Cuando el ordenador es atacado de cualquier forma....
Los piratas informáticos utilizarán otros sistemas para lograr sus propios objetivos al realizar ataques, como atacar al siguiente objetivo, utilizar el propio ordenador comprometido, etc. Este artículo presenta el uso común de las computadoras por parte de los piratas informáticos y las contramedidas correspondientes para los administradores de seguridad.
Cuando los piratas informáticos llevan a cabo ataques a la red, además de operar directamente las computadoras, a menudo también usan y controlan otras computadoras después de implementar y completar el ataque. O lo utilizan con fines de ataque o utilizan estas computadoras para otros fines. Este artículo resume y describe los diversos medios por los cuales los piratas informáticos utilizan otras computadoras. Se espera que los administradores de redes y sistemas puedan comprender estos ataques para prevenir mejor la seguridad.
1. El uso de "broiler"
"Broiler" es una palabra utilizada por los piratas informáticos para describir computadoras en Internet que están mal protegidas y son fáciles de violar y controlar.
1.1. Acceso a los datos propios
Principio
Esto es lo primero que hace un hacker después de invadir el ordenador y tomar el control total. Muchos piratas informáticos afirman que no tienen intenciones maliciosas, que solo están interesados en la seguridad informática y que no destruirán, eliminarán ni alterarán las computadoras de otras personas después de ingresar a ellas. También hay más piratas informáticos "bien intencionados" que parchearán estas computadoras y realizarán mejoras de seguridad.
Pero todos evitan la cuestión de cómo tratar los datos almacenados en estos propios ordenadores. De hecho, para la mayoría de los piratas informáticos dañar las computadoras de otras personas no es gran cosa, pero no se oponen a devolver los datos al "broiler" y guardarlos. En este momento, el "sin pérdidas" mencionado por los piratas informáticos está fuera de discusión. De acuerdo con los principios básicos de la seguridad informática, cuando se destruye cualquiera de los tres "integridad, disponibilidad y confidencialidad" de los datos, se debe considerar la vulnerabilidad de seguridad. . La computadora ocupada puede contener información del usuario, diagramas de topología de la red, secretos comerciales, estados financieros, inteligencia militar y otros datos que deben mantenerse confidenciales. Si un pirata informático obtiene estos datos (incluso si solo ve su contenido sin descargarlo), Se violó la confidencialidad del testamento. En la práctica, muchos espías comerciales y políticos entran en esta categoría, adquiriendo silenciosamente sus datos sin causar ningún daño y haciendo todo lo posible para ocultar las huellas de sus acciones. Estos piratas informáticos esperan obtener datos valiosos en grandes cantidades a lo largo del tiempo sin ser detectados, lo que en realidad es uno de los tipos de ataques más aterradores.
Muchos piratas informáticos instalan software FTP o abren servicios FTP en "broilers" y luego descargan sus datos. Sin embargo, operaciones como la instalación de software y la apertura de servicios pueden registrarse fácilmente en varios registros del sistema, y allí. se pueden descubrir. Los piratas informáticos que no quieran ser descubiertos configurarán ellos mismos un servidor FTP y dejarán que el "broiler" actúe como cliente para cargar datos.
Métodos de defensa
Por supuesto, para evitar que te roben tus datos, lo primero que debes tener en cuenta es que el ordenador en sí no esté mal. Si usted es un cubo de hierro y no se puede verter agua en él, los piratas informáticos no podrán obtener ningún acceso a las computadoras de su red, lo que por supuesto elimina la posibilidad de que se produzcan la mayoría de las fugas (tenga en cuenta que todavía existe la posibilidad de que se produzcan fugas en esta vez! Por ejemplo), ser engañado por piratas informáticos y enviar datos al exterior). Echemos un vistazo a cómo fortalecer el sistema operativo de su propia computadora, que es efectivo contra todos los ataques que deben controlarse de antemano y no se discutirá en los siguientes capítulos.
En resumen, ya sea un sistema operativo Windows, Unix o Linux, puedes considerar fortalecer el sistema operativo desde aspectos como la seguridad física, los sistemas de archivos, la administración de cuentas, la configuración de red y los servicios de aplicaciones. No discutiremos aquí un plan de seguridad integral en detalle, sino que solo brindaremos algunos elementos simples y prácticos para verificar la seguridad de su sistema. Esta es una condición necesaria pero no suficiente para la seguridad.
