Dziś poznasz dalszą część 10 rodzai Cyber ataków cz.II. Jeśli będziesz już znał rodzaje ataków, będzie Ci łatwiej zrozumieć, o co chodzi, gdy będę tłumaczył bardziej zaawansowane zagadnienia i gdy będziesz wykorzystywał wiedzę w praktyce czytając artykuły, które stworzę w przyszłości.
Wstęp – 10 rodzai Cyber ataków
Wiem, że ten rodzaj artykułów nie jest zbyt przystępny i dużo lepiej byłoby Ci się nauczyć na przykładach, do czego służy konkretny atak. Oczywiście dojdę do momentu, w którym pokażę Ci wykorzystanie danych ataków.
Lecz aktualnie poruszam też tematy, w których są wymienione słowa, jakich może jeszcze nie znasz i chciałbym, byś rozumiał kontekst zdań, które są tu napisane.
Żeby tak się działo, musisz znać definicję danego słowa. Także dziś postaram Ci się przekazać kolejną dawkę nowych słów do Twojego słownika w jak najprzystępniejszy sposób :).
Mam nadzieję, że Cię nie zanudzę i zostaniesz ze mną do końca tego artykułu. Im lepiej poznasz słownik bezpieczeństwa, tym łatwiej będzie Ci w przyszłości, dlatego radzę Ci nie omijać tego typu artykułów. Chociaż moim zdaniem człowiek uczy się lepiej na przykładach i nie zamierzam publikować wielu artykułów takich jak dzisiejszy, to niestety takie też muszą być.
10 rodzai Cyber ataków cz.II – Domain Hijacking
Jest to ciekawy rodzaj ataku. Wiele osób wie, że aby posiadać domenę, trzeba ją zakupić na pewien okres. Gdy na przykład kupisz domenę na rok, stajesz się jej właścicielem na właśnie ten okres.
Może to być też pięć czy dziesięć lat. Nieważne, na jak długi okres kupisz – po jego upłynięciu, jeśli nie przedłużysz odpowiednio wcześniej swojego zakupu, domena wraca do puli, z której wszyscy mogą ją kupić. Skoro już wiesz, jak to działa, mogę Ci wyjaśnić, na czym polega Domain Hijacking.
Załóżmy, że zapomniałeś opłacić przed czasem domenę. Wróciła ona do puli. Od razu Cię uprzedzę, że jest okres karencji, wiec Twoja strona może być zdjęta przez tydzień czy dwa, jeśli zapomnisz opłacić domenę, więc radzę Ci o tym pamiętać;). Właśnie zapomniałeś o tym, i teraz domena wróciła do puli.
Na Twoją domenę czekałem już ja i zakupiłem ją za Ciebie. Wcześniej wykonałem kopie Twojej strony, by wyglądała podobnie, tylko zaszyłem w niej fałszywą bramkę płatności. I zacząłem wykorzystywać Twoją reputację i reputację Twojej domeny na moją korzyść.
Sytuacja może wyglądać podobnie, gdy wykorzystam social engineering i uzyskam dostęp do nazwy domeny i zmienię właściciela na siebie.
Podsumowując: Domain Hijacking polega na przejęciu domeny i wykorzystaniu jej do własnych celów.
10 rodzai Cyber ataków cz.II – Man in the browser
Jest to inny rodzaj ataku MITM, który już poznałeś . Tu wyobraźmy sobie taką sytuację: ściągasz super dodatek do przeglądarki. Jest on pięknie opisany, widzisz też, że trochę osób już go ściągnęło i nikt nie narzeka.
Więc i Ty go ściągasz i instalujesz w przeglądarce. Nie wiesz jednak, że ma on wbudowanego trojana, który wykorzystuje przeglądarkę do przejmowania żądań wysyłanych przez Ciebie do strony, którą chcesz odwiedzić.
