d'attaque est utilisé lorsqu'un attaquant a besoin d'obtenir des informations confidentielles d'un ordinateur distant (par exemple, des numéros de carte de crédit, des mots de passe) ou simplement de prendre pied dans le système pour utiliser ultérieurement ses ressources informatiques à ses propres fins (en utilisant le système capturé dans des réseaux zombies ou comme tremplin pour de nouvelles attaques).

  Ce groupe comprend le plus grand nombre d'attaques. Elles peuvent être divisées en trois sous-groupes selon le système d’exploitation installé sur l’ordinateur de l’utilisateur : les attaques sur Microsoft Windows, attaques sur Unix, et groupe général pour les services réseau utilisés dans les deux systèmes d'exploitation.

  Les types d'attaques les plus courants utilisant les services réseau du système d'exploitation :

  • Attaques par débordement de tampon. Un débordement de tampon se produit en raison d'un manque de contrôle (ou d'un contrôle insuffisant) lors de l'utilisation de tableaux de données. C'est l'un des plus
    de nombreux types de vulnérabilités ; c'est le plus simple à exploiter par un attaquant.
  • Attaques basées sur des erreurs de chaîne de format. Des erreurs de chaîne de format se produisent en raison d'un contrôle insuffisant sur les valeurs des paramètres d'entrée des fonctions d'E/S de format de type printf(), fprintf(), scanf() et d'autres de la bibliothèque standard C. Si une telle vulnérabilité est présente dans le logiciel, alors un attaquant capable d'envoyer des requêtes spécialement conçues peut prendre le contrôle total du système.

    Le système de détection d'intrusion analyse automatiquement et empêche l'utilisation de telles vulnérabilités dans les services réseau les plus courants (FTP, POP3, IMAP) s'ils s'exécutent sur l'ordinateur de l'utilisateur.

  • Attaques ciblant les ordinateurs sur lesquels est installé système opérateur Microsoft Windows sont basés sur l'exploitation des vulnérabilités des logiciels installés sur un ordinateur (par exemple, des programmes tels que Microsoft serveur SQL, Microsoft Internet Explorer, Messenger et composants du système disponible sur le réseau - DCom, SMB, Wins, LSASS, IIS5).

  En outre, les cas particuliers d'attaques d'intrusion incluent l'utilisation de divers types de scripts malveillants, notamment des scripts traités par Microsoft Internet Explorer, ainsi que des variétés du ver Helkern. L'essence de ce dernier type d'attaque est d'envoyer ordinateur distant Un type spécial de paquet UDP capable d'exécuter du code malveillant.