Seguridad física
En pocas palabras, la seguridad física se refiere a si el entorno físico en el que se encuentra la computadora es confiable y si se verá afectado por desastres naturales (como incendios, inundaciones). , rayos, etc.) y destrucción provocada por el hombre (robo, vandalismo), etc. La seguridad física no es responsabilidad exclusiva del administrador del sistema o de la red. También requiere la responsabilidad conjunta de otros departamentos de la empresa, como la administración y la seguridad. Sin embargo, debido a que es la base de otras medidas de seguridad, aún debe serlo. prestó gran atención por parte del administrador de la red. Es necesario garantizar que todos los equipos y servidores importantes estén concentrados en la sala de computadoras, que se formulen los sistemas relevantes para la sala de computadoras y que no se permita la entrada de personal irrelevante a la sala de computadoras.
Los administradores de red no pueden ingresar a la sala de computadoras sin circunstancias especiales. Si es necesario, pueden administrar desde terminales designados en el exterior.
Si un servidor importante está expuesto al exterior y es accesible para todos, será inútil sin importar cuán segura sea la contraseña que establezca. Varios sistemas operativos pueden usar disquetes y CD-ROM para arrancar y descifrar. contraseñas.
Seguridad del sistema de archivos
Establezca los permisos de archivos y directorios correctamente y restablezca los permisos de archivos importantes en el sistema;
En sistemas Unix y Linux, También preste atención a los permisos setuid y setgid del archivo, y si estos permisos están configurados para archivos inapropiados;
Cuenta
La cuenta y los permisos se pueden usar como un medio para proteger el sistema contra el acceso ilegal. Seguridad del sistema
Si la información de la cuenta, los nombres de usuario y las contraseñas cumplen con las regulaciones y son lo suficientemente complejos.
Usar su y sudo apropiadamente en Unix/Linux;
Cerrar cuentas inútiles;
Seguridad del sistema de red
Cerrar todas las cuentas no utilizadas Necesario servicios. No hace falta decir que cada servicio abierto es como una puerta abierta y los piratas informáticos pueden aprovecharla;
Características de la interfaz de red. Preste atención a si la tarjeta de red está en modo promiscuo de escucha;
Configuración de red para evitar DoS. Deshabilite el reenvío de IP, no reenvíe transmisiones dirigidas, limite la conexión múltiple, ignore y no envíe paquetes de redireccionamiento, desactive las respuestas de marca de tiempo, no responda a transmisiones de Echo, difunda direcciones de máscara, no reenvíe paquetes con rutas de origen configuradas, acelere Tiempo de caducidad de las tablas ARP, aumento del tamaño de las colas no conectadas y aumento del tamaño de las colas conectadas;
Deshabilite los comandos r* y los comandos telnet, y use SSH cifrado para la administración remota;
NIS/Configuración de seguridad para NIS+;
Configuración de seguridad para NFS;
Seguridad del servicio de aplicaciones
Los servicios de aplicaciones son la razón de la existencia del servidor, y También es donde a menudo ocurren los problemas. Hay demasiados tipos de servicios de aplicaciones para presentarlos todos aquí, así que permanezca atento a la información relevante. Continuaré brindando algunos conocimientos en el futuro si es posible. Es seguro decir que ninguna aplicación es completamente segura y debe depender de nosotros para restablecerla.
Para evitar el robo de datos, también se pueden utilizar algunos métodos para evitar que los piratas informáticos roben datos e información después de invadir el ordenador. Esto es control de acceso y cifrado. El control de acceso al sistema requiere la implementación de software, que puede limitar los permisos de root y configurar datos importantes para que root no pueda acceder a ellos excepto para usuarios especiales. De esta manera, incluso si un hacker se convierte en root, no ayudará. Existen muchos métodos de cifrado, por lo que no entraré en detalles aquí. El archivo cifrado se almacenará en el disco duro en forma de texto cifrado. Si no se puede descifrar correctamente, se convertirá en un montón de caracteres sin sentido, incluso si el hacker los obtiene, será inútil.
1.2. Proxy ilegal
Introducción al principio
La tecnología de proxy proxy juega un papel importante en la mejora de la velocidad y la eficiencia del acceso a Internet. Han surgido tecnologías de optimización del acceso a Internet como Cache Server, pero los piratas informáticos también han utilizado Proxy para realizar actividades ilegales. Sin embargo, los piratas informáticos también utilizan Proxy para realizar actividades ilegales. Los piratas informáticos generalmente tienen dos propósitos al configurar un "broiler" como Proxy. Uno es el mismo propósito que un Proxy común, que es usarlo para acceder mejor a Internet y navegar por la WWW; el segundo es usar este Proxy "broiler"; para evitar algunos accesos? En segundo lugar, este proxy se utiliza en una ubicación especial para evitar ciertas restricciones de acceso.
