pozwalającej na monitorowanie i przechwytwanie danych w sieci
i odczytwanie pakietów.</li>
</ul>
+ <h2 id="3.3.4.malware">3.3.4. Złośliwe oprogramowanie</h2>
+ <p>
+ Na początku rozdziału wspomniano, że obecnie bardzo prężnie działa
+ rozwój złośliwego oprogramowania. Gdzieś tam kiedy, każdemu udało
+ się zawirusować swój komputer, najczęściej odbywało się to poprzez
+ pobranie jakiegoś szemranego pliku z Internetu. Najczęściej bywały
+ to konie trojańskie, ale też słyszało się o wirusach, czy
+ innych mniej niechcianych programach. Najczęstszymi czynnościami
+ wykonywanymi przez złośliwe oprogramowanie są:
+ </p>
+ <ul>
+ <li>Różnego rodzaju modyfikacje plików, wraz z ich usunięciem.</li>
+ <li>Zaburzenie uruchamiania systemu operacyjnego lub uszkodzenie
+ aplikacji.</li>
+ <li>Przekazywanie poufnych informacji do podmiotów zagrożeń.</li>
+ <li>Uzyskanie dostępu do poczty elektronicznej i wykorzystanie jej
+ do rozprzestrzeniania sie.</li>
+ <li>Oczekiwać na sygnały od podmiotów zagrożenia.</li>
+ </ul>
+ <p>
+ Wirusy do rozprzestrzeniania się wymagają działalności człowieka, my
+ natomiast możemy określić kilka ich rodzajów:
+ </p>
+ <ul>
+ <li><strong>Wirus sektora rozruchowego</strong> - wirus atakujący
+ sektor rozruchowy, tablicę partycji lub system plików.</li>
+ <li><strong>Wirus oprogramowania układowego</strong> - wirus atakuje
+ oprogramowanie układowe urządzenia.</li>
+ <li><strong>Wirus makr</strong> - wirusy złośliwe wykorzystujące
+ funkcję makr w MS Office czy w innych aplikacja.</li>
+ <li><strong>Wirus programu</strong> - wirus wstawia się w inny
+ program wykonywalny.</li>
+ <li><strong>Wirus skryptu</strong> - wirus atakuje interpreter
+ poleceń systemu operacyjnego, wykorzystywany do wykonywania
+ skryptów.</li>
+ </ul>
+ <p>
+ Innym ciekawym rodzaje złośliwego oprogramowania, wspominanego już
+ w tym temacie, jest <strong>koń trojański</strong>, przypomina on
+ przydatny program, jednak jego funkcje są rozszerzone o potencjalnie
+ niebezpieczne dla nas działanie, takie jak np.: umożliwienie zdalnego
+ dostępu, przekazywanie danych, destrukcję plików, uruchomienie
+ <em>proxy</em> (przekaźnika) - pozwalającego na wykorzystanie
+ połączenia komputera do innych celów; uruchomienie serwera FTP - w
+ celu kradzieży plików, dezaktywacja oprogramowania antywirusowego -
+ w celu przeprowadzenia dalszej mniej wyrafinowanej infekcji;
+ przeprowadzanie z naszego komputera ataków odmowy usług - DoS oraz
+ zbieranie i przesyłanie uderzeń w klawiature - keylogging.
+ </p>
+ <p>
+ Innymi rodzajami złośliwego oprogramowania są:
+ </p>
+ <ul>
+ <li><strong>Adware</strong> - oprogramowanie wyświetlające na często
+ nachalne reklamy, najczęscięj treści tylko dla dorosłych.</li>
+ <li><strong>Ransomware</strong> - złośliwe oprogramowanie szyfrujące
+ dyski i żądające okupu za wydanie klucza deszfrującego.</li>
+ <li><strong>Rootkit</strong> - oprogramowanie stosowane przez
+ podmioty zagrożeń w celu uzyskania dostępu do konta administratora
+ systemu.</li>
+ <li><strong>Spyware</strong> - oprogramowanie szpiegowskie,
+ wykorzystywane w celu uzyskania osobistych informacji o
+ użytkowniku.</li>
+ <li><strong>Robak</strong> - samorepolikujący się program
+ wykorzystujący przy tym podatności. Najcześciej wykorzystuje on
+ sieć do wyszukiwania systemów z tą samą podatnościa.</strong>.