Podsumowując: MITB służy do przejmowania ruchu w przeglądarce poprzez załadowany dodatek lub też odpalony skrypt.
10 rodzai Cyber ataków cz.II – Pass the hash
W wypadku tego ataku napastnik ma dużo łatwiej. Załóżmy, że korzystasz jeszcze z NTLM (protokół do uwierzytelniania się w sieci). W wypadku gdy korzystasz z tego rozwiązania ja jako napastnik mam ułatwioną sprawę. Załóżmy, że wszedłem w posiadanie hasha hasła.
Co to hash, to już wiesz z tego artykułu. Jeśli wykorzystujesz NTLM , jestem w stanie zautentykować się do systemu za pomocą samego hasha. Nie muszę go zamieniać z powrotem w literki i cyferki, by podawać je w plain text. Wystarczy, że wyślę hash i zostanę uwierzytelniony. Oszczędza mi to dużo czasu na rozszyfrowanie tego hasła.
Podsumowując: Pass the hash polega na przesłaniu samego hasha do autentykacji bez wykorzystania plain text. Optymalizuje to czas dostania się do serwera.
ARP Poisoning
ARP wykorzystujemy do zmiany adresu IP na adres MAC. Jest on przechowywany w tak zwanych tablicach ARP, w których to adres IP jest przypisany do adresu MAC danej maszyny.
Załóżmy, że masz w swojej sieci trzy urządzenia, które kontaktują się z routerem i wysyłają pakiety w świat. Czyli normalna zwyczajna sieć domowa :).
Teraz każde z tych urządzeń ma u siebie zapisany adres MAC, jaki i adres IP każdej maszyny, która jest w sieci. Czyli czterech z nich. Zaraz zapytasz, dlaczego czterech, a nie trzech. Powiedziałem, że masz trzy urządzenia, ale nie policzyłeś, że czwartym jest router, dzięki któremu cała komunikacja wychodzi na zewnątrz (więcej przeczytasz tu).
Wszystkie te adresy przechowywane są w tablicach ARP na każdej z tych maszyn. Dobrze więc, jesteś napastnikiem i chcesz wykorzystać ten protokół, by przejąć ruch przed routerem. By to zrobić, wysyłasz sfałszowane informacje do protokołu ARP (czyli ARP Poisoning), dzięki czemu te urządzenia zapisują Cię w swoich tablicach jako router wychodzący. I cały ruch, zanim trafi do internetu, będzie przesłany przez to urządzenie, które podaje się za router wychodzący.
Podsumowując: ARP Poisoning polega na wysłaniu sfałszowanych informacji odnośnie pakietów ARP, które zostaną zapisane na urządzeniu. Przez co ruch, który powinien iść w innym kierunku, trafi na urządzenie, które wykonało ARP Poisoning.
Amplification
Czyli zwiększenie zasięgu. Załóżmy, że masz dobrego sieciowca, który fajnie skonfigurował sieć wi-fi w firmie. To znaczy, nie da się z niej z korzystać spoza biura czy też z toalety, gdzie nie ma monitoringu (i nie powinno być 😉 ).
Napastnik wykorzystuje Amplification do poszerzenia zasięgu sieci wi-fi. Dzięki temu nie musi być blisko celu – to znaczy w biurze – by wykonać atak. Na przykład mógłby je atakować chodząc wokół biura lub siedząc naprzeciwko biura w samochodzie.
Dlatego należy pamiętać, by zasięg wi-fi nie wychodził za daleko poza biuro i należy to kontrolować od czasu do czasu.
Podsumowując: Amplification polega na zwiększeniu zasięgu sieci poprzez na przykład zwiększenie zasięgu na karcie sieciowej użytkownika lub też routera.
Spam
Jest wykorzystywany do masowego wysyłania wiadomości, w którym to nadawca ma nadzieję, że odbiorca wiadomości kupi jego produkt. Wydaje mi się, że w dzisiejszych czasach nie ma już osoby, która nie dostałaby spamu. I nie trzeba go więcej opisywać. Ale jeśli tak nie jest, to napisz w komentarzu, a z chęcią opiszę coś więcej.