El proxy WWW ordinario es en realidad muy común en Internet. Algunas computadoras son gratuitas y abiertas y brindan servicios de proxy WWW a todas las computadoras. Si un pirata informático desea obtener un proxy adecuado, no necesita atacarlo. computadora e instale el software Proxy, simplemente use estos Proxies de computadora ya preparados. En los sitios web de piratas informáticos, hay muchos programas como Proxy Hunter, que pueden buscar automáticamente computadoras Proxy listas para usar ingresando al segmento de red y ejecutándolas. Aunque el Proxy en sí no es vulnerable a los ataques, ejecutar el servicio Proxy causará una carga significativa cuando hay muchas conexiones de clientes.
Además, algunos ataques como Unicode, Lotus Notes y ASP también se llevan a cabo a través del protocolo HTTP. Al final, los atacantes utilizarán el servidor proxy como fuente del ataque. chivo expiatorio de estos atacantes. Por lo tanto, es mejor no proporcionar servicios de proxy abiertos al mundo exterior. Incluso si los servicios de proxy se abren por necesidad, deben estar estrictamente restringidos.
El uso de proxies para eludir ciertas restricciones de acceso también es común en exploits "broiler". Por ejemplo, para mejorar la eficiencia del trabajo, una empresa no permite que los empleados utilicen el chat QQ e indica al firewall de la empresa que restrinja todo el acceso al puerto UDP 8000 de interno a externo, de modo que los usuarios internos no puedan conectarse al servidor QQ en Internet externo para chatear. Sin embargo, los piratas informáticos pueden evitar esta restricción a través del proxy QQ que configuraron y acceder al servidor QQ normalmente.
La configuración y los métodos de uso del proxy QQ y del proxy WWW son los mismos. A través del proxy QQ en Internet, los piratas informáticos pueden acceder al puerto UDP 18000 del proxy QQ desde fuera de la empresa, lo cual no está prohibido. Los piratas informáticos pueden acceder al puerto UDP 18000 del proxy QQ desde fuera de la empresa. Esto no está prohibido. Por el contrario, el proxy QQ accederá al servidor QQ de destino real como cliente y luego transmitirá la información a la computadora del pirata informático desde UDP. puerto 18000. . De esta manera, los piratas informáticos utilizan servidores proxy para romper las restricciones de acceso.
Este principio también se puede utilizar para evitar otras restricciones de protocolo, como WWW, ICQ, MSN, Yahoo Messager, AOL, etc., siempre que el software proxy lo admita.
Métodos de defensa
Al configurar cualquier tipo de servidor proxy, debemos restringir el cliente y no proporcionar derechos de acceso a personas no relacionadas. Esto puede mejorar la eficiencia del servidor y eliminar la posibilidad de que los piratas informáticos utilicen nuestro servidor proxy para realizar ataques.
Para evitar que personas internas utilicen servidores proxy externos, puede restringir estrictamente el acceso a través de firewalls y solo permitir el acceso a servicios designados en sitios externos designados. Por supuesto, esto puede causar inconvenientes al negocio, por lo que debe considerarse en circunstancias específicas y sopesarse de manera integral.
1.3. Plataforma de comunicación de hackers
Principio
Esta es la función principal de otro "broiler". A los hackers les gusta configurar plataformas adecuadas en el "broiler". alojados en IDC. Su propio servidor BBS/correo electrónico, estas computadoras son generalmente las más populares. Los piratas informáticos están distribuidos en todos los rincones del mundo, además de algunas organizaciones fijas de piratas informáticos, muchos piratas informáticos solo se comunican a través de Internet, como a través de correos electrónicos, chats en línea, etc., para "intercambiar información", intercambiar ataques y otras técnicas, y expresarse. su admiración. No sorprende que muchos amigos hackers que conoce desde hace años nunca se hayan conocido en la vida real.