+ </ul>
+ <h2 id="3.3.5.networkattacks">3.3.5. Ataki sieciowe</h2>
+ <p>
+ Ataki sieciowe, które mają stricte nie wiele wspólnego z siecią
+ poza tym sieć jest medium przesyły informacji, mniej jednak możemy
+ wróżnić takie ataki jak: ataki rozpoznania, ataki dostępu, czy ataki
+ DoS.
+ </p>
+ <p>
+ Ataki rozpoznania zwykle polegają na poszukiwaniu hostów w sieci z
+ wybraną przez nas podatnością, lub przeskanowaniem hostów w sieci
+ pod kątem występowania podatności w ogóle i w zależności od tego
+ co zostanie znalezione, to może to zostać wykorzystane. Tego typu
+ atak możemy podzielić na:
+ </p>
+ <ol>
+ <li><strong>zapytanie informacyjne dotyczące celu</strong> -
+ popularnym narzędziem na tym etapie są wyszukiwarki czy baza
+ WHOIS (zawierająca informacje o domenie, czy przypisanej
+ adresacji IP)</li>
+ <li><strong>wykrywanie aktywnych/osiągalnych hostów w sieci</strong>
+ - w tej fazie czasami może wystarczyć zwykłe polecenie
+ <em>ping</em>, szczególności jeśli działamy z sieci wewnętrznej.</li>
+ <li><strong>skanowanie portów osiąglanych hostów</strong> - kiedy
+ już wiemy co możemy atakować, to wówczas musimy dowiedzieć się co
+ jest na tych hostach uruchomione. Do tego mogą posłużyć nam skanery
+ portów takie jak np. Nmap. Chciaż część skanerów podatności posiada
+ również funkcję skanowania portów.</li>
+ <li><strong>skanowanie podatności</strong> - następną częścią jest
+ wykorzystanie dziur w oprogramowaniu, z którym możemy się polączyć.
+ Takim skanerem podatności jest np. Nessus.</li>
+ <li><strong>wykorzystanie podatności</strong> - po znalezieniu
+ podatności pozostaje nam dobrać dla niej odpowiedni
+ <em>exploit</em>, aby uzyskać zdalny dostęp do systemu. Takim
+ narzędziem jest <strong>Metasploit</strong>.</li>
+ </ul>
+ <p>
+ Ataki dostępu służą wykorzystaniu podatności w funkcjach
+ uwierzytelniania w celu uzyskania dostępu do kont czy to na portalach
+ internetowych czy to do zasobów plikowych. Jednym z najcześciej
+ stosowanych ataków jest <strong>atak na hasło</strong> stosowany
+ w celu poznania krytycznych dla systemów haseł, tego rodzaju ataków
+ dokonuje się poprzez programy do łamania haseł. Innym rodzaje
+ ataków dostępu są ataki fałszowania, przeprowadzane w celu
+ podszycia pod inne urządzenie i pozostania jak najdłużej
+ niezauważonym, do tego rodzaju ataków możemy przypisać dobrze znane
+ nam <em>man-in-the-middle</em>, wykorzystanie zaufania,
+ przekierowanie portów czy przepełnienie bufora.
+ </p>
+ <p>
+ Przeprowadzenie ataków na hasła jest czaschonne i często nie
+ przynosi skutków. Obecnie często nie ma sensu się tym zajmować
+ przejmować ponieważ to często użytkownicy podają swoje dane logowania
+ jak na tacy. Atakujący zazawyczaj posługują się wówczas
+ <strong>socjotechnikami</strong> - są techniki manipulacyjne
+ pozwalające na wprowadzenie, kogoś w błąd, aby móc wyłudzić od niego
+ poufne informacje.