Podsumowując: Spam to wysyłanie ton wiadomości z produktem w nadziei, że ktoś to kupi.
Privilege Escalation
Jest to bardzo popularny i często wykorzystywany atak. Jako pracownik innego działu niż administrator prawie nigdy nie potrzebujesz większych uprawnień niż zwykły użytkownik. W wypadku, gdy w komputerze jesteś takim zwykłym użytkownikiem, nie jesteś w stanie zbyt wiele nabroić, choć zawsze coś jesteś w stanie zrobić ;).
Dlatego jako napastnik potrzebujesz większych uprawnień – na przykład takich, jakie dają uprawnienia administratora (czyli do wszystkiego domyślnie Windows).
Aby uzyskać tego typu uprawnienia, muszę wykonać privilege escalation attack, czyli atak zwiększający uprawnienia.
Jednym ze sposobów, dzięki którym można to osiągnąć, jest często podatność w jakiejś aplikacji – czy to wbudowanej w system, czy zewnętrznej. Dlatego tak często Wam przypominam o aktualizacji do nowej wersji. Rób ją, jak tylko się upewnisz, że aktualizacja jest ok i nie spowoduje żadnych utrudnień w pracy.
Podsumowując: Privilege escalation polega na podniesieniu swoich uprawnień.
Port Scanning Attacks
Czyli wykorzystywanie skanowania portów. Jest to bardzo ważnym aspekt w bezpieczeństwie, wiec warto, byś się go nauczył. Na pewno napiszę parę artykułów z wykorzystaniem popularnych narzędzi, byś mógł się tego nauczyć.
Ale poznajmy najpierw teorię, choć ciężko podać mi tu jakiś rozsądny przykład. Wygląda to mniej więcej tak: albo piszemy swoje narzędzie, albo korzystamy z już utworzonych narzędzi, takich, jak nmap.
Dzięki tym narzędziom wysyłamy pakiety na dany port, czekając na odpowiedź. Jeśli w tej odpowiedzi nawiążemy połączenie, da nam to informację, że port jest otwarty, możemy sprawdzić, jaki serwis na nim chodzi i czy jest on wrażliwy na jakiś rodzaj exploita.
Wydaje mi się, że najlepszym sposobem będzie to zobaczyć, wiec zrobię wideo i wpis, w którym to wykorzystamy skanowanie portów.
Podsumowując: Port scanning polega na wysłaniu pakietów i sprawdzeniu, czy jesteśmy w stanie nawiązać z danym portem połączenie. To powie nam, czy jest on zamknięty, czy też otwarty, czy filtrowany. Nie martw się – dowiesz się więcej w praktyce 😉
TCP connect scan
Jest to również skan portów. Skan ten polega na uzyskaniu TCP three-way handshake . Jeśli to uzyskamy, jest to równoznaczne z tym, że port jest otwarty.
SYN scan
Również jest to skanowanie portów, lecz troszkę inne. W wypadku skanu TCP wysyłany jest pakiet ACK na końcu, by połączyć obie maszyny. W tym wypadku kończymy na pakiecie ACK/SYN, by uniknąć wykrycia. Poprzez mniejszy ruch w sieci mniej pakietów sobie lata. Próbujemy uniknąć wykrycia.
Podsumowanie
Dziś dowiedziałeś się bardzo dużo o różnych rodzajach ataków. Mam nadzieję, że przybliży Cię to do zostania ekspertem w tak pięknej dziedzinie, jaką jest bezpieczeństwo.
Zapraszam do ocenienia artykułu, by poinformować mnie jak i przyszłych czytelników o jego wartości.
Pozdrawiam – Pusz 🙂
The form you have selected does not exist.
Funkcja trackback/Funkcja pingback