Todo el mundo pregunta: ¿pueden los hackers simplemente enviar correos electrónicos e ICQ? ¿Por qué arriesgarse a atacar otras computadoras que sirven como plataformas de comunicación? Tenga en cuenta que lo que los piratas informáticos difunden entre ellos es información que otros no pueden conocer, como "He controlado el enrutador de la red troncal en la provincia XXX. ¿Quiere una copia de su tabla de enrutamiento, etc.?" Si dicho contenido es interceptado en cualquier servidor de correo o servidor de chat, el administrador de la red tiene la obligación moral de alertar a la persona a cargo de la red atacada, por lo que utilizar métodos de comunicación públicos en la red es una situación peligrosa para los piratas informáticos. No es confiable, los hackers deberían mantenerlo en secreto :-). Entonces, ¿qué hacer? Ahora que el hacker ha tomado el control del "broiler" y se ha convertido en el segundo "padre" del "broiler", el hacker tiene las calificaciones y el poder para configurarlo como un servidor de comunicaciones. En una plataforma de comunicación de este tipo, es mucho menos probable que se descubra a los piratas informáticos, y la máxima autoridad de control permite a los piratas informáticos llevar a cabo diversas actividades que están ocultas a los demás. Otra forma de utilización es el servidor FTP, que permite a los hermanos hackers cargar y descargar software de hacking y comunicarse.
Los piratas informáticos generan grandes cantidades de tráfico de red cuando intercambian información sobre "broilers", especialmente cuando utilizan cargas y descargas FTP. Si descubre que el tráfico de comunicaciones internas y externas aumenta repentinamente de manera anormal, verifique su computadora.
El nivel de los administradores de "pollos de engorde" poco defendidos generalmente no es muy alto. Sumado a la falta de sentido de responsabilidad, a menudo no saben que sus computadoras están ocupadas durante mucho tiempo hasta que uno. día Cuando recibí una factura de comunicación de datos elevada, me sorprendí: "¡Qué pasó!". -¿No tienen ellos mismos alguna responsabilidad?
Métodos de defensa
Los administradores deben tener métodos de monitoreo en tiempo real y desarrollar periódicamente sistemas de inspección razonables para las redes y servidores de los que son responsables. Si hay un aumento repentino en el tráfico de la red, acceso sospechoso, condiciones anormales del servidor, registros de registro anormales, etc., debe verificarlo de inmediato. Es importante recordar catalogar y realizar copias de seguridad de estos registros y registros para poder comparar antes y después de que surja una situación.
La seguridad depende en gran medida de si el administrador desempeña sus funciones, y un buen administrador debe tener buenos hábitos.
1.4. Plataforma de aprendizaje/desarrollo
Introducción al principio
Esta situación es relativamente rara, pero también muy interesante. Las PC que utilizamos habitualmente pueden instalar versiones x86 de Windows, FreeBSD, Linux y otros sistemas Unix, lo que hace casi imposible practicar sistemas operativos en otras plataformas. Como AIX, HP-UX, Solaris (sparc), IRIX, etc., todos requieren el soporte de plataforma de hardware correspondiente, que no se puede instalar en computadoras personales comunes. Las computadoras Unix producidas por estos conocidos fabricantes son muy costosas, lo que las hace. Inaccesible para los entusiastas de la informática comunes. Tesoro inalcanzable. Es hora de que los hermanos hackers vuelvan a mostrar sus habilidades aquí. Se conectan a Internet para encontrar algunas máquinas que puedan invadir AIX. Después de unirse al equipo, ¿no es muy sencillo aprender a operar esta plataforma? Una vez vi en un sitio web de piratas informáticos que alguien transfirió el control de un "asador" Sun E250 por 300 dólares. El pobre administrador no sabía que su máquina se estaba vendiendo al público.
Los piratas informáticos que se desarrollan en "broilers" son aún más raros, porque los riesgos de hacerlo son muy altos. Muchos hackers no tienen trabajos de tiempo completo; muchos de ellos son programadores profesionales que trabajan en el desarrollo de programas a través de amigos y otros canales para ganar algo de dinero de bolsillo. Muchos programas personalizados están diseñados para ejecutarse en una plataforma específica. ¿Qué sucede si es necesario desarrollar y depurar el programa en una plataforma HP-UX, pero las computadoras HP-UX rara vez están disponibles? Pero los piratas informáticos pueden utilizar sus "especialidades" para atacar uno y utilizarlo como plataforma de desarrollo. Sin embargo, todos sabemos que aparecerán varios errores durante el proceso de desarrollo y depuración del programa. Estos errores pueden hacer que el programa sea anormal o que el sistema falle y dejarán registros en el registro. Por eso es muy peligroso hacer esto porque es muy fácil de descubrir. Si una computadora se utiliza como plataforma de desarrollo durante mucho tiempo y el administrador no sabe nada al respecto, entonces el administrador realmente necesita hacer un examen de conciencia.
Defensa
El método es el mismo que el apartado anterior, por lo que no es necesario entrar en detalles. Cuida tu servidor.