+ </p>
+ <p>
+ Jednym z takich metod jest <strong>phising</strong> - najprościej
+ rzecz ujmując próba wyłudzenia informacji, po przez podanie
+ fałszywego linku, z identyczną stroną logowania do jednego z
+ serwisów. Strona tego typu różni się drobnymi szczególami, na które
+ na codzień nie zwracamy uwagi, np. literówką w adresie strony. Ta
+ strona moze kolekcjowować wpisane dane i przekazać je podmiotowi
+ zagrożenia. Dlatego trzeb mieć się na baczności i zastanowić się
+ dwa razy klikając w link dodany do dziwnej wiadomości e-mail.
+ Ciekawym narzędziem w tym przypadu jest SET
+ <em>Social-Engineering Toolkit</em>, pozwalający na przygotowanie
+ ataków <em>phishingowych</em> w celu przetestowania własnych
+ użytkowników.
+ </p>
+ <p>
+ Ataki <strong>DoS</strong>, inaczej ataki odmowy usługi polegają one
+ na zalaniu
+ serwera żądaniami dostępu do zasobu o bardzo dużej częstotliwości.
+ Ten atak ma na celu pozbawienie dostępu do usługi prawowitym
+ użytkownikom. Takie ataki są dość trudne w zapobieganiu, ponieważ
+ w jaki sposób oddzieli taki atak od wzmożonej aktywności użytkowników.
+ Tego typu ataki są często wykorzystywane przez haktywistów,
+ manifestując tym samym społeczne nieposłuszeństwo. Takie ataki są
+ rownież banalne do przeprowadzenia, ponieważ sposób ich
+ przeprowadzania nie skupia się na jakości a na ilości, najcześciej
+ standardowych żądań. Jeśli taki ataka pochodzi z jednego adresu IP,
+ to wówczas mamy doczynienia z atakiem DoS, ale jeśli zapytania
+ przychodzą z różnych hostów to mówimy o wersji rozproszonej -
+ <strong>DDoS</strong>.
+ </p>
+ <h2 id="3.3.6.vulnerabiltiesandthreadsofip">3.3.6. Podatności i zagrożenia IP</h2>
+ <p>
+ Obecnie stosowane protokoły sieciowe nie były konstruowane z myślą
+ o bezpieczeństwie, ponieważ wówczas bardziej kładziono nacisk na
+ swobodę komunikacji. Dlatego też w protokołach IP możemy dowolnie
+ manipulować polami nagłówków pakietów. Do najbardziej powszechnych
+ ataków związanych z adresami IP możemy wymienić:
+ </p>
+ <ul>
+ <li><strong>Ataki ICMP</strong> - podmiot zagrożeń może wykorzystać
+ komunikaty protokołu ICMP, takie jak <em>echo</em> do odkrywania
+ hostów, ataków DoS, czy innych komunikatów np. do wpływania na
+ routing hostów.</li>
+ <li><strong>Ataki wzmacniania i odbijania</strong> - rodzaj ataku
+ DoS, polegający na wysłaniu żądań echa z tym samym adresem
+ źródłowym do wielu hostów. Wówczas zapytane hosty odpowiedzą
+ atakowanemu hostowi zalewając go odpowiedziami echo.</li>
+ <li><strong>Ataki fałszowania</strong> - ataki pozwlajace fałszować
+ informacje zawarte w nagłówkach przez co podmiot zagrożeń może
+ podawać się za uprawnionego użytkownika. Nieślepe ataki fałszowania
+ pozwalają ustalenia stanu zapory sieciowej oraz ustalenie
+ numerów skewencyjnych przez co możliwe jest przechwycenie sesji.</li>
+ <li><strong>Ataki typu man-in-the-middle</strong> - Podmiot
+ zagrożeń może umieścić się w komunikacji między źródłem a celem i
+ transparentnie monitorować, przechwytywać i kontrolować
+ komunikację. Może on sprawdzać pakiety, zmieniać ich zwartość i
+ przekazywać dalej do celu.</li>
+ <li><strong>Przechwytywanie sesji</strong> - Podmiot zagrożenia
+ uzyskuje dostęp do sieci fizycznej, następnie dokonuje ataku
+ <em>man-in-the-middle</em> w celu przechwycenia sesji.</li>
+ </ul>
</div>
</body>
</html>
projects / mmdev.git / commitdiff