De nuevo, la solución
Diez eternas reglas de seguridad para mantenerte alejado de los hackers 1. Cuando eliges ejecutar un programa, significa que decides ceder el control del ordenador a ese programa programa. Una vez que un programa comienza a ejecutarse, puede hacer cualquier cosa, sujeto a las limitaciones de todo lo que usted mismo puede hacer en su computadora. 2. En última instancia, un sistema operativo es solo una serie de 1 y 0 que permiten a la computadora realizar operaciones específicas interpretadas por el procesador. Cambiar estos 1 y 0 realiza una operación diferente. ¿Dónde se almacenan estos 1 y 0? ¿Necesitas siquiera preguntar? ¡En computadoras, como cualquier otra cosa! Son sólo archivos, y si alguien más que usa la computadora puede cambiarlos, se acabó el juego. 3.3 Si alguien tiene acceso físico a su computadora, tiene control total sobre ella y puede hacer cualquier cosa (como modificar datos, robar datos, quitarle hardware o destruir físicamente la computadora). 4. Si tiene un sitio web, debe limitar el comportamiento de sus visitantes. Sólo debe permitir que se ejecuten en su sitio web programas escritos por usted o por desarrolladores de su confianza. Pero esto no es suficiente. Si su sitio web está alojado en el mismo servidor que otro sitio web, debe tener mucho cuidado. Si alguien con motivos ocultos compromete otros sitios web en el servidor, puede obtener aún más control del servidor y así controlar todos los sitios web en el servidor, incluido el suyo.
5. Si un hacker obtiene su contraseña, puede iniciar sesión en su computadora y hacer cualquier cosa que usted pueda hacer. Utilice siempre una contraseña; es sorprendente cuántas cuentas no tienen contraseñas. Utilice contraseñas más complejas. , su aniversario o el nombre de su equipo deportivo local. ¡Y no use una contraseña como contraseña! Un administrador no confiable puede anular todas las demás medidas de seguridad que haya tomado. Puede modificar los permisos de la computadora, instalar. malware, agregar usuarios falsos o hacer otras cosas. Dado que él tiene el control, puede anular cualquier protección en el sistema operativo. Lo peor de todo es que puede volverse invisible si lo encuentra un administrador que no sea de confianza. 7. Muchos sistemas operativos y productos de software de cifrado ofrecen la posibilidad de almacenar claves de cifrado en su computadora. Esto es conveniente porque no tiene que lidiar con las claves. Normalmente, estas claves lo son. Se manejan en variantes (es decir, ocultas), y algunas de ellas son bastante buenas, pero la conclusión es que no importa qué tan bien esté oculta una contraseña, siempre puede verse comprometida siempre que esté almacenada en la computadora y la encuentre. Después de todo, el software puede encontrar la clave, al igual que un delincuente dedicado. Almacene la clave fuera de línea siempre que sea posible. Los escáneres de virus funcionan comparando los datos con una serie de firmas de virus. es característico de un virus específico. Sin embargo, cuando el escáner encuentra datos que coinciden con la firma, el programa solo puede encontrar virus que conoce. El archivo de firmas de virus del escáner de virus debe mantenerse actualizado porque es nuevo. Los virus aparecen todos los días. 9. La mejor manera de proteger la privacidad personal en Internet es la misma que proteger la privacidad personal en la vida diaria. El enfoque es el mismo: proteger a través de sus acciones. Lea las declaraciones de privacidad de los sitios que visita y solo. trate con sitios que reconozcan sus prácticas. Si no le gustan las cookies, puede desactivarlas y, lo más importante, evite navegar por la web. La mayoría de las metrópolis tienen un lado oscuro que debe evitarse a toda costa, y lo mismo ocurre con las cookies. Internet 10. El nivel de perfección requerido para una seguridad perfecta aún no existe y, de hecho, nunca existirá. Aquí es donde están involucrados el software y los humanos. Un hecho objetivo del campo. El hecho es que algunas de estas fallas pueden explotarse para socavar la seguridad. Sin embargo, incluso si el software está diseñado para ser impecable, no resuelve completamente el problema. La mayoría de los ataques implican cierto grado de manipulación de la naturaleza humana. denominamos ingeniería social". Si se vuelve más costoso y más difícil atacar la tecnología de seguridad, aquellos con motivos ocultos cambiarán su estrategia y cambiarán su enfoque de la tecnología a las personas en la consola. Es importante comprender su papel a la hora de mantener una seguridad sólida; de lo contrario, se convertirá personalmente en un agujero en la capa de seguridad de su propio sistema".